Visão geral do serviço de redirecionamento HTTP
O tráfego de solicitação HTTP de assinantes é agregado de redes de acesso em um roteador de servidor de acesso remoto de banda larga (B-RAS), onde o tráfego HTTP pode ser interceptado e redirecionado para um portal cativo em um dispositivo externo. O portal cativo geralmente é a página inicial que um assinante vê após fazer login em uma sessão de assinante. O portal cativo também recebe e gerencia solicitações HTTP para recursos da Web não autorizados.
Por exemplo, o usuário pode ser redirecionado para uma página da Web que mostra o logotipo da empresa e a política de uso da rede ou para uma página em que o assinante paga pelos serviços. O portal cativo normalmente fornece serviços de autenticação e autorização para assinantes redirecionados antes de conceder acesso a servidores protegidos fora de um jardim murado.
Um jardim murado, também conhecido como lista de permissões, define um grupo de servidores em que o acesso é fornecido aos assinantes sem reautorização por meio de um portal cativo. Esses jardins murados permitem que você aumente a receita comercializando vários serviços para seus clientes.
Os links típicos de jardins murados são:
-
Serviços de fornecedores, como aluguel de automóveis
-
Portais de fidelidade ou de programas corporativos de hotéis e motéis
-
Serviços de quarto
-
Atrações locais e clima
Esta documentação usa os termos serviço de redirecionamento HTTP e serviço de entrega de conteúdo de portal cativo (CPCD) de forma intercambiável.
O serviço de redirecionamento HTTP implementa um manipulador de dados e um manipulador de controle e os registra com regras de serviço aplicáveis aos aplicativos HTTP. Essas regras são analisadas pelo processo cpcdd no Mecanismo de Roteamento. O manipulador de dados aplica as regras aos fluxos de dados HTTP e lida com a regravação do endereço IP de destino ou o envio de uma resposta HTTP com uma URL de redirecionamento pré-configurada. A mensagem de resposta inclui um código de status HTTP. O código de status retornado depende da versão HTTP usada pelo cliente HTTP que enviou a solicitação GET. Quando a versão é superior a HTTP 1.0, o servidor de redirecionamento retorna o código de status 307 (Redirecionamento Temporário). Quando a versão é HTTP 1.0, o código de status 302 (Encontrado) é retornado. Em versões anteriores à 17.3R1, o servidor de redirecionamento retorna o código de status 302, independentemente da versão HTTP. Ambos os códigos informam o cliente HTTP para usar a URL original, em vez da URL de redirecionamento, para solicitações GET subsequentes.
Quando a resposta à solicitação HTTP é enviada ao assinante, a URL original é preservada acrescentando-a opcionalmente ao final da URL de redirecionamento configurada. O comprimento máximo da URL de redirecionamento, incluindo a URL original anexada, é de 128 bytes. O comprimento máximo da URL de redirecionamento é aumentado para 1360 bytes e o servidor de redirecionamento pode acrescentar informações adicionais sobre o assinante à URL de redirecionamento. O comprimento máximo se aplica independentemente de as informações do assinante serem anexadas à URL. Para anexar as informações do assinante, você pode especificar determinados atributos de assinante nos VSAs retornados na mensagem RADIUS Accept-Access em resposta ao login do assinante ou em uma mensagem RADIUS Change of Authorization (CoA). Isso se aplica aos VSAs Activate-Service (26-65) e Deactivate-Service (26-66). As informações do assinante são recuperadas do banco de dados de sessão do assinante.
O manipulador de controle mantém uma conexão com o processo cpcdd no Mecanismo de Roteamento para aprender alterações de configuração, como a URL de redirecionamento e o destino e a porta de IP de reescrita. Para obter um desempenho mais rápido, o manipulador de controle mantém um cache de entidades configuradas relevantes, como URLs, em um Concentrador de Portas Modular (MPC).
Os serviços de redirecionamento HTTP são compatíveis com IPv4 e IPv6. Você pode anexar um serviço de redirecionamento HTTP ou um conjunto de serviços a uma interface estática ou dinâmica. Para o gerenciamento dinâmico de assinantes, você pode anexar serviços HTTP ou conjuntos de serviços dinamicamente no login do assinante ou usando uma alteração de autorização (CoA) RADIUS.
-
Você pode configurar até 1000 serviços de redirecionamento HTTP.
