- play_arrow Activación y gestión del servicio de suscriptor
- play_arrow Activación y gestión del servicio de suscriptor
-
- play_arrow Configuración de la clase de servicio dinámica
- play_arrow Descripción general de CoS para acceso de suscriptores e interfaces
- play_arrow Configuración de la programación y la configuración para el acceso de suscriptores
- Configuración de la programación y configuración del tráfico para el acceso de suscriptores
- Configuración de programadores en un perfil dinámico para el acceso de suscriptores
- Configuración del programador y del uso compartido de mapas del programador
- Ejemplo: proporcionar configuraciones de velocidad únicas para programadores en un perfil dinámico
- Ejemplo: configuración de programación agregada de colas para suscriptores residenciales en interfaces IP estáticas Demux
- Comprobación de la configuración de programación y configuración para el acceso de suscriptores
- play_arrow Asignación de colas dedicadas para cada interfaz lógica mediante la programación por unidad
- play_arrow Configuración de la programación jerárquica de CoS en interfaces de suscriptor de pseudocable Ethernet MPLS
- Administración mejorada de suscriptores Interfaces lógicas de suscriptores o conjuntos de interfaces sobre interfaces lógicas subyacentes para una jerarquía de programador de CoS
- Administración mejorada de suscriptores Interfaces lógicas de suscriptores o conjuntos de interfaces a través de pseudocables MPLS para una jerarquía de programador de CoS
- Configuración de interfaces lógicas de suscriptor de capa 2 para programadores jerárquicos de CoS mediante perfiles dinámicos para diferenciar redes de nodos domésticos y de acceso
- Ejemplo: configuración de interfaces lógicas de suscriptor de capa 2 para programadores jerárquicos de CoS mediante CoS estático para diferenciar redes de nodos domésticos y de acceso
- play_arrow Configuración del escalado de colas dedicadas con CoS jerárquico o programación por unidad
- play_arrow Dar forma al tráfico descendente basado en tramas o celdas
- Información general sobre la administración del ancho de banda para el tráfico descendente en redes de borde
- Configuración de parámetros de modelado dinámico para tener en cuenta la sobrecarga en las tasas de tráfico descendente
- Ejemplo: configuración de parámetros de modelado dinámico para tener en cuenta la sobrecarga en las tasas de tráfico descendente
- Configuración de parámetros de modelado estático para tener en cuenta la sobrecarga en las tasas de tráfico descendente
- Ejemplo: configuración de parámetros de modelado estático para tener en cuenta la sobrecarga en las tasas de tráfico descendente
- Configuración de la tasa de conformación y la contabilidad de gastos generales basada en etiquetas específicas del proveedor de PPPoE
- Configuración de la contabilidad de la tasa de conformación y los gastos generales basada en etiquetas específicas del proveedor PPPoE en interfaces de suscriptor dinámicas
- Informar sobre la tasa de configuración efectiva para los suscriptores
- Verificación de la configuración efectiva de informes de velocidad de modelado
- play_arrow Aplicación de CoS a hogares o suscriptores individuales mediante VLAN dinámicas basadas en ACI
- Aplicación de atributos de CoS a VLAN mediante identificadores de circuitos de agente
- Descripción general de la administración de ancho de banda de VLAN dinámicas basadas en identificadores de circuitos de agentes
- Restricciones para configurar el ajuste de la velocidad de conformación de CoS y la contabilidad de sobrecarga para conjuntos de interfaces ACI dinámicas
- Ajuste de la velocidad de conformación de CoS y los parámetros de contabilidad de sobrecarga para VLAN dinámicas basadas en identificadores de circuitos de agente
- play_arrow Aplicación de CoS a hogares o suscriptores individuales mediante VLAN dinámicas de identificador de línea de acceso
- Aplicación de atributos de CoS a VLAN mediante identificadores de línea de acceso
