Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de servicios de redireccionamiento HTTP convergente basados en motores de enrutamiento

Nota:

A partir de la versión 19.3R1 de Junos OS, el servicio de redireccionamiento HTTP también se admite si habilitó los servicios de próxima generación en la serie MX.

Puede configurar servicios de redireccionamiento HTTP convergentes en el motor de enrutamiento como alternativa al uso de una tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3. El aprovisionamiento de servicios convergente separa la definición de servicio de la creación de instancias de servicio. Después de definir un servicio, se puede crear una instancia dinámica de este servicio al iniciar sesión del suscriptor o mediante un cambio de autorización (CoA) a mitad de la sesión. La creación de instancias de servicio solo utiliza el nombre del servicio definido, ocultando todos los detalles del servicio a los operadores del sistema. El aprovisionamiento de servicios convergente admite la parametrización de servicios, que corresponde a variables dinámicas dentro de perfiles dinámicos.

En el caso de los servicios de redireccionamiento HTTP convergente, esto significa que usted define el servicio y las reglas de servicio dentro de un perfil dinámico. Las reglas de servicio de CPCD se crean dinámicamente en función de las variables configuradas en el perfil dinámico.

Opcionalmente, puede optar por parametrizar la URL de redireccionamiento incluyendo la definición de una redirect-url variable en el perfil dinámico. El valor de la variable lo proporciona un VSA de RADIUS durante la presentación del suscriptor o con un mensaje de cambio de autorización (CoA). Esto le permite personalizar las URL de redireccionamiento para cada suscriptor. Puede definir un valor predeterminado para la dirección URL que se utiliza si RADIUS no proporciona ningún valor.

Configure el jardín vallado como un filtro de servicio de firewall. Un jardín amurallado es un grupo de servidores que proporcionan acceso a los suscriptores a sitios dentro del jardín amurallado sin necesidad de reautorización a través de un portal cautivo. El filtro de servicio de jardín vallado identifica el tráfico destinado al jardín amurallado y el tráfico destinado fuera del jardín amurallado. Solo el tráfico HTTP destinado fuera del jardín amurallado se pasa al servicio dinámico para su procesamiento.

Las interfaces de servicio en el motor de enrutamiento se identifican con un prefijo si- (por ejemplo, si-1/1/0). La interfaz si procesa todo el tráfico y los servicios de redirección y reescritura para el motor de enrutamiento. La interfaz si debe estar operativa con un estado activo para habilitar y activar el servicio de entrega de contenido de portal cautivo (CPCD). Una vez habilitado el servicio CPCD, cualquier cambio en el estado operativo de la interfaz si- no afecta a los servicios CPCD existentes.

Al igual que para los servicios de redireccionamiento HTTP estáticos, un perfil de servicio contiene las reglas de servicio. Configure un conjunto de servicios fuera del perfil dinámico para asociar el perfil de servicio CPCD con una interfaz de servicio si específica en el motor de enrutamiento. Dentro del perfil dinámico, se aplican el conjunto de servicios y el filtro de servicio de jardín vallado a una interfaz dinámica.

Configuración de un jardín vallado como filtro de servicio de firewall

Cuando se configura el jardín vallado como un filtro de servicio de firewall, el tráfico destinado a los servidores dentro del jardín vallado se identifica y se omite. Dado que este tráfico no fluye a la tarjeta de línea, se reducen los requisitos de manejo.

Todo el resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Dado que este tráfico no coincide con las condiciones del filtro, fluye a la tarjeta de línea para su manejo.

Puede configurar el filtro de servicio para que el jardín vallado contenga un único servidor como portal cautivo o una lista de servidores.

  • Configure el jardín vallado con un único servidor como portal cautivo:

    1. Cree el filtro de servicio.

    2. Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.

      2. Especifique que el tráfico coincidente omita el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincida con el término anterior y envíelo para su procesamiento mediante las reglas de servicio de CPCD.

      1. Especifique uno o varios números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que el tráfico coincidente lo procesa un servicio CPCD.

    4. Defina un término de filtro para omitir acciones adicionales para cualquier tráfico restante que no sea HTTP.

    Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. Se omite el tráfico que coincida con la dirección. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de términos hace que se omita todo el tráfico restante que no sea HTTP.

  • Configure el jardín vallado como una lista o subred de servidores.

    1. Cree el filtro de servicio.

    2. Defina un término de filtro.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor en el jardín amurallado especificando una lista de servidores de prefijo de destino.

      2. Especifique que el tráfico coincidente omita el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincida con el término anterior y envíelo para su procesamiento mediante las reglas de servicio de CPCD.

      1. Especifique uno o varios números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que el tráfico coincidente lo procesa un servicio CPCD.

    4. Defina un término de filtro para omitir acciones adicionales para cualquier tráfico restante que no sea HTTP.

    5. (Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.

    Por ejemplo, la siguiente configuración crea un filtro de servicio para el tráfico HTTP IPv6, walled-v6-list, con un prefijo list, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente va al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de términos hace que se omita todo el tráfico restante que no sea HTTP.

Configuración de la redirección HTTP para servidores de redirección local y remota

Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para autenticación y autorización.

Configure una regla de servicio CPCD que especifique la acción que se debe realizar para el tráfico HTTP identificado por el filtro de servicio de jardín vallado y pasado al servicio. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:

  • Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.

  • Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino para el tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. Luego, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.

  1. Configure el perfil dinámico.
  2. Acceda al nivel de configuración del servicio CPCD dinámico.
  3. Cree una regla para aplicarla al tráfico destinado fuera del jardín amurallado.
  4. Especifique que la regla se aplica al tráfico entrante.
  5. Especifique la acción que se debe realizar para el tráfico coincidente. Dado que el jardín vallado es un filtro de servicio, el tráfico ya está identificado como tráfico HTTP antes de enviarse al servicio.

    • Para un servidor de redireccionamiento HTTP local, proporcione la dirección URL de redireccionamiento, que es la dirección URL del portal cautivo con la dirección URL original (fuera del jardín amurallado) anexada:

    • Para un servidor de redireccionamiento HTTP remoto, proporcione la dirección de destino del servidor remoto:

Por ejemplo, en la siguiente configuración para un servidor local, el perfil dinámico http-redir-converged incluye la regla de servicio CPCD redir-svc. La regla redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se adjunta a la URL de redireccionamiento. El perfil de servicio CPCD redir-prof incluye la regla y luego un conjunto de servicios lo aplicará a una interfaz de servicio.

La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.

Configuración de la parametrización para la URL de redireccionamiento

Opcionalmente, puede optar por parametrizar la URL de redireccionamiento y la dirección de destino de reescritura especificando variables definidas por el usuario en el perfil dinámico. La parametrización significa que la URL o la dirección se convierten en una variable dinámica. RADIUS proporciona el valor cuando se autentica al suscriptor o cuando se recibe un CoA. Por lo tanto, puede utilizar los atributos RADIUS para proporcionar diferentes direcciones URL o direcciones de destino para distintos suscriptores.

  1. Configure el perfil dinámico.
  2. Acceda al nivel de configuración de variables personalizadas.
  3. Defina la variable para la URL de redireccionamiento, la dirección de destino de reescritura o ambas. Especifique que el valor de la variable dinámica lo proporciona un servidor externo, normalmente RADIUS.
    Nota:

    Puede nombrar las variables como desee, pero nombres como redirect-url y rewrite-da dejan claro el propósito.
  4. En la regla CPCD, especifique la variable anteponiendo un signo de dólar ($) al nombre de la variable.

    • Para un servidor de redireccionamiento HTTP local, proporcione la variable de redireccionamiento:

    • Para un servidor de redireccionamiento HTTP remoto, proporcione la variable de dirección de destino:

Por ejemplo, la siguiente configuración muestra dos variables definidas por el usuario, redirect-url y rewrite-da, que requieren valores proporcionados externamente cuando se crean instancias. La regla de servicio CPCD redir1 especifica que el tráfico se redirige a $redirect-url. La regla de servicio CPCD rewr1 especifica que la dirección de destino del tráfico se reescribe en $rewrite-da.

Configuración del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio

Los conjuntos de servicios definen uno o más servicios que debe realizar el motor de enrutamiento. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas de CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.

  1. Cree el perfil de servicio.
  2. Especifique una o varias reglas de CPCD configuradas en el perfil dinámico de CPCD para el perfil de servicio.
  3. Especifique que se trata de un servicio CPCD convergente.
  4. Cree el conjunto de servicios.
  5. Especifique que el conjunto de servicios es para CPCD basado en motor de enrutamiento.
  6. Especifique el perfil de servicio de CPCD.
  7. Especifique la interfaz de servicio.

Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. Service set cvgd asocia el perfil de servicio CPCD rewr-prof con la interfaz de servicio si-4/0/0.

Asociar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica dinámica

Para utilizar los servicios de redireccionamiento HTTP, debe asociar el conjunto de servicios CPCD a una interfaz lógica. Dado que el jardín vallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a la interfaz de servicio del motor de enrutamiento, donde se aplica el perfil CPCD.

Nota:

Este procedimiento muestra solo los elementos de la configuración de perfil dinámico que son específicos de la configuración de servicios convergentes. El perfil dinámico completo depende de su caso de uso.
  1. Configure el perfil dinámico.
  2. Configure la interfaz física dinámica.
  3. Configure la interfaz lógica dinámica.
  4. Configure la familia de direcciones.
  5. Adjunte el conjunto de servicios y el filtro de servicio a la interfaz.

Por ejemplo, la siguiente configuración crea el perfil dinámico http-redir-converged. Especifica variables predefinidas para crear las interfaces físicas y lógicas dinámicas en la familia de direcciones IPv4. El perfil adjunta el conjunto de servicios cvgd y el filtro de servicio walled-v4 a la interfaz lógica dinámica cuando se crea al iniciar sesión del suscriptor. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.

Documentación relacionada