-
Você pode criar contadores para cada termo em um filtro de serviço de redirecionamento HTTP. Como o filtro de serviço é instalado como um filtro compartilhado, apenas um único contador agregado está disponível no hardware para cada termo conforme configurado. O aplicativo CPCD (entrega de conteúdo do portal cativo) conta os pacotes redirecionados no software usando um contador agregado. Use o
show services captive-portal-content-delivery statistics interfacecomando para exibir as estatísticas do contador.
Há três métodos para configurar serviços de redirecionamento HTTP. Você também pode configurar o redirecionamento HTTP na placa de processamento de serviços MX-SPC3 se os serviços de próxima geração estiverem ativados. A Tabela 1 lista os métodos suportados para serviços de redirecionamento HTTP e as versões do Junos OS que suportam cada método.
| Preparação |
Versões do Junos OS suportadas |
|
|---|---|---|
| MS-DPC-based |
(Não suportado para serviços de próxima geração na placa de serviços MX-SPC3) |
|
| Estático |
Versões anteriores à 15.1 |
|
| Convergência |
Sem suporte |
|
| MS-MPC-based |
(Não suportado para serviços de próxima geração na placa de serviços MX-SPC3.) |
|
| Estático |
A partir do Junos OS versão 15.1 |
|
| Convergência |
A partir do lançamento do Junos OS 17.2 |
|
| MX-SPC3-based |
||
| Estático |
A partir do Junos OS Release 19.3R2 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. |
|
| Convergência |
A partir do Junos OS Release 19.3R2 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. |
|
| Routing Engine-based |
||
| Estático |
Todas as versões do Junos OS |
|
| Convergência |
A partir do Junos OS versão 16.1R4 e 17.2 |
|
Para todos os métodos, você configura o jardim murado como um filtro de serviço de firewall estático.
Portal cativo baseado em cartão de serviços
- Portal cativo baseado em MS-MPC
- Portal cativo baseado em cartão de serviços MX-SPC3
- Jardim de parede configurado como um filtro de serviço
Portal cativo baseado em MS-MPC
A partir do Junos OS Release 15.1R4, a única combinação de placa de linha e placa de interface que oferece suporte a serviços de redirecionamento HTTP em roteadores da Série MX é o Concentrador Modular de Portas de Multisserviços (MS-MPC) com uma Placa de Interface Modular de Multisserviços (MS-MIC). Essa combinação proporciona melhor dimensionamento e alto desempenho. MS-MICs e MS-MPCs têm memória aprimorada (16 GB para MS-MIC, 32 GB por NPU de MS-MPC) e recursos de processamento. As interfaces de serviços em MS-MPCs e MS-MICs são identificadas na configuração com um prefixo ms- (por exemplo, ms-1/2/1).
Ao longo desta documentação, o termo baseado em MS-MPC refere-se a MPCs com MS-MICs instalados e a MS-MICs sozinhos quando são instalados em roteadores da Série MX que não aceitam placas de linha.
Portal cativo baseado em cartão de serviços MX-SPC3
A partir do Junos OS Release 19.3R2, você pode configurar serviços de redirecionamento HTTP se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. As interfaces de serviços em MX-SPC3s são identificadas na configuração com um prefixo vms- (por exemplo, vms-1/2/1).
Jardim de parede configurado como um filtro de serviço
O fluxo de pacotes para um portal cativo baseado em placa de serviços difere dependendo de como você configura o jardim murado. O tráfego HTTP destinado a servidores dentro do jardim murado não flui para o cartão de serviços. No entanto, qualquer tráfego HTTP destinado fora do jardim murado flui para a placa de serviços.
Para solicitações de assinante contidas no primeiro pacote de tráfego de dados, o sistema espera que o proxy TCP gere um sinalizador TCP SYN fazendo com que o manipulador de dados execute uma pesquisa de regra e aplique essas regras aos fluxos de dados HTTP.
Para uma condição de reescrita HTTP — se o endereço de destino IP não for fornecido na política, o manipulador de controle pesquisará o endereço de destino IP.
Para uma condição de redirecionamento HTTP — o proxy TCP é acionado para concluir seu handshake de três vias.
Para pacotes de solicitação HTTP.
Para uma condição de reescrita HTTP — o manipulador de controle usa o endereço IP de destino armazenado em cache e modifica o pacote de dados.
Para uma condição de redirecionamento HTTP — o manipulador de controle envia uma resposta HTTP 302 ou 307 com uma URL de redirecionamento pré-configurada.