- Descripción general de la administración del ancho de banda para VLAN dinámicas basadas en identificadores de línea de acceso
- Restricciones para configurar el ajuste de la velocidad de conformación de CoS y la sobrecarga Contabilidad para conjuntos de interfaces ALI dinámicas
- Ajuste de la velocidad de configuración de CoS y los parámetros de contabilidad de sobrecarga para VLAN dinámicas basadas en identificadores de línea de acceso
- play_arrow Gestión del exceso de distribución del ancho de banda y las ráfagas de tráfico
- play_arrow Aplicación de CoS mediante parámetros recibidos de RADIUS
- Interfaces de suscriptor que proporcionan parámetros iniciales de CoS obtenidos dinámicamente de RADIUS
- Descripción general de los servicios de CoS cambiantes
- Descripción general de los atributos de configuración de tráfico de CoS para conjuntos de interfaces dinámicas y sesiones de suscriptores de miembros
- Directrices para configurar atributos de configuración de tráfico de CoS para conjuntos de interfaces dinámicas y sesiones de suscriptor miembro
- Configuración dinámica de parámetros iniciales de CoS obtenidos de RADIUS
- Configuración de valores predeterminados estáticos para la programación y configuración del tráfico
- Aplicación de atributos de configuración de tráfico de CoS a conjuntos de interfaces dinámicas y sesiones de suscriptores de miembros
- Variables predefinidas que dan forma al tráfico de CoS para conjuntos de interfaces dinámicas
- Ejemplo: configuración de parámetros iniciales de CoS obtenidos dinámicamente de RADIUS
- play_arrow Modificación de las características de configuración de un suscriptor después de crear una instancia de un suscriptor
- play_arrow Aplicación de CoS a grupos de interfaces de suscriptor
- Descripción general de CoS para conjuntos de suscriptores de interfaz
- Configuración de un conjunto de suscriptores de interfaz en un perfil dinámico
- Ejemplo: configuración de un conjunto de interfaces dinámicas de suscriptores de VLAN
- Ejemplo: configuración de un conjunto de suscriptores de una interfaz VLAN de servicio dinámico
- play_arrow Aplicación de CoS a interfaces de suscriptor
- Aplicación de la configuración y programación de tráfico a una interfaz de suscriptor en un perfil dinámico
- Aplicación de configuraciones y programaciones mínimas al tráfico de suscriptores restante
- Aplicación de una definición de regla de reescritura a una interfaz de suscriptor en un perfil dinámico
- Aplicación de un clasificador a una interfaz de suscriptor en un perfil dinámico
-
- play_arrow Configuración de filtros dinámicos y políticas
- play_arrow Descripción general de los filtros de firewall dinámico
- play_arrow Configuración de filtros de firewall estáticos que se aplican dinámicamente
- play_arrow Optimización del procesamiento de cadenas de filtros estáticos
- play_arrow Adjuntar dinámicamente filtros estáticos o de actualización rápida a una interfaz
- play_arrow Configuración de filtros que se crean dinámicamente
- Descripción general de los filtros parametrizados
- Identificadores únicos para variables de firewall
- Configuración de identificadores únicos para filtros parametrizados
- Configuración de perfil dinámico de ejemplo para filtros parametrizados
- Perfil dinámico después de sustituciones UID para filtros parametrizados
- Múltiples filtros parametrizados
- Descripción general del procesamiento de filtros parametrizados
- Consideraciones sobre la configuración de filtros parametrizados
- Directrices para crear y aplicar filtros parametrizados para interfaces de suscriptor
- Condiciones de coincidencia de filtros parametrizados para tráfico IPv4
- Condiciones de coincidencia de filtros parametrizados para tráfico IPv6
- Acciones y modificadores de no terminación y finalización de filtros parametrizados
- Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo en perfiles de servicio dinámicos
- Acciones de terminación y no terminación del filtro de firewall para tráfico independiente del protocolo en perfiles de servicio dinámicos
