选择区域语言: EN CN HK

10-安全命令参考

23-Web认证命令

本章节下载  (165.9 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500-S/Command/Command_Manual/H3C_S12500-S_CR-R7523P01-6W100/10/201608/947294_30005_0.htm

23-Web认证命令


1 Web认证

1.1  Web认证配置命令

1.1.1  display web-auth

display web-auth命令用来显示接口上Web认证的配置信息。

【命令】

display web-auth [ interface interface-type interface-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。

【举例】

# 显示接口GigabitEthernet1/0/1上Web认证的配置信息。

<Sysname> display web-auth interface gigabitethernet 1/0/1

 Global Web-auth parameters  :

  Proxy Port Numbers         : Not configured

  Total online web-auth users: 1

 GigabitEthernet1/0/1  is link-up

   Port role                  : Authenticator

   Web-auth domain            : my-domain

   Auth-Fail VLAN             : Not configured

   Offline-detect             : Not configured

   Max online users           : 1024

   Web-auth enable            : Enabled

 

  Total online web-auth users: 1

表1-1 display web-auth命令显示信息描述表

字段

描述

Global Web-auth parameters

全局Web认证参数

Proxy Port Numbers

Web代理服务器端口

Total online web-auth users

全局Web认证的在线用户数

GigabitEthernet1/0/1 is link-up

接口GigabitEthernet1/0/1的状态,包括如下取值:

·     link-up:接口管理状态和物理状态均为开启

·     link-down:接口处于关闭状态

Port role

端口具备Web认证的能力

Web-auth domain

Web认证用户使用的ISP域

Auth-fail VLAN

Web认证的认证失败VLAN,如果没有配置,则显示Not configured

Offline-detect

Web认证用户在线检测的时间间隔,Not configured表示Web认证用户在线检测功能处于关闭状态

Max online users

允许同时接入的Web认证最大用户数

Web-auth enable

Web认证功能的开启状态,包括如下取值:

·     Enabled:开启

·     Disabled:关闭

Total online web-auth users

接口下Web认证的在线用户数

 

1.1.2  display web-auth free-ip

display web-auth free-ip命令用来显示所有Web认证用户免认证的目的IP地址。

【命令】

display web-auth free-ip

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示所有Web认证用户免认证的目的IP地址。

<Sysname> display web-auth free-ip

       Free IP           : 1.1.0.0        255.255.0.0

                         : 1.2.0.0        255.255.0.0

【相关命令】

·     web-auth free-ip

1.1.3  display web-auth server

display web-auth server命令用来显示Web认证服务器信息。

【命令】

display web-auth server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

server-name:Web认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web认证服务器的信息。

【举例】

# 显示Web认证服务器aaa的信息。

<Sysname> display web-auth server aaa

Web-auth server: aaa

  IP                    : 8.8.8.8

  Port                  : 80

  URL                   : http://8.8.8.8/portal/

  Redirect-wait-time    : Not configured

  URL parameters        : Not configured

表1-2 display web-auth server命令显示信息描述表

字段

描述

Web-auth server

Web认证服务器名称

IP

Web认证服务器的IP地址

Port

Web认证服务器的端口号

URL

Web认证服务器的重定向URL

Redirect-wait-time

Web认证用户认证成功后认证页面跳转的时间间隔

URL parameters

设备重定向给用户的URL中携带的参数信息。

 

1.1.4  display web-auth user

display web-auth user命令用来显示在线Web认证用户的信息。

【命令】

(独立运行模式))

display web-auth user [ interface interface-type interface-number | slot slot-number ]

(IRF模式)

display web-auth user [ interface interface-type interface-number | chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。

slot slot-number:显示指定单板上所有接口在线Web认证用户的信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上在线Web认证用户的信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上所有接口在线Web认证用户的信息。chassis-number表示设备在IRF中的成员编号或者PEX对应的虚拟框号,slot-number表示单板或PEX所在的槽位号。若不指定该参数,则表示所有单板上在线Web认证用户的信息。(IRF模式)

【举例】

# 显示接口GigabitEthernet1/0/1上在线用户的信息。

<Sysname> display web-auth user interface gigabitethernet 1/0/1

  Online web-auth users: 1

 

User name: user1

  MAC address: 0000-2700-b076

  Access interface: Gigabitethernet 1/0/1

  Initial VLAN: 1

  Authorization VLAN: N/A

  Authorization ACL ID: N/A

  Authorization user profile: N/A

表1-3 display web-auth user命令显示信息描述表

字段

描述

Online web-auth users

显示在线用户总数

User name

在线用户的用户名

MAC address

在线用户的MAC地址

Access interface

在线用户所接入的接口

Initial VLAN

初识的VLAN

Authorization VLAN

授权的VLAN

Authorization ACL ID

授权ACL编号

Authorization user profile

暂不支持

 

1.1.5  ip

ip命令用来配置Web认证服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address port port-number

undo ip

【缺省情况】

不存在Web认证服务器的IP地址。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:表示Web认证服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。

port port-number:指定Web认证服务器的端口。port-number是端口号,取值范围为1~65535。

【使用指导】

此命令配置的IP地址和端口号必须与url命令中配置的IP地址和端口号保持一致,同时也必须与本地Portal Web服务器中配置的侦听端口号保持一致。有关本地Portal Web服务器的详细介绍请参见“安全配置指导”中的“Portal”。

配置Web认证服务器的IP地址,建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:

·     状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。

·     由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

同一个Web认证服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 配置Web认证服务器wbs的IP地址为192.168.1.1,端口为8080。

[Sysname-web-auth-server-wbs] ip 192.168.1.1 port 8080

【相关命令】

·     url

·     tcp-port(安全命令参考/Portal)

1.1.6  redirect-wait-time

redirect-wait-time命令用来配置认证页面跳转的时间间隔。

undo redirect-wait-time命令用来恢复缺省情况。

【命令】

redirect-wait-time period

undo redirect-wait-time

【缺省情况】

Web认证用户认证成功后认证页面跳转的时间间隔为5秒。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period:表示自Web认证用户认证成功后,当前认证页面开始跳转到其他页面的时间间隔,取值范围为1~90,单位为秒。

【使用指导】

在某些应用环境中,例如,Web认证用户认证成功并加入授权VLAN后,若客户端需要自动更新IP地址,则需要保证认证页面跳转的时间间隔大于用户自动更新IP地址的时间,否则用户会因为IP地址还未完成更新而无法打开指定的跳转网站页面。在这种情况下,为了保证Web认证功能的正常运行,需要调整认证页面跳转的时间间隔。

【举例】

# 配置Web认证用户认证成功后认证页面跳转的时间间隔10秒

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs] redirect-wait-time 10

【相关命令】

·     web-auth server

1.1.7  url

url命令用来配置Web认证服务器的重定向URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

不存在Web认证服务器的重定向URL。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

url-string:表示Web认证服务器的重定向URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令配置的Web认证服务器重定向URL是可以用标准HTTP或者HTTPS协议访问的URL,它必须以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省以http://开头。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

#配置Web认证服务器wbs的重定向URL为http://192.168.1.1:80/portal/。

[Sysname-web-auth-server-wbs] url http://192.168.1.1:80/portal/

【相关命令】

·     ip

·     tcp-port(安全命令参考/Portal)

1.1.8  url-parameter

url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。

undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。

【命令】

url-parameter parameter-name { original-url | source-address | source-mac | value expression }

undo url-parameter parameter-name

【缺省情况】

未配置设备重定向给用户的URL中携带的参数信息。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效

该命令用于配置用户访问Web认证服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如配置Web认证服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给源IP为1.1.1.1的用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与PC浏览器所接受的参数名保持一致,请根据具体情况配置URL参数名。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

[Sysname-web-auth-server-wbs] url-parameter userip source-address

[Sysname-web-auth-server-wbs] url-parameter userurl value http://www.abc.com/welcome

【相关命令】

·     web-auth server

1.1.9  web-auth auth-fail vlan

web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。

undo web-auth auth-fail vlan命令用来恢复缺省情况。

【命令】

web-auth auth-fail vlan authfail-vlan-id

undo web-auth auth-fail vlan

【缺省情况】

不存在Web认证的Auth-Fail VLAN。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。

【使用指导】

接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。

为使此功能生效,必须开启二层以太网接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为Web认证用户免认证的目的IP地址。

因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

当用户认证失败后,设备将Web认证用户的MAC地址与Auth-fail VLAN进行绑定。

禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。

【举例】

# 配置接口GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] port link-type hybrid

[Sysname–GigabitEthernet1/0/1] mac-vlan enable

[Sysname–GigabitEthernet1/0/1] web-auth auth-fail vlan 5

【相关命令】

·     display web-auth

1.1.10  web-auth domain

web-auth domain命令用来指定Web认证用户使用的认证域。

undo web-auth domain命令用来恢复缺省情况。

【命令】

web-auth domain domain-name

undo web-auth domain

【缺省情况】

未指定Web认证用户认证使用的认证域。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] web-auth domain my-domain

1.1.11  web-auth enable

web-auth enable命令用来开启Web认证功能。

undo web-auth enable命令用来关闭Web认证功能。

【命令】

web-auth enable apply server server-name

undo web-auth enable

【缺省情况】

Web认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:表示引用的Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

此命令用来开启Web认证功能,并指定引用的Web认证服务器。

为使Web认证功正常运行,在接入设备的二层以太网接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证功能,并指定引用的Web认证服务器为wbs。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth enable apply server wbs

【相关命令】

·     web-auth server

1.1.12  web-auth free-ip

web-auth free-ip命令用来配置Web认证用户免认证目的IP地址。

undo web-auth free-ip命令用来恢复缺省情况。

【命令】

web-auth free-ip ip-address { mask-length | mask }

undo web-auth free-ip { ip-address { mask-length | mask } | all }

【缺省情况】

不存在Web认证用户免认证的目的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ip-address:Web认证用户免认证目的网段的IP地址。

mask-length:Web认证用户免认证目的网段IP地址的掩码长度,取值范围为0~32。

mask:Web认证用户免认证目的网段IP地址的子网掩码,点分十进制格式。

all:Web认证用户可免认证访问的所有网段。

【使用指导】

在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。

可通过重复执行此命令来配置多个Web认证用户免认证的目的IP地址。

【举例】

# 配置Web认证用户免认证的目的IP地址为192.168.0.0/24。

<Sysname> system-view

[Sysname] web-auth free-ip 192.168.0.0 24

1.1.13  web-auth max-user

web-auth max-user命令用来配置Web认证最大用户数。

undo web-auth max-user命令用来恢复缺省情况。

【命令】

web-auth max-user max-number

undo web-auth max-user

【缺省情况】

接口上同时可接入的最大Web认证用户数为1024。。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:表示接口上同时可接入的最大Web认证用户数,取值范围为1~2048。

【使用指导】

若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。

该命令指定的最大用户数仅为IPv4 Web认证用户数。

【举例】

# 在接口GigabitEthernet1/0/1上配置Web认证最大用户数为32。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth max-user 32

【相关命令】

·     display web-auth

1.1.14  web-auth offline-detect

web-auth offline-detect命令用来开启Web认证用户的在线检测功能。

undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。

【命令】

web-auth offline-detect interval interval

undo web-auth offline-detect interval

【缺省情况】

Web认证用户在线检测功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。

【使用指导】

在二层以太网接口上开启此功能后,接入设备会以此命令指定的时间间隔定期检测此接口上所有在线Web认证用户的MAC地址表项是否被刷新过。若检测到某Web认证用户的MAC地址表项未被刷新过或者已经老化,则认为对此Web认证用户一次检测失败。若连续两次检测失败,则设备认为该Web认证用户已离开,并将此用户置为下线状态,同时通知AAA服务器停止对此用户进行计费。

由于设备进行检测时若发现Web认证用户MAC地址表项已经老化,则认为对此Web认证用户探测失败,因此,为避免这种无效检测,请配置的探测时间间隔不要大于设备上MAC地址表项的老化时间。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth offline-detect interval 3600

1.1.15  web-auth proxy port

web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。

undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。

【命令】

web-auth proxy port port-number

undo web-auth proxy port { port-number | all }

【缺省情况】

不存在Web认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。

all:指定所有Web认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的浏览器发起的HTTP请求才能触发Portal认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP请求也可以触发Web认证。

多次配置本命令可以添加多个Web认证的Web代理服务器的TCP端口号。

配置Web认证的Web代理服务器的TCP端口号,需要注意的是:

·     如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要将WPAD主机的IP地址配置为Web认证用户免认证的目的IP地址。

·     除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将接入设备上Web认证服务器的IP地址加入到Web代理服务器的例外情况中,使Web认证服务器的IP地址不使用Web代理服务器,避免Web认证用户发送给Web认证页面的HTTP报文被发送到Web代理服务器上,从而影响正常的Web认证。

【举例】

# 配置Web认证的Web代理服务器的TCP端口号。

<Sysname> system-view

[Sysname] web-auth proxy port 7777

1.1.16  web-auth server

web-auth server命令用来创建Web认证服务器,并进入Web认证服务器视图。如果指定的Web认证服务器已经存在,则直接进入Web认证服务器视图。

undo web-auth server命令用来删除指定的Web认证服务器。

【命令】

web-auth server server-name

undo web-auth server server-name

【缺省情况】

不存在Web认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:表示Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在Web认证服务器视图下可以配置Web认证服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。

【举例】

# 创建Web认证服务器,并进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs]

【相关命令】

·     web-auth enable apply server

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!