Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

MS-MPC 기반 또는 MX-SPC3 기반 정적 HTTP 리디렉션 서비스 구성

참고:

Junos OS 릴리스 19.3R2부터는 MX 시리즈 라우터에서 차세대 서비스를 활성화한 경우 MX-SPC3 서비스 카드 기반 캡티브 포털에 대해서도 정적 HTTP 리디렉션 서비스 프로비저닝이 지원됩니다.

벽으로 둘러싸인 정원은 캡티브 포털을 통한 재인증 없이 벽으로 둘러싸인 정원 내의 사이트에 대한 가입자 액세스를 제공하는 서버 그룹입니다. 캡티브 포털(captive portal) 페이지는 일반적으로 가입자가 가입자 세션에 로그인한 후 보게 되는 초기 페이지입니다.

가입자가 벽으로 둘러싸인 정원 외부의 사이트에 액세스하려고 하면 HTTP 리디렉션 서비스가 IPv4 및 IPv6 HTTP 요청을 처리하여 해당 트래픽을 관리합니다. 벽으로 둘러싸인 정원으로 향하지 않는 가입자 HTTP 요청 트래픽은 리디렉션 서버로 전송되며, 리디렉션 서버는 권한이 없는 외부 사이트 대신 캡티브 포털로 트래픽을 전송하는 리디렉션 URL로 응답합니다. 캡티브 포털(captive portal)은 리디렉션된 가입자에게 벽으로 둘러싸인 정원 외부의 보호된 서버에 대한 액세스 권한을 부여하기 전에 인증 및 권한 부여 서비스를 제공합니다.

리디렉션 서버는 로컬 또는 원격일 수 있습니다.

  • 로컬 리디렉션 서버 - 라우터에 상주하며 가입자 트래픽을 벽으로 둘러싸인 정원 내부의 캡티브 포털로 리디렉션합니다.

  • 원격 리디렉션 서버 - 라우터 뒤의 벽으로 둘러싸인 정원 내부의 정책 서버와 같은 디바이스에 상주합니다. 가입자의 HTTP 트래픽에 대한 대상 주소는 원격 리디렉션 서버의 주소로 다시 작성됩니다. 원격 서버는 가입자 트래픽을 벽으로 둘러싸인 정원 내부의 캡티브 포털로 리디렉션합니다.

벽으로 둘러싸인 정원을 방화벽 서비스 필터로 구성합니다. 서비스 필터는 정적 인터페이스에 연결됩니다. CPCD 서비스는 서비스 세트를 통해 서비스 인터페이스(MS-MPC의 ms- 또는 MX-SPC3 서비스 카드의 vms-)에 적용됩니다. 그런 다음 서비스 세트가 정적 인터페이스에 연결됩니다.

벽으로 둘러싸인 정원을 방화벽 서비스 필터로 구성

벽으로 둘러싸인 정원을 방화벽 서비스 필터로 구성하면 벽으로 둘러싸인 정원 내의 서버로 향하는 트래픽이 식별되고 건너뜁니다. 이 트래픽은 라인 카드로 흐르지 않기 때문에 처리 요구 사항이 줄어듭니다.

다른 모든 HTTP 트래픽은 벽으로 둘러싸인 정원 외부의 주소로 향합니다. 이 트래픽은 필터 조건과 일치하지 않으므로 처리를 위해 라인 카드로 이동합니다.

벽으로 둘러싸인 정원에 캡티브 포털 또는 서버 목록으로 단일 서버가 포함되도록 서비스 필터를 구성할 수 있습니다.

  • 단일 서버를 캡티브 포털로 사용하여 벽으로 둘러싸인 정원을 구성합니다.

    1. 서비스 필터를 만듭니다.

    2. 캡티브 포털(captive portal)에 대한 트래픽 처리를 식별하고 건너뛰기 위한 필터 용어를 정의합니다.

      1. 캡티브 포털의 대상 주소와 대상 포트를 지정하여 캡티브 포털로 향하는 트래픽과 일치하도록 필터 조건을 지정합니다.

      2. 일치하는 트래픽이 라인 카드에서 처리를 건너뛰도록 지정합니다.

    3. 이전 용어와 일치하지 않는 모든 트래픽에서 HTTP 트래픽을 식별하기 위한 필터 용어를 정의하고 CPCD 서비스 규칙에 따라 처리하기 위해 전송합니다.

      1. 건너뛴 HTTP 트래픽과 일치하도록 하나 이상의 HTTP 포트 번호를 지정합니다.

      2. 일치하는 트래픽이 CPCD 서비스에 의해 처리되도록 지정합니다.

    4. 나머지 비 HTTP 트래픽에 대한 추가 작업을 건너뛰도록 필터 용어를 정의합니다.

    예를 들어 다음 구성은 캡티브 포털이 192.0.2.0인 IPv4 HTTP 트래픽 walled-v4에 대한 필터를 생성합니다. 주소와 일치하는 트래픽은 건너뜁니다. 일치하지 않는 트래픽은 용어 http로 이동하며, 여기서 HTTP 트래픽은 건너뛴 모든 트래픽에서 선택되어 CPCD 서비스에 따라 처리되도록 전송됩니다. 마지막으로, 용어 건너뛰기를 사용하면 나머지 비 HTTP 트래픽을 모두 건너뜁니다.

