MS-MPCベースまたはMX-SPC3ベースの静的HTTPリダイレクトサービスの設定
Junos OSリリース19.3R2以降、MXシリーズルーターで次世代サービスを有効にしている場合、MX-SPC3サービスカードベースのキャプティブポータルで静的HTTPリダイレクトサービスプロビジョニングもサポートされています。
ウォールド ガーデンとは、壁に囲まれた庭園内のサイトへの加入者アクセスを提供するサーバーのグループであり、キャプティブ ポータルを介して再認証する必要はありません。キャプティブ ポータル ページは通常、加入者セッションにログインした後に加入者が確認する最初のページです。
加入者が壁に囲まれた庭の外のサイトにアクセスしようとすると、HTTPリダイレクトサービスはIPv4とIPv6のHTTPリクエストを処理して、そのトラフィックを管理します。加入者のHTTPリクエストトラフィックはウォールドガーデンを宛先とせず、リダイレクトサーバーに送信されます。このリダイレクトURLは、許可されていない外部サイトではなく、キャプティブポータルにトラフィックを送信するリダイレクトURLで応答します。キャプティブ ポータルは、壁に囲まれた庭園の外にある保護されたサーバーへのアクセスを許可する前に、リダイレクトされた加入者に認証および許可サービスを提供します。
リダイレクトサーバーは、ローカルまたはリモートにできます。
ローカルリダイレクトサーバー-ルーター上に常駐し、壁に囲まれた庭園内のキャプティブポータルに加入者トラフィックをリダイレクトします。
リモート リダイレクト サーバー —ルーターの背後にある壁に囲まれた庭園内のポリシー サーバーなどのデバイスに常駐します。加入者のHTTPトラフィックの宛先アドレスは、リモートリダイレクトサーバーのアドレスに書き換えられます。リモートサーバーは、壁に囲まれた庭園内のキャプティブポータルに加入者トラフィックをリダイレクトします。
ウォールド ガーデンをファイアウォール サービス フィルターとして設定します。サービスフィルターは、静的インターフェイスにアタッチされています。CPCDサービスは、サービスセットによってサービスインターフェイス(MX-SPC3サービスカードのMS-MPCまたはvms-上のms-)に適用されます。その後、サービスセットが静的インターフェイスにアタッチされます。
ウォールドガーデンをファイアウォールサービスフィルターとして設定する
ウォールド ガーデンをファイアウォール サービス フィルターとして設定すると、ウォールド ガーデン内のサーバー宛てのトラフィックが特定され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。
その他のすべての HTTP トラフィックは、壁に囲まれた庭園の外のアドレス宛てになります。このトラフィックはフィルター条件に一致しないため、処理のためにラインカードにフローします。
ウォールド ガーデンにキャプティブ ポータルまたはサーバーのリストとして 1 つのサーバーが含まれるように、サービス フィルターを設定できます。
単一のサーバーをキャプティブ ポータルとしてウォールド ガーデンを設定します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
キャプティブ ポータルへのトラフィックの処理を識別してスキップするフィルター条件を定義します。
キャプティブ ポータルと宛先ポートの宛先アドレスを指定して、キャプティブ ポータルを宛先とするトラフィックを一致させるフィルター条件を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
フィルター条件を定義して、前の条件に一致しないすべてのトラフィックからの HTTP トラフィックを識別し、CPCD サービス ルールによる処理のために送信します。
スキップされた HTTP トラフィックに一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されるように指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの HTTP 以外のトラフィックに対してさらにアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
たとえば、以下の設定では、192.0.2.0 のキャプティブ ポータルを使用して、IPv4 HTTP トラフィック(walled-v4)のフィルターを作成します。アドレスに一致するトラフィックはスキップされます。非一致トラフィックは http という用語で、HTTP トラフィックはスキップされたすべてのトラフィックから選択され、CPCD サービスに従って処理されるように送信されます。最後に、用語スキップにより、残りのHTTP以外のトラフィックはすべてスキップされます。
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
ウォールド ガーデンをサーバーのリストまたはサブネットとして構成します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
フィルター条件を定義します。
ウォールド ガーデン内の任意のサーバー宛てのトラフィックを照合するフィルター条件を指定するには、サーバーの宛先プレフィックス リストを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
フィルター条件を定義して、前の条件に一致しないすべてのトラフィックからの HTTP トラフィックを識別し、CPCD サービス ルールによる処理のために送信します。
スキップされた HTTP トラフィックに一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されるように指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの HTTP 以外のトラフィックに対してさらにアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(オプション)壁のある庭園内のサーバーを指定するプレフィックス リストを定義します。サブネットまたは複数の個別アドレスを指定できます。
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
