04-Portal命令
本章节下载: 04-Portal命令 (275.88 KB)
目 录
1.1.3 display portal connection statistics
1.1.4 display portal free-rule
1.1.5 display portal interface
1.1.6 display portal local-server
1.1.8 display portal server statistics
1.1.9 display portal tcp-cheat statistics
1.1.18 portal local-server bind
1.1.20 portal mac-trigger enable
1.1.21 portal mac-trigger server
1.1.30 portal server server-detect
1.1.31 portal server user-sync
1.1.32 portal url-param include
1.1.35 reset portal connection statistics
1.1.36 reset portal server statistics
1.1.37 reset portal tcp-cheat statistics
【命令】
access-user detect type arp retransmit number interval interval
undo access-user detect
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
type arp:表示探测报文的类型为ARP请求。
number:探测报文发送的次数,即允许探测无响应的次数,取值范围为2~5。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。
interval:探测报文发送的间隔,取值范围为5~120,单位为秒。
【描述】
access-user detect命令用来配置Portal用户在线探测功能。undo access-user detect命令用来恢复缺省情况。
缺省情况下,接口上未配置Portal用户在线探测功能。
配置了该功能的设备,通过主动向从接口上线的Portal在线用户定期发送ARP探测报文来确认该用户是否在线。具体的探测过程为:若设备发现3分钟(不可配)内接口上未收到某Portal用户的报文,则向该用户发送ARP探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。 如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,并开始监测接下来的3分钟之内该用户是否有流量,并重复这个过程。
【举例】
# 在接口Vlan-interface100上配置Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为3次,发送间隔为10秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] access-user detect type arp retransmit 3 interval 10
【命令】
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有ACL的信息,包括动态ACL和静态ACL。
dynamic:显示动态ACL的信息,即用户通过Portal认证后产生的ACL。
static:显示静态ACL的信息,即相关配置产生的ACL。
interface interface-type interface-number:显示指定接口的ACL统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal acl命令用来显示接口上Portal的ACL信息。
【举例】
# 显示接口Vlan-interface2上所有ACL的统计信息。
<Sysname> display portal acl all interface vlan-interface 2
Vlan-interface2 portal ACL rule:
Rule 0
Inbound interface : all
Type : static
Action : permit
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 192.168.1.15
Mask : 255.255.255.255
Port : any
Rule 1
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 8.8.8.8
Mask : 255.255.255.255
MAC : 0015-e9a6-7cfe
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : 3001
Rule 2
Inbound interface : all
Type : static
Action : redirect
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 6
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Rule 3
Inbound interface : all
Type : static
Action : deny
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Rule 4
Inbound interface : all
Type : static
Action : permit
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
SSID : abcd
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
表1-1 display portal acl命令显示信息描述表
字段 |
描述 |
Rule |
Portal ACL编号,此编号为生成的ACL序号,每次显示从0开始递增 |
Inbound interface |
Portal ACL绑定的接口 |
Type |
Portal ACL的类型 |
Action |
Portal ACL的匹配动作 |
Source |
Portal ACL的源信息 |
IP |
Portal ACL的源IP地址 |
Mask |
Portal ACL的源IP地址子网掩码 |
MAC |
Portal ACL的源MAC地址 |
Interface |
Portal ACL的源接口 |
VLAN |
Portal ACL的源VLAN |
SSID |
Portal ACL的源SSID |
Protocol |
Portal ACL的协议类型 |
Destination |
Portal ACL目的信息 |
IP |
Portal ACL的目的IP地址 |
Mask |
Portal ACL的目的IP地址子网掩码 |
Port |
Portal ACL的目的传输层端口号 |
Author ACL |
Portal ACL的授权ACL,该字段仅在Type为dynamic时才显示 |
Number |
Portal ACL的授权ACL号,即服务器下发的ACL号,None表示服务器未下发ACL |
【命令】
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有接口上Portal的连接统计信息。
interface interface-type interface-number:显示指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal connection statistics命令用来显示接口上Portal的连接统计信息。
【举例】
# 显示接口Vlan-interface 1上Portal的连接统计信息。
<Sysname> display portal connection statistics interface Vlan-interface 1
---------------Interface: Vlan-interface 1-----------------------
User state statistics:
State-Name User-Num
VOID 0
DISCOVERED 0
WAIT_AUTHEN_ACK 0
WAIT_AUTHOR_ACK 0
WAIT_LOGIN_ACK 0
WAIT_ACL_ACK 0
WAIT_NEW_IP 0
WAIT_USERIPCHANGE_ACK 0
ONLINE 1
WAIT_LOGOUT_ACK 0
WAIT_LEAVING_ACK 0
Message statistics:
Msg-Name Total Err Discard
MSG_AUTHEN_ACK 3 0 0
MSG_AUTHOR_ACK 3 0 0
MSG_LOGIN_ACK 3 0 0
MSG_LOGOUT_ACK 2 0 0
MSG_LEAVING_ACK 0 0 0
MSG_CUT_REQ 0 0 0
MSG_AUTH_REQ 3 0 0
MSG_LOGIN_REQ 3 0 0
MSG_LOGOUT_REQ 2 0 0
MSG_LEAVING_REQ 0 0 0
MSG_ARPPKT 0 0 0
MSG_PORT_REMOVE 0 0 0
MSG_VLAN_REMOVE 0 0 0
MSG_IF_REMOVE 6 0 0
MSG_IF_SHUT 0 0 0
MSG_IF_DISPORTAL 0 0 0
MSG_IF_UP 0 0 0
MSG_ACL_RESULT 0 0 0
MSG_AAACUTBKREQ 0 0 0
MSG_CUT_BY_USERINDEX 0 0 0
MSG_CUT_L3IF 0 0 0
MSG_IP_REMOVE 0 0 0
MSG_ALL_REMOVE 1 0 0
MSG_IFIPADDR_CHANGE 0 0 0
MSG_SOCKET_CHANGE 8 0 0.
MSG_NOTIFY 0 0 0
MSG_SETPOLICY 0 0 0
MSG_SETPOLICY_RESULT 0 0 0
表1-2 display portal connection statistics命令显示信息描述表
字段 |
描述 |
User state statistics |
Portal用户统计信息 |
State-Name |
用户状态名称 |
User-Num |
某状态下的用户数量 |
VOID |
处于void状态的用户数 |
DISCOVERED |
处于discovered状态的用户数 |
WAIT_AUTHEN_ACK |
处于wait_authen_ack状态的用户数 |
WAIT_AUTHOR_ACK |
处于wait_author_ack状态的用户数 |
WAIT_LOGIN_ACK |
处于wait_login_ack状态的用户数 |
WAIT_ACL_ACK |
处于wait_acl_ack状态的用户数 |
WAIT_NEW_IP |
处于wait_new_ip状态的用户数 |
WAIT_USERIPCHANGE_ACK |
处于wait_useripchange_ack状态的用户数 |
ONLINE |
处于online状态的用户数 |
WAIT_LOGOUT_ACK |
处于wait_logout_ack状态的用户数 |
WAIT_LEAVING_ACK |
处于wait_leaving_ack状态的用户数 |
Message statistics |
消息统计信息 |
Msg-Name |
消息名字 |
Total |
某一类消息的总数 |
Err |
某一类错误的消息的数目 |
Discard |
某一类被丢弃的消息的数目 |
MSG_AUTHEN_ACK |
认证回应消息 |
MSG_AUTHOR_ACK |
授权回应消息 |
MSG_LOGIN_ACK |
计费回应消息 |
MSG_LOGOUT_ACK |
停止计费请求回应消息 |
MSG_LEAVING_ACK |
下线请求回应消息 |
MSG_CUT_REQ |
切断用户请求消息 |
MSG_AUTH_REQ |
认证请求消息 |
MSG_LOGIN_REQ |
计费请求消息 |
MSG_LOGOUT_REQ |
停止计费请求消息 |
MSG_LEAVING_REQ |
下线请求消息 |
MSG_ARPPKT |
ARP消息 |
MSG_PORT_REMOVE |
删除某个二层接口的用户消息 |
MSG_VLAN_REMOVE |
删除VLAN的用户消息 |
MSG_IF_REMOVE |
删除某个三层接口导致用户下线的消息 |
MSG_IF_SHUT |
三层接口关闭的消息 |
MSG_IF_DISPORTAL |
接口去使能Portal的消息 |
MSG_IF_UP |
三层接口UP的消息 |
MSG_ACL_RESULT |
ACL下发失败的消息 |
MSG_AAACUTBKREQ |
AAA通知Portal删除备份用户的消息 |
MSG_CUT_BY_USERINDEX |
强制用户下线的消息 |
MSG_CUT_L3IF |
强制用户下线导致的删除某个三层接口的用户消息 |
MSG_IP_REMOVE |
删除某个IP的用户消息 |
MSG_ALL_REMOVE |
删除所有的用户消息 |
MSG_IFIPADDR_CHANGE |
接口IP变化消息 |
MSG_SOCKET_CHANGE |
socket变化消息 |
MSG_NOTIFY |
通知下发消息 |
MSG_SETPOLICY |
服务器下发安全ACL的Set policy消息 |
MSG_SETPOLICY_RESULT |
Set policy结果消息 |
【命令】
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
rule-number:免认证规则编号。取值范围为0~63。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal free-rule命令用来显示Portal的免认证规则信息。
需要注意的是,若不指定参数rule-number,则显示所有的免认证规则信息。
相关配置可参考命令portal free-rule。
【举例】
# 显示编号为1的免认证规则。
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
MAC : 0000-0000-0000
Interface : any
Vlan : 0
SSID : abcd
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Protocol : 0
表1-3 display portal free-rule命令显示信息描述表
字段 |
描述 |
Rule-Number |
免认证规则的编号 |
Source |
免认证规则的源信息 |
IP |
免认证规则的源IP地址 |
Mask |
免认证规则的源IP地址子网掩码 |
MAC |
免认证规则的源MAC地址 |
Interface |
免认证规则的源接口 |
Vlan |
免认证规则的源VLAN |
SSID |
免认证规则的源SSID |
Destination |
免认证规则的目的信息 |
IP |
免认证规则的目的IP地址 |
Mask |
免认证规则的目的IP地址子网掩码 |
Protocol |
免认证规则的传输层协议号 |
【命令】
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal interface命令用来显示指定接口的Portal配置信息。
【举例】
# 显示接口Vlan-interface 1的Portal配置信息。
<Sysname> display portal interface Vlan-interface 1
Interface portal configuration:
Vlan-interface 1: Portal running
Portal server: servername
Portal backup-group: 1
Authentication type: Layer3
Authentication domain: my-domain
Authentication network:
source address : 1.1.1.1 mask : 255.255.0.0
destination address : 2.2.2.0. mask : 255.255.255.0
表1-4 display portal interface命令显示信息描述表
字段 |
描述 |
Interface portal configuration |
接口上Portal的配置信息 |
Vlan-interface 1 |
接口上Portal认证的状态 · disabled:Portal认证未使能 · enabled:Portal认证已使能,但未生效 · running:Portal认证已生效 |
Portal server |
接口引用的Portal服务器 |
Portal backup-group |
接口所属的备份组编号 当接口不属于任何备份组时,显示为None 该显示信息的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
Authentication type |
接口上配置的认证方式 |
Authentication domain |
接口上的强制认证域 |
Authentication network |
Portal认证网段信息,目前,仅包括源认证网段信息 |
address |
Portal认证网段的IP地址 |
mask |
Portal认证网段的子网掩码 |
【命令】
display portal local-server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal local-server用来显示本地Portal服务器的配置信息,包括支持的协议类型、引用的SSL服务器端策略以及SSID的绑定关系。
相关配置可参考命令portal local-server和portal local-server bind。
【举例】
# 显示本地Portal服务器的配置。
<Sysname> display portal local-server
Protocol: HTTPS
Server policy: policy1
Bind SSID list:
ssid1: file1.zip
ssid2: file1.zip
表1-5 display portal local-server命令显示信息描述表
字段 |
描述 |
Protocol |
本地Portal服务器支持的协议类型,包括HTTP和HTTPS |
Server policy |
指定HTTPS服务关联的SSL服务器策略,如果配置的是HTTP协议方式,则此字段为空 |
Bind SSID list |
SSID绑定关系列表,如果未配置绑定关系,则此字段为空;如果不支持绑定配置,则无此字段 |
【命令】
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
