Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de servicios de redireccionamiento HTTP convergentes basados en motores de enrutamiento

Nota:

A partir de Junos OS versión 19.3R1, el servicio de redireccionamiento HTTP también es compatible si ha habilitado los servicios de próxima generación en la serie MX.

Puede configurar los servicios de redireccionamiento HTTP convergentes en el motor de enrutamiento como alternativa al uso de una tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3. El aprovisionamiento de servicios convergentes separa la definición de servicio de la creación de instancias de servicios. Después de definir un servicio, se puede instanciar dinámicamente un servicio al iniciar sesión del suscriptor o mediante un cambio de autorización (CoA) a mitad de sesión. La creación de instancias del servicio utiliza solo el nombre del servicio definido, ocultando todos los detalles del servicio a los operadores del sistema. El aprovisionamiento de servicios convergentes admite la parametrización de servicios, que corresponde a variables dinámicas dentro de perfiles dinámicos.

Para los servicios de redireccionamiento HTTP convergente, esto significa que el servicio y las reglas de servicio se definen dentro de un perfil dinámico. Las reglas de servicio CPCD se crean dinámicamente en función de las variables configuradas en el perfil dinámico.

Opcionalmente, puede optar por parametrizar la URL de redireccionamiento incluyendo la definición de una redirect-url variable en el perfil dinámico. El valor de la variable lo proporciona un VSA de RADIUS durante la activación del suscriptor o con un mensaje de cambio de autorización (CoA). Esto le permite personalizar las URL de redireccionamiento para cada suscriptor. Puede definir un valor predeterminado para la dirección URL que se utiliza si RADIUS no proporciona ningún valor.

Configure el jardín amurallado como un filtro de servicio de firewall. Un jardín amurallado es un grupo de servidores que proporcionan al suscriptor acceso a sitios dentro del jardín amurallado sin requerir reautorización a través de un portal cautivo. El filtro de servicio de jardín amurallado identifica el tráfico destinado al jardín amurallado y el tráfico destinado fuera del jardín amurallado. Sólo el tráfico HTTP destinado fuera del jardín amurallado se pasa al servicio dinámico para su procesamiento.

Las interfaces de servicio en el motor de enrutamiento se identifican con un prefijo si- (por ejemplo, si-1/1/0). La interfaz si- procesa todo el tráfico y los servicios de redireccionamiento y reescritura para el motor de enrutamiento. La interfaz si- debe estar operativa con un estado de up para habilitar y activar el servicio de entrega de contenido del portal cautivo (CPCD). Una vez habilitado el servicio CPCD, cualquier cambio en el estado operativo de la interfaz si- no afecta a los servicios CPCD existentes.

Al igual que para los servicios de redireccionamiento HTTP estáticos, un perfil de servicio contiene las reglas de servicio. Configure un conjunto de servicios fuera del perfil dinámico para asociar el perfil de servicio CPCD con una interfaz de servicio SI específica en el motor de enrutamiento. Dentro del perfil dinámico, se aplican el conjunto de servicios y el filtro de servicio de jardín amurallado a una interfaz dinámica.

Configuración de un jardín amurallado como filtro de servicio de firewall

Cuando se configura el jardín amurallado como un filtro de servicio de firewall, se identifica y omite el tráfico destinado a los servidores dentro del jardín amurallado. Debido a que este tráfico no fluye hacia la tarjeta de línea, los requisitos de manejo se reducen.

El resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Debido a que este tráfico no coincide con las condiciones del filtro, fluye a la tarjeta de línea para su manejo.

Puede configurar el filtro de servicio para que el jardín amurallado contenga un único servidor como portal cautivo o una lista de servidores.

  • Configure el jardín amurallado con un solo servidor como portal cautivo:

    1. Cree el filtro de servicio.

    2. Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.

      2. Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.

      1. Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que un servicio CPCD procesa el tráfico coincidente.

    4. Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.

    Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. Se omite el tráfico que coincida con la dirección. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de término hace que se omita todo el tráfico restante que no sea HTTP.

  • Configure el jardín amurallado como una lista o subred de servidores.

    1. Cree el filtro de servicio.

    2. Defina un término de filtro.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor del jardín amurallado especificando una lista de prefijos de destino de servidores.

      2. Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.

      1. Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que un servicio CPCD procesa el tráfico coincidente.

    4. Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.

    5. (Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.

    Por ejemplo, la siguiente configuración crea un filtro de servicio para el tráfico HTTP IPv6, walled-v6-list, con una lista de prefijos, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente pasa al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Finalmente, el omitido de término hace que se omita todo el tráfico restante que no sea HTTP.

Configuración de la redirección HTTP para servidores de redirección locales y remotos

Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para su autenticación y autorización.

Configure una regla de servicio CPCD que especifique la acción que se debe realizar para el tráfico HTTP identificado por el filtro del servicio jardín amurallado y pasado al servicio. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:

  • Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.

  • Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, entonces no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino del tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. A continuación, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.

  1. Configure el perfil dinámico.
  2. Acceda al nivel de configuración del servicio CPCD dinámico.
  3. Cree una regla para aplicar al tráfico destinado fuera del jardín amurallado.
  4. Especifique que la regla se aplica al tráfico entrante.
  5. Especifique la acción que se va a realizar para el tráfico coincidente. Dado que el jardín amurallado es un filtro de servicio, el tráfico ya se identifica como tráfico HTTP antes de enviarse al servicio.

    • Para un servidor de redireccionamiento HTTP local, proporcione la URL de redireccionamiento, que es la URL del portal cautivo con la URL original (fuera del jardín amurallado) anexa:

    • Para un servidor de redireccionamiento HTTP remoto, proporcione la dirección de destino del servidor remoto:

Por ejemplo, en la siguiente configuración para un servidor local, el perfil dinámico http-redir-converged incluye la regla de servicio CPCD redir-svc. La regla redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se anexa a la URL de redireccionamiento. El redir-prof del perfil de servicio de la CPCD incluye la regla y, posteriormente, un conjunto de servicios lo aplicará a una interfaz de servicio.

La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.

Configuración de la parametrización para la URL de redireccionamiento

Opcionalmente, puede optar por parametrizar la URL de redireccionamiento y la dirección de destino de reescritura especificando variables definidas por el usuario en el perfil dinámico. Parametrizar significa que la URL o la dirección se convierten en una variable dinámica. RADIUS proporciona el valor cuando se autentica el suscriptor o cuando se recibe un CoA. Por consiguiente, puede utilizar los atributos RADIUS para proporcionar diferentes direcciones URL o direcciones de destino para distintos suscriptores.

  1. Configure el perfil dinámico.
  2. Acceda al nivel de configuración de variables personalizadas.
  3. Defina la variable para la URL de redireccionamiento, la dirección de destino de reescritura o ambas. Especifique que el valor de la variable dinámica lo proporciona un servidor externo, normalmente RADIUS.
    Nota:

    Puede nombrar las variables como desee, pero nombres como redirect-url y rewrite-da dejan claro el propósito.
  4. En la regla CPCD, especifique la variable anteponiendo un signo de dólar ($) al nombre de la variable.

    • Para un servidor de redireccionamiento HTTP local, proporcione la variable de redireccionamiento:

    • Para un servidor de redireccionamiento HTTP remoto, proporcione la variable de dirección de destino:

Por ejemplo, la siguiente configuración muestra dos variables definidas por el usuario, redirect-url y rewrite-da, que requieren valores proporcionados externamente cuando se crean instancias. La regla de servicio CPCD redir1 especifica que el tráfico se redirige a $redirect-url. La regla de servicio de CPCD rewr1 especifica que la dirección de destino del tráfico se reescribe en $rewrite-da.

Configuración del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio

Los conjuntos de servicios definen uno o más servicios que debe realizar el motor de enrutamiento. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.

  1. Cree el perfil de servicio.
  2. Especifique una o más reglas de CPCD configuradas en el perfil dinámico de CPCD para el perfil de servicio.
  3. Especifique que se trata de un servicio CPCD convergente.
  4. Cree el conjunto de servicios.
  5. Especifique que el conjunto de servicios es para CPCD basado en motor de enrutamiento.
  6. Especifique el perfil de servicio de la CPCD.
  7. Especifique la interfaz de servicio.

Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. El conjunto de servicios cvgd asocia el rewr-prof del perfil de servicio de CPCD con la interfaz de servicio si-4/0/0.

Adjuntar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica dinámica

Para utilizar los servicios de redireccionamiento HTTP, debe adjuntar el conjunto de servicios CPCD a una interfaz lógica. Dado que el jardín amurallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a la interfaz de servicio del motor de enrutamiento, donde se aplica el perfil CPCD.

Nota:

Este procedimiento muestra solo los elementos de la configuración del perfil dinámico que son específicos de la configuración de servicios convergentes. El perfil dinámico completo depende de su caso de uso.
  1. Configure el perfil dinámico.
  2. Configure la interfaz física dinámica.
  3. Configure la interfaz lógica dinámica.
  4. Configure la familia de direcciones.
  5. Adjunte el conjunto de servicios y el filtro de servicio a la interfaz.

Por ejemplo, la siguiente configuración crea el perfil dinámico http-redir-converged. Especifica variables predefinidas para crear las interfaces físicas y lógicas dinámicas en la familia de direcciones IPv4. El perfil adjunta el conjunto de servicios cvgd y el filtro de servicio walled-v4 a la interfaz lógica dinámica cuando se crea al iniciar sesión del suscriptor. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.

Documentación relacionada