Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de servicios de redireccionamiento HTTP estáticos basados en MS-MPC o MX-SPC3

Nota:

A partir de Junos OS versión 19.3R2, el aprovisionamiento del servicio de redireccionamiento HTTP estático también es compatible con los portales cautivos basados en tarjetas de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX.

Un jardín amurallado es un grupo de servidores que proporcionan al suscriptor acceso a sitios dentro del jardín amurallado sin requerir reautorización a través de un portal cautivo. La página del portal cautivo suele ser la página inicial que ve un suscriptor después de iniciar sesión en una sesión de suscriptor.

Cuando los suscriptores intentan acceder a sitios fuera del jardín amurallado, los servicios de redireccionamiento HTTP procesan solicitudes HTTP IPv4 e IPv6 para administrar ese tráfico. El tráfico de solicitud HTTP del suscriptor que no está destinado al jardín amurallado se envía al servidor de redireccionamiento, que responde con una URL de redireccionamiento que envía tráfico a un portal cautivo en lugar de al sitio externo no autorizado. El portal cautivo proporciona servicios de autenticación y autorización para los suscriptores redirigidos antes de otorgarles acceso a servidores protegidos fuera del jardín amurallado.

El servidor de redireccionamiento puede ser local o remoto:

  • Servidor de redireccionamiento local: reside en el enrutador y redirige el tráfico de suscriptores a un portal cautivo dentro de un jardín amurallado.

  • Servidor de redireccionamiento remoto: reside en un dispositivo, como un servidor de políticas, dentro de un jardín amurallado detrás del enrutador. La dirección de destino del tráfico HTTP del suscriptor se reescribe en la dirección del servidor de redireccionamiento remoto. El servidor remoto redirige el tráfico de suscriptores a un portal cautivo dentro de ese jardín amurallado.

Configure el jardín amurallado como un filtro de servicio de firewall. El filtro de servicio está conectado a una interfaz estática. El servicio CPCD se aplica a una interfaz de servicio (ms- en la MS-MPC o vms- en la tarjeta de servicios MX-SPC3) por medio de un conjunto de servicios; A continuación, el conjunto de servicios se adjunta a una interfaz estática.

Configuración de un jardín amurallado como filtro de servicio de firewall

Cuando se configura el jardín amurallado como un filtro de servicio de firewall, se identifica y omite el tráfico destinado a los servidores dentro del jardín amurallado. Debido a que este tráfico no fluye hacia la tarjeta de línea, los requisitos de manejo se reducen.

El resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Debido a que este tráfico no coincide con las condiciones del filtro, fluye a la tarjeta de línea para su manejo.

Puede configurar el filtro de servicio para que el jardín amurallado contenga un único servidor como portal cautivo o una lista de servidores.

  • Configure el jardín amurallado con un solo servidor como portal cautivo:

    1. Cree el filtro de servicio.

    2. Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.

      2. Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.

      1. Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que un servicio CPCD procesa el tráfico coincidente.

    4. Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.

    Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. Se omite el tráfico que coincida con la dirección. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de término hace que se omita todo el tráfico restante que no sea HTTP.

  • Configure el jardín amurallado como una lista o subred de servidores.

    1. Cree el filtro de servicio.

    2. Defina un término de filtro.

      1. Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor del jardín amurallado especificando una lista de prefijos de destino de servidores.

      2. Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.

    3. Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.

      1. Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.

      2. Especifique que un servicio CPCD procesa el tráfico coincidente.

    4. Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.

    5. (Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.

    Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv6, walled-v6-list, con una lista de prefijos, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente pasa al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Finalmente, el omitido de término hace que se omita todo el tráfico restante que no sea HTTP.

Configuración de la redirección HTTP para servidores de redirección locales y remotos

Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para su autenticación y autorización.

Configure una regla de servicio CPCD que especifique la acción que debe realizarse para el tráfico destinado fuera del jardín amurallado. Este tráfico fue identificado por el filtro de servicio de jardín amurallado y pasado al servicio. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:

  • Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.

  • Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, entonces no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino del tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. A continuación, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.

