• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

05-Web认证命令

本章节下载 05-Web认证命令  (157.20 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5500/S5500V2-SI/Command/Command_Manual/H3C_S5500V2-SI_CR-Release_3113P02-6W100/08/201712/1049690_30005_0.htm

05-Web认证命令


1 Web认证

1.1  Web认证配置命令

1.1.1  display web-auth

display web-auth命令用来显示接口上Web认证的配置信息。

【命令】

display web-auth [ interface interface-type interface-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。

【举例】

# 显示接口GigabitEthernet1/0/1上Web认证的配置信息。

<Sysname> display web-auth interface gigabitethernet 1/0/1

Global Web-auth parameters:                                                    

  Proxy Port Numbers         : Not configured                                  

  Online web-auth users: 1                                                     

 GigabitEthernet1/0/1  is link-up                                              

   Port role                  : Authenticator                                  

   Web-auth domain            : my-domain                                            

   Auth-Fail VLAN             : Not configured                                 

   Offline-detect             : Not configured                                 

   Max online users           : 1024                                           

   Web-auth enable            : Enabled                                        

                                                                                

  Online web-auth users: 1

表1-1 display web-auth命令显示信息描述表

字段

描述

interface is link-up

接口的状态,包括如下取值:

·     link-up:接口管理状态和物理状态均为开启

·     link-down:接口处于关闭状态

Offline-detect

Web认证用户在线检测功能的开启状态,取值包括如下:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Max online users

允许同时接入的Web认证最大用户数

Web-auth domain

Web认证用户使用的ISP域

Auth-fail VLAN

Web认证的认证失败VLAN

Web authentication

Web认证功能的开启状态,包括如下取值:

·     Enabled:开启

·     Disabled:关闭

 

【相关命令】

·     web-auth server

·     web-auth max-user

·     web-auth free-ip

·     web-auth auth-fail

·     web-auth domain

·     web-auth offline-detect

·     web-auth enable

1.1.2  display web-auth free-ip

display web-auth free-ip命令用来显示所有Web认证用户免认证的IP地址。

【命令】

display web-auth free-ip

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

【举例】

# 显示所有Web认证用户免认证的IP地址。

<Sysname> display web-auth free-ip

       Free IP           : 1.1.0.0        255.255.0.0

                         : 1.2.0.0        255.255.0.0

【相关命令】

·     web-auth free-ip

1.1.3  display web-auth server

display web-auth server命令用来显示Web认证服务器信息。

【命令】

display web-auth server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

server-nameWeb认证服务器的名称,为132个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web认证服务器的信息。

【举例】

# 显示Web认证服务器aaa的信息。

<Sysname> display web-auth server aaa

Web-auth server: aaa

  IP                    : 8.8.8.8

  Port                  : 80

  URL                   : http://8.8.8.8/portal/

  Redirection-wait-time : Not configured

  URL parameters        : Not configured

表1-2 display web-auth server命令显示信息描述表

字段

描述

Web-auth server

Web认证服务器名称

IP

Web认证服务器的IP地址

Port

Web认证服务器的端口号

URL

Web认证服务器的重定向URL

URL parameters

设备重定向给用户的URL中携带的参数信息。

 

【相关命令】

·     web-auth server

·     ip

·     url

·     url-parameter

1.1.4  display web-auth user

display web-auth user命令用来显示在线Web认证用户的信息。

【命令】

display web-auth user [ interface interface-type interface-name | slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。

slot slot-number:显示指定成员设备上所有接口在线Web认证用户的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上在线Web认证用户的信息。

【举例】

# 显示接口GigabitEthernet1/0/1上在线用户的信息。

<Sysname> display web-auth user interface gigabitethernet 1/0/1

  Online web-auth users: 1

 

User name: user1

  MAC address: 0000-2700-b076

  Access interface: Gigabitethernet 1/0/1

  Initial VLAN: 1

  Authorization VLAN: N/A                                                      

  Authorization ACL ID: N/A                                                    

  Authorization user profile: N/A

表1-3 display web-auth user命令显示信息描述表

字段

描述

Online web-auth users

显示在线用户总数

User Name

在线用户的用户名

MAC address

在线用户的MAC地址

Access interface

在线用户所接入的接口

Initial VLAN

初识的VLAN

Authorization untagged VLAN

授权的untagged VLAN

Authorization ACL ID

授权ACL编号

Authorization user profile

授权用户的User profile名称

 

1.1.5  ip

ip命令用来配置Web认证服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address port port-number

undo ip

【缺省情况】

不存在Web认证服务器的IP地址。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:表示Web认证服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。

port port-number:指定Web认证服务器的端口。port-number是端口号,取值范围为1~65535。

【使用指导】

此命令配置的IP地址和端口号必须与url命令中配置的IP地址和端口号保持一致,同时也必须与本地Portal Web服务器中配置的侦听端口号保持一致。有关本地Portal Web服务器的详细介绍请参见“安全配置指导”中的“Portal”。

配置的IP地址推荐使用LoopBack接口地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

同一个Web认证服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 配置Web认证服务器wbs的IP地址为192.168.1.1,端口为8080。

[Sysname-web-auth-server-wbs] ip 192.168.1.1 port 8080

【相关命令】

·     url

·     tcp-port(安全命令参考/Portal)

1.1.6  url

url命令用来配置Web认证服务器的重定向URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

不存在Web认证服务器的重定向URL。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:表示Web认证服务器的重定向URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令配置的Web认证服务器重定向URL是可以用标准HTTP或者HTTPS协议访问的URL,它必须以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省以http://开头。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

#配置Web认证服务器wbs的重定向URL为http://192.168.1.1:80/portal/。

[Sysname-web-auth-server-wbs] url http://192.168.1.1:80/portal/

【相关命令】

·     ip

·     tcp-port(安全命令参考/Portal)

1.1.7  url-parameter

url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。

undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。

【命令】

url-parameter parameter-name { original-url | source-address | source-mac | value expression }

undo url-parameter parameter-name

【缺省情况】

未配置设备重定向给用户的URL中携带的参数信息。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效

该命令用于配置用户访问Web认证服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如配置Web认证服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给源IP为1.1.1.1的用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与PC浏览器所接受的参数名保持一致,请根据具体情况配置URL参数名。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 配置Web认证服务器wbs的重定向URL的nas-ip参数。

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

[Sysname-web-auth-server-wbs] url-parameter userip source-address

[Sysname-web-auth-server-wbs] url-parameter userurl value http://www.abc.com/welcome

【相关命令】

·     web-auth server

1.1.8  web-auth auth-fail vlan

web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。

undo web-auth auth-fail vlan命令用来恢复缺省情况。

【命令】

web-auth auth-fail vlan authfail-vlan-id

undo web-auth auth-fail vlan

【缺省情况】

不存在Web认证的Auth-Fail VLAN。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。

【使用指导】

接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。

为使此功能生效,必须使能接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为免认证IP。

因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

当用户认证失败后,会把用户的MAC地址与Auth-fail VLAN进行绑定。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Web认证的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Web认证的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。

禁止删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

【举例】

# 配置接口GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] port link-type hybrid

[Sysname–GigabitEthernet1/0/1] mac-vlan enable

[Sysname–GigabitEthernet1/0/1] web-auth auth-fail vlan 5

【相关命令】

·     display web-auth

1.1.9  web-auth domain

web-auth domain命令用来指定Web认证用户使用的认证域。

undo web-auth domain命令用来恢复缺省情况。

【命令】

web-auth domain domain-name

undo web-auth domain

【缺省情况】

未指定Web认证用户认证使用的认证域。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写。

【使用指导】

在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] web-auth domain my-domain

1.1.10  web-auth enable

web-auth enable命令用来开启Web认证功能。

undo web-auth enable命令用来关闭Web认证功能。

【命令】

web-auth enable apply server server-name

undo web-auth enable

【缺省情况】

Web认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

server-name:表示引用的Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

此命令用来开启Web认证功能,并指定引用的Web认证服务器。

为使二层接口上的Web认证功正常运行,不建议在接口上同时开启端口安全功能和配置接口上的端口安全模式。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证功能,并指定引用的Web认证服务器为wbs。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth enable apply server wbs

【相关命令】

·     web-auth server

1.1.11  web-auth free-ip

web-auth free-ip命令用来配置Web认证用户免认证的IP地址。

undo web-auth free-ip命令用来恢复缺省情况。

【命令】

web-auth free-ip ip-address { mask-length | mask }

undo web-auth free-ip { ip-address { mask-length | mask } | all }

【缺省情况】

不存在Web认证用户免认证的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:Web认证用户免认证网段的IP地址。

mask-length:Web认证用户免认证网段IP地址的掩码长度,取值范围为0~32。

mask:Web认证用户免认证网段IP地址的子网掩码,点分十进制格式。

all:所有Web认证用户免认证网段。

【使用指导】

在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。

可通过重复执行此命令来配置多个Web认证用户免认证的IP地址。

【举例】

# 配置Web认证用户免认证的IP地址为192.168.0.0/24。

<Sysname> system-view

[Sysname] web-auth free-ip 192.168.0.0 24

1.1.12  web-auth max-user

web-auth max-user命令用来配置Web认证最大用户数。

undo web-auth max-user命令用来恢复缺省情况。

【命令】

web-auth max-user max-number

undo web-auth max-user

【缺省情况】

Web认证最大用户数为1024。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

max-number:表示接口上允许同时可接入的最大Web认证用户数,取值范围为1~2048。

【使用指导】

如果配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。

该命令指定的最大用户数仅为IPv4 Web认证用户数。

【举例】

# 在接口GigabitEthernet1/0/1上配置Web认证最大用户数为32。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth max-user 32

【相关命令】

·     display web-auth

1.1.13  web-auth offline-detect

web-auth offline-detect命令用来开启Web认证用户的在线检测功能。

undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。

【命令】

web-auth offline-detect interval interval

undo web-auth offline-detect interval

【缺省情况】

Web认证用户在线检测功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。

【使用指导】

在接口上开启此功能后,设备会以此命令指定的间隔定期检测此接口上所有在线用户的MAC地址表项是否被刷新过,若检测到某用户的MAC地址表项未被刷新过或者已经老化,则认为一次检测失败,若连续两次检测失败,设备将强制该用户下线。

由于设备进行检测时若发现用户MAC地址表项已经老化,则会认为检测失败,因此,为避免这种无效检测,建议配置的检测时间间隔小于或等于用户MAC地址表项的老化时间。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth offline-detect interval 3600

1.1.14  web-auth proxy port

web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。

undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。

【命令】

web-auth proxy port port-number

undo web-auth proxy port { port-number | all }

【缺省情况】

不存在Web认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。

all:指定所有Web认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。

多次配置本命令可以添加多个Web认证的Web代理服务器的TCP端口号。

配置Web认证的Web代理服务器的TCP端口号,需要注意的是:

·     如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。

·     除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将设备的本地Portal服务器监听IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。

【举例】

# 配置Web认证的Web代理服务器的TCP端口号。

<Sysname> system-view

[Sysname] web-auth proxy port 7777

1.1.15  web-auth server

web-auth server命令用来创建Web认证服务器,并进入Web认证服务器视图。如果指定的Web认证服务器已经存在,则直接进入Web认证服务器视图。

undo web-auth server命令用来删除指定的Web认证服务器。

【命令】

web-auth server server-name

undo web-auth server server-name

【缺省情况】

不存在Web认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:表示Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在Web认证服务器视图下可以配置Web认证服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。

【举例】

# 创建Web认证服务器,并进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs]

【相关命令】

·     web-auth enable apply server

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们