server-name:Portal服务器的名称,为1~32个字符的字符串,区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal server命令用来显示Portal服务器信息。
需要注意的是,若不指定参数server-name,则显示所有Portal服务器信息。
相关配置可参考命令portal server。
【举例】
# 显示Portal服务器aaa的信息。
<Sysname> display portal server aaa
Portal server:
1)aaa:
IP : 192.168.0.111
Port : 50100
Key : portal
URL : http://192.168.0.111
Status : Up
表1-6 display portal server命令显示信息描述表
字段 |
描述 |
1) |
Portal服务器编号 |
aaa |
Portal服务器名称 |
IP |
Portal服务器的IP地址 |
Port |
Portal服务器的监听端口 |
Key |
与Portal服务器进行报文交互时使用的共享密钥 若未配置,则显示Not configured |
URL |
Portal服务器重定向地址 若未配置,则显示Not configured |
Status |
Portal服务器当前状态,其取值涵义如下: · N/A:该服务器未在任何接口上被引用或者服务器探测功能未开启,可达状态未知; · Up:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前可达; · Down:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前不可达 |
【命令】
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有接口上Portal服务器的统计信息。
interface interface-type interface-number:显示指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal server statistics命令用来显示接口上Portal服务器的统计信息,其中包括设备接收到Portal服务器发送的报文以及设备发送给该Portal服务器的报文的信息。
需要注意的是,指定all参数时,设备依次显示各个接口上的Portal服务器的统计信息,即使是一个Portal服务器的统计信息也是分别在不同接口下显示。
【举例】
# 显示接口Vlan-interface 1上Portal服务器的统计信息。
<Sysname> display portal server statistics interface Vlan-interface 1
---------------Interface: Vlan-interface 1----------------------
Server name: st
Invalid packets: 0
Pkt-Name Total Discard Checkerr
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHANGE 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_USERSYNC 2 0 0
ACK_NTF_USERSYNC 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
表1-7 display portal server statistics命令显示信息描述表
字段 |
描述 |
Interface |
Portal服务器所在的接口 |
Server name |
Portal服务器名称 |
Invalid packets |
无效报文的数目 |
Pkt-Name |
报文的名称 |
Total |
报文的总数 |
Discard |
丢弃报文数 |
Checkerr |
错误报文数 |
REQ_CHALLENGE |
Portal服务器向接入设备发送的challenge请求报文 |
ACK_CHALLENGE |
接入设备对Portal服务器challenge请求的响应报文 |
REQ_AUTH |
Portal服务器向接入设备发送的请求认证报文 |
ACK_AUTH |
接入设备对Portal服务器认证请求的响应报文 |
REQ_LOGOUT |
Portal服务器向接入设备发送的下线请求报文 |
ACK_LOGOUT |
接入设备对Portal服务器下线请求的响应报文 |
AFF_ACK_AUTH |
Portal服务器收到认证成功响应报文后向接入设备发送的确认报文 |
NTF_LOGOUT |
接入设备发送给Portal服务器,用户被强制下线的通知报文 |
REQ_INFO |
信息询问报文 |
ACK_INFO |
信息询问的响应报文 |
NTF_USERDISCOVER |
Portal服务器向接入设备发送的发现新用户要求上线的通知报文 |
NTF_USERIPCHANGE |
接入设备向Portal服务器发送的通知更改某个用户IP地址的通知报文 |
AFF_NTF_USERIPCHANGE |
Portal服务器通知接入设备对用户表项的IP切换已成功报文 |
ACK_NTF_LOGOUT |
Portal服务器对强制下线通知的响应报文 |
NTF_USERSYNC |
接入设备收到的从Portal服务器发送的用户同步报文数 |
ACK_NTF_USERSYNC |
接入设备向Portal服务器回应的用户同步响应报文数 |
NTF_CHALLENGE |
接入设备向Portal服务器发送的challenge请求报文 |
NTF_USER_NOTIFY |
接入设备向Portal服务器发送的用户消息通知报文 |
AFF_NTF_USER_NOTIFY |
Portal服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
【命令】
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal tcp-cheat statistics命令用来显示TCP仿冒统计信息。
【举例】
# 显示所有TCP仿冒统计信息。
<Sysname> display portal tcp-cheat statistics
TCP Cheat Statistic:
Total Opens: 0
Resets Connections: 0
Current Opens: 0
Packets Received: 0
Packets Sent: 0
Packets Retransmitted: 0
Packets Dropped: 0
HTTP Packets Sent: 0
Connection State:
SYN_RECVD: 0
ESTABLISHED: 0
CLOSE_WAIT: 0
LAST_ACK: 0
FIN_WAIT_1: 0
FIN_WAIT_2: 0
CLOSING: 0
表1-8 display portal tcp-cheat statistics命令显示信息描述表
字段 |
描述 |
TCP Cheat Statistic |
TCP仿冒统计信息 |
Total Opens |
打开的连接总数 |
Resets Connections |
通过RST报文重置的连接数 |
Current Opens |
当前正在打开的连接数 |
Packets Received |
收到的报文数 |
Packets Sent |
发送的报文数 |
Packets Retransmitted |
重传的报文数 |
Packets Dropped |
丢弃的报文数 |
HTTP Packets Sent |
发送的HTTP报文数 |
Connection State |
连接状态 |
ESTABLISHED |
处于established状态的连接数 |
CLOSE_WAIT |
处于close wait状态的连接数 |
LAST_ACK |
处于last ack状态的连接数 |
FIN_WAIT_1 |
处于fin wait 1状态的连接数 |
FIN_WAIT_2 |
处于fin wait 2状态的连接数 |
CLOSING |
处于closing状态的连接数 |
【命令】
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有Portal用户的信息。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal user命令用来显示Portal用户的信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:Stand-alone
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eab 2.2.2.2 0 Vlan-interface1
Index:3
State:ONLINE
SubState:NONE
ACL:3000
Work-mode:Primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 3.3.3.3 0 Vlan-interface2
Total 2 user(s) matched, 2 listed.
表1-9 display portal user命令显示信息描述表
字段 |
描述 |
Index |
Portal用户的索引 |
State |
Portal用户的当前状态 |
SubState |
Portal用户的当前子状态 |
ACL |
Portal用户的授权ACL |
Work-mode |
Portal用户的工作模式,有如下三种: · 协同工作主用户:Primary · 协同工作备用户:Secondary 单独工作用户:Stand-alone |
MAC |
Portal用户的MAC地址 |
IP |
Portal用户的IP地址 |
Vlan |
Portal用户所在的VLAN |
Interface |
Portal用户所在的接口 |
Total 2 user(s) matched, 2 listed |
总计有两个Portal用户 |
【命令】
portal auth-network network-address { mask-length | mask }
undo portal auth-network { network-address | all }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
network-address:源认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
all:所有源认证网段。
【描述】
portal auth-network命令用来配置源认证网段,即接口上只允许在源认证网段范围内的用户报文才能触发Portal强制认证。如果用户在访问外部网络之前未主动进行Portal认证,且用户报文既不满足免认证规则又不在源认证网段内,则用户报文将被接入设备丢弃。。undo portal auth-network命令用来取消源认证网段的配置。
缺省情况下,源认证网段为0.0.0.0/0,表示对来自任意网段的用户都进行Portal认证。
需要注意的是:
· 源认证网段配置仅对可跨三层Portal认证(layer3)有效。直接认证方式(direct)下的源认证网段为任意源IP,二次地址分配方式(redhcp)下的源认证网段为由接口私网IP决定的私网网段。
· 可通过多次执行本命令,配置多个源认证网段,最多允许配置的源认证网段总数为32个。
【举例】
# 在接口Vlan-interface2上配置源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户进行Portal认证,其它用户禁止进行认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal auth-network 10.10.10.0 24
【命令】
portal backup-group group-id
undo portal backup-group
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
group-id:表示接口所属的Portal备份组序号,取值范围为1~256。
【描述】
portal backup-group命令用来设置业务备份接口所属的Portal备份组,属于同一个Portal备份组的业务备份接口互相备份Portal用户数据。undo portal backup-group命令用来恢复缺省情况。
缺省情况下,业务备份接口不属于任何Portal备份组。
在双机热备组网环境中进行Portal业务数据备份时,备份源设备将Portal用户数据从本地某业务备份接口发往备份目的设备上对应的业务备份接口后,业务数据会被保存在目的设备。通过本命令将两台设备上指定的业务备份接口关联起来。
需要注意的是:
· 本文将备份Portal业务所涉及的接口简称为业务备份接口,与传输状态协商报文和备份数据的备份接口相区别。
· 当有接口已经加入某一备份组后,设上的其它接口不能再加入该备份组。
· 只有相互备份的两台设备上的业务备份接口所属的备份组相同,且接口状态均up,并都使能了Portal认证,这两个业务备份接口之间的用户数据才可以进行同步。
portal backup-group命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在双机热备组网环境中,配置备份源设备的业务备份接口Vlan-interface1属于Portal备份组1。
<Sysname> system-view
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] portal backup-group 1
在对端设备上,应该将对应的业务备份接口也加入备份组1。
【命令】
portal delete-user { ip-address | all | interface interface-type interface-number }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:用户的IP地址。
all:所有用户。
interface interface-type interface-number:该接口下的所有用户。interface-type interface-number为接口类型和接口编号。
【描述】
portal delete-user命令用来强制接入设备上的用户下线。
相关配置可参考命令display portal user。
【举例】
# 强制IP地址为1.1.1.1的用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
【命令】
portal domain domain-name
undo portal domain
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
domain-name:ISP认证域名,为1~24个字符的字符串,不分区大小写,且必须是已经存在的域名。
【描述】
portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。undo portal domain命令用来恢复缺省情况。
缺省情况下,未指定Portal用户使用的认证域。
相关配置可参考命令display portal interface。
【举例】
# 指定从接口Vlan-interface100上接入的Portal用户使用认证域my-domain。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
【命令】
portal forbidden-rule rule-number destination { ip { hostname | ip-address [ mask { mask-length | netmask } ] } | { { tcp | udp } port-number } } *
undo portal forbidden-rule rule-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rule-number:禁止Portal用户访问的资源的规则编号。取值范围为0~63。
destination ip:禁止Portal用户访问的目的资源。
hostname:禁止Portal用户访问的域名。
ip-address:禁止Portal用户访问的IP地址。
mask { mask-length | netmask }:IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;netmask为子网掩码,点分十进制格式。
tcp port-number:禁止Portal用户访问的TCP协议的端口号,取值范围为0~65535。
udp port-number:禁止Portal用户访问的UDP协议的端口号,取值范围是为0~65535。
【描述】
portal forbidden-rule命令用来配置禁止Portal用户访问的资源,指定目的资源的过滤规则。
undo portal forbidden-rule命令用来删除禁止Portal用户访问的规则。
需要注意的是:只能添加或者删除禁止访问过滤规则,不能修改过滤规则。
【举例】
# 配置禁止访问过滤规则10,禁止Portal用户访问域名www.xyz.com。
<Sysname> system-view
[Sysname] portal forbidden-rule 10 destination ip www.xyz.com
# 配置禁止访问过滤规则13,禁止Portal用户访问TCP端口80。
<Sysname> system-view
[Sysname] portal forbidden-rule 13 destination tcp 80
# 配置禁止访问过滤规则14,禁止Portal用户访问的目的IP地址2.2.2.2/24。
<Sysname> system-view
[Sysname] portal forbidden-rule 14 destination ip 2.2.2.2 mask 32
【命令】
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } | hostname hostname } | source { any | [ { interface interface-type interface-number | wlan ssid ssid } | ip { ip-address mask { mask-length | netmask } | any } | mac mac-address | vlan vlan-id ] * } } *
undo portal free-rule { rule-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rule-number:免认证规则编号。取值范围为0~63。
any:表示不对前面的参数做限制。
ip ip-address:免认证规则的IP地址。
mask { mask-length | netmask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;netmask为子网掩码,点分十进制格式。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
hostname hostname :免认证规则的域名,即用户认证前可以免费访问的域名。
wlan:指定无线相关参数。
ssid ssid:免认证规则的SSID名称,ssid为1~32个字符的字符串,不区分大小写。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。
all:所有免认证规则。
【描述】
portal free-rule命令用来配置Portal的免认证规则,指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。
需要注意的是:
· 如果同时指定源IP地址与源MAC地址,则必须保证IP地址为32位掩码的主机地址,否则指定的MAC地址无效。
· 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
· 加入聚合组的二层接口不能被指定为免认证规则的源接口,反之亦然。
相关配置可参考命令display portal free-rule。
【举例】
# 配置Portal免认证规则,符合源地址为10.10.10.1/24、接口为GigabitEthernet1/0/1和目的IP地址任意的报文不会触发Portal认证。
<Sysname> system-view
[Sysname] portal free-rule 15 source ip 10.10.10.1 mask 24 interface GigabitEthernet1/0/1 destination ip any
# 配置Portal免认证规则,属于SSID为 test的无线用户报文不会触发Portal认证。
<Sysname> system-view
[Sysname] portal free-rule 15 source wlan ssid test
# 配置Portal免认证规则,访问以下 域名的报文不会触发Portal认证。
<Sysname> system-view
[Sysname] portal free-rule 10 destination hostname http://www.xyz.com
【命令】
portal local-server { http | https server-policy policy-name }
undo portal local-server { http | https }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
http:指定本地Portal服务器使用HTTP协议和客户端交互认证信息。
https:指定本地Portal服务器使用HTTPS协议和客户端交互认证信息。
server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。其中,policy-name表示SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。
【描述】
portal local-server命令用来配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件。undo portal local-server命令用来取消本地Portal服务器支持的协议类型。
缺省情况下,本地Portal服务器不支持任何协议类型。
需要注意的是:
· 执行本命令时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此,为保证自定义的缺省认证页面生效,请首先完成对它的编辑及保存工作,否则使用系统默认的缺省认证页面。
· 若指定HTTP协议,则HTTP报文的重定向地址格式为:http://设备IP/portal/logon.htm,客户端通过HTTP协议与Portal服务器交互认证信息。
· 若指定HTTPS协议,则HTTP报文的重定向地址格式为:https://设备IP/portal/logon.htm,客户端通过HTTPS协议与Portal服务器交互认证信息。
· 已经被HTTPS服务关联的SSL服务器端策略不能使用undo ssl server-policy删除。
· 本设备上所有与HTTPS服务相关联的SSL服务器端策略必须相同。
· 若设备上有本地Portal用户在线,则不能取消支持的协议类型或修改支持的协议类型,也不能修改关联的SSL服务器端策略。
· 更改HTTPS服务关联的SSL服务器端策略时,必须先使用undo portal local-server https命令取消配置的HTTPS协议,然后再重新指定SSL服务器策略。
相关配置可参考命令display portal local-server和“安全命令参考/SSL配置命令”中的ssl server-policy。
【举例】
# 配置本地Portal服务器支持HTTP协议方式。
<Sysname> system-view
[Sysname] portal local-server http
# 配置本地Portal服务器支持HTTPS协议方式,并引用已经配置的SSL服务器端策略policy1。
<Sysname> system-view
[Sysname] portal local-server https server-policy policy1
# 更改SSL服务器端策略为policy2。
[Sysname] undo portal local-server https
[Sysname] portal local-server https server-policy policy2
【命令】
portal local-server bind ssid ssidname&<1-10> file filename
undo portal local-server bind { ssid ssidname&<1-10> | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ssid ssidname&<1-10>:指定要绑定的SSID。其中,ssidname是SSID服务模板的标识,为1~32个字符的字符串,不区分大小写,可以包括字母、数字和空格,但字符串开始和结束位置不可以用空格,且不能是“f”“fi”“fil”和“file”。&<1-10>表示ssidname参数最多可以输入10次。
file filename:指定要绑定的文件。其中,filename表示用户定制的认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字和下划线。该文件由用户编辑,保存在设备根目录下的portal目录中。
all:表示所有绑定的SSID。
【描述】
portal local-server bind命令用来配置SSID与定制页面文件的绑定,实现用户认证页面的定制功能。本地Portal服务器会根据绑定的文件向指定的SSID客户端推出相应的认证页面。undo portal local-server bind命令用来取消指定SSID或者所有SSID与认证页面的绑定。
缺省情况下,无任何绑定配置。
用户访问Portal页面时,如果设备上没有配置SSID绑定功能,则向客户端推出缺省的认证页面,否则根据用户登录接口的SSID及其绑定的配置推出对应的认证页面。
需要注意的是:
· 绑定文件的名称或内容有更新时,需要重新绑定文件。
· 要修改绑定关系,只需重新执行绑定命令即可,不必先取消已经存在的绑定关系。
· 对于相同的SSID,若多次执行绑定,则最后一条绑定条目生效。
· 设备上最多允许同时存在128条绑定条目。
相关配置可参考命令display portal local-server。
【举例】
# 配置SSID1、SSID2与定制的认证页面文件file12.zip进行绑定。
<Sysname> system-view
[Sysname] portal local-server bind ssid ssid1 ssid2 file file12.zip
【命令】
portal log packet
undo portal log packet
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal log packet命令用来打开Portal报文信息的日志开关。undo portal log packet命令用来关闭Portal报文信息的日志开关。
缺省情况下,Portal报文信息的日志开关处于关闭状态。
【举例】
# 打开Portal报文信息的日志开关。
<Sysname> system-view
[Sysname] portal log packet
【命令】
portal mac-trigger enable [ period period-value ] [ threshold threshold-value ]
undo portal mac-trigger enable
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
period period-value:用户流量的统计周期,单位为秒,取值范围为60~7200,缺省值为300秒。
threshold threshold-value:触发MAC快速认证的用户流量阈值,单位为字节,取值范围为0~10240000,缺省值为0,表示只要Portal用户有访问网络的流量产生,设备就立即触发MAC快速认证,且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大,表示允许用户通过认证前可使用的流量越多,请根据网络流量的实际应用情况合理设置。
【描述】
portal mac-trigger enable命令用来在接口下使能MAC快速认证功能。undo portal mac-trigger enable命令用来恢复缺省情况。
缺省情况下,MAC快速认证功能处于关闭状态。
接入设备实时检测Portal用户的流量,在一个统计周期内,用户的流量达到设定的阀值之前,允许用户访问外部网络资源,一旦用户流量达到设定的阀值,则触发MAC快速认证。若认证通过,则流量统计清零;若认证未通过,则在本统计周期内不会再次触发MAC快速认证,到本次统计周期结束时,流量统计清零,并重新开始重复以上过程。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通三层Portal认证的相关配置;
· 指定MAC绑定服务器的IP地址和端口号;
· 在使能了Portal认证的接口上使能MAC快速认证功能;
· 将MAC地址绑定服务器指定为一个Portal服务器,其中的Portal服务器名称可任意指定,无实际意义,并且URL等参数也无意义,不需指定。
相关配置可参考命令portal mac-trigger server、portal server method和portal server。
portal mac-trigger enable命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在VLAN接口上使能MAC快速认证功能,指定用户流量的检测周期为300秒,触发MAC快速认证的流量阈值为10240字节。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] portal mac-trigger enable period 300 threshold 10240
【命令】
portal mac-trigger server ip ip-address [ port port-number ]
undo portal mac-trigger server
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip ip-address:MAC绑定服务器的IPv4地址。
port port-number:MAC服务器监听来自接入设备的MAC绑定查询请求的UDP端口号,取值范围为1~65534,缺省值为50100。
【描述】
portal mac-trigger server命令用来指定MAC绑定服务器。undo portal mac-trigger server命令用来恢复缺省情况。
缺省情况下,未指定MAC绑定服务器。
MAC绑定服务器上记录了Portal用户的MAC地址与Portal用户帐号的绑定关系,当MAC绑定服务器接收到来自接入设备的MAC绑定查询请求后,会查询该MAC地址是否与服务器上的Portal用户帐号绑定。如果已绑定,则MAC绑定服务器获取该用户的帐号信息,并使用该用户的用户名和密码向Portal服务器直接发起Portal认证。
相关配置可参考命令portal mac-trigger enable。
portal mac-trigger server命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 指定支MAC绑定服务器的IP地址为2.2.2.2,端口号为50111。
<Sysname> system-view
[Sysname] portal mac-trigger server ip 2.2.2.2 port 50111
【命令】
portal max-user max-number
undo portal max-user
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
max-number:允许同时在线的最大Portal用户数,该参数的取值范围与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【描述】
portal max-user命令用来配置Portal最大用户数。undo portal max-user命令用来恢复缺省情况。
缺省情况下,Portal最大用户数与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
需要注意的是,如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
【举例】
# 配置Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
【描述】
portal nas-id-profile命令用来指定接口的NAS-ID Profile。undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。
缺省情况下,未指定NAS-ID Profile。
需要注意的是,如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上没有指定NAS-ID Profile,则使用设备名作为NAS-ID。
【举例】
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile 。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【命令】
portal nas-ip ip-address
undo portal nas-ip
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
ip-address:接口发送Portal报文的源IP地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
portal nas-ip命令用来配置接口发送Portal报文使用的源地址。undo portal nas-ip命令用来恢复缺省情况。
缺省情况下,未指定源地址,即以接入用户的接口地址作为发送Portal报文的源地址。
【举例】
# 配置接口Vlan-interface5发送Portal报文使用的源地址为2.2.2.2。
<Sysname> system-view
[Sysname] interface vlan-interface 5
[Sysname-Vlan-interface5] portal nas-ip 2.2.2.2
【命令】
portal nas-port-type { ethernet | wireless }
undo portal nas-port-type
【视图】
接口视图
【缺省级别】
系统级
【参数】
ethernet:指定用户接入的端口类型为Ethernet,对应的编码值为15。
wireless:指定用户接入的端口类型为符合IEEE 802.11标准的无线接口,对应的编码值为19。该参数通常在接入无线Portal用户的接口上指定,可保证接入设备向RADIUS服务器传递的用户端口类型为无线类型。
【描述】
portal nas-port-type命令用来配置接口的NAS-Port-Type,即向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。undo portal nas-port-type命令用来恢复缺省情况。
缺省情况下,未指定接口的NAS-Port-Type,RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。
【举例】
# 配置接口Vlan-interface 2的NAS-Port-Type为符合IEEE 802.11标准的无线接口类型。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-port-type wireless
【命令】
portal redirect-url url-string [ wait-time period ]
undo portal redirect-url
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
url-string:Portal用户认证成功后,认证页面的自动跳转目的网站地址,为1~127个字符的字符串,必须是以http://或者https://开头的完整的URL路径。
period:Portal用户认证成功后认证页面等待进行跳转的时间间隔,取值范围为1~90,单位为秒,缺省值为5。
【描述】
portal redirect-url命令用来指定Portal用户认证成功后认证页面的自动跳转目的网站地址。undo portal redirect-url命令用来恢复缺省情况。
缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面。
需要注意的是:
· 对于三层远程Portal认证,该特性需要与支持自动跳转页面功能的iMC服务器配合使用。
· wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。
【举例】
# 指定Portal用户认证成功后,认证页面在3秒后自动跳转为http://www.testpt.cn网站页面。
<Sysname> system-view
[Sysname] portal redirect-url http://www.testpt.cn wait-time 3
【命令】
portal server server-name ip ip-address [ key key-string | port port-id | server-type { cmcc | imc } | url url-string ] *
undo portal server server-name [ key | port | url ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
ip-address:Portal服务器的IP地址。若指定的是本地Portal服务器,则此地址为接入设备上与Portal客户端路由可达的三层接口IP地址,但在双机热备环境下此地址建议为VRRP下行链路所在备份组的虚拟IP地址。
key-string:与Portal服务器通信需要的共享密钥,为1~16个字符的字符串,区分大小写。设备与Portal服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
port-id:设备向Portal服务器主动发送报文时使用的目的端口号,取值范围为1~65534,缺省值为50100。
server-type { cmcc | imc }:Portal服务器类型,缺省为imc。该参数的支持情况与设备的型号有关,请以设备的实际情况为准。
· cmcc:CMCC Portal服务器。指定该类型的Portal服务器时,还必须配置设备的编码名(通过命令portal device-id)。
· imc:H3C iMC Portal服务器或H3C CAMS Portal服务器。
url-string:HTTP报文重定向地址。缺省的HTTP报文重定向地址格式为http://ip-address,其中ip-address为Portal服务器的IP地址。重定向地址支持域名解析,但需要使用命令portal free-rule将DNS服务器地址加入Portal的免认证地址范围内。
【描述】
portal server命令用来指定三层Portal认证的Portal服务器。undo portal server命令用来删除指定的Portal服务器,或者恢复服务器参数为缺省值。
缺省情况下,没有指定三层Portal认证的Portal服务器。
需要注意的是:
· 配置Portal认证时服务器名称、重定向URL配置项的内容不能包含中文以及?<>\’’%’&#任何字符之一。
· 若指定名字的Portal服务器存在,但该接口上没有用户,则undo portal server命令不指定任何参数时,将删除指定Portal服务器;否则相同条件下,指定参数port、url时,将恢复指定参数为缺省值。
· 已配置的Portal服务器及其参数仅在该Portal服务器未被任何接口引用时才可以被删除或修改。要删除或修改已经被接口引用的Portal服务器配置,必须首先在引用该Portal服务器的接口上使用命令undo portal取消配置。
· 通常,使用本地Portal服务器时,Portal服务器参数key、port和url均不需配置,若配置也无效。但在无线环境下使用本地Portal服务器进行双机热备时,url需要配置,且地址格式为http://ip-address/portal/logon.htm或https://ip-address/portal/logon.htm,其中,协议类型为本地Portal服务器支持的协议类型(由命令portal local-server配置),ip-address为VRRP下行链路所在备份组的虚拟IP地址。
相关配置可参考命令display portal server。
【举例】
# 配置Portal服务器pts的IP地址为192.168.0.111、密钥为portal、HTTP重定向的URL为http://192.168.0.111/portal。
<Sysname> system-view
[Sysname] portal server pts ip 192.168.0.111 key portal url http://192.168.0.111/portal
【命令】
portal server banner banner-string
undo portal server banner