Portal cativo baseado em Mecanismo de Roteamento
O portal cativo baseado no Mecanismo de Roteamento oferece suporte a um jardim murado como um filtro de serviço de firewall para serviços estáticos e convergentes. Assim que o tráfego HTTP corresponde às regras definidas no filtro de serviço de firewall, o tráfego HTTP é enviado ao Mecanismo de Roteamento. As interfaces de serviços no Mecanismo de Roteamento são identificadas com um prefixo si- (por exemplo, si-1/1/0). A interface si lida com todo o tráfego e serviços de redirecionamento e reescrita para o Mecanismo de Roteamento. A interface si deve estar operacional com um status de up para habilitar e ativar o serviço de entrega de conteúdo do portal cativo (CPCD). Depois que o serviço CPCD é habilitado, qualquer alteração no estado operacional da interface si não afeta os serviços CPCD existentes.
Provisionamento de serviços convergidos para serviços de redirecionamento HTTP
A partir do Junos OS Release 17.2R1, o provisionamento de serviços convergidos tem suporte para portais cativos baseados em Mecanismo de Roteamento e MS-MPC/MS-MIC. A partir do Junos OS Release 19.3R2, o provisionamento de serviços convergidos também é suportado para portais cativos baseados em placa de serviços MX-SPC3 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. O provisionamento de serviço convergente significa que você pode configurar o provisionamento de serviço em um perfil dinâmico. Você pode especificar variáveis definidas pelo usuário para serviços que são preenchidos por meio de uma mensagem RADIUS VSA ou uma Alteração de Autorização (CoA).
Por exemplo, talvez você queira ter um URL de redirecionamento diferente para cada assinante. Você pode criar uma variável redirect-url no perfil dinâmico e, em seguida, configurar uma regra de serviço para redirecionar a assinante correspondente para $redirect-url. Quando o RADIUS autentica o usuário, o Activate-Service VSA (26–65) fornece a URL específica para esse usuário.
Provisionamento de serviços estáticos para serviços de redirecionamento HTTP
A partir do Junos OS Release 17.4R1, o provisionamento de serviços estáticos é suportado tanto para portais cativos baseados em Mecanismo de Roteamento quanto em MS-MPC/MS-MIC. A partir do Junos OS Release 19.3R2, o provisionamento de serviços estáticos também é suportado para portais cativos baseados em MX-SPC3 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. O provisionamento de serviço estático significa que você pode configurar o provisionamento de serviço em um perfil estático. Você pode especificar variáveis definidas pelo usuário (por exemplo, http://portal.wifi.example.com/xx?wlanuseraddr=%subsc-ip%&nasaddr=%nas-ip%&acname=%ac -name%&url=%dest-url%&userlocation=%nas-port-id%&usermac=%mac-sa%& session-id=%sess-id%&username=%user-name%&wlanuseraddrv6=%subsc-ipv6%) para serviços que são preenchidos por meio de um RADIUS VSA ou uma mensagem de Alteração de Autorização (CoA).
No CPCD estático, os atributos em uma URL de redirecionamento não são enviados nos VSAs da Juniper Networks, Activate-Service (26-65) e Deactivate-Service (26-66). Você pode configurá-lo conforme mostrado no exemplo a seguir:
captive-portal-content-delivery {
rule redirect {
match-direction input;
term t1 {
then {
redirect url;
}
}
}
}
Os tokens na url, como "subsc-ip", "nas-ip", "ac-name", devem ser especificados entre o símbolo "%". A ordem dos tokens não importa.
A seguir está uma lista de tokens com seu significado:
%subsc-ip%— endereço IP privado do assinante.
%nas-ip%— endereço IP BNG.
%ac-name%— Estará vazio para o BNG.
%dest-url%— O URL da solicitação original.
%nas-port-id% — Usado para assinante. Este parâmetro deve incluir o nome da interface, pvlan e cvlan. O nome da interface pode ser o nome da interface física ou virtual. Por exemplo, ge0/0/0 ou ae0. A faixa de pvlan e cvlan é 14095
%mac-sa%— endereço MAC do cliente WLAN.
%sess-id%— ID da sessão do assinante.
%user-name%—nome de usuário de um assinante.
%subsc-ipv6%— endereço IPv6 do assinante (somente endereço IANA). Se o endereço IANA não for especificado para o assinante, esse campo estará vazio.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.