- Descripción general de los filtros compartidos de interfaz
- Conexión dinámica de filtros mediante variables RADIUS
- Ejemplo: implementación de un filtro para hogares que usan VLAN basadas en ACI
- Ejemplo: análisis de perfiles dinámicos
- Ejemplo: perfil dinámico de firewall
- Ejemplo: configurar un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC
- play_arrow Uso de filtros de datos Ascend para implementar firewalls basados en atributos RADIUS
- Descripción general de las políticas de filtro de datos ascendentes para la administración de suscriptores
- Campos de atributo Ascend-Data-Filter
- Aplicación dinámica de políticas de filtro de datos ascendentes a las sesiones de suscriptores
- Ejemplo: configuración de la compatibilidad con filtros de datos ascendentes dinámicos para el acceso de suscriptores
- Ejemplo: configuración de la compatibilidad estática con filtro de datos ascendentes para el acceso de suscriptores
- Comprobación y administración de la configuración dinámica de la directiva de filtro de datos ascendentes
- play_arrow Configuración de filtros de actualización rápida para proporcionar un procesamiento más eficiente que los filtros estáticos clásicos
- Descripción general de los filtros de actualización rápida
- Sintaxis básica del filtro de actualización rápida
- Configuración de filtros de actualización rápida
- Ejemplo: configuración de filtros de actualización rápida para el acceso de suscriptores
- Hacer coincidir condiciones y acciones en filtros de actualización rápida
- Configuración del orden de coincidencia para filtros de actualización rápida
- Condiciones de coincidencia del filtro de actualización rápida
- Acciones de filtro de actualización rápida y modificadores de acción
- Configuración de términos para filtros de actualización rápida
- Configuración de filtros para permitir el tráfico esperado
- Evitar conflictos cuando los términos coinciden
- Asociación de filtros de actualización rápida con interfaces en un perfil dinámico
- play_arrow Defensa contra ataques DoS y DDoS mediante filtros RPF de unidifusión y filtros de error
- play_arrow Mejora del escalado y el rendimiento de los filtros en interfaces de suscriptor estáticas
- play_arrow Configuración de conjuntos de servicios dinámicos
- play_arrow Configuración del tráfico premium y no premium con limitación de velocidad en una interfaz mediante políticas jerárquicas
- play_arrow Supervisión y administración de firewalls para el acceso de suscriptores
-
- play_arrow Configuración de la multidifusión dinámica
- play_arrow Configuración de IGMP dinámico para admitir la multidifusión IP para suscriptores
- play_arrow Configuración de MLD dinámico para permitir que los suscriptores accedan a redes de multidifusión
-
- play_arrow Configuración de informes y control de políticas con reconocimiento de aplicaciones
- play_arrow Configuración del control de políticas con reconocimiento de aplicaciones
- Descripción del control de políticas con reconocimiento de aplicaciones para la administración de suscriptores
- Descripción de las reglas de PCC para la administración de suscriptores
- Configuración del control de políticas con reconocimiento de aplicaciones para la administración de suscriptores
- Instalación de paquetes de servicios para la administración de suscriptores Administración de políticas consciente de aplicaciones
- Configuración de filtros de flujo de datos de servicio
- Configuración de perfiles de acción de control de políticas y cobros para la administración de suscriptores
- Configuración de políticas y reglas de control de carga
- Configuración de una base de reglas de control de políticas y cobros
- Configuración de una política y perfil de función de aplicación de cobros para la administración de suscriptores
- Identificar la interfaz de servicio que controla la administración de suscriptores Control de políticas consciente de aplicaciones
- Configuración de la activación de reglas PCC en un perfil dinámico de administración de suscriptores
