国家 / 地区

15-用户接入命令参考

08-Portal命令

本章节下载  (448.51 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Command/Command_Manual/H3C_SR8800-F_CR-R7655PXX-6W761/15/201809/1111541_30005_0.htm

08-Portal命令

目  录

1 Portal

1.1 Portal配置命令

1.1.1 aging-time

1.1.2 authentication-timeout

1.1.3 binding-retry

1.1.4 default-logon-page

1.1.5 display portal

1.1.6 display portal http-defense attacked-ip

1.1.7 display portal http-defense blocked-ip

1.1.8 display portal http-defense ip-count

1.1.9 display portal http-defense monitored-ip

1.1.10 display portal mac-trigger entry

1.1.11 display portal mac-trigger-server

1.1.12 display portal packet statistics

1.1.13 display portal rule

1.1.14 display portal server

1.1.15 display portal user

1.1.16 display portal web-server

1.1.17 display web-redirect rule

1.1.18 free-traffic threshold

1.1.19 if-match

1.1.20 ip (MAC binding server view)

1.1.21 ip (portal authentication server view)

1.1.22 ipv6

1.1.23 nas-port-type

1.1.24 port (MAC binding server view)

1.1.25 port (portal authentication server view)

1.1.26 portal { bas-ip | bas-ipv6 } (interface view)

1.1.27 portal { ipv4-max-user | ipv6-max-user } (interface view)

1.1.28 portal apply mac-trigger-server

1.1.29 portal apply pre-auth-policy

1.1.30 portal apply web-server (interface view)

1.1.31 portal authorization strict-checking

1.1.32 portal delete-user

1.1.33 portal device-id

1.1.34 portal domain (interface view)

1.1.35 portal enable (interface view)

1.1.36 portal fail-permit server

1.1.37 portal free-rule

1.1.38 portal free-rule destination

1.1.39 portal free-rule source

1.1.40 portal http-defense

1.1.41 portal http-defense enable

1.1.42 portal http-defense max-ip-number

1.1.43 portal ipv6 layer3 source

1.1.44 portal ipv6 user-detect

1.1.45 portal layer3 source

1.1.46 portal local-web-server

1.1.47 portal mac-trigger-server

1.1.48 portal max-user

1.1.49 portal nas-id-profile

1.1.50 portal nas-port-id format

1.1.51 portal pre-auth ip-pool

1.1.52 portal pre-auth policy

1.1.53 portal roaming enable

1.1.54 portal server

1.1.55 portal traffic-backup threshold

1.1.56 portal user-block failed-times

1.1.57 portal user-block reactive

1.1.58 portal user-detect

1.1.59 portal user-dhcp-only (interface view)

1.1.60 portal user log enable

1.1.61 portal web-proxy port

1.1.62 portal web-server

1.1.63 reset portal http-defense attacked-ip

1.1.64 reset portal http-defense blocked-ip

1.1.65 reset portal packet statistics

1.1.66 server-detect (portal authentication server view)

1.1.67 server-detect (portal web server view)

1.1.68 server-register

1.1.69 server-type

1.1.70 server-type (MAC binding server view)

1.1.71 tcp-port

1.1.72 url

1.1.73 url-parameter

1.1.74 user-attribute

1.1.75 user-sync

1.1.76 version

1.1.77 vpn-instance

1.1.78 web-redirect url

 


1 Portal

1.1  Portal配置命令

说明

本功能仅CSPEX单板支持。

 

1.1.1  aging-time

aging-time命令用来配置MAC-Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC-Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。

【举例】

# 指定MAC-Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·              display mac-trigger-server

1.1.2  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。

如果在定时器超时前,用户成功完成Portal认证,设备将立即删除该用户的MAC-Trigger表项;如果在定时器超时后,用户仍未完成Portal认证,则设备在等待该用户的MAC-Trigger表项到达老化时间后,删除该MAC-Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·              display mac-trigger-server

1.1.3  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·              display mac-trigger-server

1.1.4  default-logon-page

default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务未提供缺省认证页面文件。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。如果没有配置default-logon-page命令,则设备中就不存在为用户进行Portal认证的缺省认证页面文件,进而,用户无法进行正常的本地Portal认证。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·              portal local-web-server

1.1.5  display portal

display portal命令用来显示Portal配置信息和Portal运行状态信息。

【命令】

display portal interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:表示接口类型和接口编号。

【举例】

# 显示接口GigabitEthernet1/0/1的Portal配置信息和Portal运行状态信息。

<Sysname> display portal interface gigabitethernet 1/0/1

 Portal information of GigabitEthernet1/0/1

     NAS-ID profile: aaa

     Authorization : Strict checking

     ACL           : Enabled

     User profile  : Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Layer3

     Portal web server: wbs

     Portal mac-trigger-server: mts

     Authentication domain: my-domain

     Pre-auth policy: abc

     User-dhcp-only: Enabled

     Pre-auth IP pool: ab

     Max Portal users: Not configured

     Bas-ip: Not configured

     User detection: Type: ICMP  Interval: 300s  Attempts: 5  Idle time: 180s

     Action for sever detection:

         Server type    Server name                        Action

         Web server     wbs                                fail-permit

         Portal server  pts                                fail-permit

     Layer3 source network:

         IP address               Mask

         1.1.1.1                  255.255.0.0

 

IPv6:

     Portal status: Disabled

     Portal authentication method: Disabled

     Portal web server: Not configured

     Authentication domain: Not configured

     Pre-auth policy: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max Portal users: Not configured

     Bas-ipv6: Not configured

     User detection: Not configured

     Action for sever detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address                                        Prefix length

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

NAS-ID profile

接口上引用的NAS-ID profile

Authorization

服务器下发给Portal用户的授权信息类型,包括ACL和User profile

Strict checking

Portal授权信息的严格检查模式是否开启

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·          Disabled:Portal认证未开启

·          Enabled:Portal认证已开启

·          Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放

Portal authentication method

接口上配置的认证方式,包括以下取值:

·          Direct:直接认证方式

·          Redhcp:二次地址分配认证方式

·          Layer3:可跨三层认证方式

Portal Web server

接口上配置的Portal Web服务器的名称

Portal mac-trigger-server

接口上配置MAC绑定服务器的名称

Authentication domain

接口上的Portal强制认证域

Pre-auth policy

接口上的Portal认证前策略,即Portal认证前用户使用的认证策略

User-dhcp-only

仅允许通过DHCP方式获取IP地址的客户端上线功能

·          Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线

·          Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线

Pre-auth ip-pool

为认证前的Portal用户指定的IP地址池名称

Max Portal users

接口上配置的最大用户数

Bas-ip

发送给Portal认证服务器的Portal报文的BAS-IP属性

Bas-ipv6

发送给Portal认证服务器的Portal报文的BAS-IPv6属性

User detection

接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间

Action for server detection

服务器可达性探测功能对应的端口控制配置:

·          Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器

·          Server name:服务器名称

·          Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)

Layer3 source subnet

Portal源认证网段信息

IP address

Portal认证网段的IP地址

Mask

Portal认证网段的子网掩码

Prefix length

Portal IPv6认证网段的地址前缀长度

 

【相关命令】

·              portal domain

·              portal enable

·              portal ipv6 layer3 source

·              portal layer3 source

·              portal web-server

1.1.6  display portal http-defense attacked-ip

display portal http-defense attacked-ip命令用来显示HTTP防攻击中被攻击过的目的IP统计信息。

【命令】

(独立运行模式)

display portal http-defense attacked-ip [ slot slot-number ]

(IRF模式)

display portal http-defense attacked-ip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定单板上HTTP防攻击中被攻击过的目的IP统计信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上最近发生的HTTP防攻击中被攻击过的目的IP统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上HTTP防攻击中被攻击过的目的IP统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上HTTP防攻击中被攻击过的目的IP统计信息。(IRF模式)

【使用指导】

本命令用来显示发生过HTTP攻击的目的IP统计信息,最多可显示512条攻击记录信息。当记录信息超过512条时,将会删除最早的记录,同时添加最新的攻击信息。

【举例】

# 显示HTTP攻击中被攻击过的目的IP统计信息。(独立运行模式)

<Sysname> display portal http-defense attacked-ip

Slot 0:

  Dest IP       Attacks          First attack             Last attack

  1.1.1.2         1              17:12:34 11/23/2016      17:12:34 11/23/2016

  2.2.2.2         2              17:12:34 11/23/2016      17:13:25 11/23/2016

表1-2 display portal http-defense attacked-ip命令显示信息描述表

字段

描述

Dest IP

发生过HTTP攻击的目的IP地址

Attacks

该目的IP发生过HTTP攻击的次数

First attack

该目的IP首次发生攻击的时间

Last attack

该目的IP最后一次发生攻击的时间

 

【相关命令】

·              reset portal http-defense attacked-ip

1.1.7  display portal http-defense blocked-ip

display portal http-defense blocked-ip命令用来显示HTTP防攻击中处于阻塞状态的目的IP统计信息。

【命令】

(独立运行模式)

display portal http-defense blocked-ip [ slot slot-number ]

(IRF模式)

display portal http-defense blocked-ip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定单板上HTTP防攻击中处于阻塞状态的目的IP统计信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上HTTP防攻击中处于阻塞状态的目的IP地址统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上HTTP防攻击中处于阻塞状态的目的IP统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上HTTP防攻击中处于阻塞状态的目的IP统计信息。(IRF模式)