El servicio CPCD está asociado a una interfaz de servicio mediante un conjunto de servicios. Tanto el conjunto de servicios como el filtro de servicio de jardín amurallado se aplican a una interfaz configurada estáticamente.

  1. Acceda al nivel de configuración del servicio CPCD.
  2. Cree una regla para aplicar al tráfico destinado fuera del jardín amurallado.
  3. Especifique que la regla se aplica al tráfico entrante.
  4. Defina un término de regla para que CPCD aplique una acción al tráfico HTTP. Dado que el jardín amurallado está configurado como un filtro de servicio, el tráfico ya está filtrado para ser tráfico HTTP antes de enviarse al servicio.
    • Para un servidor de redireccionamiento HTTP local, proporcione la URL de redireccionamiento, que es la URL del portal cautivo con la URL original (fuera del jardín amurallado) anexa:

    • Para un servidor de redireccionamiento HTTP remoto, proporcione la dirección de destino del servidor remoto:

Por ejemplo, en la siguiente configuración para un servidor local, la regla de servicio CPCD redir-svc redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se anexa a la URL de redireccionamiento.

La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.

Configuración del perfil de servicio y del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio

Los conjuntos de servicios definen uno o más servicios que debe realizar la tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.

  1. Cree el perfil de servicio.
  2. Especifique una o varias reglas de CPCD para el perfil de servicio.
  3. Cree el conjunto de servicios.
  4. Especifique el perfil de servicio de la CPCD.
  5. Especifique la interfaz de servicio.

Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. El conjunto de servicios ss2 asocia el redir-prof del perfil de servicio de CPCD con la interfaz de servicio ms-5/0/0.

Adjuntar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica

Para utilizar los servicios de redireccionamiento HTTP, debe adjuntar el conjunto de servicios CPCD a una interfaz lógica. Si el jardín amurallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a MS-MPC o a la tarjeta de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX y el perfil CPCD se aplica en la interfaz de servicio.

  1. Configure la interfaz lógica.
  2. Configure la familia de direcciones.
  3. Configure la dirección de la interfaz.
  4. Adjunte el conjunto de servicios y el filtro de servicio a la interfaz.

Por ejemplo, la siguiente configuración asocia el conjunto de servicios sset2 y el filtro de servicio walled-v4 a ge-2/0/1.0 para la familia de direcciones IPv4. Asigna una dirección a la interfaz lógica. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.

Instalación de un paquete de servicio para el servicio CPCD

Para utilizar los servicios de CPCD en un MS-MPC/MS-MIC o en una tarjeta de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX, configure una interfaz de servicio en MS-MIC o MX-SPC3. Debe instalar el paquete de servicio necesario en cada MS-MIC que tenga una interfaz de servicio o en la tarjeta de servicios MX-SPC3.

  1. Configure Junos OS para admitir un paquete de servicios en una interfaz de servicio en una plataforma de enrutamiento universal 5G de la serie MX con MS-MPC o una tarjeta de servicios MX-SPC3.
  2. Configure el paquete de servicio CPCD para que se ejecute en la PIC. Cuando se configura la extension-provider instrucción por primera vez, la PIC se reinicia.
    Nota:

    La CPCD estática basada en tarjetas de servicios MS-MPC o MX-SPC3 requiere el paquete de servicios CPCD (JSERVICES-CPCD).

  3. (Opcional) Habilite el registro del sistema PIC para grabar o ver mensajes de registro del sistema en la PIC. Puede especificar una o varias instalaciones, cada una con un nivel de gravedad configurable.

Por ejemplo, la siguiente configuración carga el paquete de servicios CPCD en el MS-MPC en la ranura de chasis 1 y el MS-MIC en la ranura 0 de la MPC. Los mensajes de registro del sistema se generan para cualquier demonio y para aplicaciones externas locales en todos los niveles de gravedad.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.3R1
A partir de Junos OS versión 19.3R2, el aprovisionamiento del servicio de redireccionamiento HTTP estático también es compatible con los portales cautivos basados en tarjetas de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX.