Visão geral do serviço de redirecionamento HTTP
O tráfego de solicitação de HTTP dos assinantes é agregado de redes de acesso em um roteador de servidor de acesso remoto de banda larga (B-RAS), onde o tráfego HTTP pode ser interceptado e redirecionado para um portal cativo em um dispositivo externo. O portal cativo é frequentemente a página inicial que um assinante vê após fazer login em uma sessão de assinantes. O portal cativo também recebe e gerencia solicitações de HTTP para recursos Web não autorizados.
Por exemplo, o usuário pode ser redirecionado para uma página web que mostra o logotipo da empresa e a política de uso da rede ou para uma página onde o assinante paga pelos serviços. O portal cativo normalmente oferece serviços de autenticação e autorização para assinantes redirecionados antes de conceder acesso a servidores protegidos fora de um jardim com paredes.
Um jardim murado, também conhecido como uma lista de autorização, define um grupo de servidores onde o acesso é fornecido aos assinantes sem reautorização por meio de um portal cativo. Esses jardins murados permitem que você aumente a receita comercializando vários serviços para seus clientes.
Ligações típicas de jardim com paredes são:
Serviços de fornecedor, como aluguel de automóveis
Portais de fidelidade de hotéis e hotéis ou programas corporativos
Serviços de quarto
Atrações locais e clima
Essa documentação usa os termos serviço de redirecionamento de HTTP e serviço cativo de entrega de conteúdo de portal (CDCD).
O serviço de redirecionamento HTTP implementa um manipulador de dados e um manipulador de controle e os registra com regras de serviço aplicáveis aos aplicativos HTTP. Essas regras são analisadas pelo processo desempedido no Mecanismo de Roteamento. O manipulador de dados aplica as regras aos fluxos de dados HTTP e lida com a reescrita do endereço de destino IP ou o envio de uma resposta HTTP com uma URL de redirecionamento pré-configurada. A mensagem de resposta inclui um código de status HTTP. A partir do Junos OS Release 17.3R1, o código de status que é devolvido depende da versão HTTP usada pelo cliente HTTP que enviou a solicitação GET. Quando a versão é superior ao HTTP 1.0, o servidor de redirecionamento retorna o código de status 307 (Redirecionamento temporário). Quando a versão é HTTP 1.0, o código de status 302 (Encontrado) é devolvido. Em versões anteriores ao 17.3R1, o servidor de redirecionamento devolve o código de status 302, independentemente da versão HTTP. Ambos os códigos informam o cliente HTTP para usar a URL original, em vez da URL de redirecionamento, para solicitações get subsequentes.
Quando a resposta à solicitação HTTP é enviada ao assinante, a URL original é preservada, anexando-a opcionalmente ao final da URL de redirecionamento configurada. O comprimento máximo da URL de redirecionamento, incluindo a URL original anexada, é de 128 bytes. A partir do Junos Release 17.3R1, o comprimento máximo da URL de redirecionamento é aumentado para 1360 bytes e o servidor de redirecionamento pode anexar informações adicionais sobre o assinante à URL de redirecionamento. O comprimento máximo se aplica independentemente de as informações do assinante serem anexadas à URL. Para anexar as informações do assinante, você pode especificar determinados atributos de assinante nos VSAs devolvidos na mensagem RADIUS Accept-Access em resposta ao login do assinante ou em uma mensagem RADIUS Change of Authorization (CoA). Isso se aplica tanto aos VSAs do Serviço de Ativação (26-65) quanto do Deactivate-Service (26-66). As informações de assinantes são recuperadas no banco de dados da sessão de assinantes.
O manipulador de controle mantém uma conexão com o processo no mecanismo de roteamento para aprender mudanças de configuração, como a URL de redirecionamento e o destino e porta IP de reescrita. Para obter um desempenho mais rápido, o manipulador de controle mantém um cache de entidades configuradas relevantes, como URLs, em um Concentrador de Portas Modulares (MPC).
Os serviços de redirecionamento HTTP são suportados tanto para IPv4 quanto para IPv6. Você pode anexar um serviço ou conjunto de serviços de redirecionamento HTTP a uma interface estática ou dinâmica. Para gerenciamento dinâmico de assinantes, você pode anexar serviços HTTP ou conjuntos de serviços dinamicamente no login do assinante ou usando uma mudança de autorização de RADIUS (CoA).