たとえば、次の構成では、壁のある庭園に 2 つのサーバーを指定するプレフィックス リスト wg-list を含む IPv6 HTTP トラフィック(walled-v6-list)のフィルターを作成します。フィルター条件 portal6 は、壁に囲まれた庭園を宛先とする IPv6 トラフィックを識別します。一致しないトラフィックは http6 と呼ばれ、HTTP トラフィックはスキップされたすべてのトラフィックから選択され、CPCD サービスに従って処理されるように送信されます。最後に、用語スキップにより、残りのHTTP以外のトラフィックはすべてスキップされます。
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
ローカルおよびリモートリダイレクトサーバーのHTTPリダイレクトの設定
壁に囲まれた庭園の外のサイトに対して HTTP 要求が行われると、CPCD は認証と許可のためにトラフィックをキャプティブ ポータルにリダイレクトできます。
壁に囲まれた庭園の外を宛先とするトラフィックに対して実行するアクションを指定する CPCD サービス ルールを設定します。このトラフィックは、ウォールド ガーデン サービス フィルターによって識別され、サービスに渡されました。設定するアクションは、ローカルまたはリモートのHTTPリダイレクトサーバーのどちらを使用しているかによって異なります。
ルーターでローカルHTTPリダイレクトサーバーを使用している場合は、リダイレクトアクションを指定します。
ルーターの背後にある壁に囲まれた庭園に存在するリモートHTTPリダイレクトサーバーを使用している場合、リダイレクトURLを指定するだけではいけません。この場合、サービス ルールはトラフィックの IP 宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモート HTTP リダイレクト サーバーのアドレスです。その後、リモート サーバーからリダイレクト URL が提供され、キャプティブ ポータルにトラフィックが送信されます。
CPCD サービスは、サービス・セットによってサービス・インターフェースに関連付けられます。サービス セットとウォールド ガーデン サービス フィルターの両方が、静的に設定されたインターフェイスに適用されます。
たとえば、ローカル サーバーの以下の構成では、CPCD サービス ルール redir-svc はキャプティブ ポータル http://www.portal.example.com
にトラフィックをリダイレクトします。加入者が入力した元の URL がリダイレクト URL の末尾に追加されます。
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
リモート サーバーの以下の構成では、元の宛先アドレスをリモート サーバーのアドレス 192.0.2.230 に書き換える CPCD サービス ルールの再作成-svc を作成します。
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
サービスプロファイルとサービスセットを設定して、サービスプロファイルをサービスインターフェイスに関連付ける
MXシリーズルーターで次世代サービスを有効にしている場合、サービスセットは、MS-MPC/MS-MIC、またはMX-SPC3サービスカードによって実行される1つ以上のサービスを定義します。HTTP リダイレクト・サービスの場合は、CPCD ルールを含む CPCD サービス・プロファイルを定義します。サービス セットは、CPCD サービス プロファイルを特定のサービス インターフェイスに適用します。
例えば、以下の構成では、CPCD サービス・プロファイルの redir-prof が作成され、CPCD ルールの redir-svc を参照します。サービス セット ss2 は、CPCD サービス プロファイル redir-prof をサービス インターフェイス ms-5/0/0 に関連付けます。
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set sset2 user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface ms-5/0/0
CPCD サービス セットとサービス フィルターを論理インターフェイスにアタッチする
HTTP リダイレクト・サービスを使用するには、CPCD サービス・セットを論理インターフェースにアタッチする必要があります。ウォールド ガーデンがサービス フィルターとして構成されている場合は、サービス セットと同じインターフェイスにアタッチする必要があります。インターフェイスに到着してインターフェイスを離れるトラフィックは、サービスフィルターによってフィルタリングされます。MX シリーズ ルーターで Next Gen Services を有効にした場合、サービス用に識別されたトラフィックは MS-MPC または MX-SPC3 サービス カードに送信され、CPCD プロファイルがサービス インターフェイスに適用されます。
例えば、以下の設定は、IPv4アドレスファミリーのサービスセットsset2とサービスフィルター walled-v4をge-2/0/1.0にアタッチします。論理インターフェイスにアドレスを割り当てます。サービス セットとフィルターは、両方ともインターフェイスの入力と出力に適用されます。
user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
CPCD サービス用のサービス パッケージのインストール
MX シリーズ ルーターで Next Gen Services を有効にした場合、MS-MPC/MS-MIC 上または MX-SPC3 サービス カードで CPCD サービスを使用するには、MS-MIC または MX-SPC3 でサービス インターフェイスを設定します。サービス インターフェイスを備えた各 MS-MIC またはMX-SPC3 サービス カードに、必要なサービス パッケージをインストールする必要があります。
例えば、以下の設定は、シャーシ スロット 1 の MS-MPC 上の CPCD サービス パッケージと、MPC のスロット 0 の MS-MIC を読み込みます。システムログメッセージは、あらゆるデーモンおよびすべての重大度レベルのローカル外部アプリケーションに対して生成されます。
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any