【举例】

# 显示HTTP攻击中处于阻塞状态的目的IP统计信息。(独立运行模式)

<Sysname> display portal http-defense blocked-ip

Slot 0:

  Destination IP address       Defense status on driver

  1.1.1.2                      Successed

  2.2.2.2                      Failed

表1-3 display portal http-defense blocked-ip命令显示信息描述表

字段

描述

Destination IP address

HTTP防攻击中处于阻塞状态的目的IP地址列表

Defense status on driver

HTTP防攻击中处于阻塞状态的目的IP地址下发到驱动的标志,有如下取值:

·          Succeed:下发到驱动成功

·          Failed:下发到驱动失败

 

【相关命令】

·              reset portal http-defense blocked-ip

1.1.8  display portal http-defense ip-count

display portal http-defense ip-count命令用来显示HTTP防攻击中处于不同状态的目的IP数目。

【命令】

(独立运行模式)

display portal http-defense ip-count [ slot slot-number ]

(IRF模式)

display portal http-defense ip-count [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定单板上HTTP防攻击中处于不同状态的目的IP数目。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上HTTP防攻击中处于不同状态的目的IP数目。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上HTTP防攻击中处于不同状态的目的IP数目。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上HTTP防攻击中处于不同状态的目的IP数目。(IRF模式)

【举例】

# 显示HTTP攻击中处于不同状态的目的IP数目。(独立运行模式)

<Sysname> display portal http-defense ip-count

Slot 0:

    Blocked IP: 10    

    Attacked IP: 20    

    Monitored IP: 10

表1-4 display portal http-defense ip-count命令显示信息描述表

字段

描述

Blocked IP

HTTP防攻击中处于阻塞状态的目的IP数目

Attacked IP

HTTP防攻击中被阻塞过的目的IP数目

Monitored IP

HTTP防攻击中处于监控状态的目的IP数目

 

1.1.9  display portal http-defense monitored-ip

display portal http-defense monitored-ip命令用来显示HTTP防攻击中处于监控状态下的目的IP统计信息。

【命令】

(独立运行模式)

display portal http-defense monitored-ip [ slot slot-number ]

(IRF模式)

display portal http-defense monitored-ip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定单板上的HTTP防攻击中处于监控状态的目的IP统计信息。slot-number表示单板所在的槽位号。若不指定该参数,则显示所有单板上的HTTP防攻击中处于监控状态的目的IP统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的HTTP防攻击中处于监控状态的目的IP统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的HTTP防攻击中处于监控状态的目的IP统计信息。(IRF模式)

【使用指导】

显示HTTP防攻击过程中尚未满足攻击条件仍处于监控状态下的目的IP统计信息,且显示的最大目的IP地址数为portal http-defense max-ip-number max-ip-number配置的数量。如果某个目的IP地址已经满足攻击条件,则该目的IP地址会被阻塞。被阻塞的目的IP地址信息可以通过命令display portal http-defense blocked-ip查看。

【举例】

# 显示HTTP防攻击中处于监控状态的目的IP统计信息。(独立运行模式)

<Sysname> display portal http-defense monitored-ip

Slot 0:

      IP address            Packet statistics

      1.1.1.2               30

      1.1.1.3               100

      1.1.1.4               50

表1-5 display portal http-defense monitored-ip命令显示信息描述表

字段

描述

IP address

处于监控状态的目的IP地址信息

Packet statistics

访问目的IP地址的报文个数

 

【相关命令】

·              display portal http-defense blocked-ip

1.1.10  display portal mac-trigger entry

display portal mac-trigger entry命令用来显示用户的MAC Trigger表项信息。

【命令】

display portal mac-trigger entry [ ip ipv4-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip ipv4-address:显示指定IPv4用户的MAC Trigger表项信息。ipv4-address表示指定用户的IPv4地址。若未指定该参数,则显示当前所有用户的MAC Trigger表项信息。

【举例】

# 显示当前所有用户的MAC Trigger表项信息。

<Sysname> display portal mac-trigger entry

IP       MAC ADDR         L3IF    L2IF                   SVLAN CVLAN Status   Source

2.2.2.2  0001-0001-0001   vlan2   GE1/0/2                2     --    Bound    Portal

表1-6 display portal mac-trigger entry命令显示信息描述表

字段

描述

IP

接入用户的IP地址

MAC

接入用户的MAC地址

L3IF

用户接入的三层接口

L2IF

用户接入的二层端口

用户接入的接口为三层接口时,该处显示为“--”

SVLAN

Portal用户报文的外层VLAN ID

CVLAN

Portal用户报文的内层VLAN ID

Status

用户的MAC地址和认证信息的绑定状态,包括以下取值:

·          Auth-free:MAC地址免认证通行状态

·          Querying:MAC地址查询等待状态

·          Not bound:MAC地址未绑定状态

·          Bound:MAC地址已绑定状态

·          Deleting:MAC地址无效状态,对应的MAC Trigger表项正在被删除

Source

用户接入的认证方式,包括以下取值:

·          Portal

·          IPoE

 

1.1.11  display portal mac-trigger-server

display portal mac-trigger-server命令用来显示MAC绑定服务器信息。

【命令】

display portal mac-trigger-server { all | name server-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有MAC绑定服务器信息。

name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。

【举例】

# 显示全部MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server all

Portal mac-trigger server: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

Portal mac-trigger server: mts

  Version                    : 1.0

  Server type                : IMC

  IP                         : 4.4.4.2

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  Free-traffic threshold     : 0 bytes

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

# 显示名字为ms1的MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server name ms1

Portal mac-trigger server: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

表1-7 display portal mac-trigger-server命令显示信息描述表

字段

描述

Portal mac-trigger-server

MAC绑定服务器的名称

Version

Portal协议报文的版本,取值包括:

·          1.0:版本1

·          2.0:版本2

·          3.0:版本3

Server type

MAC绑定服务器的服务类型,取值包括:

·          CMCC:CMCC Portal服务器

·          iMC:H3C iMC Portal服务器或H3C CAMS Portal服务器

IP

MAC绑定服务器的IP地址

Port

设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号

VPN instance

MAC绑定服务器所属的VPN实例

Aging time

MAC-Trigger表项老化时间,单位为秒

Free-traffic threshold

用户免认证流量阈值,单位为字节

NAS-Port-Type

发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值

Binding retry times

设备向MAC绑定服务器发起MAC查询的最大尝试次数

Binding retry interval

设备向MAC绑定服务器发起MAC查询的时间间隔

Authentication timeout

设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间

 

1.1.12  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器的报文统计信息。

【命令】

display portal packet statistics [ server server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

执行此命令后,显示的报文统计信息包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息。

若不指定参数server,则依次显示所有Portal认证服务器的报文统计信息。

【举例】

# 显示名称为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

 Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_HEARTBEAT                       0        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

表1-8 display portal server statistics命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

Invalid packets

无效报文的数目

Pkt-Type

报文的名称

Total

报文的总数

Drops

丢弃报文数

Errors

携带错误信息的报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

 

【相关命令】

·              reset portal packet statistics

1.1.13  display portal rule

display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。

【命令】

(独立运行模式)

display portal rule { all | dynamic | static } { interface interface-type interface-number [ slot slot-number ] }

(IRF模式)

display portal rule { all | dynamic | static } { interface interface-type interface-number [ chassis chassis-number slot slot-number ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有Portal过滤规则信息,包括动态Portal过滤规则和静态Portal过滤规则。

dynamic:显示动态Portal过滤规则信息,即用户通过Portal认证后设备上产生的Portal过滤规则,这类规则定义了允许指定源IP地址的报文通过接口。

static:显示静态Portal规则信息,即开启Portal后产生的Portal过滤规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。

slot slot-number:显示指定单板上的Portal过滤规则信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的Portal过滤规则信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(IRF模式)

【举例】

# 显示接口GigabitEthernet1/0/1上指定slot上的所有Portal过滤规则的信息。(独立运行模式)

<Sysname> display portal rule all interface gigabitethernet 1/0/1 slot 1

Slot 1:

IPv4 portal rules on GigabitEthernet1/0/1:

Rule 1

 Type                : Static

 Action              : Permit

Protocol            : Any

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 192.168.0.111

    Mask           : 255.255.255.255

    Port           : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 2.2.2.2

    MAC            : 000d-88f8-0eab

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Author ACL:

    Number         : 3001

 

Rule 3

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

    Protocol       : TCP

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

 

IPv6 portal rules on GigabitEthernet1/0/1:

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP             : ::

    Prefix length  : 0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 3000::1

    Prefix length  : 64

    Port           : Any

 

Rule 2

 Type                 : Dynamic

 Action               : Permit

 Status               : Active

 Source:

    IP              : 3000::1

    MAC             : 0015-e9a6-7cfe

    Interface       : GigabitEthernet1/0/1

    VLAN            : Any

 Author ACL:

    Number          : 3001

 

Rule 3

 Type                 : Static

 Action               : Redirect

 Status               : Active

 Source:

    IP              : ::

    Prefix length   : 0

    Interface       : GigabitEthernet1/0/1

    VLAN            : Any

    Protocol        : TCP

 Destination:

    IP              : ::

    Prefix length   : 0

    Port            : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : ::

    Prefix length  : 0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : ::

    Prefix length  : 0

 

Rule 5:

 Type                : Static

 Action              : Match pre-auth ACL

 Status              : Active

 Source:

    Interface      : GigabitEthernet1/0/1

Pre-auth ACL:

    Number         : 3002

表1-9 display portal rule命令显示信息描述表

字段

描述

Rule

Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号

Type

Portal过滤规则的类型,包括以下取值:

·          Static:静态类型

·          Dynamic:动态类型

Action

Portal过滤规则的匹配动作,包括以下取值:

·          Permit:允许报文通过

·          Redirect:重定向报文

·          Deny:拒绝报文通过

·          Match pre-auth ACL:匹配认证前策略中的授权ACL规则

Protocol

Portal免认证过滤规则中使用的传输层协议,包括以下取值:

·          Any:不限制传输层协议类型

·          TCP:TCP传输类型

·          UDP:UDP传输类型

Status

Portal过滤规则下发的状态,包括以下取值:

·          Active:表示规则已生效

·          Unactuated:表示规则未生效

Source

Portal过滤规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

Port

源传输层端口号

MAC

源MAC地址

Interface

Portal过滤规则应用的二层或三层接口

VLAN

源VLAN

Protocol

Portal重定向过滤规则中使用的传输层协议类型,取值只能为TCP

Destination

Portal规则的目的信息

IP

目的IP地址

Port

目的传输层端口号

Mask

目的IPv4地址子网掩码

Prefix length

目的IPv6地址前缀

Author ACL

Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示

Pre-auth ACL

Portal用户认证前的授权ACL,该字段仅在Action为Match pre-auth ACL时显示

Number

授权ACL编号,N/A表示AAA未授权ACL

 

1.1.14  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  Type                  : IMC

  IP                    : 192.168.0.111

  VPN instance          : Not configured

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log, trap

  User synchronization  : Timeout 200s

  Status                : Up

表1-10 display portal server命令显示信息描述表

字段

描述

Type

Portal认证服务器类型,其取值如下:

·          CMCC:符合中国移动标准规范的服务器

·          iMC:符合iMC标准规范的服务器

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

VPN instance

Portal认证服务器所属的MPLS L3VPN实例

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)

User synchronization

Portal用户用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·          Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·          Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

 

【相关命令】

·              portal enable

·              portal server

·              server-detect (portal server view)

·              user-sync

1.1.15  display portal user

display portal user命令用来显示Portal用户的信息。

【命令】

display portal user { all | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] } [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有Portal用户的信息。

interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。

ip ipv4-address:显示指定IPv4地址的Portal用户信息。

ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。

pre-auth:显示Portal认证前用户信息。认证前用户是指被加入认证前策略的未进行Portal认证的用户。若不指定该参数,则显示Portal用户的信息。

verbose:显示指定Portal用户的详细信息。

【举例】

# 显示所有Portal用户的信息。

<Sysname> display portal user all

Total portal users: 2

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            --     GigabitEthernet1/0/1

  Authorization information:

    DHCP IP pool: N/A

    User profile: abc (active)

    Session group profile: cd (inactive)

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

    Inbound priority: N/A

    Outbound priority: N/A

 

Username: def

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eac     3.3.3.3            --     GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: 3000

    Inbound CAR: CIR    3 kbps        PIR     3 kbps

                 CBS N/A (inactive)

    Outbound CAR: CIR    3 kbps        PIR     3 kbps

                  CBS N/A (inactive)

    Inbound priority: 7 (active)

    Outbound priority: 0 (active)

表1-11  display portal user命令显示信息描述表

字段

描述

Total portal users

总计的Portal用户数目

Username

用户名

Portal server

用户认证所使用的Portal认证服务器的名称

State

Portal用户的当前状态,包括以下取值:

·          Initialized:初始化完成后的待认证状态

·          Authenticating:正在认证状态

·          Authorizing:正在授权状态

·          Online:在线状态

VPN instance

Portal用户所属的MPLS L3VPN实例。若用户属于公网,则显示为N/A

MAC

Portal用户的MAC地址

IP

Portal用户的IP地址

VLAN

Portal用户所在的VLAN

Interface

Portal用户接入的接口

Authorization information

Portal用户的授权信息

DHCP IP pool

Portal用户的授权地址池名称。若无授权地址池,则显示为N/A

User profile

Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下:

·          active:AAA授权User profile成功

·          inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下:

·          active:AAA授权Session group profile成功

·          inactive:AAA授权Session group profile失败或者设备上不存在该User profile

ACL number

Portal用户的授权ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·          active:AAA授权ACL成功

·          inactive:AAA授权ACL失败或者设备上不存在该ACL

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Inbound priority

授权的入方向优先级,若未授权入方向优先级,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound priority

授权的出方向优先级,若未授权出方向优先级,则显示为N/A。如果下发成功,显示为active,否则为inactive

 

# 显示IP地址为50.50.50.3的Portal用户的详细信息。

<Sysname> display portal user ip 50.50.50.3 verbose

Basic:

  Current IP address: 50.50.50.3

  Original IP address: 30.30.30.2

  Username: user1@hrss

  User ID: 0x28000002

  Session-ID: 678900123456790123456788901234534578901266789001234567890

  Access interface: GigabitEthernet1/0/1

  Service-VLAN/Customer-VLAN: -/-

  MAC address: 0000-0000-0001

  Domain: hrss

  VPN instance: N/A

  Status: Online

  Portal server: test

  Portal authentication method: Direct

AAA:

  Realtime accounting interval: 60s, retry times: 3

  Idle cut: 180 sec, 10240 bytes, direction: Inbound

  Session duration: 500 sec, remaining: 300 sec

  Remaining traffic: 10240000 bytes

  Login time: 2014-01-19  2:42:3 UTC

  Online time: 3:4:10

  ITA policy name: test

  DHCP IP pool: abc

ACL&QoS&Multicast:

  Inbound CAR: CIR 64kbps PIR 640kbps

               CBS N/A (inactive)

  Outbound CAR: CIR 64kbps PIR 640kbps

                CBS N/A (inactive)

  Inbound priority: 7 (inactive)

  Outbound priority: 0 (inactive)

  ACL number:3000 (inactive)

  User profile: portal (active)

  Session group profile: N/A

  Max multicast addresses: 4

  Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7

2.2.2.2, 3.3.3.3, 4.4.4.4

  User group: 1 (Id=1)

Flow statistic:

  Uplink   packets/bytes: 7/546

  Downlink packets/bytes: 0/0

ITA:

  level-1 uplink   packets/bytes: 4/32

          downlink packets/bytes: 2/12

  level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

表1-12 display portal user verbose命令显示信息描述表

字段

描述

Current IP address

Portal用户当前的IP地址

Original IP address

Portal用户认证时的IP地址

Username

Portal用户上线时使用的用户名

User ID

Portal用户ID

Session-ID

Portal用户计费的会话ID

Access interface

Portal用户接入的接口

Service-VLAN/Customer-VLAN

Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息)

MAC address

用户的MAC地址

Domain

用户认证时使用的ISP域名

VPN instance

用户所属的MPLS L3VPN实例,N/A表示用户属于公网

Status

Portal用户的当前状态,包括以下取值:

·          Authenticating:正在认证状态

·          Authorizing:正在授权状态

·          Waiting_SetRule:正在下发Portal规则状态

·          Online:在线状态

·          Waiting_Traffic:正在等待用户流量状态

·          Stop Accounting:正在停止计费状态

·          Done:用户下线完成状态

Portal server

Portal服务器名称

Portal authentication method

接入接口上的Portal认证方式,包括如下取值:

·          Direct:直接认证方式

·          Redhcp:二次地址分配认证方式

·          Layer3:可跨三层认证方式

AAA

Portal用户的AAA授权信息

Realtime accounting interval

授权的实时计费间隔和重传次数。若未授权,则显示为N/A

Idle cut

授权的闲置切断时长和流量。若未授权,则显示为N/A

direction

用户数据流量的统计方向,包括以下取值:

·          Both:表示用户双向数据流量

·          Inbound:表示用户上行数据流量

·          Outbound:表示用户下行数据流量

Session duration

授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A

Remaining traffic

授权的剩余流量。若未授权,则显示为N/A

Login time

用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19  2:42:30 UTC

Online time

用户在线时长,格式为xx:xx:xx,表示时:分:秒

ITA policy name

授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称

DHCP IP pool

授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Inbound priority

授权的入方向优先级,若未授权入方向优先级,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound priority

授权的出方向优先级,若未授权出方向优先级,则显示为N/A。如果下发成功,显示为active,否则为inactive

ACL number

授权的ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·          active:AAA授权ACL成功

·          inactive:AAA授权ACL失败或者设备上不存在该ACL

User profile

授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下:

·          active:AAA授权User profile成功

·          inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下:

·          active:AAA授权Session group profile成功

·          inactive:AAA授权Session group profile失败或者设备上不存在该User profile

Max multicast addresses

授权Portal用户可加入的组播组的最大数目

Multicast address list

授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A

User group

Portal用户所属的用户组

Flow statistic

Portal用户流量统计信息

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

ITA

Portal用户的ITA业务流量统计信息

level-n uplink packets/bytes

计费等级为n的上行流量报文数/字节数

level-n downlink packets/bytes

计费等级为n的下行流量报文数/字节数

 

【相关命令】

·              portal enable

1.1.16  display portal web-server

display portal web-server命令用来显示Portal Web服务器信息。

【命令】

display portal web-server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal Web服务器信息。

【举例】

# 显示Portal Web服务器wbs的信息。

<Sysname> display portal web-server wbs

Portal Web server: wbs

    Type             : IMC

    URL              : http://www.test.com/portal

    URL parameters   : userurl=http://www.test.com/welcome

                       userip=source-address

    VPN instance     : Not configured

    Server detection : Interval: 120s  Attempts: 5  Action: log, trap

    IPv4 status      : Up

    IPv6 status      : Up

    If-match         : original-url http://2.2.2.2 redirect-url http://192.168.56.2

表1-13 display portal web-server命令显示信息描述表

字段

描述

Type

Portal Web服务器类型,其取值如下:

·          CMCC:符合中国移动标准规范的服务器

·          iMC:符合iMC标准规范的服务器

Portal Web server

Portal Web服务器名称

URL

Portal Web服务器的URL地址以及携带的参数

URL parameters

Portal Web服务器的URL携带的参数信息

VPN instance

Portal Web服务器所属的MPLS L3VPN实例名称

Server detection

Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)

IPv4 status

IPv4 Portal Web服务器当前状态,其取值如下:

·          Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·          Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

IPv6 status

IPv6 Portal Web服务器当前状态,其取值如下:

·          Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·          Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

If-match

配置的URL重定向匹配规则,未配置时,显示Not configured

 

【相关命令】

·              portal enable

·              portal web-server

·              server-detect (portal web-server view)

1.1.17  display web-redirect rule

display web-redirect rule命令用来显示指定接口上的Web重定向过滤规则信息。

【命令】

(独立运行模式)

display web-redirect rule interface interface-type interface-number [ slot slot-number ]

(IRF模式)

display web-redirect rule interface interface-type interface-number [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。

slot slot-number:显示指定单板上指定接口的Web重定向过滤规则信息。slot-number表示单板所在槽位号。若不指定该参数,则显示主用主控板上的Web重定向过滤规则信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上指定接口的Web重定向过滤规则。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在槽位号。若不指定该参数,则显示全局主用主控板上的Web重定向过滤规则信息。(IRF模式)

【举例】

# 显示接口GigabitEthernet1/0/1上的所有Web重定向过滤规则。

<Sysname> display web-redirect rule interface gigabitethernet 1/0/1

IPv4 web-redirect rules on GigabitEthernet1/0/1:

Rule 1:

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 192.168.2.114

    VLAN           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

 

IPv6 web-redirect rules on GigabitEthernet1/0/1:

Rule 1:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

表1-14 display web-redirect rule命令显示信息描述表

字段

描述

Rule

Web重定向规则编号

Type

Web重定向规则的类型,包括以下取值:

·          Static:静态类型。该类型的规则在Web重定向功能生效时生成

·          Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成

Action

Web重定向规则的匹配动作,包括以下取值:

·          Permit:允许报文通过

·          Redirect:重定向报文

Status

Web重定向规则下发的状态,包括以下取值:

·          Active:表示规则已生效

·          Inactive:表示规则未生效

Source

Web重定向规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

VLAN

源VLAN,如果未指定,显示为Any

Protocol

Web重定向规则中使用的传输层协议类型,取值只能为TCP

Destination

Web重定向规则的目的信息

Port

目的传输层端口号,默认为80

 

1.1.18  free-traffic threshold

free-traffic threshold命令用来配置用户免认证流量的阈值。

undo free-traffic threshold命令用来恢复缺省情况。

【命令】

free-traffic threshold value

undo free-traffic threshold

【缺省情况】

用户免认证流量的阈值为0字节。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。

【使用指导】

设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。

【举例】

# 配置用户免认证流量的阈值为10240字节。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240

【相关命令】

·              display mac-trigger-server

1.1.19  if-match

if-match命令用来配置重定向URL的匹配规则。

undo if-match命令用来删除配置的重定向URL匹配规则。

【命令】

if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }

undo if-match { original-url url-string | user-agent user-agent }

【缺省情况】

不存在重定向URL的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。

aes:加密算法为AES算法。

des:加密算法为DES算法。

key:设置密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·              对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。

·              对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。

user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP/HTTPS User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP/HTTPS User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

【使用指导】

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。

【举例】

# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1,对重定向URL中携带的参数进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678

# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1

【相关命令】

·              display portal web-server

·              portal free-rule

·              url

·              url-parameter

1.1.20  ip (MAC binding server view)

ip命令用来配置MAC绑定服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未配置MAC绑定服务器的IP地址。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:MAC绑定服务器的IPv4地址。

vpn-instance ipv4-vpn-instance-name:MAC绑定服务器所属的VPN实例。ipv4-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。

key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。

cipher:以密文方式设置共享密钥。

simple:以明文方式设置共享密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal

【相关命令】

·              display mac-trigger-server

1.1.21  ip (portal authentication server view)

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

vpn-instance ipv4-vpn-instance-name:Portal认证服务器所属的VPN实例。ipv4-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·              portal server

·              display portal server

1.1.22  ipv6

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ key { cipher | simple } string ]

undo ipv6

【缺省情况】

未指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

vpn-instance ipv6-vpn-instance-name:Portal认证服务器所属的VPN实例。ipv6-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv6地址和VPN实例的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·              display portal server

·              portal server

1.1.23  nas-port-type

nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

undo nas-port-type命令用来恢复缺省情况。

【命令】

nas-port-type value

undo nas-port-type

【缺省情况】

设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:NAS-Port-Type属性值,取值范围为1~255。

【使用指导】

设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。

请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。

【举例】

# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] nas-port-type 30

【相关命令】

·              display mac-trigger-server

1.1.24  port (MAC binding server view)

port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

MAC绑定服务器监听查询报文的UDP端口号是50100。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。

【举例】

# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。

<sysname> system-view

[sysname] portal mac-trigger-server mts

[sysname-portal-mac-trigger-server-mts] port 1000

【相关命令】

·              display mac-trigger-server

1.1.25  port (portal authentication server view)

port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·              portal server

1.1.26  portal { bas-ip | bas-ipv6 } (interface view)

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来恢复缺省情况。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。

配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址。

接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。

使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。

【举例】

# 配置接口GigabitEthernet1/0/1发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal bas-ip 2.2.2.2

【相关命令】

·              display portal

1.1.27  portal { ipv4-max-user | ipv6-max-user } (interface view)

portal { ipv4-max-user | ipv6-max-user }命令用来配置接口上的Portal最大用户数。

undo portal { ipv4-max-user | ipv6-max-user }命令用来恢复缺省情况。

【命令】

portal { ipv4-max-user | ipv6-max-user } max-number

undo portal { ipv4-max-user | ipv6-max-user }

【缺省情况】

接口上的Portal最大用户数不受限制。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

max-number:接口上允许的最大IPv4或IPv6 Portal用户数,取值范围为1~4294967295。

【使用指导】

如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv4 Portal最大用户数为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal ipv4-max-user 100

【相关命令】

·              display portal

·              portal max-user

1.1.28  portal apply mac-trigger-server

portal apply mac-trigger-server命令用来应用MAC绑定服务器。

undo portal apply mac-trigger-server命令用来恢复缺省情况。

【命令】

portal apply mac-trigger-server server-name

undo portal apply mac-trigger-server

【缺省情况】

未应用MAC绑定服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

仅IPv4的直接认证方式支持基于MAC地址的快速认证。

请不要在同一接口上同时配置MAC绑定服务器和Portal认证前策略,否则会导致MAC绑定服务器不生效。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·              完成普通三层Portal认证的相关配置;

·              配置MAC绑定服务器的IP地址和端口号;

·              在接口上应用MAC绑定服务器。

【举例】

# 在接口GigabitEthernet1/0/1上应用MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal apply mac-trigger-server mts

【相关命令】

·              portal mac-trigger-server

1.1.29  portal apply pre-auth-policy

portal apply pre-auth-policy命令用来配置在接口上应用Portal认证前策略。

undo portal apply pre-auth-policy命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] apply pre-auth-policy policy-name

undo portal [ ipv6 ] apply pre-auth-policy

【缺省情况】

接口上未应用Portal认证前策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:配置IPv6 Portal认证前策略。若不指定该参数,则表示指定IPv4 Portal认证前策略。

policy-name:表示Portal认证前策略的名称,为1~255个字符的字符串,不区分大小写。

【使用指导】

开启Portal的接口上配置了未认证Portal用户使用的Portal认证前策略时,在此接口上获取到IP地址的用户将被Portal授予指定Portal认证前策略内配置的相关属性(目前包括ACL、User Profile和CAR),并根据此策略信息获得相应的网络访问权限。若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息。用户下线之后,将被重新授予该认证前策略中的属性。