A partir do Junos OS Release 17.2R1, existem três métodos para configurar serviços de redirecionamento HTTP. A partir da versão 19.3R2 do Junos OS, o redirecionamento HTTP também pode ser configurado na placa de processamento de serviços MX-SPC3 se os Serviços de próxima geração estiverem habilitados. A Tabela 1 lista os métodos suportados para serviços de redirecionamento DE HTTP e as versões do Junos OS que oferecem suporte a cada método.
Recomendamos que você use o Junos OS Release 15.1 e versões mais altas para implementar serviços de redirecionamento HTTP.
Método |
Versões do Junos OS suportadas |
|
|---|---|---|
MS-DPC-based |
(Sem suporte para serviços de próxima geração na placa de serviços MX-SPC3) |
|
Estático |
Lançamentos antes de 15.1 |
|
Convergiram |
Não suportado |
|
MS-MPC-based |
(Sem suporte para serviços de próxima geração na placa de serviços MX-SPC3.) |
|
Estático |
A partir do Junos OS Release 15.1 |
|
Convergiram |
A partir do Junos OS Release 17.2 |
|
MX-SPC3-based |
|
|
|
Estático |
A partir do Junos OS Release 19.3R2 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. |
|
Convergiram |
A partir do Junos OS Release 19.3R2 se os serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. |
Routing Engine-based |
|
|
Estático |
Todos os lançamentos do Junos OS |
|
Convergiram |
A partir do Junos OS Release 16.1R4 e 17.2 |
|
Para todos os métodos, você configura o jardim com paredes como um filtro de serviço de firewall estático.
Portal cativo baseado em cartão de serviços
- Portal cativo baseado em MS-MPC
- Portal cativo baseado em placa de serviços MX-SPC3
- Jardim de parede configurado como um filtro de serviço
Portal cativo baseado em MS-MPC
A partir do Junos OS Release 15.1R4, a única combinação de placa de linha e placa de interface que oferece suporte a serviços de redirecionamento HTTP em roteadores da Série MX é o Concentrador modular de portas multisserviços (MS-MPC) com uma placa de interface modular de multisserviços (MS-MIC). Essa combinação oferece um melhor dimensionamento e alto desempenho. MS-MICs e MS-MPCs têm memória aprimorada (16 GB para MS-MIC, 32 GB por NPU de MS-MPC) e recursos de processamento. As interfaces de serviços em MS-MPCs e MS-MICs são identificadas na configuração com um ms-prefix (por exemplo, ms-1/2/1).
Ao longo dessa documentação, o termo baseado em MS-MPC refere-se a MPCs com MS-MICs instalados e apenas aos MS-MICs quando eles são instalados em roteadores da Série MX que não aceitam placas de linha.
Portal cativo baseado em placa de serviços MX-SPC3
A partir do Junos OS Release 19.3R2, você pode configurar serviços de redirecionamento HTTP se os Serviços de próxima geração estiverem habilitados na placa de serviços MX-SPC3. As interfaces de serviços no MX-SPC3s são identificadas na configuração com um vms-prefix (por exemplo, vms-1/2/1).
Jardim de parede configurado como um filtro de serviço
O fluxo de pacotes para um portal cativo baseado em cartão de serviços difere dependendo de como você configura o jardim murado. O tráfego HTTP destinado a servidores dentro do jardim murado não flui para a placa de serviços. No entanto, qualquer tráfego HTTP destinado fora do jardim murado flui para o cartão de serviços.
Para solicitações de assinantes contidas no primeiro pacote de tráfego de dados, o sistema espera que o proxy TCP gere uma bandeira TCP SYN fazendo com que o manipulador de dados execute uma busca de regras e aplique essas regras aos fluxos de dados HTTP.
Para uma condição de reescrita de HTTP — se o endereço de destino IP não for fornecido na política, o manipulador de controle procurará o endereço de destino IP.
Para uma condição de redirecionamento DE HTTP, o proxy do TCP é acionado para completar seu aperto de mão de três vias.
Para pacotes de solicitação de HTTP.
Para uma condição de reescrita de HTTP — o manipulador de controle usa o endereço de destino IP em cache e modifica o pacote de dados.
Para uma condição de redirecionamento DE HTTP — o manipulador de controle envia uma resposta HTTP 302 ou 307 com uma URL de redirecionamento pré-configurada.