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
banner-string:用户定制的Web页面欢迎信息,为1~50个字符的字符串,区分大小写,不允许为‘<’、‘&’。字符串中可包括连续多个连续空格,浏览器将会识别为一个空格。
【描述】
portal server banner命令用来配置本地Portal服务器提供的缺省Web页面欢迎信息。undo portal server banner命令用来恢复缺省配置。
缺省情况下,无Web页面欢迎信息。
需要注意的是,配置的Web页面欢迎信息仅对缺省的认证页面有效,对于用户定制的认证页面无效。
【举例】
# 配置本地Portal服务器提供的Web页面欢迎信息为:Welcome to Portal Authentication。
<Sysname> system-view
[Sysname] portal server banner Welcome to Portal Authentication
【命令】
portal server server-name method { direct | layer3 | redhcp }
undo portal
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
method:认证方式。
· direct:直接认证方式。
· layer3:三层认证方式。
· redhcp:二次地址分配认证方式。
【描述】
portal server method命令用来在接口上使能三层Portal认证,同时指定引用的Portal服务器和认证方式。undo portal命令用来在接口上取消三层Portal认证。
缺省情况下,接口上没有使能三层Portal认证。
需要注意的是:
· 使能三层Portal认证的接口上所引用的Portal服务器必须已经存在。
· 使用本地Portal服务器的情况下,二次地址分配认证方式可配置但不生效。
相关配置可参考命令display portal server。
【举例】
# 在接口Vlan-interface100上使能三层Portal认证。指定Portal服务器pts,并配置为直接认证方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal server pts method direct
【命令】
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]
undo portal server server-name server-detect
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
server-detect method { http | portal-heartbeat }:Portal服务器探测方式。包括以下两种,且可同时选择。
· http:表示探测HTTP连接。接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。当Portal服务器不支持逃生心跳功能的时候只能使用此探测方式。
· portal-heartbeat:表示探测Portal心跳报文。设备检测Portal服务器定期发送的Portal心跳报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。该方式仅对支持Portal心跳检测机制(目前仅iMC的Portal服务器支持)的Portal服务器有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,且服务器上配置的逃生心跳间隔要小于等于设备上配置的探测间隔。
action { log | permit-all | trap }:Portal服务器可达状态的变化时,可触发执行的操作。包括以下三种,且同时可选择多种。
· log:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
· permit-all:也称为Portal逃生,表示在Portal服务器不可达时,暂时取消端口进行的Portal认证,允许所有Portal用户访问网络资源。之后,若端口收到服务器的探测报文,或者收到其它认证报文(上线报文、下线报文等),则恢复其Portal认证功能。
· trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。
interval interval:进行探测尝试的时间间隔,取值范围为20~600,单位为秒,缺省值为20。
retry retries:连续探测失败的最大次数,取值范围为1~5,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
【描述】
portal server server-detect命令用来配置对Portal服务器的探测功能,包括配置探测方法、可触发执行的操作、探测时间间隔以及最大探测失败次数。配置此功能后,设备会周期性地检测指定的Portal服务器状态是否可达,并在可达状态发生变化后执行指定的操作。undo portal server server-detect命令用来取消对指定的Portal服务器的探测功能配置。
缺省情况下,未配置对Portal服务器的探测功能。
需要注意的是:
· 可同时配置多种探测方式和可触发执行的操作。
· 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
· 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
· 在设备上删除Portal服务器时将会同时删除该服务器的探测功能配置。
· 对同一服务器多次执行探测功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对指定Portal服务器配置的探测功能,只有当该服务器在接口上使能之后才能生效。。
· 对于Portal服务器发来的其它认证报文(上线报文,下线报文等)也认为等效于心跳报文。
相关配置可参考命令display portal server。
【举例】
# 配置对Portal服务器pts的探测功能:探测方式为同时探测HTTP连接和Portal心跳报文,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的Trap信息和日志信息,并打开网络限制,允许未认证用户访问网络。
<Sysname> system-view
[Sysname] portal server pts server-detect method http portal-heartbeat action log permit-all trap interval 600 retry 2
【命令】
portal server server-name user-sync [ interval interval ] [ retry retries ]
undo portal server server-name user-sync
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
user-sync:开启Portal用户同步功能。
interval interval:检测用户同步报文的时间间隔,取值范围为60~3600,单位为秒,缺省值为300。
retry retries:连续检测失败的最大次数,取值范围为1~5,缺省值为4。如果接入设备上的某用户信息在连续retrie个周期内,都未曾在该服务器发送的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
【描述】
portal server user-sync命令用来配置对指定Portal服务器的Portal用户同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。undo portal server user-sync命令用来取消指定的Portal用户同步功能配置。
缺省情况下,未配置Portal用户同步功能。
需要注意的是:
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测间隔。
· 在设备上删除Portal服务器时将会同时删除该服务器的用户同步功能配置。
· 对同一服务器多次执行用户同步功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
【举例】
# 配置对Portal服务器pts的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
<Sysname> system-view
[Sysname] portal server pts user-sync interval 600 retry 2
【命令】
portal url-param include {nas-ip | nas-id | usermac [des-encrypt] | userurl } [ param-name param-name ]
undo portal url-param include { nas-ip | nas-id | usermac [des-encrypt] | userurl } [ param-name ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
nas-id:指定Portal重定向URL中包含NAS-ID参数。
user-mac:指定Portal重定向URL中包含UserMac参数。
des-encrypt:Portal重定向URL中的用户MAC地址采用DES方式加密。若不指定该参数,则表示Portal重定向URL中的用户MAC地址为明文。
user-url: 指定Portal重定向URL包含用户访问的URL。
param-name para-name:指定Portal重定向URL中包含的参数名称。其中,para-name表示参数名,为1~20个字符的字符串,区分大小写,且只支持字母和数字。指定的参数和参数名在Portal重定向URL中的格式为"para-name=param-value"。
【描述】
portal url-param include命令用来指定重定向URL需要携带的参数,并指定它在重定向URL中的参数名。undo portal url include命令用户取消重定向URL携带的参数。
缺省情况下,重定向URL不携带参数。
下面列举各个参数的具体含义及获取方式:
· nas-id
NAS-ID值的选择顺序:
(1) 首先从WLAN模块获取,若获取不到则转到步骤(2);
(2) 获取接口视图下通过nas-id-profile命令指定的NAS-ID Profile中与用户VLAN所绑定的NAS-ID,若获取不到则转到步骤(3);
(3) 获取接口下的nas-id配置值,若获取不到则转到步骤(4);
(4) 获取全局portal nas-id配置值,获取到做为用户的NAS-ID值;若获取不到,则不在Portal重定向URL中填该值。.