- Habilitación de la activación directa de reglas PCC por un PCRF para la gestión de suscriptores
- play_arrow Configuración de la identificación de la aplicación
- Descripción general de identificación de aplicaciones
- Descarga e instalación de paquetes predefinidos de firmas de aplicaciones de Junos OS
- Mejora del rendimiento del tráfico de aplicaciones
- Configuración de firmas de aplicación personalizadas
- Desinstalación de un paquete de firmas de aplicaciones de Junos OS predefinido
- play_arrow Configuración de informes para sesiones de datos compatibles con aplicaciones
- Función de registro e informes para suscriptores
- Diccionario de registro para tipos de plantillas
- Configuración del registro y la generación de informes para la administración de suscriptores
- Instalación de paquetes de servicios para administración de suscriptores Registro e informes
- Configuración de un perfil LRF para suscriptores
- Aplicación de la configuración de registro e informes a un conjunto de servicios de administración de suscriptores
- Configuración de la activación de una regla LRF por una regla PCC
-
- play_arrow Configuración de la directiva de suscripción Secure
- play_arrow Descripción general de la configuración de la creación de reflejo de tráfico de la política segura de suscriptores
- play_arrow Configuración de la duplicación del tráfico de la política segura de suscriptor iniciada por RADIUS
- Descripción general de la política de seguridad de suscriptores iniciados por RADIUS
- Arquitectura de creación de reflejo de tráfico de política segura de suscriptores mediante RADIUS
- Interfaces de duplicación de tráfico iniciadas por RADIUS
- Proceso de duplicación de tráfico iniciado por RADIUS al iniciar sesión del suscriptor
- Proceso de duplicación de tráfico iniciado por RADIUS para suscriptores conectados
- Atributos RADIUS usados para la política de seguridad del suscriptor
- Uso del encabezado del paquete para realizar un seguimiento de los suscriptores en el dispositivo de mediación
- Descripción general de la configuración de la creación de reflejo de la política segura de suscriptores iniciados por RADIUS
- Directrices para configurar la creación de reflejo de políticas seguras de suscriptores
- Configuración de la compatibilidad con la creación de reflejo de políticas seguras para suscriptores
- Configuración de la compatibilidad del servidor RADIUS para la creación de reflejo de políticas seguras de suscriptores
- Finalización de la duplicación del tráfico de suscriptor iniciado por RADIUS
- play_arrow Configuración de la duplicación de tráfico de la política segura de suscriptor iniciada por DTCP
- Descripción general de la política de seguridad de suscriptores iniciada por DTCP
- Arquitectura de duplicación de tráfico de la política segura del suscriptor mediante DTCP
- Interfaces de duplicación de tráfico iniciadas por DTCP
- Proceso de creación de reflejo de tráfico iniciado por DTCP
- Mensajes DTCP usados para la política de seguridad del suscriptor
- Encabezado de paquete para el tráfico reflejado enviado al dispositivo de mediación
- Descripción general de la configuración de la creación de reflejo de directivas seguras iniciadas por DTCP
- Directrices para configurar la creación de reflejo de políticas seguras de suscriptores
- Configuración de la compatibilidad con la creación de reflejo de políticas seguras para suscriptores
- Configuración del dispositivo de mediación como usuario en el enrutador
- Configuración de una conexión DTCP a través de SSH con el dispositivo de mediación
- Configuración del dispositivo de mediación para aprovisionar la creación de reflejo de tráfico
- Deshabilitar la duplicación de políticas seguras de suscriptores iniciada por RADIUS
- Ejemplo: configuración del tráfico reflejado mediante la directiva de seguridad de suscriptores iniciada por DTCP
- Finalización de sesiones de duplicación de tráfico de suscriptor iniciadas por DTCP
- play_arrow Configuración de mensajes DTCP usados para la creación de reflejo de directivas seguras de suscriptores iniciados por DTCP