  • 벽으로 둘러싸인 정원을 서버 목록 또는 서브넷으로 구성합니다.

    1. 서비스 필터를 만듭니다.

    2. 필터 용어를 정의합니다.

      1. 서버의 대상 접두사 목록을 지정하여 벽으로 둘러싸인 정원의 모든 서버로 향하는 트래픽과 일치하도록 필터 조건을 지정합니다.

      2. 일치하는 트래픽이 라인 카드에서 처리를 건너뛰도록 지정합니다.

    3. 이전 용어와 일치하지 않는 모든 트래픽에서 HTTP 트래픽을 식별하기 위한 필터 용어를 정의하고 CPCD 서비스 규칙에 따라 처리하기 위해 전송합니다.

      1. 건너뛴 HTTP 트래픽과 일치하도록 하나 이상의 HTTP 포트 번호를 지정합니다.

      2. 일치하는 트래픽이 CPCD 서비스에 의해 처리되도록 지정합니다.

    4. 나머지 비 HTTP 트래픽에 대한 추가 작업을 건너뛰도록 필터 용어를 정의합니다.

    5. (선택 사항) 벽으로 둘러싸인 정원 내의 서버를 지정하는 접두사 목록을 정의합니다. 서브넷 또는 여러 개별 주소를 지정할 수 있습니다.

    예를 들어, 다음 구성은 벽으로 둘러싸인 정원에 있는 두 개의 서버를 지정하는 접두사 목록 wg-list를 사용하여 IPv6 HTTP 트래픽에 대한 필터 walled-v6-list를 생성합니다. 필터 용어 portal6은 벽으로 둘러싸인 정원으로 향하는 IPv6 트래픽을 식별합니다. 일치하지 않는 트래픽은 용어 http6으로 이동하며, 여기서 HTTP 트래픽은 건너뛴 모든 트래픽에서 선택되어 CPCD 서비스에 따라 처리되도록 전송됩니다. 마지막으로, 용어 건너뛰기를 사용하면 나머지 비 HTTP 트래픽을 모두 건너뜁니다.

로컬 및 원격 리디렉션 서버에 대한 HTTP 리디렉션 구성

벽으로 둘러싸인 정원 외부의 사이트에 대한 HTTP 요청이 이루어지면 CPCD는 인증 및 권한 부여를 위해 트래픽을 캡티브 포털로 리디렉션할 수 있습니다.

벽으로 둘러싸인 정원 외부로 향하는 트래픽에 대해 수행할 작업을 지정하는 CPCD 서비스 규칙을 구성합니다. 이 트래픽은 벽으로 둘러싸인 정원 서비스 필터에 의해 식별되어 서비스로 전달되었습니다. 구성하는 작업은 로컬 또는 원격 HTTP 리디렉션 서버를 사용하는지 여부에 따라 다릅니다.

  • 라우터에서 로컬 HTTP 리디렉션 서버를 사용하는 경우 리디렉션 작업을 지정합니다.

  • 라우터 뒤의 벽으로 둘러싸인 정원에 상주하는 원격 HTTP 리디렉션 서버를 사용하는 경우 단순히 리디렉션 URL을 지정할 수 없습니다. 이 경우 서비스 규칙은 트래픽의 IP 대상 주소를 다시 써야 합니다. 새 대상 주소는 원격 HTTP 리디렉션 서버의 주소입니다. 그런 다음 원격 서버는 트래픽을 캡티브 포털로 보내기 위한 리디렉션 URL을 제공합니다.

CPCD 서비스는 서비스 세트에 의해 서비스 인터페이스와 연관된다. 서비스 세트와 벽으로 둘러싸인 정원 서비스 필터는 모두 정적으로 구성된 인터페이스에 적용됩니다.

  1. CPCD 서비스 구성 레벨에 액세스합니다.
  2. 벽으로 둘러싸인 정원 외부로 향하는 트래픽에 적용할 규칙을 만듭니다.
  3. 수신 트래픽에 규칙이 적용되도록 지정합니다.
  4. HTTP 트래픽에 작업을 적용하기 위해 CPCD에 대한 규칙 용어를 정의합니다. 벽으로 둘러싸인 정원은 서비스 필터로 구성되므로 트래픽은 서비스로 전송되기 전에 이미 HTTP 트래픽으로 필터링됩니다.

    • 로컬 HTTP 리디렉션 서버의 경우 원래 URL(벽으로 둘러싸인 정원 외부)이 추가된 캡티브 포털의 URL인 리디렉션 URL을 제공합니다.

    • 원격 HTTP 리디렉션 서버의 경우 원격 서버의 대상 주소를 제공합니다.

예를 들어, 로컬 서버에 대한 다음 구성에서 CPCD 서비스 규칙 redir-svc는 트래픽을 캡티브 포털로 http://www.portal.example.com리디렉션합니다. 가입자가 입력한 원래 URL이 리디렉션 URL에 추가됩니다.

원격 서버에 대한 다음 구성은 원래 대상 주소를 원격 서버의 주소 192.0.2.230으로 다시 쓰는 CPCD 서비스 규칙 rewr-svc를 만듭니다.

서비스 프로필을 서비스 인터페이스와 연결하도록 서비스 프로파일 및 서비스 세트 구성

서비스 세트는 MX 시리즈 라우터에서 차세대 서비스를 활성화한 경우 MS-MPC/MS-MIC 또는 MX-SPC3 서비스 카드에서 수행할 하나 이상의 서비스를 정의합니다. HTTP 리디렉션 서비스의 경우 CPCD 규칙을 포함하는 CPCD 서비스 프로필을 정의합니다. 서비스 세트는 CPCD 서비스 프로파일을 특정 서비스 인터페이스에 적용합니다.

  1. 서비스 프로필을 만듭니다.
  2. 서비스 프로필에 대해 하나 이상의 CPCD 규칙을 지정합니다.
  3. 서비스 세트를 생성합니다.
  4. CPCD 서비스 프로필을 지정합니다.
  5. 서비스 인터페이스를 지정합니다.

예를 들어 다음 구성은 CPCD 규칙 redir-svc를 참조하는 CPCD 서비스 프로필 redir-prof를 만듭니다. 서비스 세트 ss2는 CPCD 서비스 프로필 redir-prof를 서비스 인터페이스 ms-5/0/0과 연결합니다.

CPCD 서비스 세트 및 서비스 필터를 논리 인터페이스에 연결

HTTP 리디렉션 서비스를 사용하려면 CPCD 서비스 세트를 논리적 인터페이스에 연결해야 합니다. 벽으로 둘러싸인 정원이 서비스 필터로 구성된 경우 서비스 세트와 동일한 인터페이스에 연결해야 합니다. 해당 인터페이스에 들어오고 나가는 트래픽은 서비스 필터에 의해 필터링됩니다. MX 시리즈 라우터에서 차세대 서비스를 활성화한 경우 서비스를 위해 식별된 트래픽은 MS-MPC 또는 MX-SPC3 서비스 카드로 전송되며, CPCD 프로필은 서비스 인터페이스에 적용됩니다.

  1. 논리적 인터페이스를 구성합니다.
  2. 주소 패밀리를 구성합니다.
  3. 인터페이스 주소를 구성합니다.
  4. 서비스 집합 및 서비스 필터를 인터페이스에 연결합니다.

예를 들어, 다음 구성은 IPv4 주소 패밀리에 대한 서비스 세트 sset2 및 서비스 필터 walled-v4를 ge-2/0/1.0에 연결합니다. 논리적 인터페이스에 주소를 할당합니다. 서비스 세트와 필터는 모두 인터페이스 입력 및 출력에 적용됩니다.

CPCD 서비스용 서비스 패키지 설치

MX 시리즈 라우터에서 차세대 서비스를 활성화한 경우 MS-MPC/MS-MIC 또는 MX-SPC3 서비스 카드에서 CPCD 서비스를 사용하려면 MS-MIC 또는 MX-SPC3에서 서비스 인터페이스를 구성해야 합니다. 서비스 인터페이스가 있는 각 MS-MIC 또는 MX-SPC3 서비스 카드에 필요한 서비스 패키지를 설치해야 합니다.

  1. MS-MPCs 또는 MX-SPC3 서비스 카드가 있는 MX 시리즈 5G 유니버설 라우팅 플랫폼의 서비스 인터페이스에서 서비스 패키지를 지원하도록 Junos OS를 구성합니다.
  2. PIC에서 실행되도록 CPCD 서비스 패키지를 구성합니다. extension-provider 문이 처음 구성되면 PIC가 재부팅됩니다.
    참고:

    정적 MS-MPC 기반 또는 MX-SPC3 서비스 카드 기반 CPCD에는 CPCD 서비스 패키지(jservices-cpcd)가 필요합니다.
  3. (옵션) PIC 시스템 로깅을 활성화하여 PIC에 시스템 로그 메시지를 기록하거나 볼 수 있습니다. 하나 이상의 기능을 지정할 수 있으며, 각 기능은 구성 가능한 심각도 수준으로 지정할 수 있습니다.

예를 들어, 다음 구성은 섀시 슬롯 1의 MS-MPC와 MPC 슬롯 0의 MS-MIC에 CPCD 서비스 패키지를 로드합니다. 시스템 로그 메시지는 모든 심각도 수준에서 모든 데몬 및 로컬 외부 애플리케이션에 대해 생성됩니다.

관련 문서

릴리스 기록 테이블
릴리스
설명
19.3R1
Junos OS 릴리스 19.3R2부터는 MX 시리즈 라우터에서 차세대 서비스를 활성화한 경우 MX-SPC3 서비스 카드 기반 캡티브 포털에 대해서도 정적 HTTP 리디렉션 서비스 프로비저닝이 지원됩니다.