· user-mac
用户的MAC地址,格式为 XX-XX-XX-XX-XX-XX。
· des-encrypt
用户的MAC地址采用DES算法加密传输。
· user-url
用户认证成功后被重定向访问的URL地址。如果通过param-name参数指定了该值,则用户认证成功后将被强制访问指定的URL地址,否则访问用户认证之前首次访问的URL地址。
【举例】
# 指定重定向URL携带NAS-ID参数,参数名字为wlanasid。
<Sysname> system-view
[Sysname] portal url-param include nas-id param-name wlannasid
在如上配置的情况下,nas-id为test,设备向IP地址为10.1.2.34的客户端发送的重定向URL如下:
http://www.portal.com?wlanacname=0002.0010.100.00&
wlanuserip=10.1.2.34&ssid=easy&wlannasid=test
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
port-number:Web代理服务器的TCP端口号,取值范围为1~65535。
portal web-proxy port命令用来添加允许触发Portal认证的Web代理服务器端口。undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
缺省情况下,不存在允许触发Portal认证的Web代理服务器端口。
· 通过多次执行本命令,最多可以添加4个Web代理服务器端口。
· 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
对于三层Portal认证,还需要注意的是:
· 如果设备上已添加了80端口为Web代理服务器端口,则未使用代理服务器上网的客户端只有通过访问开启了HTTP服务的可达主机,才能触发Portal认证。
· 如果需要对认证成功的Portal用户下发授权ACL,则该ACL必须包含一条允许Web代理服务器IP地址的规则,否则用户上线后,无法接收远程Portal服务器发送的心跳检测报文。
# 某组网环境中,有些Portal客户端浏览器使用Web代理服务器上网,端口号为8080。为了允许这样的Portal用户认证上网,网络管理员需要在Portal接入设备上添加允许触发Portal认证的Web代理服务器端口号8080。
[Sysname] portal web-proxy port 8080
【命令】
portal wlan ssid ssid-name [ spot spot-name ] server server-name [ domain domain-name ]
undo portal wlan ssid ssid-name [ spot spot-name ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ssid ssid-name:无线用户接入的SSID的名称。为1~32个字符的字符串,区分大小写。
spot spot-name:AP热点的名称。为1~63个字符的字符串,区分大小写。
server server-name:要绑定的Portal服务器的名称,为1~32个字符的字符串,区分大小写。
domain domain-name:要绑定的ISP认证域的名称,为1~24个字符的字符串,不区分大小写。
【描述】
portal wlan ssid命令用来为指定的SSID和AP热点绑定使用的Portal服务器和认证域。与指定SSID以及AP热点相匹配的无线接入用户,将与本命令中指定的Portal服务器进行Portal认证并使用指定认证域中的AAA方案。undo portal wlan ssid命令用来删除为指定的SSID和AP热点配置的Portal服务器和认证域的绑定关系。
缺省情况下,没有为任何SSID和AP热点绑定使用的Portal服务器和认证域。
需要注意的是:
· 为使配置的绑定关系生效,需要配置相应的免认证规则,以保证设备发送给被绑定Portal服务器的报文可以被放行,以及需要保证绑定的Portal服务器和认证域存在。
· 无线用户接入时,先根据其接入的SSID和AP热点来查找使用的Portal server和认证域,若未找到与之匹配的绑定关系,则使用接口下使能Portal认证时指定的Portal server和系统视图下配置的认证域进行认证。
· 在AC上配置的热点名称spot必须与AP管理模板视图或射频视图下配置的nas-id或nas-port-id相匹配,如果同时配置了nas-id和nas-port-id则spot优先与nas-port-id进行匹配。AC上通过命令portal nas-id或portal nas-port-id配置的nas-id或nas-port-id不能与spot匹配。
相关配置可参考portal server、portal free-rule、nas-id(WLAN命令参考/WLAN服务)、nas-port-id(WLAN命令参考/WLAN服务)、service-template(WLAN命令参考/WLAN服务)和domain(安全命令参考/AAA)。
【举例】
# 已经存在名字为pt的portal服务器和名字为dm1的ISP认证域,配置SSID为wlan1和AP热点标识为sp1的无线用户与名称为pt的Portal服务器进行Portal认证,并使用名称为dm1的认证域。
[Sysname] portal wlan ssid wlan1 spot sp1 server pt domain dm1
【命令】
reset portal connection statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除所有接口上Portal的连接统计信息。
interface interface-type interface-number:清除指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
【描述】
reset portal connection statistics命令用来清除接口上Portal的连接统计信息。
【举例】
# 清除Vlan-interface1接口上Portal的连接统计信息。
<Sysname> reset portal connection statistics interface Vlan-interface1
【命令】
reset portal server statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除所有接口上Portal服务器的统计信息。
interface interface-type interface-number:清除指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
【描述】
reset portal server statistics命令用来清除接口上Portal服务器的统计信息。
【举例】
# 清除接口Vlan-interface1上的Portal服务器的统计信息。
<Sysname> reset portal server statistics interface Vlan-interface1
【命令】
reset portal tcp-cheat statistics
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
无
【描述】
reset portal tcp-cheat statistics命令用来清除TCP仿冒统计信息。
【举例】
# 清除TCP仿冒统计信息。
<Sysname> reset portal tcp-cheat statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!