- play_arrow Configuración de la compatibilidad de políticas seguras de suscriptores para tráfico de multidifusión IPv4
- play_arrow Configuración de la información relacionada con la intercepción para la directiva de seguridad de suscriptores
- Eventos relacionados con la intercepción transmitidos al dispositivo de mediación
- Capturas SNMP para el cumplimiento de LAES de la política segura de suscriptores
- Configuración de capturas SNMPv3 para la creación de reflejo de políticas seguras de suscriptores
- Ejemplo: configuración de capturas SNMPv3 para la creación de reflejo de políticas seguras de suscriptores
-
- play_arrow Configuración de servicios sin estado y basados en reglas mediante listas de acceso compatibles con aplicaciones
- play_arrow Descripción general de AACL
- play_arrow Configuración de reglas de AACL
- play_arrow Ejemplo: configuración de reglas de AACL
- play_arrow Ejemplo: configuración de conjuntos de reglas de AACL
- play_arrow Configuración del registro de flujos de AACL
-
- play_arrow Administración remota de dispositivos y servicios
- play_arrow Configuración de la administración de servicios de dispositivos remotos
- play_arrow Configuración del reenvío de puertos TCP para servicios de suscriptores remotos
- play_arrow Configuración de la mediación IPFIX para la supervisión remota de dispositivos
- play_arrow Recopilación y exportación de datos de telemetría local en el mediador IPFIX
-
- play_arrow Solución de problemas
- play_arrow Ponerse en contacto con el soporte técnico de Juniper Networks
- play_arrow Knowledge base
-
- play_arrow Instrucciones de configuración y comandos operativos
- Aplicaciones [OBSOLETAS] (Servicios AACL)
- [OBSOLETO] application-group-any
- [OBSOLETO] grupos de aplicaciones (AACL de servicios)
- Dirección de destino [OBSOLETO] (Lista de acceso con reconocimiento de aplicaciones)
- [OBSOLETO] rango de direcciones de destino
- [OBSOLETO] lista de prefijos de destino (AACL de servicios)
- [OBSOLETO] desde
- [OBSOLETO] dirección de coincidencia
- [OBSOLETO] aplicaciones anidadas
- Regla [OBSOLETO]
- Conjunto de reglas [OBSOLETO]
- [OBSOLETO] dirección de origen (AACL)
- [OBSOLETO] rango de direcciones de origen
- [OBSOLETO] source-prefix-list
- Término [OBSOLETO]
- [OBSOLETO] then (Application Aware Access List)
- Descripción general de referencia de la CLI de Junos
Configuración de servicios de redireccionamiento HTTP estáticos basados en motores de enrutamiento
A partir de Junos OS versión 19.3R2, el servicio de redireccionamiento HTTP también es compatible si ha habilitado los servicios de próxima generación en la serie MX.
Puede configurar los servicios de redireccionamiento HTTP en el motor de enrutamiento como alternativa al uso de una tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3. Configure el jardín amurallado como un filtro de servicio de firewall. Un jardín amurallado es un grupo de servidores que proporcionan al suscriptor acceso a sitios dentro del jardín amurallado sin requerir reautorización a través de un portal cautivo. El filtro de servicio de jardín amurallado identifica el tráfico destinado al jardín amurallado y el tráfico destinado fuera del jardín amurallado. Solo el tráfico HTTP destinado fuera del jardín amurallado se envía al motor de enrutamiento para que lo procese el servicio de redireccionamiento HTTP. El servicio CPCD está asociado a una interfaz de servicio en el motor de enrutamiento mediante un conjunto de servicios.
Las interfaces de servicio en el motor de enrutamiento se identifican con un prefijo si- (por ejemplo, si-1/1/0). La interfaz si- procesa todo el tráfico y los servicios de redireccionamiento y reescritura para el motor de enrutamiento. La interfaz si- debe estar operativa con un estado de up para habilitar y activar el servicio de entrega de contenido del portal cautivo (CPCD). Una vez habilitado el servicio CPCD, cualquier cambio en el estado operativo de la interfaz si- no afecta a los servicios CPCD existentes.
El servicio CPCD envía el tráfico de solicitud HTTP del suscriptor que no está destinado al jardín amurallado a un servidor de redireccionamiento, que responde con una URL de redireccionamiento. La URL de redireccionamiento envía tráfico a un portal cautivo en lugar de al sitio externo no autorizado. El portal cautivo proporciona servicios de autenticación y autorización para los suscriptores redirigidos antes de otorgarles acceso a servidores protegidos fuera del jardín amurallado.
El servidor de redireccionamiento puede ser local o remoto:
Servidor de redireccionamiento local: reside en el enrutador y redirige el tráfico de suscriptores a un portal cautivo dentro de un jardín amurallado.
Servidor de redireccionamiento remoto: reside en un dispositivo, como un servidor de políticas, dentro de un jardín amurallado detrás del enrutador. La dirección de destino del tráfico HTTP del suscriptor se reescribe en la dirección del servidor de redireccionamiento remoto. El servidor remoto redirige el tráfico de suscriptores a un portal cautivo dentro de ese jardín amurallado.
Configuración de un jardín amurallado como filtro de servicio de firewall
Cuando se configura el jardín amurallado como un filtro de servicio de firewall, se identifica y omite el tráfico destinado a los servidores dentro del jardín amurallado. El resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Dado que este tráfico no coincide con las condiciones del filtro, fluye hacia el motor de enrutamiento para su manejo.
Puede configurar el filtro de servicio para que el jardín amurallado contenga un único servidor como portal cautivo o una lista de servidores.
Configure el jardín amurallado con un solo servidor como portal cautivo:
Cree el filtro de servicio.
content_copy zoom_out_map[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.
Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que un servicio CPCD procesa el tráfico coincidente.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. El procesamiento se omite para el tráfico que coincide con la dirección; El tráfico se envía al portal cautivo. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de término hace que se omita todo el tráfico restante que no sea HTTP.
content_copy zoom_out_map[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configure el jardín amurallado como una lista o subred de servidores.
Cree el filtro de servicio.
content_copy zoom_out_map[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor del jardín amurallado especificando una lista de prefijos de destino de servidores.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.
Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que un servicio CPCD procesa el tráfico coincidente.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.
content_copy zoom_out_map[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.
content_copy zoom_out_map[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv6, walled-v6-list, con una lista de prefijos, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente pasa al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Finalmente, el término skip6 hace que se omita todo el tráfico restante que no sea HTTP.
content_copy zoom_out_map[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuración de la redirección HTTP para servidores de redirección locales y remotos
Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para su autenticación y autorización.
Configure una regla de servicio CPCD que especifique la acción que debe realizarse para el tráfico destinado fuera del jardín amurallado. Este tráfico fue identificado por el filtro de servicio de jardín amurallado y pasado al servicio, o identificado y aceptado por la regla de servicio de jardín amurallado. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:
Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.
Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, entonces no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino del tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. A continuación, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.
El servicio CPCD está asociado a una interfaz de servicio mediante un conjunto de servicios. Tanto el conjunto de servicios como el filtro de servicio de jardín amurallado se aplican a una interfaz configurada estáticamente.
Por ejemplo, en la siguiente configuración para un servidor local, la regla de servicio CPCD redir-svc redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se anexa a la URL de redireccionamiento.
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuración del perfil de servicio y del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio
Los conjuntos de servicios definen uno o más servicios que debe realizar el motor de enrutamiento. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.
Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. El conjunto de servicios ss2 se especifica como para CPCD basado en motor de enrutamiento. El conjunto asocia el redir-prof del perfil de servicio de la CPCD con la interfaz de servicio si-4/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set ss2 user@host# set service-set-options routing-engine-service user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface si-4/0/0
Adjuntar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica
Para utilizar los servicios de redireccionamiento HTTP, debe adjuntar el conjunto de servicios CPCD a una interfaz lógica. Si el jardín amurallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a la interfaz de servicio del motor de enrutamiento, donde se aplica el perfil CPCD.