Portal认证前策略的配置只对采用DHCP或DHCPv6分配IP地址的用户生效。

Portal认证前策略的配置在可跨三层认证方式的接口上不生效。

当Portal认证前策略中的配置或配置参数的内容发生变化后,策略的修改对应用此策略接口上的所有未认证Portal用户立即生效。

【举例】

# 在接口GigabitEthernet1/0/1上应用Portal认证前策略abc。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet0/1/1] portal apply pre-auth-policy abc

【相关命令】

·              portal pre-auth policy

1.1.30  portal apply web-server (interface view)

portal [ ipv6 ] apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP/HTTPS请求报文重定向到该Web服务器。

undo portal [ ipv6 ] apply web-server命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] apply web-server server-name [ fail-permit ]

undo portal [ ipv6 ] apply web-server

【缺省情况】

未引用Portal Web服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。

fail-permit:开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

【使用指导】

一个接口上可以同时开启IPv4 Portal认证和IPv6 Portal认证,因此也可以同时引用一个IPv4 Portal Web服务器和一个IPv6 Portal Web认证服务器。

如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即取消接口Portal认证功能,当两个服务器均恢复正常通信后,再重新启动Portal认证功能。

【举例】

# 在接口GigabitEthernet1/0/1上引用名称为wbs的Portal Web服务器作为用户认证时使用的Web服务器。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal apply web-server wbs

【相关命令】

·              display portal

·              portal fail-permit server

·              portal web-server

1.1.31  portal authorization strict-checking

portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。

undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。

【命令】

portal authorization { acl | user-profile } strict-checking

undo portal authorization { acl | user-profile } strict-checking

【缺省情况】

缺省为非严格检查授权信息模式,当服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,用户保持在线。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

acl:表示开启对授权ACL的严格检查。

user-profile:表示开启对授权User Profile的严格检查。

【使用指导】

接口上开启Portal授权信息的严格检查模式后当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。

可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。

【举例】

# 在接口GigabitEthernet1/0/1上开启对授权ACL的严格检查模式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal authorization acl strict-checking

【相关命令】

·              display portal

1.1.32  portal delete-user

portal delete-user命令用来强制在线Portal用户下线。

【命令】

portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address | session-id session-id | username username }

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:在线Portal用户的IPv4地址。

all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。

interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。

session-id session-id:指定会话的在线Portal用户。其中session-id表示会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯一标识当前的在线用户。

username username:指定用户名的在线Portal用户。其中username表示用户名,为1~253个字符的字符串,区分大小写。

【举例】

# 强制IP地址为1.1.1.1的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

【相关命令】

·              display portal user

1.1.33  portal device-id

portal device-id命令用来配置设备ID。

undo portal device-id命令用来恢复缺省情况。

【命令】

portal device-id device-id

undo portal device-id

【缺省情况】

未配置任何设备ID。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

device-id:设备ID,为1~63个字符的字符串,区分大小写。

【使用指导】

通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。

不同设备的设备ID不能相同。

【举例】

# 配置设备的ID名为0002.0010.100.00。

<Sysname> system-view

[Sysname] portal device-id 0002.0010.100.00

1.1.34  portal domain (interface view)

portal [ ipv6 ] domain命令用于指定Portal用户使用的认证域,使得所有从该接口接入的Portal用户强制使用该认证域。

undo portal [ ipv6 ] domain命令用来删除Portal用户使用的认证域。

【命令】

portal [ ipv6 ] domain domain-name

undo portal [ ipv6 ] domain

【缺省情况】

未指定Portal用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的IPv4 Portal用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal domain my-domain

【相关命令】

·              display portal

1.1.35  portal enable (interface view)

portal [ ipv6 ] enable命令用来开启Portal认证功能,并指定认证方式。

undo portal [ ipv6 ] enable命令用来关闭Portal认证功能。

【命令】

portal enable method { direct | layer3 | redhcp }

portal ipv6 enable method { direct | layer3 }

undo portal [ ipv6 ] enable

【缺省情况】

Portal认证功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。

method:认证方式。

·              direct:直接认证方式。

·              layer3:可跨三层认证方式。

·              redhcp:二次地址分配认证方式。

【使用指导】

不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal [ ipv6 ] enable命令取消Portal认证功能,再执行portal [ ipv6 ] enable命令。

开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。

IPv6 Portal认证不支持二次地址分配方式。

允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。

为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。

不能在服务模板视图和接口视图下同时使能Portal认证。

【举例】

# 在接口GigabitEthernet1/0/1上开启IPv4 Portal认证功能,且指定为直接认证方式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal enable method direct

【相关命令】

·              display portal

1.1.36  portal fail-permit server

portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能。

undo portal [ ipv6 ] fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit server server-name

undo portal [ ipv6 ] fail-permit server

【缺省情况】

Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

如果接口上同时开启了Portal认证服务器不可达时的Portal用户逃生功能和Portal Web服务器不可达时的Portal用户逃生功能,则当任意一个服务器不可达时,立即放开接口控制,允许用户不经过Portal认证即可自由访问网络;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。

一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口GigabitEthernet1/0/1上启用Portal认证服务器pts1不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal fail-permit server pts1

【相关命令】

·              display portal

1.1.37  portal free-rule

portal free-rule命令用来配置基于IP地址的Portal免认证规则。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于IP地址的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

source:指定源信息。

ip ipv4-address:免认证规则的IPv4地址。

{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ipv6 ipv6-address:免认证规则的IPv6地址。

prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。

ip any:任意IPv4地址。

ipv6 any:任意IPv6地址。

tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。

udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。

all:所有免认证规则。

interface interface-type interface-number:免认证规则生效的三层接口。

【使用指导】

可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。

如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。

相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

【举例】

# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1。该规则表示在GigabitEthernet1/0/1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface gigabitethernet 1/0/1

# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1。该规则表示在GigabitEthernet1/0/1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64 interface gigabitethernet 1/0/1

【相关命令】

·              display portal rule

1.1.38  portal free-rule destination

portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number destination host-name

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于目的的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围0~4294967295。

destination:指定目的信息。

host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“ip”和“ipv6”。

all:所有免认证规则。

【使用指导】

基于目的Portal免认证规则支持如下两种配置方式:

·              精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。

·              模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。

配置基于目的Portal免认证规则时,需要注意的是:

·              通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。

·              配置的主机名不能只有通配符。

·              相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

·              目前,只有用户浏览器发起的HTTP/HTTPS请求报文支持模糊匹配的免认证规则。

【举例】

# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.h3c.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 4 destination www.h3c.com

【相关命令】

·              display portal rule

1.1.39  portal free-rule source

portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo portal free-rule { rule-number | all }

【缺省情况】

未配置基于源的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。

mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。设备配置本关键字不生效。

vlan vlan-id:免认证规则的源VLAN编号。配置本关键字仅对通过VLAN接口接入的Portal用户生效。

all:所有免认证规则。

【使用指导】

如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。

【举例】

# 配置一条Portal免认证规则:编号为3、源VLAN为VLAN 10。该规则表示属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 3 source vlan 10

【相关命令】

·              display portal rule

1.1.40  portal http-defense

portal http-defense命令用来配置Portal HTTP防攻击参数。

undo portal http-defense命令用来恢复缺省情况。

【命令】

portal http-defense { block-timeout minutes | statistics-interval value | threshold number } *

undo portal http-defense { block-timeout minutes | statistics-interval value | threshold number } *

【缺省情况】

攻击报文的阻断时长为10分钟,匹配重定向规则的报文的统计时间间隔为5分钟,统计时间内报文的统计阈值为6000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

block-timeout minutes:攻击报文的阻断的时长,取值范围为1~60,单位分钟。

statistics-interval value:统计匹配重定向规则的报文的时间间隔,取值范围为1~60,单位分钟。

threshold number:触发HTTP防攻击的报文阈值,取值范围为100~4294967295。

【使用指导】

开启Portal HTTP防攻击功能后,设备会基于目的IP地址统计匹配重定向规则的HTTP请求报文数。如果在统计时间间隔内,访问某一目的IP地址的报文统计数值达到了HTTP防攻击的触发阈值,访问该目的IP地址的报文将被视为攻击报文而丢弃,使用户不能在阻断时长内访问该目的IP地址。

修改后的配置,仅对后续发生攻击的报文有效。

【举例】

# 配置Portal HTTP防攻击报文的阻断时长为5分钟,统计时间间隔为2分钟,触发HTTP防攻击的报文阈值为200。

<Sysname> system-view

[Sysname] portal http-defense block-timeout 5 statistics-interval 2 threshold 200

【相关命令】

·              portal http-defense enable

·              portal http-defense max-ip-number

1.1.41  portal http-defense enable

portal http-defense enable命令用来开启Portal HTTP防攻击功能。

undo portal http-defense enable命令用来关闭Portal HTTP防攻击功能。

【命令】

portal http-defense enable

undo portal http-defense enable

【缺省情况】

Portal HTTP防攻击功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

由于某些用户使用的客户端安装了各种工具软件(如百度云等),使得用户在进行Portal认证前产生大量的HTTP请求,导致设备的资源占用率过高,影响正常用户的认证效率,甚至导致用户认证失败。开启HTTP防攻击功能,可针对某些频繁发起的HTTP请求进行控制,减轻非认证HTTP报文对认证服务器资源的占用。

【举例】

# 开启Portal HTTP防攻击功能。

<Sysname> system-view

[Sysname] portal http-defense enable

1.1.42  portal http-defense max-ip-number

portal http-defense max-ip-number命令用来配置Portal HTTP防攻击允许用户访问的不同目的IP地址的最大数量。

undo portal http-defense max-ip-number命令用来恢复缺省情况。

【命令】

portal http-defense max-ip-number max-ip-number

undo portal http-defense max-ip-number

【缺省情况】

Portal HTTP防攻击允许用户访问的不同目的IP地址的最大数量为4096。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-ip-number:Portal HTTP防攻击的最大目的IP地址数,取值范围为1~8000。

【使用指导】

设备会为Portal用户访问不同IP地址的会话建立独立的统计项。如果有恶意攻击者持续发起对不同目的IP地址的访问时,设备会因建立统计信息而消耗大量内存。开启HTTP防攻击功能后,设备会对用户访问的不同目的IP地址数目进行统计。通过配置设备允许访问不同目的IP地址的数量,可以限制统计信息对设备内存的占用。

【举例】

# 配置Portal HTTP防攻击的最大目的IP地址数为2000。

<Sysname> system-view

[Sysname] portal http-defense max-ip-number 2000

【相关命令】

portal http-defense

1.1.43  portal ipv6 layer3 source

portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段。

undo portal ipv6 layer3 source命令用来删除IPv6 Portal源认证网段。

【命令】

portal ipv6 layer3 source ipv6-network-address prefix-length

undo portal ipv6 layer3 source [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-network-address:IPv6 Portal源认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

配置此功能后,接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal ipv6 layer3 source 1::1 16

【相关命令】

·              display portal

1.1.44  portal ipv6 user-detect

portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。

undo portal ipv6 user-detect命令用来关闭IPv6 Portal用户在线探测功能。

【命令】

portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]

undo portal ipv6 user-detect

【缺省情况】

IPv6 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测类型。

·              icmpv6:表示探测类型为ICMPv6。

·              nd:表示探测类型为ND。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·              当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·              当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。

如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文。

【举例】

# 在接口GigabitEthernet1/0/1上开启IPv6 Portal用户在线探测功能:探测类型为ICMPv6,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal ipv6 user-detect type icmpv6 retry 5 interval 10 idle 300

【相关命令】

·              display portal

1.1.45  portal layer3 source

portal layer3 source命令用来配置IPv4 Portal源认证网段。

undo portal layer3 source命令用来删除IPv4 Portal源认证网段。

【命令】

portal layer3 source ipv4-network-address { mask-length | mask }

undo portal layer3 source [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

配置此功能后,接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal layer3 source 10.10.10.0 24

【相关命令】

·              display portal

1.1.46  portal local-web-server

portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。

undo portal local-web-server命令用来关闭本地Portal服务功能。

【命令】

portal local-web-server { http | https [ ssl-server-policy policy-name ] }

undo portal local-web-server { http | https }

【缺省情况】

本地Protal服务功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。若不指定本参数,HTTPS服务将关联自签名证书对应的SSL服务器端策略,该SSL服务器端策略支持所有加密套件。

【使用指导】

本地Portal服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:

·              该URL中的IP地址是设备上与客户端路由可达的三层接口IP地址(除127.0.0.1以外)。

·              该URL以/portal/结尾,例如:http://1.1.1.1/portal/

配置本地Portal Web服务参数时,需要注意的是:

·              已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·              不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。

【举例】

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。

<Sysname> system-view

[Sysname] portal local-web-server http

# 开启本地Portal服务,并进入基于HTTPS协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

【相关命令】

·              default-logon-page

·              portal local-web-server

·              ssl server-policy(安全命令参考/SSL)

1.1.47  portal mac-trigger-server

portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。

undo portal mac-trigger-server命令用来删除MAC绑定服务器。

【命令】

portal mac-trigger-server server-name

undo portal mac-trigger-server server-name

【缺省情况】

不存在MAC绑定服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等。

【举例】

# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts]

【相关命令】

·              portal apply mac-trigger-server

·              display mac-trigger-server

1.1.48  portal max-user

portal max-user命令用来配置全局Portal最大用户数。

undo portal max-user命令用来恢复缺省情况。

【命令】

portal max-user max-number

undo portal max-user

【缺省情况】

全局Portal最大用户数不受限制。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-number:系统中允许同时在线的最大Portal用户数。取值范围为1~4294967295。

【使用指导】

如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。

建议所有开启Portal的接口上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。

【举例】

# 配置全局Portal最大用户数为100。

<Sysname> system-view

[Sysname] portal max-user 100

【相关命令】

·              display portal user

·              portal { ipv4-max-user | ipv6-max-user }

1.1.49  portal nas-id-profile

portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo portal nas-id-profile命令用来恢复缺省情况。

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,且在引用的NAS-ID Profile下,必须存在通过nas-id bind命令指定的NAS-ID与VLAN的绑定关系,否则NAS-ID Profile不生效。关于aaa nas-id profilenas-id bind命令的详细介绍请参见“用户接入命令参考”中的“AAA”。

若在接口上同时通过aaa nas-id-profile命令和portal nas-id-profile命令指定了NAS-ID Profile,则portal nas-id-profile命令指定的NAS-ID Profile优先级较高。关于aaa nas-id-profile命令的详细介绍,请参见“用户接入命令参考”中的“AAA”。

如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。

【举例】

# 在接口GigabitEthernet1/0/1上指定名为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal nas-id-profile aaa

【相关命令】

·              aaa nas-id profile(用户接入命令参考/AAA)

1.1.50  portal nas-port-id format

portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。

undo portal nas-port-id format命令用来恢复缺省情况。

【命令】

portal nas-port-id format { 1 | 2 | 3 | 4 | custom { c-vid [ delimiter ] | interface-type [ delimiter ] | port [ delimiter ] | slot [ delimiter ] | subslot [ delimiter ] | s-vid [ delimiter ] | string string [ delimiter ] } * }

undo portal nas-port-id format

【缺省情况】

NAS-Port-ID的消息格式为格式2。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

1:表示格式1,具体为{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。

2:表示格式2,具体为SlotID00IfNOVlanID。

3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。

4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。

custom:用户自定义NAS-Port-ID属性的格式。

c-vid:报文内层VLAN ID。

interface-type:用户接入的接口类型。

port:用户接入的端口号。

s-vid:报文外层VLAN ID。

slot:用户接入的槽位号。

subslot:用户接入的子槽位号。

string string:用户输入的自定义信息,string为1~63个字符的字符串,字符串中不能出现问号,区分大小写。

delimiter:属性字段之间的分隔符,可以为除了问号之外的其它任意可输入字符。若不指定该参数,则表示不使用分隔符。

【使用指导】

可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。NAS-Port-ID属性的格式有预定义和自定义两种。预定义有格式1、格式2、格式3、格式4四种固定格式,不可更改。自定义可通过选择参数灵活配置NAS-Port-ID属性中可携带的属性字段、各字段之间使用的分隔符以及各字段的顺序。自定义属性格式中各字段填充的先后顺序为该命令中参数配置的先后顺序。

不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。

1. 格式1

{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

各项含义如下:

·              {atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口。

·              NAS_slot:BRAS槽号,取值为0~31。

·              NAS_subslot:BRAS子槽号,取值为0~31。

·              NAS_Port:BRAS端口号,取值为0~63。

·              XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。

·              XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。

·              AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。

·              ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。

·              ANI_frame:接入节点机框号,取值为0~31。

·              ANI_slot:接入节点槽号,取值为0~127。

·              ANI_subslot:接入节点子槽号,取值为0~31。

·              ANI_port:接入节点端口号,取值为0~255。

·              ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。

字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。

如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0。

如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。

如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。

对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”

其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。

对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth  31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。

格式1的解释示例如下:

·              例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535。

·              例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。

·              例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。

·              例4:NAS_PORT_ID =“eth  31/31/7:4096.2345 guangzhou001/1/31/63/31/127”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31, BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。

2. 格式2

SlotID00IfNOVlanID

各项含义如下:

·              SlotID:用户接入的槽位号,为两个字符的字符串。

·              IfNO:用户接入的接口编号,为3个字符的字符串。

·              VlanID:用户接入的VLAN ID,为9个字符的字符串。

3. 格式3

其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。对于IPv6用户,此处添加的是DHCP Option18的内容。

4. 格式4

其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:

·              对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。

·              对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**。

5. 格式custom

可通过选取不同的参数灵活配置NAS-Port-ID属性中可携带的属性字段、各字段之间使用的分隔符以及各字段的顺序。例如,可以通过配置命令“portal nas-port-id format custom slot @ subslot @ port”,使NAS-Port-ID属性中只携带槽号、子槽号以及端口号。

【举例】

# 配置NAS-Port-ID属性的格式为format 1。

<Sysname> system-view

[Sysname] portal nas-port-id format 1

1.1.51  portal pre-auth ip-pool

portal [ ipv6 ] pre-auth ip-pool命令用来配置Portal认证前用户使用的地址池。

undo portal [ ipv6 ] pre-auth ip-pool命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth ip-pool pool-name

undo portal [ ipv6 ] pre-auth ip-pool

【缺省情况】

未配置Portal认证前用户使用的地址池。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal用户。若不指定该参数,则表示IPv4 Portal用户。

pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。

仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效。

当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。

【举例】

# 在接口GigabitEthernet1/0/1上为认证前的Portal用户指定IPv4地址池为abc。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal pre-auth ip-pool abc

【相关命令】

·              dhcp server ip-pool(用户接入命令参考/DHCP)

·              display portal

·              ipv6 dhcp pool(用户接入命令参考/DHCP)

1.1.52  portal pre-auth policy

portal pre-auth policy命令用来创建Portal认证前策略,并进入Portal认证前策略视图。如果指定的Portal认证前策略已经存在,则直接进入Portal认证前策略视图。

undo portal pre-auth policy命令用来删除指定的Portal认证前策略。

【命令】

portal pre-auth policy policy-name

undo portal pre-auth policy policy-name

【缺省情况】

不存在Portal认证前策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:表示Portal认证前策略的名称,为1~64个字符的字符串,不区分大小写。

【使用指导】

Portal认证前策略用来定义未认证Portal用户访问的策略,具体包括ACL、User Profile和CAR。当Portal认证前策略中的配置或配置参数的内容发生变化后,策略的修改对引用此策略接口上的所有未认证Portal用户立即生效。

可通过多次执行本命令,配置多条Portal认证前策略。

【举例】

# 创建名称为abc的Portal认证前策略,并进入Portal认证前策略视图。

<Sysname> system-view

[Sysname] portal pre-auth policy abc

[Sysname-pre-auth-abc]

【相关命令】

·              user-attribute

1.1.53  portal roaming enable

portal roaming enable命令用来开启Portal用户漫游功能。

undo portal roaming enable命令用来关闭Portal用户漫游功能。

【命令】

portal roaming enable

undo portal roaming enable

【缺省情况】

Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效。

设备上有用户在线或认证前域用户的情况下,不能配置此命令。

如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。

【举例】

# 开启Portal用户漫游功能。

<Sysname> system-view

[Sysname] portal roaming enable

1.1.54  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

不存在Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·              display portal server

1.1.55  portal traffic-backup threshold

portal traffic-backup threshold命令用来配置对Portal用户流量进行备份的阈值。

undo portal traffic-backup threshold命令用来恢复缺省情况。

【命令】

portal traffic-backup threshold value

undo portal traffic-backup threshold

【缺省情况】

Portal用户流量备份阈值为10兆字节。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

value:对Portal用户流量进行备份的阈值,取值范围为0~100000,单位为兆字节。取值为0时,表示对Portal用户流量进行实时备份。

【使用指导】

缺省情况下,流量备份的阈值为10M字节,即用户流量达到10M字节时设备会对该Portal用户的会话数据以及流量等信息进行备份。流量备份的阈值越小备份越频繁,流量备份越精确。当设备上有大量Portal用户在线时,对Portal用户信息进行频繁备份会影响到用户的上下线以及计费等流程的处理性能。因此,需综合考虑对各业务的处理性能和流量备份的精确度合理配置流量备份阈值。

【举例】

# 配置对Portal用户流量进行备份的阈值为10240兆字节。

<Sysname> system-view

[Sysname] portal traffic-backup threshold 10240

1.1.56  portal user-block failed-times

portal user-block failed-times命令用来开启Portal认证失败后的用户阻塞功能。

undo portal user-block failed-times命令用来关闭Portal认证失败后的用户阻塞功能。

【命令】

portal user-block failed-times failed-times period period

undo portal user-block failed-times

【缺省情况】

Portal认证失败后的用户阻塞功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

failed-times:表示允许用户进行Portal认证失败的最大次数,取值范围为0~10。取值为0时表示Portal认证的次数不受限制。

period period:表示用户连续认证失败的检测时长。period的取值范围为1~120,单位为分钟。

【使用指导】

如果在指定时间内用户进行Portal认证失败达到限定次数,该用户将被阻塞,即来自该用户的认证请求报文将被丢弃。阻塞时长由命令portal user-block reactive配置。通过配置该功能,可防止非法用户使用穷举法试探合法用户的密码。

需要注意的是,Portal认证前域中的用户在指定时间内认证失败达到限定次数后不会被阻塞。

【举例】

# 配置在100分钟内用户进行Portal认证失败次数达到2次时被阻塞。

<Sysname> system-view

[Sysname] portal user-block failed-times 2 period 100

【相关命令】

·              portal user-block reactive

1.1.57  portal user-block reactive

portal user-block reactive命令用来配置Portal用户被阻塞的时长。

undo portal user-block reactive命令用来恢复缺省情况。

【命令】

portal user-block reactive period

undo portal user-block reactive

【缺省情况】

被阻塞的用户重新进行Portal认证的时间间隔为30分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

period:表示被阻塞的用户重新进行Portal认证的时间间隔,取值范围为0~1000,单位为分钟。取值为0时表示被阻塞的用户不能重新进行Portal认证。

【使用指导】

配置用户进行Portal认证的最大失败次数后(通过命令portal http://localhost:7890/pages/31187784/03/31187784/03/resources/Public_ne40e/ne/user-block_fail-times.html),如果在指定时间内用户连续认证失败,用户会被阻塞。用户可以通过配置该命令改变被阻塞用户重新进行Portal认证的时间间隔。

【举例】

# 配置被阻塞用户重新进行Portal认证的时间间隔为20分钟。

<Sysname> system-view

[Sysname] portal user-block reactive 20

【相关命令】

·              portal user-block failed-times

1.1.58  portal user-detect

portal user-detect命令用来开启IPv4 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。

【命令】

portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]

undo portal user-detect

【缺省情况】

IPv4 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测类型。

·              arp:表示探测类型为ARP。

·              icmp:表示探测类型为ICMP。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·              当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·              当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。

如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文。

【举例】

# 在接口GigabitEthernet1/0/1上开启Portal用户在线探测功能:探测类型为ICMP,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal user-detect type icmp retry 5 interval 10 idle 300

【相关命令】

·              display portal

1.1.59  portal user-dhcp-only (interface view)

portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。

undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。

【命令】

portal [ ipv6 ] user-dhcp-only

undo portal [ ipv6 ] user-dhcp-only

【缺省情况】

仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。

【使用指导】

配置本命令后,配置静态IP地址的Portal认证用户不能上线。

在IPv6网络中,配置本命令后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址。

【举例】

# 在接口GigabitEthernet1/0/1上配置仅允许通过DHCP获取IP地址的客户端上线功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal user-dhcp-only

【相关命令】

·              display portal

1.1.60  portal user log enable

portal user log enable命令用来开启Portal用户上/下线日志功能。

undo portal user log enable命令用来关闭Portal用户上/下线日志功能。

【命令】

portal user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *

undo portal user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *

【缺省情况】

Portal用户上/下线日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

abnormal-logout:用户异常下线的日志信息。

failed-login:用户上线失败的日志信息。

normal-logout:用户正常下线的日志信息。

successful-login:用户上线成功的日志信息。

【使用指导】

开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Portal用户上线成功的日志信息功能。

<Sysname> system-view

[Sysname] portal user log enable successful-login

【相关命令】

·              portal packet log enable

·              portal redirect log enable

1.1.61  portal web-proxy port

portal web-proxy port命令用来配置允许触发Portal认证的Web代理服务器端口。

undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。

【命令】

portal web-proxy port port-number

undo portal web-proxy port { port-number | all }

【缺省情况】

不存在允许触发Portal认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

port-number:Portal认证的Web代理服务器的TCP端口号,取值范围为1~65535。

all:指定所有Portal认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP/HTTPS请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。需要注意的是,该功能目前仅支持用户浏览器发起的HTTP请求。

多次配置本命令可以添加多个Web代理服务器的TCP端口号。

需要注意的是,Portal认证Web代理服务器功能不能与Portal认证前策略同时配置,否则Portal认证Web代理服务器功能不生效。

配置Portal认证Web代理服务器端口号,需要注意的是:

·              如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。

·              除了需要网络管理员在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。

·              目前不支持配置Portal认证Web代理服务器的端口号为443。

【举例】

# 配置允许触发Portal认证的Web代理服务器端口号为8080。

<Sysname> system-view

[Sysname] portal web-proxy port 8080

【相关命令】

·              portal enable method

1.1.62  portal web-server

portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。

undo portal web-server命令用来删除Portal Web服务器。

【命令】

portal web-server server-name

undo portal web-server server-name

【缺省情况】

不存在Portal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP/HTTPS请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。

【举例】

# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs]

【相关命令】

·              display portal web-server

·              portal apply web-server

1.1.63  reset portal http-defense attacked-ip

reset portal http-defense attacked-ip命令用来清除HTTP防攻击中被阻塞过的目的IP统计信息。

【命令】

(独立运行模式)

reset portal http-defense attacked-ip [ slot slot-number ]

(IRF模式)

reset portal http-defense attacked-ip [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:清除指定单板上HTTP防攻击中被阻塞过的目的IP统计信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示清除所有单板上HTTP防攻击中被阻塞过的目的IP统计信息。(独立运行模式)

chassis chassis-number slot slot-number:清除指定成员设备的指定单板上HTTP防攻击中被阻塞过的目的IP统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示清除所有单板上HTTP防攻击中被阻塞过的目的IP统计信息。(IRF模式)

【举例】

# 清除slot 1上HTTP防攻击中被阻塞过的目的IP统计信息。(独立运行模式)

<Sysname> reset portal http-defense attacked-ip slot 1

【相关命令】

·              display portal http-defense attacked-ip

1.1.64  reset portal http-defense blocked-ip

reset portal http-defense blocked-ip命令用来清除被阻塞的目的IP地址记录。

【命令】

(独立运行模式)

reset portal http-defense blocked-ip [ ip ipv4-address | ipv6 ipv6-address ] [ slot slot-number ]

(IRF模式)

reset portal http-defense blocked-ip [ ip ipv4-address | ipv6 ipv6-address ] [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip ipv4-address:清除指定的被阻塞的目的IP地址记录。

ipv6 ipv6-address:清除指定的被阻塞目的IPv6地址记录。

slot slot-number:清除指定单板上被阻塞的目的IP地址记录。slot-number表示单板所在的槽位号。若不指定该参数,则表示清除所有单板上被阻塞的目的IP地址记录。(独立运行模式)

chassis chassis-number slot slot-number:清除指定成员设备的指定单板上被阻塞的目的IP地址记录。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示清除所有单板上被阻塞的目的IP地址记录。(IRF模式)

【使用指导】

清除被阻塞IP地址记录之后,允许用户对该IP地址进行正常访问。

若不指定参数IP/IPv6,则清除所有被阻塞的目的IP地址记录。

【举例】

# 清除slot 1上被阻塞的目的IP地址为1.1.1.1的记录。(独立运行模式)

<Sysname> reset portal http-defense blocked-ip 1.1.1.1 slot 1

【相关命令】

·              display portal http-defense blocked-ip

1.1.65  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ server server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server,则清除所有Portal认证服务器的报文统计信息。

【举例】

# 清除名称为st上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

【相关命令】

·              display portal packet statistics

1.1.66  server-detect (portal authentication server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。

【命令】

server-detect [ timeout timeout ] { log | trap } *

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。

{ log | trap } *:设备探测到Portal认证服务器可达状态变化时,触发执行的操作。包括以下两种,且可同时选择多种。

·              log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

·              trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

【使用指导】

只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log trap

【相关命令】

·              portal server

1.1.67  server-detect (portal web server view)

server-detect命令用来开启Portal Web服务器的可达性探测功能。

undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。

【命令】

server-detect [ interval interval ] [ retry retries ] { log | trap } *

undo server-detect

【缺省情况】

Portal Web服务器的可达性探测功能处于关闭状态。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20。

retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。

{ log | trap } *:Portal Web服务器可达状态的变化时,可触发执行的操作。包括以下两种,且可同时选择多种。

·              log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

·              trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。

【使用指导】

该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。

只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。

【举例】

# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log trap

【相关命令】

·              portal web-server

1.1.68  server-register

server-register命令用来配置设备定期向Portal认证服务器发送注册报文。

undo server-register命令用来恢复缺省情况。

【命令】

server-register [ interval interval-value ]

undo server-register

【缺省情况】

设备不会定期向Portal认证服务器发送注册报文。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。

【使用指导】

Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。

需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。

【举例】

# 配置设备每隔120秒向Portal认证服务器发送注册报文。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-register interval 120

【相关命令】

·              server-type

1.1.69  server-type

server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。

undo server-type命令用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

Portal认证服务器或Portal Web服务器的类型为iMC服务器。

【视图】

Portal认证服务器视图

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。

imc:表示Portal服务器类型为符合iMC标准规范的服务器。

【使用指导】

设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。

【举例】

# 配置Portal认证服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-type cmcc

# 配置Portal Web服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal web-server pts

[Sysname-portal-websvr-pts] server-type cmcc

【相关命令】

·              display portal server

1.1.70  server-type (MAC binding server view)

server-type命令用来配置MAC绑定服务器的服务类型。

undo server-type用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

MAC绑定服务器的服务类型为imc。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。

imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。

【举例】

# 指定MAC绑定服务器的服务类型为cmcc。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] server-type cmcc

1.1.71  tcp-port

tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为443。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指导】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务器视图下指定的侦听端口号保持一致。

配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·              除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·              不能把使用HTTP协议的本地Portal Web服务下的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·              使用HTTP和HTTPS的本地Portal Web服务下TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·              portal local-web-server

1.1.72  url

url命令用来指定Portal Web服务器的URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

未指定Portal Web服务器的URL。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。

【举例】

# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url http://www.test.com/portal

【相关命令】

·              display portal web-server

1.1.73  url-parameter

url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。

【命令】

url-parameter param-name { nas-id | nas-port-id | original-url | source-address | source-mac [ encryption { aes | des } key { cipher | simple } string ] | value expression }

undo url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

nas-id:网络接入服务器标识。

nas-port-id:网络接入服务器端口标识。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

encryption:表示以密文的方式携带无线AP的MAC地址和用户的MAC地址。

aes:指定加密算法为AES算法。

des:指定加密算法为DES算法。

cipher:以密文方式设置密钥。

key:指定加密密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·              对于des cipher,密钥为41个字符的字符串。

·              对于des simple,密钥为8个字符的字符串。

·              对于aes cipher,密钥为1~73个字符的字符串。

·              对于aes simple,密钥为1~31个字符的字符串。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置,最后配置的生效。

该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:

·              userurl:表示original-url

·              userip:表示source-address

·              usermac:表示source-mac

在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。

如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl= http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter userip source-address

[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678

【相关命令】

·              display portal web-server

·              url

1.1.74  user-attribute

user-attribute命令用来配置Portal认证前策略中的用户属性。

undo user-attribute命令用来删除指定的用户属性。

【命令】

user-attribute { acl acl-number | car { inbound | outbound } cir committed-information-rate [ pir peak-information-rate ] | user-profile profile-name }

undo user-attribute { acl | car  { inbound | outbound } | user-profile }

【缺省情况】

Portal认证前策略中无用户属性。

【视图】

Portal认证前策略视图

【缺省用户角色】

network-admin

【参数】

acl acl-number:指定用于匹配Portal认证前用户流量的ACL。其中acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·              2000~2999:表示基本ACL。

·              3000~3999:表示高级ACL。

car:指定Portal认证前用户的流量监管动作。

inbound:表示用户的上传速率。

outbound:表示用户的下载速率。

cir committed-information-rate:承诺信息速率,取值范围为8~160000000,单位为kbps。

pir peak-information-rate:峰值速率,取值范围为8~160000000,单位为kbps。若不指定该参数,则表示不对峰值信息速率进行限制。

user-profile profile-name:指定Portal认证前用户的User-profile。profile-name表示User Profile的名称,为1~31个字符的字符串,区分大小写,且必须以英文字母开始。

【使用指导】

若Portal认证前策略中指定的ACL不存在,ACL中无任何规则,或者配置的规则中允许访问的目的IP地址为“any”,则表示不对用户的访问进行限制。

认证前策略中指定的授权ACL中不要配置源地址信息,否则该ACL下发后将会导致引用该策略的接口上接入的用户均不能正常上线。

可通过多次执行本命令配置多个用户属性,对于相同用户属性,最后一次执行的命令生效。

【举例】

# 配置Portal认证前策略abc引用的ACL为3000。

<Sysname> system-view

[Sysname] portal pre-auth policy abc

[Sysname-portal-preauth-policy-abc] user-attribute acl 3000

1.1.75  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。

undo user-sync命令用来关闭Portal用户信息同步功能。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。

【使用指导】

配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

对同一服务器多次执行本命令,最后一次执行的命令生效。

对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·              portal server

1.1.76  version

version命令用来配置Portal协议报文的版本号。

undo version命令用来恢复缺省情况。

【命令】

version version-number

undo version

【缺省情况】

Portal协议报文的版本号为1。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

version-number:Portal协议报文的版本号,取值范围为1~3。

【使用指导】

配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。

【举例】

# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] version 2

【相关命令】

·              portal mac-trigger-server

·              display mac-trigger-server

1.1.77  vpn-instance

vpn-instance命令用来配置Portal Web服务器所属的VPN实例。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

Portal Web服务器位于公网中。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name:Portal Web服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【使用指导】

一个Portal Web服务器只能属于一个VPN实例。

【举例】

# 配置Portal Web服务器wbs所属的VPN实例为abc。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] vpn-instance abc

1.1.78  web-redirect url

web-redirect url命令用来配置Web重定向功能。

undo web-redirect命令用来关闭Web重定向功能。

【命令】

web-redirect [ ipv6 ] url url-string [ interval interval ]

undo web-redirect [ ipv6 ]

【缺省情况】

Web重定功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。

url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串,必须是以http://或者https://开头的完整URL路径。

interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。

【使用指导】

接口上配置了Web重定向功能后,当该接口上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。

如果设备支持以太网通道接口(Eth-channel),则接口下可以同时开启Web重定向功能和Portal功能,否则当接口下同时开启Web重定向功能和Portal功能时,Web重定向功能失效。

Web重定向功能仅对使用默认端口号80的HTTP协议报文和使用默认端口号443的HTTPS协议报文生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-redirect url http://192.0.0.1 interval 3600

【相关命令】

·              display web-redirect rule

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部