Portal cativo baseado em mecanismos de roteamento
O portal cativo baseado em mecanismo de roteamento oferece suporte a um jardim com paredes como um filtro de serviço de firewall para serviços estáticos e convergidos. Assim que o tráfego HTTP corresponde às regras definidas no filtro de serviço de firewall, o tráfego HTTP é enviado ao Mecanismo de Roteamento. As interfaces de serviços no mecanismo de roteamento são identificadas com um si-prefix (por exemplo, si-1/1/0). A interface si lida com todos os redirecionamentos e reescritos de tráfego e serviços para o Mecanismo de Roteamento. A interface si deve estar operacional com um status de até ativar e ativar o serviço de entrega de conteúdo de portal cativo (CDCD). Após a habilitação do serviço DOSP, qualquer alteração no estado operacional da interface si não afeta os serviços DESPD existentes.
Provisionamento convergente de serviços para serviços de redirecionamento DE HTTP
A partir do Junos OS Release 17.2R1, o provisionamento convergente de serviços é suportado tanto para portais cativos baseados em mecanismos de roteamento quanto para portais cativos baseados em MS-MPC/MS-MIC. A partir do Junos OS Release 19.3R2, o provisionamento convergente de serviços também é compatível com portais cativos baseados em placa de serviços MX-SPC3 se os Serviços de Próxima Geração forem habilitados na placa de serviços MX-SPC3. O provisionamento convergente de serviços significa que você pode configurar o provisionamento de serviços em um perfil dinâmico. Você pode especificar variáveis definidas pelo usuário para serviços preenchidos por meio de um RADIUS VSA ou uma mensagem de Mudança de Autorização (CoA).
Por exemplo, você pode querer ter uma URL de redirecionamento diferente para cada assinante. Você pode criar uma variável de redirecionamento de url no perfil dinâmico e configurar uma regra de serviço para redirecionar o assinante correspondente para $redirect url. Quando o RADIUS autentica o usuário, o Activate-Service VSA (26-65) fornece a URL específica para esse usuário.
Provisionamento de serviços estáticos para serviços de redirecionamento DE HTTP
A partir do Junos OS Release 17.4R1, o provisionamento de serviços estático é suportado tanto para portais cativos baseados em mecanismos de roteamento quanto para portais cativos baseados em MS-MPC/MS-MIC. A partir do Junos OS Release 19.3R2, o provisionamento de serviços estáticos também é compatível com portais cativos baseados em MX-SPC3 se os Serviços de Próxima Geração forem habilitados na placa de serviços MX-SPC3. O provisionamento de serviços estáticos significa que você pode configurar o provisionamento de serviços em um perfil estático. Você pode especificar variáveis definidas pelo usuário (por exemplo http://portal.wifi.example.com/xx?wlanuseraddr=%subsc-ip%&nasaddr=%nas-ip%&acname=%ac -name%&url=%dest-url%&userlocation=%nas-port-id%&usermac=%mac-sa%& session-id=%sess-id%&username=%user-name%&wlanuseraddrv6=%subsc-ipv6%) para serviços que são preenchidos por meio de uma mensagem RADIUS VSA ou uma mensagem de Mudança de Autorização (CoA).
No CDC estático, os atributos em uma URL de redirecionamento não são enviados nas VSAs da Juniper Networks, Activate-Service (26-65) e Deactivate-Service (26-66). Você pode configurá-la conforme mostrado no exemplo a seguir:
captive-portal-content-delivery {
rule redirect {
match-direction input;
term t1 {
then {
redirect url;
}
}
}
}
Os símbolos na url como "subsc-ip", "nas-ip", "ac-name" devem ser especificados entre o símbolo "%". A ordem dos símbolos não importa.
A seguir está uma lista de símbolos com seu significado:
%subsc-ip%— endereço IP privado do assinante.
%nas-ip%— endereço IP BNG.
%ac-name%— Estará vazio para o BNG.
%dest-url%— A url de solicitação original.
%nas-port-id%— Usado para assinante. Este parâmetro deve incluir nome de interface, pvlan e cvlan. O nome da interface pode ser nome de interface física ou virtual. Por exemplo, ge0/0/0 ou ae0. A gama de pvlan e cvlan é de 14095
%mac-sa%— endereço MAC do cliente da WLAN.
%sess-id%— id de sessão de assinantes.
%nome do usuário%— nome de usuário de um assinante.
%subsc-ipv6%— endereço IPv6 para assinantes (apenas endereço IANA). Se o endereço IANA não for especificado para o assinante, este campo estará vazio.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.