Por ejemplo, la siguiente configuración habilita servicios en línea en la tarjeta de línea en la ranura 4 del chasis y en el MIC en la ranura 0 de la tarjeta de línea. Asigna una dirección a la interfaz lógica. Luego conecta el conjunto de servicios sset2 y el filtro de servicio walled-v4 a ge-2/0/1.0 para la familia de direcciones IPv4. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.
user@host# edit chassis fpc 4 pic 0 inline-services bandwidth 1g user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
Insertar etiquetas de encabezado GET que el servidor HTTP puede utilizar para controlar el acceso al contenido
En algunos casos, es posible que desee que el servidor HTTP determine si desea permitir que los usuarios tengan acceso al contenido. A partir de Junos OS versión 19.1, puede configurar filtros de servicio de redireccionamiento HTTP estáticos basados en motor de enrutamiento para especificar las etiquetas que el motor de enrutamiento inserta en el encabezado del paquete de los mensajes HTTP GET para este fin. Puede insertar etiquetas para el nombre de host del enrutador o la dirección MAC, la dirección IPv4 o la dirección IPv6 del suscriptor.
Los siguientes pasos corresponden a la figura 1.
El dispositivo del usuario, el cliente HTTP, realiza una secuencia de protocolo de enlace TCP con el servidor HTTP.
Cuando el protocolo de enlace se realiza correctamente, el cliente envía un HTTP GET con la URL solicitada por el usuario.
El motor de enrutamiento modifica esa URL concatenando una cadena de caracteres aleatorios encerrados por /$ y $/. La longitud de la cadena coincide con la longitud combinada de las etiquetas que se insertarán más adelante. La cadena sirve como identificador cuando el cliente la devuelve.
Supongamos que la longitud de las etiquetas que se van a insertar es de 30 caracteres y la URL solicitada es http://192.51.100.20/test.html. El motor de enrutamiento devuelve la dirección URL modificada con una cadena de 30 caracteres aleatorios, como en el ejemplo siguiente:
http://192.51.100.20/test.html/$IIGSbVdNDTDvnJFIAyoysXwVJawoYj$/
El motor de enrutamiento envía la URL modificada con un código de estado de 302 (encontrado) o 307 (redireccionamiento temporal). El código enviado depende de la versión de HTTP que se utilice y de la versión de Junos OS en el BNG. Ambos códigos indican al cliente que la solicitud de acceso debe reenviarse con la URL modificada.
El motor de enrutamiento restablece la conexión TCP con el cliente y el servidor.
El cliente realiza un protocolo de enlace TCP con el servidor HTTP para una dirección URL modificada.
El cliente envía un HTTP GET con la URL modificada.
El motor de enrutamiento comprueba si la longitud de la cadena concatenada es la misma que la enviada al cliente.
Si la longitud es correcta, devuelve la URL a la URL solicitada originalmente, inserta las etiquetas en el encabezado GET y reenvía la GET al servidor HTTP. Si está configurado, el GET se puede reenviar opcionalmente a una URL de redireccionamiento en lugar del servidor solicitado originalmente.
Si la longitud no es correcta, el motor de enrutamiento descarta el paquete e incrementa el contador de entrega.
El servidor HTTP evalúa el mensaje GET y envía una respuesta al cliente con un código de estado de 200 (OK) si concede acceso o 403 (Forbidden) si se rechaza la solicitud.
El motor de enrutamiento termina la conexión TCP con el cliente y el servidor.
Las etiquetas se insertan en el encabezado en el mismo orden en que están configuradas. El nombre de la etiqueta distingue entre mayúsculas y minúsculas, por lo que tag ABCD y tag abcd se procesan como nombres diferentes.
Para configurar las etiquetas que se insertarán en los encabezados GET:
