选择区域语言: EN CN HK

11-用户接入与认证命令参考

08-Portal命令

本章节下载  (665.87 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Command/Command_Manual/H3C_WA_CR(R2414)-6W100/11/201809/1113753_30005_0.htm

08-Portal命令

目  录

1 Portal

1.1 Portal配置命令

1.1.1 aaa-fail nobinding enable

1.1.2 aging-time

1.1.3 app-id (Facebook authentication server view)

1.1.4 app-id (QQ authentication server view)

1.1.5 app-id (WeChat authentication server view)

1.1.6 app-key (Facebook authentication server view)

1.1.7 app-key (QQ authentication server view)

1.1.8 app-key (WeChat authentication server view)

1.1.9 app-secret

1.1.10 authentication-timeout

1.1.11 auth-url

1.1.12 binding-retry

1.1.13 captive-bypass enable

1.1.14 cloud-binding enable

1.1.15 cloud-server url

1.1.16 default-logon-page

1.1.17 display portal

1.1.18 display portal auth-error-record

1.1.19 display portal auth-fail-record

1.1.20 display portal captive-bypass statistics

1.1.21 display portal dns free-rule-host

1.1.22 display portal extend-auth-server

1.1.23 display portal local-binding mac-address

1.1.24 display portal logout-record

1.1.25 display portal mac-trigger user

1.1.26 display portal mac-trigger-server

1.1.27 display portal packet statistics

1.1.28 display portal permit-rule statistics

1.1.29 display portal redirect

1.1.30 display portal redirect statistics

1.1.31 display portal rule

1.1.32 display portal safe-redirect statistics

1.1.33 display portal server

1.1.34 display portal user

1.1.35 display portal user count

1.1.36 display portal web-server

1.1.37 display web-redirect rule

1.1.38 exclude-attribute (MAC binding server view)

1.1.39 exclude-attribute (portal authentication server view)

1.1.40 free-traffic threshold

1.1.41 if-match

1.1.42 if-match temp-pass

1.1.43 ip (MAC binding server view)

1.1.44 ip (portal authentication server view)

1.1.45 ipv6

1.1.46 local-binding aging-time

1.1.47 local-binding enable

1.1.48 logon-page bind

1.1.49 logout-notify

1.1.50 mail-domain-name

1.1.51 mail-protocol

1.1.52 nas-port-type

1.1.53 port (MAC binding server view)

1.1.54 port (portal authentication server view)

1.1.55 portal apply mac-trigger-server

1.1.56 portal apply web-server

1.1.57 portal auth-error-record enable

1.1.58 portal auth-error-record export

1.1.59 portal auth-error-record max

1.1.60 portal auth-fail-record enable

1.1.61 portal auth-fail-record export

1.1.62 portal auth-fail-record max

1.1.63 portal authorization strict-checking

1.1.64 portal captive-bypass optimize delay

1.1.65 portal cloud report interval

1.1.66 portal delete-user

1.1.67 portal device-id

1.1.68 portal domain

1.1.69 portal dual-stack enable

1.1.70 portal dual-stack traffic-separate enable

1.1.71 portal enable (interface view)

1.1.72 portal enable (service template view)

1.1.73 portal extend-auth domain

1.1.74 portal extend-auth-server

1.1.75 portal fail-permit server

1.1.76 portal fail-permit web-server

1.1.77 portal forbidden-rule

1.1.78 portal free-all except destination

1.1.79 portal free-rule

1.1.80 portal free-rule description

1.1.81 portal free-rule destination

1.1.82 portal free-rule source

1.1.83 portal host-check enable

1.1.84 portal ipv6 free-all except destination

1.1.85 portal ipv6 user-detect

1.1.86 portal local-web-server

1.1.87 portal logout-record enable

1.1.88 portal logout-record export

1.1.89 portal logout-record max

1.1.90 portal mac-trigger-server

1.1.91 portal max-user

1.1.92 portal nas-id-profile

1.1.93 portal nas-port-id format

1.1.94 portal nas-port-type

1.1.95 portal oauth user-sync interval

1.1.96 portal outbound-filter enable

1.1.97 portal packet log enable

1.1.98 portal pre-auth domain

1.1.99 portal pre-auth ip-pool

1.1.100 portal redirect log enable

1.1.101 portal redirect max-session per-user

1.1.102 portal refresh enable

1.1.103 portal roaming enable

1.1.104 portal safe-redirect enable

1.1.105 portal safe-redirect forbidden-file

1.1.106 portal safe-redirect forbidden-url

1.1.107 portal safe-redirect method

1.1.108 portal safe-redirect user-agent

1.1.109 portal server

1.1.110 portal temp-pass enable

1.1.111 portal traffic-accounting disable

1.1.112 portal traffic-backup threshold

1.1.113 portal user-detect

1.1.114 portal user-dhcp-only

1.1.115 portal user-logoff after-client-offline enable

1.1.116 portal user-logoff ssid-switch enable

1.1.117 portal user log enable

1.1.118 portal web-server

1.1.119 portal { bas-ip | bas-ipv6 }

1.1.120 portal { ipv4-max-user | ipv6-max-user }

1.1.121 redirect-url

1.1.122 reset portal auth-error-record

1.1.123 reset portal auth-fail-record

1.1.124 reset portal captive-bypass statistics

1.1.125 reset portal local-binding mac-address

1.1.126 reset portal logout-record

1.1.127 reset portal packet statistics

1.1.128 reset portal redirect statistics

1.1.129 reset portal safe-redirect statistics

1.1.130 server-detect (portal authentication server view)

1.1.131 server-detect (portal web server view)

1.1.132 server-detect url

1.1.133 server-register

1.1.134 server-type (MAC binding server view)

1.1.135 server-type (portal authentication server view/portal web-server view)

1.1.136 shop-id

1.1.137 subscribe-required enable

1.1.138 tcp-port

1.1.139 url

1.1.140 url-parameter

1.1.141 user-agent

1.1.142 user-password modify enable

1.1.143 user-sync

1.1.144 version

1.1.145 web-redirect url

 


1 Portal

1.1  Portal配置命令

1.1.1  aaa-fail nobinding enable

aaa-fail nobinding enable命令用来配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文触发正常的Portal认证。

undo aaa-fail nobinding enable命令用来恢复缺省情况。

【命令】

aaa-fail nobinding enable

undo aaa-fail nobinding enable

【缺省情况】

若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【使用指导】

用户进行基于MAC地址的快速认证且AAA认证失败后,设备收到认证失败信息会直接将MAC Trigger表项状态设为未绑定状态,然后对“未绑定”状态的用户直接发起正常的Portal认证,不再到MAC绑定服务器上进行绑定状态查询。

【举例】

# 在MAC绑定服务器mts视图下,配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aaa-fail nobinding enable

【相关命令】

·     display portal mac-trigger-server

1.1.2  aging-time

aging-time命令用来配置MAC Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

seconds:MAC Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的的流量后,会生成MAC Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC Trigger表项。

【举例】

# 指定MAC Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·     display portal mac-trigger-server

1.1.3  app-id (Facebook authentication server view)

app-id命令用来配置Facebook认证服务时用户的唯一标识。

undo app-id命令用来恢复缺省情况。

【命令】

app-id app-id

undo app-id

【缺省情况】

存在一个预定义的唯一标识。

【视图】

Facebook认证服务器视图

【缺省用户角色】

network-admin

【参数】

app-id:用户的唯一标识。

【使用指导】

用户采用Facebook认证服务时,Facebook认证服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。

【举例】

# 配置Facebook认证服务时用户的唯一标识为123456789。

<Sysname> system-view

[Sysname] portal extend-auth-server facebook

[Sysname-portal-extend-auth-server-fb] app-id 123456789

【相关命令】

·     display portal extend-auth-server

1.1.4  app-id (QQ authentication server view)

app-id命令用来配置QQ认证服务时用户的唯一标识。

undo app-id命令用来恢复缺省情况。

【命令】

app-id app-id

undo app-id

【缺省情况】

存在一个预定义的唯一标识。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

【参数】

app-id:用户的唯一标识。

【使用指导】

终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。

【举例】

# 配置QQ认证服务时用户的唯一标识为101235509。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] app-id 101235509

【相关命令】

·     display portal extend-auth-server

1.1.5  app-id (WeChat authentication server view)

app-id命令用来配置微信认证服务时用户的唯一标识。

undo app-id命令用来恢复缺省情况。

【命令】

app-id app-id

undo app-id

【缺省情况】

不存在用户的唯一标识。

【视图】

微信认证服务器视图

【缺省用户角色】

network-admin

【参数】

app-id:用户的唯一标识。

【使用指导】

该配置需要与微信公众号中配置的保持一致。

终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。

网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。

进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。

【举例】

# 配置微信认证服务时用户的唯一标识为wx23fb4aaf04b8491e。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat] app-id wx23fb4aaf04b8491e

【相关命令】

·     display portal extend-auth-server

1.1.6  app-key (Facebook authentication server view)

app-key命令用来配置app-id对应的密钥。

undo app-key命令用来恢复缺省情况。

【命令】

app-key { cipher | simple } app-key

undo app-key

【缺省情况】

存在一个预定义的密钥。

【视图】

Facebook认证服务器视图

【缺省用户角色】

network-admin

【参数】

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥。

app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

用户采用Facebook认证服务时,Facebook服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。

【举例】

# 配置Facebook认证服务的授权登录密钥明文为123。

<Sysname> system-view

[Sysname] portal extend-auth-server facebook

[Sysname-portal-extend-auth-server-fb] app-key simple 123

【相关命令】

·     display portal extend-auth-server

1.1.7  app-key (QQ authentication server view)

app-key命令用来配置app-id对应的密钥。

undo app-key命令用来恢复缺省情况

【命令】

app-key { cipher | simple } app-key

undo app-key

【缺省情况】

存在app-id对应的密钥。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

【参数】

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥。

app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。

【举例】

 # 配置QQ认证服务的授权登录密钥为8a5428e6afdc3e2a2843087fe73f1507。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] app-key simple 8a5428e6afdc3e2a2843087fe73f1507

【相关命令】

·     display portal extend-auth-server

1.1.8  app-key (WeChat authentication server view)

app-key命令用来配置app-id对应的密钥。

undo app-key命令用来恢复缺省情况。

【命令】

app-key { cipher | simple } string

undo app-key

【缺省情况】

不存在app-id对应的密钥。

【视图】

微信认证服务器视图

【缺省用户角色】

network-admin

【参数】

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥,该密码将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。

网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。

进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。

【举例】

# 配置app-id对应的密钥为nqduqg4816689geruhq3。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat] app-key simple nqduqg4816689geruhq3

【相关命令】

·     display portal extend-auth-server

1.1.9  app-secret

app-secret命令用来配置微信认证服务使用的APP密码。

undo app-secret命令用来恢复缺省情况。

【命令】

app-secret { cipher | simple } string

undo app-secret

【缺省情况】

未配置微信认证服务使用的APP密码。

【视图】

微信认证服务器视图

【缺省用户角色】

network-admin

【参数】

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥,该密码将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

对Portal用户应用本地微信认证强制关注功能时,设备需要将配置的app-id、app-secret发送到微信公众平台获取access-token。当设备收到用户的Portal认证请求时,会用获取的access-token和认证请求中的openId向微信服务器发送请求来获取用户信息,设备通过微信服务器返回的用户信息来判断用户是否关注微信公众号。

网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。进入微信公众号,在左侧导航栏下“微信公众平台->开发->基本配置”页获得access-token。

【举例】

# 配置微信认证服务使用的APP密码为明文的nqduqg4816689geruhq3。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat] app-secret simple nqduqg4816689geruhq3

1.1.10  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·     display portal mac-trigger-server

1.1.11  auth-url

auth-url命令用来配置QQ或Facebook认证服务器的地址。

undo auth-url命令用来删除QQ或Facebook认证服务器的地址。

【命令】

auth-url url-string

undo auth-url

【缺省情况】

QQ认证服务器的地址为https://graph.qq.com。

Facebook认证服务器的地址为https://graph.facebook.com。

【视图】

QQ认证服务器视图

Facebook认证服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:QQ或Facebook认证服务器的URL,为1~256个字符的字符串,区分大小写。请确保与QQ认证服务器或Facebook认证服务器的实际地址保持一致。

【举例】

# 配置QQ认证服务器的地址为http://oauth.qq.com。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] auth-url http://oauth.qq.com

# 配置Facebook认证服务器的地址为http://oauth.facebook.com。

<Sysname> system-view

[Sysname] portal extend-auth-server facebook

[Sysname-portal-extend-auth-server-fb] auth-url http://oauth.facebook.com

【相关命令】

·     display portal extend-auth-server

1.1.12  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·     display portal mac-trigger-server

1.1.13  captive-bypass enable

captive-bypass enable命令用来开启Portal被动Web认证功能。

undo captive-bypass enable命令用来关闭Portal被动Web认证功能。

【命令】

captive-bypass [ android | ios [ optimize ] ] enable

undo captive-bypass [ android | ios [ optimize ] ] enable

【缺省情况】

Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

android:开启Android用户Portal被动Web认证功能。

ios:开启iOS用户Portal被动Web认证功能。

optimize:开启Portal被动Web认证的优化功能。

【使用指导】

iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。

Portal被动Web认证优化功能仅针对iOS移动终端有效,当iOS移动终端接入网络后会自动弹出Portal认证页面,在不认证的情况下,按home键返回桌面时Wi-Fi连接不会断开。

同一时间只能对一种用户开启Portal被动Web认证功能,新配置将覆盖已有配置。

若未指定任何参数,则表示对所有用户开启Portal被动Web认证功能。

【举例】

# 开启Portal被动Web认证功能。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] captive-bypass enable

# 开启iOS用户的Portal被动Web认证优化功能。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] captive-bypass ios optimize enable

# 开启Android用户的Portal被动Web认证功能。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] captive-bypass android enable

【相关命令】

·     display portal captive-bypass statistics

·     display portal web-server

1.1.14  cloud-binding enable

cloud-binding enable命令用来开启Portal云端MAC Trigger认证功能。

undo cloud-binding enable命令用来关闭Portal云端MAC Trigger认证功能。

【命令】

cloud-binding enable

undo cloud-binding enable

【缺省情况】

Portal云端MAC Trigger认证功能处于关闭状态。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,当用户进行云端Portal认证时,只需要在第一次认证时输入用户名和密码,后面再进行认证时无需手工输入认证信息便可以自动完成Portal认证,此时,云端服务器作为Portal认证服务器、Portal Web服务器和MAC绑定服务器。

【举例】

# 在MAC绑定服务器mts视图下,开启Portal云端MAC Trigger认证功能。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] cloud-binding enable

【相关命令】

·     display portal mac-trigger-server

1.1.15  cloud-server url

cloud-server url命令用来指定云端Portal认证服务器URL。

undo cloud-server url命令用来恢复缺省情况。

【命令】

cloud-server url url-string

undo cloud-server url

【缺省情况】

未指定云端Portal认证服务器URL,设备采用Portal Web服务器下配置的URL。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:云端Portal认证服务器URL,为1~256个字符的字符串,区分大小写,必须以http://或者https://开头。

【使用指导】

在云端Portal认证中,Portal Web服务器下配置的URL通常为云端服务器的URL。当用户需要使用其它Portal Web服务器向用户推送Web页面时,建议配置本命令,从而使Portal Web服务器与云端Portal认证服务器分开。

【举例】

# 在MAC绑定服务器mts视图下,指定云端Portal认证服务器URL为http://lvzhou.h3c.com。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] cloud-server url http://lvzhou.h3c.com

【相关命令】

·     display portal mac-trigger-server

1.1.16  default-logon-page

default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务未提供缺省认证页面文件。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·     portal local-web-server

1.1.17  display portal

display portal命令用来显示Portal配置信息和Portal运行状态信息。

【命令】

display portal { ap ap-name [ radio radio-id ] | interface interface-type interface-number }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示接入指定AP的所有Portal配置信息和运行状态信息。ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、[]、/及-。

radio radio-id:显示接入指定射频的Portal配置信息和运行状态信息。radio-id表示射频编号,取值范围为1~4。若不指定本参数,则表示显示接入该AP下所有射频的Portal配置信息和运行状态信息。

interface-type interface-number:表示接口类型和接口编号。

【举例】

# 显示fatap下的Portal配置信息。

<Sysname> display portal ap fatap

 Portal information of fatap

 Radio ID: 1

 SSID: portal

     Authorization : Strict checking

     ACL           : Disable

     User profile  : Disable

     Dual stack    : Disabled

     Dual traffic-separate: Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal Web server: wbs(active)

     Secondary portal Web server: wbs sec

     Portal mac-trigger-server: mts

     Authentication domain: my-domain

     Extend-auth domain: def

     User-dhcp-only: Enabled

     Max portal users: 1024

     Bas-ip: 2.2.2.2

     Action for sever detection:

         Server type      Server name           Action

         Web server       wbs                   fail-permit

         Portal server    pts                   fail-permit

     Destination authentication subnet:

         IP address                             Mask

         2.2.2.2                                255.255.0.0

 IPv6:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal Web server: wbsv6(active)

     Secondary portal Web server: Not configured

     Authentication domain: my-domain

     Extend-auth domain: Not configured

     User-dhcp-only: Disabled

     Max portal users: 512

     Bas-ipv6: 2000::1

     Action for sever detection:

         Server type      Server name           Action

         Web server       wbsv6                 fail-permit

         Portal server    ptsv6                 fail-permit

     Destination authentication subnet:

         IP address                             Prefix length

3000::1                                64

# 显示VLAN接口下的Portal配置信息。

<Sysname> display portal interface Vlan-interface 30

 Portal information of Vlan-interface30

     NAS-ID profile: Not configured

     Authorization : Strict checking

     ACL           : Disable

     User profile  : Disable

     Dual stack    : Disabled

     Dual traffic-separate: Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal Web server: pt(active)

     Secondary portal Web server: wbs sec

     Authentication domain: test

     Pre-auth domain: Not configured

     Extend-auth domain: def

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max portal users: Not configured

     Bas-ip: Not configured

     User detection: Not configured

     Portal temp-pass: Enabled,       Period: 30s

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address               Mask

 

     Destination authentication subnet:

         IP address               Mask

 IPv6:

     Portal status: Disabled

     Portal authentication method: Disabled

     Portal Web server: Not configured

     Secondary portal Web server: Not configured

     Authentication domain: Not configured

     Pre-auth domain: Not configured

     Extend-auth domain: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max portal users: Not configured

     Bas-ipv6: Not configured

     User detection: Not configured

     Portal temp-pass: Disabled

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address                                        Prefix length

 

     Destination authentication subnet:

         IP address                                        Prefix length

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

Radio ID

射频ID

SSID

服务集标识符

NAS-ID profile

接口上引用的NAS-ID profile

Authorization

服务器下发给Portal用户的授权信息类型,包括ACL和User profile

Strict checking

Portal授权信息的严格检查模式是否开启

Dual stack

接口上Portal双栈模式的运行状态,包括以下取值:

·     Disabled:Portal双栈模式未开启

·     Enabled:Portal双栈模式已开启

Dual traffic-separate

接口上Portal双栈流量分开统计功能,包括以下取值:

·     Disabled:Portal双栈流量分开统计功能未开启

·     Enabled:Portal双栈流量分开统计功能已开启

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·     Disabled:Portal认证未开启

·     Enabled:Portal认证已开启

·     Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放

Portal authentication method

接口上配置的认证方式,包括以下取值:

·     Direct:直接认证方式

Portal Web server

接口上配置的主Portal Web服务器的名称。active表示正在使用此Portal Web服务器

Secondary portal Web server

接口上配置的备份Portal Web服务器的名称。active表示正在使用此Portal Web服务器

Portal mac-trigger-server

接口上配置MAC绑定服务器的名称

Authentication domain

接口上的Portal强制认证域

Pre-auth domain

接口上的Portal认证前域,即Portal认证前用户使用的认证域

Extend-auth domain

接口上或无线服务模板上配置的的第三方认证域

User-dhcp-only

仅允许通过DHCP方式获取IP地址的客户端上线功能

·     Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线

·     Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线

Pre-auth ip-pool

为认证前的Portal用户指定的IP地址池名称

Max portal users

接口上配置的最大用户数

Bas-ip

发送给Portal认证服务器的Portal报文的BAS-IP属性

Bas-ipv6

发送给Portal认证服务器的Portal报文的BAS-IPv6属性

User detection

接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间

Portal temp-pass

临时放行功能状态

·     Enabled:开启

·     Disabled:关闭

·     Period:临时放行时间。此字段仅在临时放行功能开启时显示

Action for server detection

服务器可达性探测功能对应的端口控制配置:

·     Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器

·     Server name:服务器名称

·     Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)

Layer3 source subnet

Portal源认证网段信息

Destination authentication subnet

Portal目的认证网段认证信息

IP address

Portal认证网段的IP地址

Mask

Portal认证网段的子网掩码

Prefix length

Portal IPv6认证网段的地址前缀长度

 

1.1.18  display portal auth-error-record

display portal auth-error-record命令用来显示用户Portal认证异常记录。

【命令】

display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有的Portal认证异常记录。

ipv4 ipv4-address:显示指定IPv4地址的用户的Portal认证异常记录。

ipv6 ipv6-address:显示指定IPv6地址的用户的Portal认证异常记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为HH:MM,取值范围为00:00~23:59。

【举例】

# 显示所有的Portal认证异常记录。

<Sysname> display portal auth-error-record all

Total authentication error records: 2

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

 

User MAC               : 0016-ecb7-a235

Interface              : Vlan-interface100

User IP address        : 192.168.0.10

AP                     : ap1

SSID                   : byod

Auth error time        : 2016-03-04 16:51:07

Auth error reason      : The maximum number of users already reached.

# 显示IP地址为192.168.0.188的用户的Portal认证异常记录。

<Sysname> display portal auth-error-record ip 192.168.0.188

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

# 显示IPv6地址为2000::2的用户的Portal认证异常记录。

<Sysname> display portal auth-error-record ipv6 2000::2

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 2000::2

AP                     : ap1

SSID                   : byod

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证异常记录。

<Sysname> display portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth error time        : 2016-03-04 14:22:25

Auth error reason      : The maximum number of users already reached.

表1-2 display portal auth-error-record命令显示信息描述表

字段

描述

Total authentication error records

Portal认证异常记录总数

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

AP

AP名称

SSID

客户端关联的SSID

Auth error time

用户Portal认证异常时间,格式为YYYY-MM-DD hh:mm:ss

Auth error reason

用户Portal认证异常原因,取值包括:

·     The maximum number of users already reached.:用户数达上限

·     Failed to obtain user physical information.:获取物理信息失败

·     Failed to receive the packet because packet length is 0.:接收报文失败,报文长度为0

·     Packet source unknown. Server IP:X.X.X.X, VRF index:0:报文源未知。服务器IP地址:X.X.X.X,VRF索引:0

·     Packet validity check failed because packet length and version don't match.:报文长度和版本不匹配导致报文有效性检查失败

·     Packet type invalid.:报文类型不合法

·     Packet validity check failed due to invalid authenticator.:无效的验证字导致报文有效性检查失败

·     Memory insufficient.:内存不足

·     Portal is disabled on the interface.:接口上未开启Portal功能

·     The maximum number of users on the interface already reached.接口上用户数已达上限

·     Failed to get the access token of the cloud user.云Portal用户上线时获取令牌失败

·     Failed to get the user information of the cloud user.云Portal用户上线时获取用户信息失败

·     Failed to get the access token of the QQ user.QQ用户上线时获取令牌失败

·     Failed to get the openID of the QQ user.QQ用户上线时获取openid失败

·     Failed to get the user information of the QQ user.QQ用户上线时.获取用户信息失败

·     Email authentication failed.邮箱认证失败

 

【相关命令】

·     portal auth-error-record enable

·     reset auth-error-record

1.1.19  display portal auth-fail-record

display portal auth-fail-record命令用来显示用户Portal认证失败记录。

【命令】

display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有的Portal认证失败记录。

ipv4 ipv4-address:显示指定IPv4地址用户的Portal认证失败记录。

ipv6 ipv6-address:显示指定IPv6地址用户的Portal认证失败记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:显示指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 显示所有的Portal认证失败记录。

<Sysname> display portal auth-fail-record all

Total authentication fail records: 2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

 

User name              : coco

User MAC               : 0016-ecb7-a235

Interface              : Vlan-interface100

User IP address        : 192.168.0.10

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:50:07

Auth failure reason    : Authorization information does not exist.

# 显示IP地址为192.168.0.8的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record ip 192.168.0.188

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示IPv6地址为2000::2的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record ipv6 2000::2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 2000::2

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示用户名为chap1的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record username chap1

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证失败记录。

<Sysname> display portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 14:22:25

Auth failure reason    : Authorization information does not exist.

表1-3 display portal auth-fail-record命令显示信息描述表

字段

描述

Total authentication fail records

Portal认证失败记录总数

User name

Portal用户的用户名

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

AP

AP名称

SSID

客户端关联的SSID

Auth failure time

用户Portal认证失败时间,格式为YYYY/MM/DD hh:mm:ss

Auth failure reason

用户Portal认证失败原因

 

【相关命令】

·     portal auth-fail-record enable

·     reset portal auth-fail-record

1.1.20  display portal captive-bypass statistics

display portal captive-bypass statistics命令用来显示Portal被动Web认证功能的报文统计信息。

【命令】

display portal captive-bypass statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示Portal被动Web认证功能的报文统计信息。

<Sysname> display portal captive-bypass statistics

User type       Packets

iOS:             1

Android:        0

表1-4 display portal captive-bypass statistics命令显示信息描述表

字段

描述

User type

用户类型,取值为:

·     iOS

·     Android

Packets

向用户发送Portal被动Web认证功能报文的数目

 

【相关命令】

·     captive-bypass enable

1.1.21  display portal dns free-rule-host

display portal dns free-rule-host命令用来显示基于目的的Portal免认证规则中的主机名对应的IP地址。

【命令】

display portal dns free-rule-host [ host-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“ip”和“ipv6”。如果未指定本参数,则表示显示所有基于目的的Portal免认证规则中的主机名对应的IP地址。

【举例】

# 显示基于目的的Portal免认证规则中主机名www.baidu.com对应的IP地址。

<Sysname> display portal dns free-rule-host www.baidu.com

 Host name                     IP

 www.baidu.com                 10.10.10.10

# 显示基于目的的Portal免认证规则中主机名*abc.com对应的IP地址。

<Sysname> display portal dns free-rule-host *abc.com

 Host name                     IP

 *abc.com                      12.12.12.12

                               111.8.33.100

                               3.3.3.3

表1-5 display portal dns free-rule-host命令显示信息描述表

字段

描述

Host name

基于目的的Portal免认证规则配置的主机名

IP

根据主机名解析的IP地址

 

1.1.22  display portal extend-auth-server

display portal extend-auth-server命令用来显示第三方认证服务器信息

【命令】

display portal extend-auth-server { all | facebook | mail | qq | wechat }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有第三方认证服务器信息。

facebook:显示Facebook认证服务器信息。

mail:显示邮箱认证服务器信息。

qq:显示QQ认证服务器信息。

wechat:显示微信认证服务器信息。

【举例】

# 显示所有第三方认证服务器信息。

<Sysname> display portal extend-auth-server all

Portal extend-auth-server: qq

   Authentication URL : http://graph.qq.com

   APP ID            : 101235509

   APP key           : ******

   Redirect URL      : http://oauthindev.h3c.com/portal/qqlogin.html

Portal extend-auth-server: mail

   Mail protocol      : POP3

   Mail domain name   : @qq.com

Portal extend-auth-server: wechat

  App ID             : wx23fb4aaf04b8491e

  App key            : ******

  App secret         : ******

  Subscribe-required : Enabled

  Shop ID            : 6747662

Portal extend-auth-server: facebook

   Authentication URL : https://graph.facebook.com

   APP ID             : 123456789

   APP key            : ******

   Redirect URL       : http://oauthindev.h3c.com/portal/fblogin.html

表1-6 display portal extend-auth-server命令显示信息描述表

字段

描述

Portal extend-auth-server

第三方认证服务器的类型

Authentication URL

第三方认证服务器的地址

APP ID

第三方认证服务用户的唯一标识

APP key

第三方认证服务app-id对应的密钥

APP secret

微信本地认证获取access-token时需要的密钥

Subscribe-required

微信本地认证强制关注功能状态:

·     Enabled:开启

·     Disabled:关闭

Redirect URL

第三方认证成功之后的重定向地址

Mail protocol

邮箱认证服务支持的协议类型

Mail domain name

邮箱认证服务支持的邮箱类型

Shop ID

微信认证服务时设备所在门店的唯一标识

 

【相关命令】

·     portal extend-auth-server

1.1.23  display portal local-binding mac-address

display portal local-binding mac-address命令用来显示本地MAC Trigger绑定表项信息。

【命令】

display portal local-binding mac-address { mac-address | all }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

mac-address:用户的MAC地址,格式为H-H-H

all:显示本地MAC Trigger绑定表项的所有信息。

【举例】

# 显示本地MAC Trigger绑定表项中的所有信息。

<Sysname> display portal local-binding mac-address all

Total MAC addresses: 5

MAC address                Username            Aging(hh:mm:ss)

0015-e9a6-7cfe             wlan_user1          00:41:38

0000-e27c-6e80             wlan_user2          00:41:38

000f-e212-ff01             wlan_user3          00:41:38

001c-f08f-f804             wlan_user4          00:41:38

000f-e233-9000             wlan_user5          00:41:38

# 显示本地MAC Trigger表项中MAC地址为0015-e9a6-7cfe的信息。

<Sysname> display portal local-binding mac-address 0015-e9a6-7cfe

Total MAC addresses: 1

MAC address                Username            Aging(hh:mm:ss)

0015-e9a6-7cfe             wlan_user1          00:41:38

表1-7 display portal local-binding mac-address命令显示信息描述表

字段

描述

MAC address

MAC地址,格式为H-H-H

Username

用户名

Aging

剩余老化时间

 

【相关命令】

·     local-binding enable

1.1.24  display portal logout-record

display portal logout-record命令用来显示Portal用户的下线记录。

【命令】

display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有用户的下线记录。

ipv4 ipv4-address:显示指定IPv4地址用户的下线记录。

ipv6 ipv6-address:显示指定IPv6地址用户的下线记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内用户的下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:显示指定用户名的用户下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 显示所有Portal用户的下线记录。

<Sysname> display portal logout-record all

Total logout records: 2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:20:19

User logout time       : 2016-03-04 14:22:05

Logout reason          : Admin Reset

 

User name              : coco

User MAC               : 0016-ecb7-a235

Interface              : Vlan-interface100

User IP address        : 192.168.0.10

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:10:15

User offline time      : 2016-03-04 14:22:05

Offline reason         : Admin Reset

# 显示IP地址为192.168.0.8的用户下线记录。

<Sysname> display portal logout-record ip 192.168.0.8

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:26:12

User logout time       : 2016-03-04 14:27:35

Logout reason          : Admin Reset

# 显示用户名为chap1的用户下线记录。

<Sysname> display portal logout-record username chap1

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 17:20:19

User logout time       : 2016-03-04 17:22:05

Logout reason          : Admin Reset

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal用户下线记录。

<Sysname> display portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : Vlan-interface100

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:20:19

User logout time       : 2016-03-04 14:22:05

Logout reason          : Admin Reset

表1-8 display portal logout-record命令显示信息描述表

字段

描述

Total logout records

Portal用户下线记录总数

User name

Portal用户的用户名

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

AP

AP名称

SSID

客户端关联的SSID

User login time

用户上线时间,即用户授权成功的时间,格式为YYYY-MM-DD hh:mm:ss

User logout time

Portal用户的下线时间,格式为YYYY-MM-DD hh:mm:ss

Logout reason

Portal用户的下线原因,取值包括:

·     User Request:用户请求下线

·     Carrier Lost:接口下线

·     Service Lost:服务不再提供

·     Admin Reset:强制下线

·     NAS Request:NAS终止会话

·     Idle Timeout:闲置超时

·     Port Suspended:端口不可用

·     Port Error:端口错误

·     Admin Reboot:管理员终止NAS上的服务

·     Session Timeout:会话超时

·     User Error:用户错误

·     Service Unavailable:服务不可用

·     NAS Error:NAS 错误

·     Other Errors:其他错误

 

【相关命令】

·     portal logout-record enable

·     reset portal logout-record

1.1.25  display portal mac-trigger user

display portal mac-trigger user命令用来显示基于MAC地址的快速认证的用户信息。

【命令】

display portal mac-trigger user { all | ip ipv4-address | mac mac-address }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有基于MAC地址的快速认证的用户信息。

ip ipv4-address:显示指定IP地址的基于MAC地址快速认证的用户信息。

mac mac-address:显示指定MAC地址的基于MAC地址快速认证的用户信息。格式为H-H-H。

【举例】

# 显示所有基于MAC地址快速认证的用户信息。

<Sysname> display portal mac-trigger user all

Total portal mac-trigger users: 8

MAC address      IP address     VLAN ID   Interface          Traffic(Bytes)  State

0050-ba50-732a   1.1.1.6        1         Vlan-interface1    0               NOBIND

0050-ba50-7328   1.1.1.4        1         Vlan-interface1    0               NOBIND

0050-ba50-7326   1.1.1.2        1         Vlan-interface1    0               NOBIND

0050-ba50-732c   1.1.1.8        1         Vlan-interface1    0               NOBIND

0050-ba50-7329   1.1.1.5        1         Vlan-interface1    0               NOBIND

# 显示MAC地址为0050-ba50-7777的基于MAC地址快速认证的用户信息。

<Sysname> display portal mac-trigger user mac 0050-ba50-7777

MAC address      IP address     VLAN ID   Interface          Traffic(Bytes)  State

0050-ba50-777    1.1.5.83       1         Vlan-interface1    0               NOBIND

# 显示IP地址为1.1.2.126的基于MAC地址快速认证的用户信息。

<Sysname> display portal mac-trigger user ip 1.1.2.126

MAC address      IP address     VLAN ID   Interface          Traffic(Bytes)  State

0050-ba50-74a2   1.1.2.126      1         Vlan-interface1    0               NOBIND

表1-9 display portal mac-trigger user命令显示信息描述表

字段

描述

MAC address

用户的MAC地址

IP address

用户的IP地址

VLAN ID

用户所在的VLAN

Interface

用户接入的接口

Traffic(Bytes)

用户的当前流量,单位为字节

State

用户的当前状态,包括以下取值:

·     DEFAULT:免认证流量状态

·     WAIT:MAC地址和用户认证信息绑定查询等待状态

·     NOBIND:MAC地址和用户认证信息未绑定状态

·     BIND:MAC地址和用户认证信息已绑定状态

·     DISABLE:接入设备上的MAC Trigger表项处于删除状态

 

【相关命令】

·     portal apply mac-trigger-server

·     portal mac-trigger-server

1.1.26  display portal mac-trigger-server

display portal mac-trigger-server命令用来显示MAC绑定服务器信息。

【命令】

display portal mac-trigger-server { all | name server-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有MAC绑定服务器信息。

name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。

【举例】

# 显示全部MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server all

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

  Local-binding              : Disabled

  Local-binding aging time   : 12 hours

  aaa-fail nobinding         : Disabled

  Excluded attribute list    : 1

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

Portal mac trigger server name: mts

  Version                    : 1.0

  Server type                : IMC

  IP                         : 4.4.4.2

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  Free-traffic threshold     : 0 bytes

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

  Local-binding              : Disabled

  Local-binding aging-time   : 12 hours

  aaa-fail nobinding         : Disabled

  Excluded attribute list    : 1

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

# 显示名字为ms1的MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server name ms1

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

  Local-binding              : Disabled

  Local-binding aging-time   : 12 hours

  aaa-fail nobinding         : Disabled

  Excluded attribute list    : 1

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

表1-10 display portal mac-trigger-server命令显示信息描述表

字段

描述

Portal mac-trigger-server

MAC绑定服务器的名称

Version

Portal协议报文的版本,取值包括:

·     1.0:版本1

·     2.0:版本2

·     3.0:版本3

Server type

MAC绑定服务器的服务类型,取值包括:

·     CMCC:CMCC Portal服务器

·     iMC:H3C iMC Portal服务器或H3C CAMS Portal服务器

IP

MAC绑定服务器的IP地址

Port

设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号

VPN instance

(暂不支持)MAC绑定服务器所属的VPN

Aging time

MAC trigger表项老化时间,单位为秒

Free-traffic threshold

用户免认证流量阈值,单位为字节

NAS-Port-Type

发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值

Binding retry times

设备向MAC绑定服务器发起MAC查询的最大尝试次数

Binding retry interval

设备向MAC绑定服务器发起MAC查询的时间间隔

Authentication timeout

设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间

Excluded attribute list

Portal协议报文中不携带的属性字段编号

Local-binding

Portal本地MAC Trigger认证功能状态

·     Disabled:关闭状态

·     Enabled:开启状态

Local-binding aging-time

本地MAC Trigger绑定表项老化时间,单位为小时

Cloud-binding

Portal云端MAC Trigger认证功能状态

·     Disabled:关闭状态

·     Enabled:开启状态

Cloud server URL

云端Portal认证服务器URL

aaa-fail nobinding

开启基于MAC地址的快速认证,AAA认证失败时,设备设置MAC Trigger表项的状态

·     Disabled:绑定状态

·     Enabled:未绑定状态

 

1.1.27  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器和MAC绑定服务器的报文统计信息。

【命令】

display portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] *

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

extend-auth-server:第三方Portal认证服务器类型。

cloud:第三方Portal认证服务器类型为绿洲云服务器。

facebook:第三方Portal认证服务器类型为Facebook服务器。

mail:第三方Portal认证服务器类型为邮箱服务器。

qq:第三方Portal认证服务器类型为QQ服务器。

wechat:第三方Portal认证服务器类型为微信服务器。

mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。

server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若未指定任何参数,则依次显示所有第三方Portal认证服务器、普通Portal认证服务器和MAC绑定服务器的报文统计信息。

【举例】

# 显示名称为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

 Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_HEARTBEAT                       0        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

# 显示名字为newpt的MAC绑定服务器的报文统计信息。

<Sysname> display portal packet statistics mac-trigger-server newpt

 MAC-trigger server: newpt

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_MACBIND                         1        0        0

 ACK_MACBIND                         1        0        0

 NTF_MTUSER_LOGON                    1        0        0

 NTF_MTUSER_LOGOUT                   0        0        0

 REQ_MTUSER_OFFLINE                  0        0        0

# 显示类型为cloud的第三方Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics extend-auth-server cloud

Extend-auth server:  cloud

 Update interval:  60

  Pkt-Type               Success    Error      Timeout    Conn-failure

  REQ_ACCESSTOKEN        1          0          0          0

  REQ_USERINFO           1          0          0          0

  RESP_ACCESSTOKEN       1          0          0          0

  RESP_USERINFO          1          0          0          0

  POST_ONLINEDATA        0          0          0          0

  RESP_ONLINEDATA        0          0          0          0

  POST_OFFLINEUSER       1          0          0          0

  REPORT_ONLINEUSER      1          0          0          0

  REQ_CLOUDBIND          1          0          0          0

  RESP_CLOUDBIND         1          0          0          0

  REQ_BINDUSERINFO       0          0          0          0

  RESP_BINDUSERINFO      0          0          0          0

  AUTHENTICATION         0          1          0          0

表1-11 display portal server statistics命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

Invalid packets

无效报文的数目

Pkt-Type

报文的类型

Total

报文的总数

Drops

丢弃报文数

Errors

携带错误信息的报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

MAC-trigger server

MAC绑定服务器名称

REQ_MACBIND

接入设备向MAC绑定服务器发起的MAC绑定查询报文

ACK_MACBIND

MAC绑定服务器回应接入设备的MAC绑定查询应答报文

NTF_MTUSER_LOGON

接入设备通知MAC绑定服务器通知用户上线报文

NTF_MTUSER_LOGOUT

接入设备通知MAC绑定服务器通知用户下线报文

REQ_MTUSER_OFFLINE

MAC绑定服务器向接入设备发送的要求用户强制下线报文

Extend-auth server

第三方Portal认证服务器类型,取值如下:

·     qq:第三方Portal认证服务器类型为QQ服务器

·     mail:第三方Portal认证服务器类型为邮箱服务器

·     wechat:第三方Portal认证服务器类型为微信服务器

·     cloud:第三方Portal认证服务器类型为绿洲云服务器

·     facebook:第三方Portal认证服务器类型为Facebook服务器

Update interval

设备发送在线用户信息给云端的时间间隔,单位为秒,当第三方Portal认证服务器类型为cloud时显示

Success

成功报文数

Timeout

连接第三方Portal认证服务器超时报文数

Conn-failure

无法连接第三方Portal认证服务器的报文数

Deny

被服务器拒绝登录报文数。该字段仅当第三方Portal认证服务器类型为mail时显示

REQ_ACCESSTOKEN

接入设备发送获取ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示

REQ_OPENID

接入设备发送获取OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示

REQ_USERINFO

接入设备发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示

RESP_ACCESSTOKEN

接入设备接收ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示

RESP_OPNEID

接入设备接收OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示

RESP_USERINFO

接入设备接收USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示

REQ_POP3

接入设备发送邮箱POP3协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示

REQ_IMAP

接入设备发送邮箱IMAP协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示

POST_ONLINEDATA

接入设备发送获取云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_ONLINEDATA

接入设备接收云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

POST_OFFLINEUSER

接入设备发送下线用户信息给云端。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示

REPORT_ONLINEUSER

接入设备发送云端用户上线信息报文。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示

REQ_CLOUDBIND

接入设备发送查询云端用户绑定状态的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_CLOUDBIND

接入设备接收云端用户绑定状态的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

REQ_BINDUSERINFO

接入设备在收到RESP_CLOUDBIND报文且字段为BIND后发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_BINDUSERINFO

接入设备接收REQ_BINDUSERINFO报文的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

AUTHENTICATION

第三方认证结果

 

【相关命令】

·     reset portal packet statistics

1.1.28  display portal permit-rule statistics

display portal permit-rule statistics命令用来显示Portal过滤规则的统计信息。

【命令】

display portal permit-rule statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

本命令仅显示Portal过滤规则中的第一类规则和第二类规则的统计信息。

【举例】

# 显示Portal过滤规则的统计信息。

<Sysname> display portal permit-rule statistics

Interface             Free rules           Fuzzy rules            User rules

Vlan-interface30      2                    5                      10

Vlan-interface30      2                    3                      6

表1-12 display portal permit-rule statistics命令显示信息描述表

字段

描述

Interface

Portal过滤规则应用的接口

Free rules

通过配置产生的免认证规则数量,不包括配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量

Fuzzy rules

配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量

User rules

用户通过认证后产生的规则数量

 

1.1.29  display portal redirect

display portal redirect命令用来显示Portal重定向的会话信息。

【命令】

display portal redirect { statistics | session [ ip ipv4-address | ipv6 ipv6-address ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

statistics:统计全局Portal重定向报文信息。

session:统计全局Portal重定向会话信息。

ip ipv4-address:显示指定IP地址用户的Portal重定向会话信息。

ipv6 ipv6-address:显示指定IPv6地址用户的Portal重定向会话信息。

【使用指导】

·     指定top参数后,设备会分别统计出HTTP和HTTPS重定向会话数最多的10个用户,并按会话数由多到少显示用户的Portal重定向会话信息。

·     若未指定[ ip ipv4-address | ipv6 ipv6-address ]参数,则表示统计所有Portal重定向会话信息。

【举例】

# 显示Portal重定向会话统计信息。

<Sysname> display portal redirect session

Total HTTP sessions: 40

Total HTTP rejected: 2542

Total HTTPS sessions: 40

Total HTTPS rejected: 0

IP: 192.168.0.1

  HTTP sessions: 20

  HTTP rejected: 10

  HTTPS sessions: 20

  HTTPS rejected: 40

IP: 192.168.0.2

  HTTP sessions: 20

  HTTP rejected: 8

  HTTPS sessions: 20

  HTTPS rejected: 40

# 分别显示数量最多的十个HTTP和HTTPS会话信息。

# 显示IP地址为192.168.0.2的用户Portal重定向的会话统计信息。

<Sysname> display portal redirect session ip 192.168.0.2

IP: 192.168.0.2

  HTTP sessions: 128

  HTTP rejected: 10

  HTTPS sessions: 0

  HTTPS rejected: 0

表1-13 display portal redirect命令显示信息描述表

字段

描述

Total HTTP sessions

产生HTTP重定向会话的IP地址数目

Total HTTP rejected

所有用户HTTP重定向请求报文丢弃的总数

Total HTTPS sessions

产生HTTPS重定向会话的IP地址数目

Total HTTPS rejected

所有用户HTTPS重定向请求报文丢弃的总数

IP

Portal重定向客户端IP地址

HTTP sessions

单用户HTTP重定向会话的数量

HTTP rejected

单用户HTTP重定向请求报文丢弃的数量

HTTPS sessions

单用户HTTPS重定向会话的数量

HTTPS rejected

单用户HTTPS重定向请求报文丢弃的数量

 

【相关命令】

·     portal redirect max-session

·     portal redirect max-session per-user

1.1.30  display portal redirect statistics

display portal redirect statistics命令用来显示Portal重定向报文统计信息。

【命令】

display portal redirect statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示Portal重定向报文统计信息。

<Sysname> display portal redirect statistics

HttpReq: 1

HttpResp: 1

HttpsReq: 0

HttpsResp: 0

表1-14 display portal redirect statistics命令显示信息描述表

字段

描述

HttpReq

HTTP重定向请求报文的数目

HttpResp

HTTP重定向回应报文的数目

HttpsReq

HTTPS重定向请求报文的数目

HttpsResp

HTTPS重定向回应报文的数目

 

【相关命令】

·     reset portal redirect statistics

1.1.31  display portal rule

display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。

【命令】

display portal rule { all | dynamic | static } { ap ap-name [ radio radio-id ] | interface interface-type interface-number }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。

dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。

static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。

ap ap-name:显示接入指定AP的所有Portal规则信息。ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。

radio radio-id:显示接入指定射频的Portal规则信息。radio-id表示射频编号,取值范围为1~4。若不指定本参数,则表示显示接入AP下所有射频的Portal规则信息。

interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。

【举例】

# 显示fatap上的所有Portal过滤规则。

<Sysname> display portal rule all ap fatap

IPv4 portal rules on fatap:

Radio ID : 1

SSID     : portal

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP        : 0.0.0.0

    Mask      : 0.0.0.0

    Port      : 23

    MAC       : 0000-0000-0000

    Interface : WLAN-BSS1/0/1

    VLAN      : any

 Destination:

    IP        : 192.168.0.111

    Mask      : 255.255.255.255

    Port      : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP        : 2.2.2.2

    MAC       : 000d-88f8-0eab

    Interface : WLAN-BSS1/0/1

    VLAN      : 2

 Author ACL:

    Number    : N/A

 

Rule 3

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP        : 0.0.0.0

    Mask      : 0.0.0.0

    Interface : WLAN-BSS1/0/1

    VLAN      : any

    Protocol  : TCP

 Destination:

    IP        : 0.0.0.0

    Mask      : 0.0.0.0

    Port      : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP        : 0.0.0.0

    Mask      : 0.0.0.0

    Interface : WLAN-BSS1/0/1

    VLAN      : Any

 Destination:

    IP        : 0.0.0.0

    Mask      : 0.0.0.0

表1-15 display portal rule命令显示信息描述表

字段

描述

Radio ID

射频ID

SSID

服务集标识符

Rule

Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号

Type

Portal过滤规则的类型,包括以下取值:

·     Static:静态类型

·     Dynamic:动态类型

Action

Portal过滤规则的匹配动作,包括以下取值:

·     Permit:允许报文通过

·     Redirect:重定向报文

·     Deny:拒绝报文通过

·     Match pre-auth ACL:匹配认证前域中的授权ACL规则

Protocol

Portal免认证规则中使用的传输层协议,包括以下取值:

·     Any:不限制传输层协议类型

·     TCP:TCP传输类型

·     UDP:UDP传输类型

Status

Portal过滤规则下发的状态,包括以下取值:

·     Active:表示规则已生效

·     Unactuated:表示规则未生效

Source

Portal过滤规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

Port

源传输层端口号

MAC

源MAC地址

Interface

Portal过滤规则应用的二层或三层接口

VLAN

源VLAN

Protocol

Portal重定向规则中使用的传输层协议类型,取值只能为TCP

Destination

Portal规则的目的信息

IP

目的IP地址

Port

目的传输层端口号

Mask

目的IPv4地址子网掩码

Prefix length

目的IPv6地址前缀

Author ACL

Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示

Pre-auth ACL

Portal用户认证前的授权ACL,该字段仅在Action为Match pre-auth ACL时显示

Number

授权ACL编号,N/A表示AAA未授权ACL

 

1.1.32  display portal safe-redirect statistics

display portal safe-redirect statistics命令用来显示Portal安全重定向功能的报文统计信息。

【命令】

display portal safe-redirect statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示Portal安全重定向功能的报文统计信息。

<Sysname> display portal safe-redirect statistics

Redirect statistics:

  Success: 5

  Failure: 6

  Total: 11

 

Method statistics:

  Get: 6

  Post: 2

  Others: 3

 

User agent statistics:

  Safari: 3

  Chrome: 2

 

Forbidden User URL statistics:

  http://www.abc.com: 0

 

Forbidden filename extension statistics:

.jpg: 0

表1-16 display portal safe-redirect statistics命令显示信息描述表

字段

描述

Success

重定向成功报文的数目

Failure

重定向失败报文的数目

Total

报文的总数

Method statistics

协议请求方法的报文统计

Get

请求方法为get的报文数量

Post

请求方法为post的报文数量

Other

请求方法为其它类型的报文数量

User agent statistics

匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型以及报文统计

User URL statistics

Portal安全重定向禁止的URL地址以及报文统计

Forbidden filename extension statistics

Portal安全重定向禁止URL携带的扩展名及被丢弃报文统计

 

【相关命令】

·     reset portal safe-redirect statistics

1.1.33  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  Type                  : IMC

  IP                    : 192.168.0.111

  VPN instance          : Not configured

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log, trap

  User synchronization  : Timeout 200s

  Status                : Up

  Exclude-attribute     : Not configured

  Logout notification   : Retry 3 interval 5s

表1-17 display portal server命令显示信息描述表

字段

描述

Type

Portal认证服务器类型,其取值如下:

·     CMCC:符合中国移动标准规范的服务器

·     iMC:符合iMC标准规范的服务器

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

VPN instance

(暂不支持)Portal认证服务器所属的MPLS L3VPN实例

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)

User synchronization

Portal用户用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

Exclude-attribute

向Portal认证服务器发送的Portal协议报文中不携带的属性字段

Logout-notification

设备强制用户下线通知报文的最大重传次数和重传时间间隔(单位:秒)

 

【相关命令】

·     portal enable

·     portal server

·     server-detect (portal authentication server view)

·     user-sync

1.1.34  display portal user

display portal user命令用来显示Portal用户的信息。

【命令】

display portal user { all | ap ap-name [ radio radio-id ] | auth-type { cloud | email | facebook | local | mac-trigger | normal | qq | wechat } | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] | username username } [ brief | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipv6:表示显示IPv6接入组内的Portal用户。若不指定该参数,则表示显示IPv4接入组。

all:显示所有Portal用户的信息。

ap ap-name:显示接入指定AP的所有Portal用户信息。ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。

radio radio-id:显示接入指定射频的Portal用户信息。radio-id表示射频编号,取值范围为1~4。若不指定本参数,则表示显示接入AP下所有射频的Portal用户信息。

auth-type:显示指定认证类型的Portal用户信息。

cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。

email:Portal认证类型为邮箱认证。

facebook:Portal认证类型为facebook认证。

local:Portal认证类型为本地认证。

mac-trigger:Portal认证类型为MAC-Trigger认证。

normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。

qq:Portal认证类型为QQ认证。

wechat:Portal认证类型为微信认证

interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。

ip ipv4-address:显示指定IPv4地址的Portal用户信息。

ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。

mac mac-address:显示指定MAC地址的Portal用户信息。mac-address的格式为H-H-H。

username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。

pre-auth:显示Portal认证前用户信息。认证前用户是指被加入认证前域的未进行Portal认证的用户。若不指定该参数,则显示Portal用户的信息。

brief:显示指定Portal用户的简要信息。

verbose:显示指定Portal用户的详细信息。

【使用指导】

若不指定briefverbose参数,则表示显示Portal用户的Portal认证相关信息。

【举例】

# 显示所有Portal用户的信息。

<Sysname> display portal user all

Total portal users: 1

Username: def

  AP name: ap1

  Radio ID: 1

  SSID: portal

  Portal server: pts

  State: Online

  VPN instance: vpn1

  MAC                IP                 VLAN   Interface

  000d-88f8-0eac     4.4.4.4            2     Bss1/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number/name: 3000

    Inbound CAR: CIR 9000       bps PIR 20500      bps

                 CBS 20500      bit (active)

    Outbound CAR: CIR 9000       bps PIR 20400      bps

                  CBS 20400      bit (active)

# 显示普通Portal认证用户的信息。

<Sysname> display portal user auth-type normal

Total remote users: 1

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            2      WLAN-BSS1/0/1

  Authorization information:

    DHCP IP pool: N/A

    User profile: abc (active)

    Session group profile: cd (inactive)

    ACL number/name: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

# 显示MAC地址为000d-88f8-0eab的Portal用户的信息。

<Sysname> display portal user mac 000d-88f8-0eab

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            2      WLAN-BSS1/0/1

  Authorization information:

    DHCP IP pool: N/A

    User profile: abc (active)

    Session group profile: cd (inactive)

    ACL number/name: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

# 显示用户名为abc的Portal用户的信息。

<Sysname> display portal user username abc

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            2      WLAN-BSS1/0/1

  Authorization information:

    DHCP IP pool: N/A

    User profile: abc (active)

    Session group profile: cd (inactive)

    ACL number/name: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

表1-18 display portal user命令显示信息描述表

字段

描述

Total portal users

总计的Portal用户数目

Total normal users

Portal认证类型为普通认证的用户总数

Total local users

Portal认证类型为本地认证的用户总数

Total email users

Portal认证类型为邮箱认证的用户总数

Total cloud users

Portal认证类型为云端认证的用户总数

Total QQ users

Portal认证类型为QQ认证的用户总数

Total WeChat users

Portal认证类型为微信认证的用户总数

Total facebook users

Portal认证类型为Facebook认证的用户总数

Total MAC-trigger users

Portal认证类型为MAC-Trigger认证的用户总数

Username

用户名

AP name

AP名称

Radio ID

射频ID

SSID

服务集标识符

Portal server

用户认证所使用的Portal认证服务器的名称

State

Portal用户的当前状态,包括以下取值:

·     Initialized:初始化完成后的待认证状态

·     Authenticating:正在认证状态

·     Waiting_SetRule:等待下发用户授权信息

·     Authorizing:正在授权状态

·     Online:在线状态

·     Waiting_Traffic:等待获取用户最后一次流量

·     Stop Accounting:停止计费

·     Done:下线结束

VPN instance

(暂不支持)Portal用户所属的MPLS L3VPN。若用户属于公网,则显示为N/A

MAC

Portal用户的MAC地址

IP

Portal用户的IP地址

VLAN

Portal用户所在的VLAN

Interface

Portal用户接入的接口

Authorization information

Portal用户的授权信息

DHCP IP pool

Portal用户的授权地址池名称。若无授权地址池,则显示为N/A

User profile

Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权User profile成功

·     inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权Session group profile成功

·     inactive:AAA授权Session group profile失败或者设备上不存在该User profile

ACL number/name

Portal用户的授权ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下:

·     active:AAA授权ACL成功

·     inactive:AAA授权ACL失败或者设备上不存在该ACL

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

 

# 显示IP地址为18.18.0.20的Portal用户的详细信息。

<Sysname> display portal user ip 18.18.0.20 verbose

Basic:

AP name: ap1

  Radio ID: 1

  SSID: portal

  Current IP address: 18.18.0.20

  Original IP address: 18.18.0.20

  Username: chap1

  User ID: 0x10000001

  Access interface: WLAN_BSS1/0/1

  Service-VLAN/Customer-VLAN: 50/-

  MAC address: 7854-2e1c-c59e

  Authentication type: Normal

  Domain name: portal

  VPN instance: N/A

  Status: Online

  Portal server: pt

  Vendor: Apple

  Portal authentication method: Direct

AAA:

  Realtime accounting interval: 720s, retry times: 5

  Idle cut: N/A

  Session duration: 0 sec, remaining: 0 sec

  Remaining traffic: N/A

  Online duration (hh:mm:ss): 1:53:7

  Login time: 2014-12-25 10:47:53 UTC

  DHCP IP pool: N/A

ACL&QoS&Multicast:

  Inbound CAR: N/A

  Outbound CAR: N/A

  ACL number/name: N/A

  User profile: N/A

  Session group profile: N/A

  Max multicast addresses: 4

Traffic statistic:

  Uplink packets/bytes: 6/412

  Downlink packets/bytes: 0/0

Dual-stack traffic statistics:

  IPv4 address: 18.18.0.20

            Uplink   packets/bytes: 3/200

            Downlink packets/bytes: 0/0

  IPv6 address: 2001::2

            Uplink   packets/bytes: 3/212

            Downlink packets/bytes: 0/0

表1-19 display portal user verbose命令显示信息描述表

字段

描述

AP name

AP名称

Radio ID

射频ID

SSID

服务集标识符

Current IP address

Portal用户当前的IP地址

Original IP address

Portal用户认证时的IP地址

Username

Portal用户上线时使用的用户名

User ID

Portal用户ID

Access interface

Portal用户接入的接口

Access group name

Portal用户上线的接口所属的接入组名称

Service-VLAN/Customer-VLAN

Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息)

MAC address

用户的MAC地址

Authentication type

Portal认证类型,取值包括:

·     Normal:普通认证

·     Local:本地认证

·     Email:邮箱认证

·     Cloud:云端认证

·     QQ:QQ认证

·     WeChat:微信认证

·     Facebook:Facebook认证

·     MAC-trigger:MAC-Trigger认证

Domain

用户认证时使用的ISP域名

VPN instance

(暂不支持)用户所属的MPLS L3VPN实例,N/A表示用户属于公网

Status

Portal用户的当前状态,包括以下取值:

·     Authenticating:正在认证状态

·     Authorizing:正在授权状态

·     Waiting_SetRule:正在下发Portal规则状态

·     Online:在线状态

·     Waiting_Traffic:正在等待用户流量状态

·     Stop Accounting:正在停止计费状态

·     Done:用户下线完成状态

Portal server

Portal服务器名称

Vendor

设备生产厂商

Portal authentication method

接入接口上的Portal认证方式,包括如下取值:

·     Direct:直接认证方式

AAA

Portal用户的AAA授权信息

Realtime accounting interval

授权的实时计费间隔和重传次数。若未授权,则显示为N/A

Idle-cut

授权的闲置切断时长和流量。若未授权,则显示为N/A

Session duration

授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A

Remaining traffic

授权的剩余流量。若未授权,则显示为N/A

Login time

用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19  2:42:30 UTC

Online duration (hh:mm:ss)

用户在线时长(时:分:秒)

ITA policy name

授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称

DHCP IP pool

授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

ACL number/name

授权的ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下:

·     active:AAA授权ACL成功

·     inactive:AAA授权ACL失败或者设备上不存在该ACL

User profile

授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权User profile成功

·     inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权Session group profile成功

·     inactive:AAA授权Session group profile失败或者设备上不存在该User profile

Max multicast addresses

授权Portal用户可加入的组播组的最大数目

Multicast address list

授权Portal用户可加入的的组播组列表。若未授权组播组列表,则显示为N/A

Traffic statistic

Portal用户流量统计信息

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

ITA

Portal用户的ITA业务流量统计信息

level-n uplink packets/bytes

计费等级为n的上行流量报文数/字节数,n的取值范围为1~8

level-n downlink packets/bytes

计费等级为n的下行流量报文数/字节数,n的取值范围为1~8

Dual-stack traffic statistic

双栈用户流量统计信息

IPv4 address

用户IPv4地址

IPv6 address

用户IPv6地址

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

 

# 显示所有Portal用户的简要信息。

<Sysname> display portal user all brief

IP address       MAC address       Online duration       Username

4.4.4.4          000d-88f8-0eac    1:53:7                def

表1-20 display portal user brief命令显示信息描述表

字段

描述

IP address

Portal用户的IP地址

MAC address

Portal用户的MAC地址

Online duration

用户在线时长(时:分:秒)

Username

Portal用户的用户名

 

【相关命令】

·     portal enable

1.1.35  display portal user count

display portal user count命令用来显示Portal用户数量。

【命令】

display portal user count

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示Portal用户数量。

<Sysname> display portal user count

Total number of users:: 1

【相关命令】

·     portal enable

·     portal delete-user

1.1.36  display portal web-server

display portal web-server命令用来显示Portal Web服务器信息。

【命令】

display portal web-server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。若不指定本参数,则显示所有Portal Web服务器信息。

【使用指导】

若不指定参数server-name,则显示所有Portal Web服务器信息。

【举例】

# 显示Portal Web服务器wbs的信息。

<Sysname> display portal web-server wbs

Portal Web server: wbs

    Type: IMC

    URL: http://www.test.com/portal

    URL parameters: userurl=http://www.test.com/welcome

                       userip=source-address

    VPN instance: Not configured

    Server detection:

      Interval: 120s

      Attempts: 5

      Action: log, trap

      Detection URL:http://www.test.com/portal

      Detection type: TCP

    IPv4 status: Up

    IPv6 status: Up

    Captive-bypass: Disabled

    If-match: original-url:  http://2.2.2.2, redirect-url:  http://192.168.56.2

              original-url:   http://1.1.1.1, temp-pass redirect-url:

              http://192.168.1.1

表1-21 display portal web-server命令显示信息描述表

字段

描述

Type

Portal Web服务器类型,其取值如下:

·     CMCC:符合中国移动标准规范的服务器

·     iMC:符合iMC标准规范的服务器

Portal Web server

Portal Web服务器名称

URL

Portal Web服务器的URL地址以及携带的参数

URL parameters

Portal Web服务器的URL携带的参数信息

VPN instance

(暂不支持)Portal Web服务器所属的MPLS L3VPN实例名称

Server detection

Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)

Detection URL

Portal Web服务器探测URL地址

Detection type

Portal Web服务器探测类型,取值包括:

·     TCP:探测类型为TCP

·     HTTP:探测类型为HTTP

IPv4 status

IPv4 Portal web服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

IPv6 status

IPv6 Portal web服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

Captive-bypass

Portal被动Web认证功能状态,其取值如下:

·     Disabled:未开启

·     Enabled:已开启

·     Optimize Enabled:优化功能已开启

If-match

配置的URL重定向匹配规则,未配置时,显示Not configured

 

【相关命令】

·     portal enable

·     portal web-server

·     server-detect (portal web-server view)

·     server-detect url

1.1.37  display web-redirect rule

display web-redirect rule命令用来显示Web重定向过滤规则信息。

【命令】

display web-redirect rule { ap ap-name [ radio radio-id ] | interface interface-type interface-number }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示指定AP的所有Web重定向过滤规则信息。ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。

radio radio-id:显示指定射频的Web重定向过滤规则信息。radio-id表示射频编号,取值范围为1~4。若不指定本参数,则表示显示接入AP下所有射频的Web重定向过滤规则信息。

interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。

【举例】

# 显示接口Vlan-interface100上的所有Web重定向过滤规则。

<Sysname> display web-redirect rule interface vlan-interface 100

IPv4 web-redirect rules on vlan-interface 100:

Rule 1:

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 192.168.2.114

    VLAN           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

 

IPv6 web-redirect rules on vlan-interface 100:

Rule 1:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

# 显示ap1上的所有Web重定向过滤规则。

<Sysname> display web-redirect rule ap ap1

IPv4 web-redirect rules on ap1:

Radio ID: 1   

SSID     : portal

Rule 1:

Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 192.168.2.114

    VLAN           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

表1-22 display web-redirect rule命令显示信息描述表

字段

描述

Radio ID

射频ID

SSID

服务集标识符

Rule

Web重定向规则编号

Type

Web重定向规则的类型,包括以下取值:

·     Static:静态类型。该类型的规则在Web重定向功能生效时生成

·     Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成

Action

Web重定向规则的匹配动作,包括以下取值:

·     Permit:允许报文通过

·     Redirect:重定向报文

Status

Web重定向规则下发的状态,包括以下取值:

·     Active:表示规则已生效

·     Inactive:表示规则未生效

Source

Web重定向规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

VLAN

源VLAN,如果未指定,显示为Any

Protocol

Web重定向规则的传输层协议类型,包括以下取值:

·     Any:不限制传输层协议类型

·     TCP:TCP传输类型

Destination

Web重定向规则的目的信息

Port

目的传输层端口号,默认为80

 

1.1.38  exclude-attribute (MAC binding server view)

exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。

undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。

【命令】

exclude-attribute attribute-number

undo exclude-attribute attribute-number

【缺省情况】

未配置Portal协议报文中不携带的属性字段。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

attribute-number:属性类型编号,取值范围为1~255。

【使用指导】

不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同。在进行MAC Trigger认证时,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,则会导致设备和Portal认证服务器不能通信。

在进行MAC Trigger认证时,可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。

通过多次执行本命令,可以配置多个Portal协议报文中不携带的属性字段。

Portal协议所有属性的详细描述如表1-23所示。

表1-23 Portal协议所有属性详细描述

属性名称

属性编号

属性含义

UserName

1

用户名

PassWord

2

用户提交的明文密码

Challenge

3

用于CHAP方式加密的随机数

ChapPassWord

4

通过MD5算法加密后的密码

TextInfo

5

该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个

UpLinkFlux

6

表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB

DownLinkFlux

7

表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB

Port

8

端口信息,内容为一个字符串(无 '\0' 结束符)

IP-Config

9

在不同报文类型中含义不同:

·     在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配

·     在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址

BAS-IP

10

用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址

Session-ID

11

用户标识,通常使用用户的MAC地址作为标识

Delay-Time

12

报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中

User-List

13

用户IP地址列表

EAP-Message

14

需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个

User-Notify

15

需要透传的RADIUS计费回应报文中的hw_User_Notify内容

BAS-IPv6

100

标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性

UserIPv6-List

101

用户IPv6地址列表

 

【举例】

# 在MAC Trigger认证时,若Portal认证服务器不支持10号BAS-IP属性,则配置Portal协议报文中不携带属性字段BAS-IP。

<Sysname> system-view

[Sysname] portal mac-trigger-server 123

[Sysname-portal-mac-trigger-server-123] exclude-attribute 10

1.1.39  exclude-attribute (portal authentication server view)

exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。

undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。

【命令】

exclude-attribute number { ack-auth | ack-logout | ntf-logout }

undo exclude-attribute number { ack-auth | ack-logout | ntf-logout }

【缺省情况】

未配置Portal协议报文中不携带的属性字段。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

number:Portal协议报文属性字段中属性类型编号,取值范围1~255。

ack-auth:Portal协议报文类型为ACK_AUTH。

ack-logout:Portal协议报文类型为ACK_LOGOUT。

ntf-logout:Portal协议报文类型为NTF_LOGOUT。

【使用指导】

由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。

可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。

Portal协议所有属性的详细描述如表1-24所示。

表1-24 Portal协议所有属性详细描述

属性名称

属性编号

属性含义

UserName

1

用户名

PassWord

2

用户提交的明文密码

Challenge

3

用于CHAP方式加密的随机数

ChapPassWord

4

通过MD5算法加密后的密码

TextInfo

5

该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个

UpLinkFlux

6

表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB

DownLinkFlux

7

表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB

Port

8

端口信息,内容为一个字符串(无 '\0' 结束符)

IP-Config

9

在不同报文类型中含义不同:

·     在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配

·     在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址

BAS-IP

10

用于标识用户接入设备的IP地址。

Session-ID

11

用户标识,通常使用用户的MAC地址作为标识

Delay-Time

12

报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中

User-List

13

用户IP地址列表

EAP-Message

14

需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个

User-Notify

15

需要透传的RADIUS计费回应报文中的hw_User_Notify内容

BAS-IPv6

100

标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性

UserIPv6-List

101

用户IPv6地址列表

 

【举例】

# 在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] exclude-attribute 6 ack-auth

【相关命令】

·     display portal server

1.1.40  free-traffic threshold

free-traffic threshold命令用来配置用户免认证流量的阈值。

undo free-traffic threshold命令用来恢复缺省情况。

【命令】

free-traffic threshold value

undo free-traffic threshold

【缺省情况】

用户免认证流量的阈值为0字节。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。

【使用指导】

设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC Trigger表项老化后,将该用户的流量统计清零。如果在MAC Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC Trigger表项,重复以上过程。

【举例】

# 为MAC绑定服务器mts配置用户免认证流量的阈值为10240字节。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240

【相关命令】

·     display portal mac-trigger-server

1.1.41  if-match

if-match命令用来配置重定向URL的匹配规则。

undo if-match命令用来删除配置的重定向URL匹配规则。

【命令】

if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }

undo if-match { original-url url-string | user-agent user-agent }

【缺省情况】

不存在重定向URL的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。

aes:加密算法为AES算法。

des:加密算法为DES算法。

key:设置密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·     对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。

·     对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。

user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

【使用指导】

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。

如果配置了对URL中携带的参数信息进行加密,则通过redirect-url url-string参数指定重定向地址时,需要在域名之后增加加密提示字段。例如要将Web访问请求重定向到10.1.1.1,并配置了对URL参数信息进行加密,则重定向URL的格式为:http://10.1.1.1?yyyy=,其中yyyy的值与Portal Web服务器的配置有关,具体请参见服务器的配置指导。

【举例】

# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1

# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1

【相关命令】

·     display portal web-server

·     portal free-rule

·     url

·     url-parameter

1.1.42  if-match temp-pass

if-match temp-pass命令用来配置Portal临时放行功能的匹配规则。

undo if-match temp-pass命令用来恢复缺省情况。

【命令】

if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]

undo if-match { original-url url-string | user-agent user-agent } * temp-pass

【缺省情况】

未配置Portal临时放行功能的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

original-url url-string:用户HTTP/HTTPS请求报文中的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

user-agent user-agent:用户HTTP/HTTPS请求报文中的User Agent信息,为1~255个字符的字符串,区分大小写。HTTP User Agent信息可包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

original:Web访问请求被重定向到原来的URL。

【使用指导】

接口上开启Portal临时放行功能(通过portal temp-pass enable命令配置)后,本命令可以控制Portal临时放行报文,只有匹配用户的Web请求地址或者用户HTTP/HTTPS请求报文中的User Agent信息的报文才能被临时放行。临时放行后的报文可以被重定向到指定URL,也可以被重定向到原来的URL。

如果配置的匹配条件相同,重定向URL不同,则新配置会覆盖原配置,不会重定向到不同的URL。

如果未指定参数redirect-urloriginal,则表示只对匹配的流量放行,不进行重定向。

【举例】

# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass

# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行,并重定向到原来的URL。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass original

# 配置Portal临时放行功能的匹配规则,对用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的用户报文临时放行,并重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1

# 配置Portal临时放行功能的匹配规则,对访问http://www.123.com.cn和用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36同时匹配的用户报文临时放行,并重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.123.com.cn user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1

【相关命令】

·     display portal web-server

·     portal free-rule

·     portal temp-pass enable

·     url

·     url-parameter

1.1.43  ip (MAC binding server view)

ip命令用来配置MAC绑定服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ key { cipher | simple } string ]

undo ip

【缺省情况】

未配置MAC绑定服务器的IP地址。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:MAC绑定服务器的IPv4地址。

key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。

cipher:以密文方式设置共享密钥。

simple:以明文方式设置共享密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。

【使用指导】

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal

【相关命令】

·     display portal mac-trigger-server

1.1.44  ip (portal authentication server view)

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ key { cipher | simple } string ]

undo ip

【缺省情况】

未指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv4地址的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·     display portal server

·     portal server

1.1.45  ipv6

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ key { cipher | simple } string ]

undo ipv6

【缺省情况】

未指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv6地址的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·     portal server

·     display portal server

1.1.46  local-binding aging-time

local-binding aging-time命令用来配置本地MAC Trigger绑定表项的老化时间。

undo local-binding aging-time命令用来恢复缺省情况。

【命令】

local-binding aging-time minutes

undo local-binding aging-time

【缺省情况】

本地MAC Trigger绑定表项的老化时间为720分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

minutes:本地MAC Trigger绑定表项的老化时间,取值范围为1~129600,单位为分钟。

【使用指导】

当某条本地MAC Trigger绑定表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立本地MAC Trigger绑定表项。

关闭本地MAC Trigger功能后,设备上已有的本地MAC Trigger表项不会立即删除,一直到设定的老化时间后才会删除。

【举例】

# 在MAC绑定服务器mts视图下,指定本地MAC Trigger绑定表项老化时间为240分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] local-binding aging-time 240

【相关命令】

·     display portal mac-trigger-server

·     local-binding enable

1.1.47  local-binding enable

local-binding enable命令用来开启Portal本地MAC Trigger认证功能。

undo local-binding enable命令用来关闭Portal本地MAC Trigger认证功能。

【命令】

local-binding enable

undo local-binding enable

【缺省情况】

Portal本地MAC Trigger认证功能处于关闭状态。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,当用户进行本地Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时接入设备作为MAC绑定服务器,接入设备在检测到用户首次上线的流量后,会生成本地MAC Trigger绑定表项,用于记录用户的MAC地址、用户名、密码。

【举例】

# 在MAC绑定服务器mts视图下,开启Portal本地MAC Trigger认证功能。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] local-binding enable

【相关命令】

·     display portal mac-trigger-server

·     local-binding aging-time

1.1.48  logon-page bind

logon-page bind命令用来配置SSID、终端设备名称或终端设备类型与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能。

undo logon-page bind命令用来取消指定SSID、终端设备名称或终端设备类型与认证页面的绑定关系。

【命令】

logon-page bind { device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } * file file-name

undo logon-page bind { all | device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } *

【缺省情况】

未配置SSID、终端设备名称或终端设备类型与任何认证页面文件的绑定关系。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

all:表示所有绑定的SSID、终端设备类型和终端设备名称。

device-type:表示绑定的终端设备类型。

computer:设备终端类型为计算机。

pad:设备终端类型为平板电脑。

phone:设备终端类型为手机。

device-name device-name:终端设备名称。其中,device-name为1~127个字符的字符串,区分大小写。指定的终端设备名称必须为设备指纹库中已定义的设备名称,否则绑定的认证页面不生效。

ssid ssid-name:表示绑定的SSID。ssid-name为无线服务模板的SSID,为1~32个字符的字符串,不区分大小写,可以包括字母、数字和空格,但字符串开始和结束位置不可以用空格,且不能是“f”、“fi”、“fil”和“file”。

file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。

【使用指导】

未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-page bind命令,则会根据Portal用户所属的无线SSID、终端设备名称或终端设备类型查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面。

当设备根据Portal用户所属的无线SSID、终端设备名称和终端设备类型信息同时匹配到多条绑定关系时,则设备将按照以下优先级进行选择所使用的绑定关系:

(1)     选择同时指定了SSID、终端设备名称和终端设备类型的绑定关系。

(2)     选择同时指定SSID和终端设备名称的绑定关系。

(3)     选择同时指定SSID和终端设备类型的绑定关系。

(4)     选择仅指定SSID的绑定关系。

(5)     选择同时指定终端设备名称和终端设备类型的绑定关系。

(6)     选择仅指定终端设备名称的绑定关系。

(7)     选择仅指定终端设备类型的绑定关系。

当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。

对于相同的SSID、终端设备类型或终端设备名称,多次执行本命令,最后一次执行的命令生效。

设备上允许同时存在多条绑定条目。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

# 配置SSID1与定制认证页面文件file1.zip进行绑定。

[Sysname-portal-local-websvr-http] logon-page bind ssid SSID1 file file1.zip

# 配置终端设备类型为phone的设备与定制认证页面文件file2.zip进行绑定。

[Sysname-portal-local-websvr-http] logon-page bind device-type phone file file2.zip

【相关命令】

·     default-logon-page

·     portal local-web-server

1.1.49  logout-notify

logout-notify命令用来配置强制用户下线通知报文的最大重传次数和重传时间间隔。

undo logout-notify命令用来恢复缺省情况。

【命令】

logout-notify retry retries interval interval

undo logout-notify

【缺省情况】

未配置强制用户下线通知报文的最大重传次数和重传时间间隔。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

retry retries:最大重传次数,取值范围为1~5。

interval interval:重传时间间隔,取值范围为1~10,单位为秒。

【使用指导】

由于Portal协议采用UDP报文来承载数据,因此其通信过程是不可靠的。为防止Portal认证服务器收不到强制用户下线通知报文,可以配置重传次数和重传间隔。

当设备发送强制用户下线通知报文后,无论设备在指定的时间内(重传次数乘以重传时间间隔)是否收到Portal认证服务器的响应,都会强制用户下线并删除用户信息。

【举例】

# 配置强制用户下线报文的最大重传次数为3次,时间间隔为5秒。

<Sysname> system-view

[Sysname] portal server pt

[Sysname-portal-server-pt] logout-notify retry 3 interval 5

【相关命令】

·     display portal server

1.1.50  mail-domain-name

mail-domain-name命令用来配置邮箱认证服务支持的邮箱类型。

undo mail-address命令用来删除配置的邮箱认证服务支持的邮箱类型。

【命令】

mail-domain-name string

undo mail-domain-name [ string ]

【缺省情况】

未配置邮箱认证服务支持的邮箱类型。

【视图】

邮箱认证服务器视图

【缺省用户角色】

network-admin

【参数】

string:表示邮箱类型,为1~255个字符的字符串,区分大小写,格式为@XXX.XXX。

【使用指导】

undo命令中不指定string参数表示删除所有配置的邮箱认证服务支持的邮箱类型。

用户输入的邮箱地址需要符合所配置的邮箱类型才能进行邮箱认证。

可以重复执行本命令配置多个邮箱类型,最多可以配置16个。

【举例】

# 配置邮箱认证服务支持的邮箱类型为@qq.com和@sina.com。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail] mail-domain-name @qq.com

[Sysname-portal-extend-auth-server-mail] mail-domain-name @sina.com

【相关命令】

·     display portal extend-auth-server

1.1.51  mail-protocol

mail-protocol命令用来配置邮箱认证服务支持的协议类型。

undo mail-protocol命令用来恢复缺省情况。

【命令】

mail-protocol { imap | pop3 } *

undo mail-protocol

【缺省情况】

未配置邮箱认证服务支持的协议类型。

【视图】

邮箱认证服务器视图

【缺省用户角色】

network-admin

【参数】

imap:互联网信息访问协议(IMAP)。

pop3:POP3协议。

【使用指导】

终端用户采用邮箱方式进行第三方认证时,终端用户输入邮箱地址和密码,提交给设备,设备再和邮件服务器进行认证和授权交互,设备和服务器之间采取POP3或IMAP邮箱协议。

【举例】

# 配置邮箱认证服务支持的协议类型为POP3。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail] mail-protocol pop3

【相关命令】

·     display portal extend-auth-server

1.1.52  nas-port-type

nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

undo nas-port-type命令用来恢复缺省情况。

【命令】

nas-port-type value

undo nas-port-type

【缺省情况】

设备发送的RADIUS请求报文中的NAS-Port-Type属性值为19。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:NAS-Port-Type属性值,取值范围为1~255。

【使用指导】

设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。

请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。

【举例】

# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] nas-port-type 30

【相关命令】

·     display portal mac-trigger-server

1.1.53  port (MAC binding server view)

port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

MAC绑定服务器监听查询报文的UDP端口号是50100。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。

【举例】

# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。

<sysname> system-view

[sysname] portal mac-trigger-server mts

[sysname-portal-mac-trigger-server-mts] port 1000

【相关命令】

·     display portal mac-trigger-server

1.1.54  port (portal authentication server view)

port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·     portal server

1.1.55  portal apply mac-trigger-server

portal apply mac-trigger-server命令用来应用MAC绑定服务器。

undo portal apply mac-trigger-server命令用来恢复缺省情况。

【命令】

portal apply mac-trigger-server server-name

undo portal apply mac-trigger-server

【缺省情况】

未应用MAC绑定服务器。

【视图】

VLAN接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

基于MAC地址的快速认证仅支持IPv4的直接认证方式。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·     完成普通三层Portal认证的相关配置;

·     配置MAC绑定服务器的IP地址和端口号;

·     在VLAN接口或者无线服务模板上应用MAC绑定服务器。

【举例】

# 在VLAN接口2上应用MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal apply mac-trigger-server mts

【相关命令】

·     portal mac-trigger-server

1.1.56  portal apply web-server

portal apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。

undo portal apply web-server命令用来删除指定的Portal Web服务器。

【命令】

portal [ ipv6 ] apply web-server server-name [ secondary ]

undo portal [ ipv6 ] apply web-server [ server-name ]

【缺省情况】

未引用Portal Web服务器。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

secondary:表示备份Portal Web服务器。若不指定该参数,则表示主Portal Web服务器。

server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。取消接口或者无线服务模板上引用的Portal Web服务器时,若不指定该参数,则表示取消该接口或无线服务模板上所有引用的Portal Web服务器。

【使用指导】

一个接口或无线服务模板上可以同时开启IPv4 Portal认证和IPv6 Portal认证。

Portal认证开启后,可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。

设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。

要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。

【举例】

# 在服务模板上引用名称为wbs的Portal Web服务器作为用户认证时使用的备份Web服务器。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal apply web-server wbs secondary

【相关命令】

·     display portal

·     portal fail-permit server

·     portal web-server

·     server-detect (portal web-server view)

1.1.57  portal auth-error-record enable

portal auth-error-record enable命令用来开启Portal认证异常信息记录功能。

undo portal auth-error-record enable命令用来关闭Portal认证异常信息记录功能。

【命令】

portal auth-error-record enable

undo portal auth-error-record enable

【缺省情况】

Portal认证异常信息记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

Portal认证异常信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal认证异常信息记录功能。

<Sysname> system-view

[Sysname] portal auth-error-record enable

【相关命令】

·     display portal auth-error-record

1.1.58  portal auth-error-record export

portal auth-error-record export命令用来导出Portal认证异常记录。

【命令】

portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string:表示储存Portal认证异常记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证异常记录到服务器。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·     FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·     TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/ autherror/,表示地址为1.1.1.1的TFTP服务器的autherror目录。

·     HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/autherror/,表示 地址为1.1.1.1的HTTP服务器的autherror目录,其中登陆用户名为a,密码为1;如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/autherror/。

·     服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。

<Sysname> system-view

[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。

<Sysname> system-view

[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·     display portal auth-error-record

·     portal auth-error-record enable

·     reset portal auth-error-record

1.1.59  portal auth-error-record max

portal auth-error-record max命令用来配置设备保存Portal认证异常记录的最大条数。

undo portal auth-error-record max命令用来恢复缺省情况。

【命令】

portal auth-error-record max number

undo portal auth-error-record max

【缺省情况】

设备保存Portal认证异常记录的最大条数为6000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:Portal认证异常记录的最大条数,取值范围为1~6000。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal认证异常记录的最大条数为50。

<Sysname> system-view

[Sysname] portal auth-error-record max 50

【相关命令】

·     display portal auth-error-record

1.1.60  portal auth-fail-record enable

portal auth-fail-record enable命令用来开启Portal认证失败信息记录功能。

undo portal auth-fail-record enable命令用来关闭Portal认证失败信息记录功能。

【命令】

portal auth-fail-record enable

undo portal auth-fail-record enable

【缺省情况】

Portal认证失败信息记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

Portal认证失败信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal认证失败信息记录功能。

<Sysname> system-view

[Sysname] portal auth-fail-record enable

【相关命令】

·     display portal auth-fail-record

1.1.61  portal auth-fail-record export

portal auth-fail-record export命令用来导出Portal认证失败记录。

【命令】

portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string:表示储存Portal认证失败记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·     FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·     TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/authfail/,表示地址为1.1.1.1的TFTP服务器的authfail目录。

·     HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的HTTP服务器的authfail目录,其中用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/authfail/。

·     服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。

<Sysname> system-view

[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。

<Sysname> system-view

[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·     display portal auth-fail-record

·     portal auth-fail-record enable

·     reset portal auth-fail-record

1.1.62  portal auth-fail-record max

portal auth-fail-record max命令用来配置设备保存Portal认证失败记录的最大条数。

undo portal auth-fail-record max命令用来恢复缺省情况。

【命令】

portal auth-fail-record max number

undo portal auth-fail-record max

【缺省情况】

设备保存Portal认证失败记录的最大条数为6000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:Portal认证失败记录的最大条数,取值范围为1~6000。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal认证失败记录的最大条数为50。

<Sysname> system-view

[Sysname] portal auth-fail-record max 50

【相关命令】

·     display portal auth-fail-record

1.1.63  portal authorization strict-checking

portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。

undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。

【命令】

portal authorization { acl | user-profile } strict-checking

undo portal authorization { acl | user-profile } strict-checking

【缺省情况】

缺省为非严格检查授权信息模式,当服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,用户保持在线。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

acl:表示开启对授权ACL的严格检查。

user-profile:表示开启对授权User Profile的严格检查。

【使用指导】

接口或者无线服务模板上开启Portal授权信息的严格检查模式后当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。

可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。

【举例】

# 在无线服务模板service1上开启对授权ACL的严格检查模式。

<Sysname> system-view  

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal authorization acl strict-checking

【相关命令】

·     display portal

1.1.64  portal captive-bypass optimize delay

portal captive-bypass optimize delay命令用来配置Portal被动Web认证探测的定时器超时时间。

undo portal captive-bypass optimize delay命令用来恢复缺省情况。

【命令】

portal captive-bypass optimize delay seconds

undo portal captive-bypass optimize delay

【缺省情况】

Portal被动Web认证探测的定时器超时时间为6秒。

【视图】      

系统视图

【缺省用户角色】

network-admin

【参数】

seconds:Portal被动Web认证探测定时器超时时间,取值范围为6~60,单位为秒。

【使用指导】

本功能仅针对iOS移动终端有效。

Portal被动Web认证优化功能开启后,当iOS移动终端接入网络后会自动弹出Portal认证页面,并显示Wi-Fi已连接,此时,iOS移动终端会自动发送服务器可达性探测报文探测苹果服务器是否可达,如果可达,则继续显示Wi-Fi已连接,如果不可达,则断开网络连接。但由于网络或其他原因,iOS移动终端无法在Portal被动Web认证探测的定时器缺省超时时间内发送Portal认证服务器可达性探测报文,导致Wi-Fi无法连接,被动认证优化功能失效。通过配置探测定时器超时时间,可以延长Portal被动认证优化功能的生效时间,使Portal认证页面正常显示并保持Wi-Fi已连接状态。

【举例】

# 配置Portal被动Web认证探测定时器超时时间为20秒。

<Sysname> system-view

[Sysname] portal captive-bypass optimize delay 20

【相关命令】

·     captive-bypass enable

1.1.65  portal cloud report interval

portal cloud report interval命令用来配置Portal认证信息上报绿洲平台的时间间隔。

undo portal cloud report interval命令用来恢复缺省情况。

【命令】

portal cloud report interval minutes

undo portal cloud report interval

【缺省情况】

Portal认证信息上报绿洲平台的时间间隔为30分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

minutes:Portal认证信息上报绿洲平台的时间间隔,取值范围为0~60,单位为分钟,0表示不将认证信息上报绿洲平台。

【使用指导】

配置本命令后,设备会将Portal认证失败和认证错误信息上报给绿洲平台。

首次上报Portal认证失败和认证错误信息是在设备与绿洲平台建立连接之后的30秒时发生,之后将按照本命令配置的间隔定期上报Portal认证失败和认证错误信息。修改上报时间间隔将在下一个上报周期生效。

【举例】

# 配置Portal认证失败和认证错误信息上报绿洲平台的时间间隔为60分钟。

<Sysname> system-view

[Sysname] portal cloud report interval 60

1.1.66  portal delete-user

portal delete-user命令用来强制在线Portal用户下线。

【命令】

portal delete-user { ipv4-address | all | auth-type { cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address | username username }

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:在线Portal用户的IPv4地址。

all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。

auth-type:在线Portal用户的认证类型。

cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。

email:Portal认证类型为邮箱认证。

facebook:Portal认证类型为Facebook认证。

local:Portal认证类型为本地认证。

normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。

qq:Portal认证类型为QQ认证。

wechat:Portal认证类型为微信认证。

interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。

mac mac-address:在线Portal用户的MAC地址。mac-address格式为H-H-H。

username username:在线Portal用户的用户名。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 强制IP地址为1.1.1.1的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

# 强制MAC地址为000d-88f8-0eab的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user mac 000d-88f8-0eab

# 强制所有通过邮箱认证的用户下线。

<Sysname> system-view

[Sysname] portal delete-user auth-type email

# 强制用户名为abc的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user username abc

【相关命令】

·     display portal user

1.1.67  portal device-id

portal device-id命令用来配置设备ID。

undo portal device-id命令用来恢复缺省情况。

【命令】

portal device-id device-id

undo portal device-id

【缺省情况】

未配置任何设备ID。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

device-id:设备ID,为1~63个字符的字符串,区分大小写。

【使用指导】

通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。

不同设备的设备ID不能相同。

【举例】

# 配置设备的ID名为0002.0010.100.00。

<Sysname> system-view

[Sysname] portal device-id 0002.0010.100.00

1.1.68  portal domain

portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口或者无线服务模板上接入的Portal用户强制使用该认证域。

undo portal domain命令用来删除Portal用户使用的认证域。

【命令】

portal [ ipv6 ] domain domain-name

undo portal [ ipv6 ] domain

【缺省情况】

未指定Portal用户使用的认证域。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

无线服务模板上可以同时指定IPv4 Portal用户使用的认证域和IPv6 Portal用户使用的认证域。

如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。

【举例】

# 在无线服务模板service1上配置接入的IPv4 Portal用户使用认证域my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal domain my-domain

【相关命令】

·     display portal

1.1.69  portal dual-stack enable

portal dual-stack enable命令用来开启Portal支持双协议栈功能。

undo portal dual-stack enable命令用来关闭Portal支持双协议栈功能。

【命令】

portal dual-stack enable

undo portal dual-stack enable

【缺省情况】

Portal支持双协议栈功能处于关闭状态。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

在接口或无线服务模板下开启了Portal支持双协议栈功能后,用户在直接认证方式的Portal认证过程中,当通过了IPv4 Portal或IPv6 Portal认证后,再访问IPv4或IPv6网络时,不再需要重新进行Portal认证,达到一次认证通过,可以同时访问IPv4和IPv6网络的目的。

【举例】

# 在无线服务模板下开启Portal支持双栈功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal dual-stack enable

【相关命令】

·     portal dual-stack traffic-separate enable

1.1.70  portal dual-stack traffic-separate enable

portal dual-stack traffic-separate enable命令用来开启Portal双协议栈流量计费分离功能。

undo portal dual-stack traffic-separate enable命令用来关闭Portal双协议栈流量计费分离功能。

【命令】

portal dual-stack traffic-separate enable

undo portal dual-stack traffic-separate enable

【缺省情况】

Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

开启Portal双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发送给AAA服务器,否则,设备会将用户访问IPv4网络和IPv6网络的总流量发送给AAA服务器。

开启Portal支持双栈协议功能后,本命令才生效。

如果接口/无线服务模板上配置了本命令,且Portal用户使用的认证域下配置了accounting dual-stack命令,则Portal双协议栈流量是否分离计费由本命令决定。关于accounting dual-stack命令的相关介绍,请参见“用户接入与认证命令参考”中的“AAA”。

【举例】

# 在无线服务模板上开启Portal双协议栈流量计费分离功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal dual-stack traffic-separate enable

【相关命令】

·     accounting dual-stack(用户接入与认证命令参考/AAA)

·     portal dual-stack enable

1.1.71  portal enable (interface view)

portal enable命令用来开启Portal认证功能,并指定认证方式。

undo portal enable命令用来关闭Portal认证功能。

【命令】

portal enable method direct

portal ipv6 enable method direct

undo portal [ ipv6 ] enable

【缺省情况】

Portal认证功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。

【使用指导】

开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。

允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。

【举例】

# 在接口Vlan-interface100上开启IPv4 Portal认证,且指定为直接认证方式。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal enable method direct

【相关命令】

·     display portal

1.1.72  portal enable (service template view)

portal enable命令用来开启Portal直接认证功能。

undo portal enable命令用来关闭Portal直接认证功能。

【命令】

portal [ ipv6 ] enable method direct

undo portal [ ipv6 ] enable

【缺省情况】

Portal直接认证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal直接认证。若不指定该参数,则表示IPv4 Portal直接认证。

【使用指导】

无线服务模板上的Portal认证只支持直接认证方式。

同一个无线服务模板允许同时开启IPv4 Portal认证和IPv6 Portal认证功能。

禁止在无线服务模板视图和接口视图下同时使能Portal认证。

【举例】

# 在无线服务模板上开启Portal认证,配置为直接认证方式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal enable method direct

【相关命令】

·     display portal

1.1.73  portal extend-auth domain

portal extend-auth domain命令用来配置第三方认证用户使用的认证域。

undo portal extend-auth domain命令用来删除第三方认证用户使用的认证域。

【命令】

portal extend-auth domain domain-name

undo portal extend-auth domain

【缺省情况】

未配置第三方认证用户使用认证域。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

只支持IPv4的第三方认证用户。

请确保ISP域的AAA认证方法、授权方法和计费方法均配置为none。

【举例】

# 指定从无线服务模板service1上接入的第三方认证用户使用认证域my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal extend-auth domain my-domain

【相关命令】

·     display portal

1.1.74  portal extend-auth-server

portal extend-auth-server命令用来创建第三方认证服务器,并进入第三方认证服务器视图。如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图。

undo portal extend-auth-server命令用来删除第三方认证服务器。

【命令】

portal extend-auth-server { facebook | mail | qq | wechat }

undo portal extend-auth-server { facebook | mail | qq | wechat }

【缺省情况】

不存在第三方认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

facebook:表示Facebook认证服务器。

mail:表示邮箱认证服务器。

qq:表示QQ认证服务器。

wechat:表示本地微信认证服务器。

【使用指导】

第三方认证是指使用第三方帐号在第三方服务器上完成第三方的认证授权后,通知设备使用第三方认证的账号和密码进行本地Portal Web服务的直接Portal认证。此过程中不需要用户使用额外的Portal认证账号,方便用户上网。

只有使用本地Portal web服务器的直接Portal认证支持第三方认证。

【举例】

# 创建QQ认证服务器,并进入QQ认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq]

# 创建邮箱认证服务器,并进入邮箱认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail]

# 创建微信认证服务器,并进入微信认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat]

# 创建Facebook认证服务器,并进入Facebook认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server facebook

[Sysname-portal-extend-auth-server-fb]

【相关命令】

·     display portal extend-auth-server

1.1.75  portal fail-permit server

portal fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

undo portal fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit server server-name

undo portal [ ipv6] fail-permit server

【缺省情况】

Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。

如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal fail-permit server pts1

【相关命令】

·     display portal

1.1.76  portal fail-permit web-server

portal fail-permit web-server命令用来开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时暂停接口或无线服务模板上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

undo portal fail-permit web-server命令用来关闭Portal Web服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit web-server

undo portal [ ipv6 ] fail-permit web-server

【缺省情况】

Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

【使用指导】

只有在无线服务模板处于关闭的状态下才能配置本功能。

如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。

如果无线服务模板上同时开启了Portal Web服务器逃生功能和Portal认证服务器逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,即取消无线服务模板Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复正常通信后,再重新启动Portal认证功能。Portal认证功能重新启动之后,未通过认证的用户以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,逃生期间已通过认证的用户可继续访问网络资源。

同一个接口或无线服务模板上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。

【举例】

# 在接口Vlan-interface100上启用Portal Web服务器不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal fail-permit web-server

# 指定从无线服务模板service1上启用Portal Web服务器不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal fail-permit web-server

【相关命令】

·     display portal

1.1.77  portal forbidden-rule

portal forbidden-rule命令用来配置黑名单规则。

undo portal forbidden-rule命令用来删除配置的黑名单规则。

【命令】

portal forbidden-rule rule-number [ source { ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] }

portal forbidden-rule rule-number [ source { ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] }

undo portal forbidden-rule { rule-number | all }

【缺省情况】

未配置黑名单规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:黑名单规则编号。取值范围为0~4294967295。

source:指定源信息。

ip ipv4-address:用户的IPv4地址。

{ mask-length | mask }:IPv4地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ip any:任意IPv4地址。

tcp tcp-port-number:TCP端口号,取值范围为0~65535。

udp udp-port-number:UDP端口号,取值范围为0~65535。

ipv6 ipv6-address:用户的IPv6地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

ipv6 any:任意IPv6地址。

ssid ssid-name:指定无线用户所属的SSID。ssid-name为1~32个字符的字符串,区分大小写。

host-name:目的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”,且不能为“i”、“ip”、“ipv”和“ipv6”。

all:所有黑名单规则。

【使用指导】

本命令用来过滤某些来自特定源或去往特定目的的报文。当通过设备的报文与黑名单规则相匹配的时候,设备会将这些报文丢弃。

该功能在开启Portal功能后才能生效。

源地址和目的地址的IP类型必须相同。

如果黑名单规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

可以配置多条黑名单规则。

如果同时配置了免认证规则和黑名单规则,且二者指定的对象范围有所重叠,则黑名单规则生效。当黑名单规则配置为目的主机名时,设备会丢弃用户发送的查询目的主机名的DNS报文。如果设备上正确配置了DNS服务器,设备会解析目的主机名的地址,并将去往此地址的报文丢弃;在用户没有发送DNS报文的情况下,如果设备没有正确配置DNS服务器,黑名单规则不生效。

【举例】

# 配置黑名单规则10,禁止Portal用户访问主机名www.xyz.com。

<Sysname> system-view

[Sysname] portal forbidden-rule 10 source ip any destination www.xyz.com

# 配置黑名单规则12,禁止IP地址为1.1.1.1/32的Portal用户访问IP地址2.2.2.2/32。

<Sysname> system-view

[Sysname] portal forbidden-rule 12 source ip 1.1.1.1 32 destination ip 2.2.2.2 32

【相关命令】

·     display portal rule

1.1.78  portal free-all except destination

portal free-all except destination命令用来配置IPv4 Portal目的认证网段。

undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。

【命令】

portal free-all except destination ipv4-network-address { mask-length | mask }

undo portal free-all except destination [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。

可以通过多次执行本命令,配置多条目的认证网段。

【举例】

# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24

【相关命令】

·     display portal

1.1.79  portal free-rule

portal free-rule命令用来配置基于IP地址的Portal免认证规则。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于IP地址的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

source:指定源信息。

ip ipv4-address:免认证规则的IPv4地址。

{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ip any:任意IPv4地址。

tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535

udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。

ipv6 ipv6-address:免认证规则的IPv6地址。

prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。

ipv6 any:任意IPv6地址。

all:所有免认证规则。

interface interface-type interface-number:免认证规则生效的三层接口。

【使用指导】

可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。

如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。

相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

【举例】

# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface2。该规则表示在Vlan-interface2接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 2

# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为Vlan-interface2。该规则表示在Vlan-interface2接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64 interface vlan-interface 2

【相关命令】

·     display portal rule

1.1.80  portal free-rule description

portal free-rule description命令用来配置Portal免认证规则的描述信息。

undo portal free-rule description命令用来删除指定Portal免认证规则的描述信息。

【命令】

portal free-rule rule-number description text

undo portal free-rule rule-number description

【缺省情况】

Portal免认证规则不存在描述信息。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

text:表示Portal免认证规则的描述信息,为1~255个字符的字符串,区分大小写。

【举例】

# 配置rule-number为2的Portal免认证规则的描述信息为“This is IT department”。

<Sysname> system-view

[Sysname] portal free-rule 2 description This is IT department

1.1.81  portal free-rule destination

portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number destination host-name

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于目的的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。

all:所有免认证规则。

【使用指导】

基于目的Portal免认证规则支持如下两种配置方式:

·     精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。

·     模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc**abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。

配置基于目的Portal免认证规则时,需要注意的是:

·     通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。

·     配置的主机名不能只有通配符。

·     相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

·     目前,只有用户浏览器发起的HTTP/HTTPS请求报文,支持模糊匹配的免认证规则。

【举例】

# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.h3c.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 4 destination www.h3c.com

【相关命令】

·     display portal rule

1.1.82  portal free-rule source

portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number source { ap ap-name | { interface interface-type interface-number | mac mac-address | vlan vlan-id } * }

undo portal free-rule { rule-number | all }

【缺省情况】

未配置基于源的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

ap ap-name:免认证规则的源AP名称。ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。本参数仅在无线服务模板上开启Portal的情况下生效。

interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。

mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。

vlan vlan-id:免认证规则的源VLAN编号。配置该关键字仅对通过VLAN接口接入的用户生效。

all:所有免认证规则。

【使用指导】

如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。

配置基于源AP的免认证规则后,用户不需要进行Portal认证,可直接访问外网;配置基于源AP的免认证规则之前已经在线的Portal用户会继续计费。

【举例】

# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10

# 配置一条Portal免认证规则:编号为4,源AP名称为ap10。该规则表示AP名称为ap10上的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 4 source ap ap10

【相关命令】

·     display portal rule

1.1.83  portal host-check enable

portal host-check enable命令用来开启无线Portal客户端合法性检查功能。

undo portal host-check enable命令用来关闭无线Portal客户端合法性检查功能。

【命令】

portal host-check enable

undo portal host-check enable

【缺省情况】

无线Portal客户端合法性检查功能处于关闭状态,设备仅根据ARP表项对Portal客户端进行合法性检查。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查。在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能。本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证。

【举例】

# 开启无线Portal客户端合法性检查功能。

<Sysname> system-view

[Sysname] portal host-check enable

1.1.84  portal ipv6 free-all except destination

portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。

undo portal ipv6 free-all except destination命令用来删除IPv6 Portal目的认证网段。

【命令】

portal ipv6 free-all except destination ipv6-network-address prefix-length

undo portal ipv6 free-all except destination [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-network-address:IPv6 Portal认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal目的认证网段。

可以通过多次执行本命令,配置多条目的认证网段。

【举例】

# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16

【相关命令】

·     display portal

1.1.85  portal ipv6 user-detect

portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。

undo portal ipv6 user-detect命令用来关闭IPv6 Portal用户在线探测功能。

【命令】

portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]

undo portal ipv6 user-detect

【缺省情况】

IPv6 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测类型。

·     icmpv6:表示探测类型为ICMPv6。

·     nd:表示探测类型为ND。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·     当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·     当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。

如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文。

【举例】

# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测类型为ND,检测用户ND表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300

【相关命令】

·     display portal

1.1.86  portal local-web-server

portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。

undo portal local-web-server命令用来关闭本地本地Portal Web服务功能。

【命令】

portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }

undo portal local-web-server { http | https }

【缺省情况】

本地Portal服务功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。

【使用指导】

本地Portal Web服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:

·     该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。

·     该URL以/portal/结尾,例如:http://1.1.1.1/portal/。

配置本地Portal Web服务功能时,需要注意的是:

·     已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·     不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。

配置本地Portal Web服务参数时,需要注意的是:

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。

·     除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,否则会造成本地Portal Web 服务无法向Portal用户推送认证页面。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,否则会导致本地Web服务无法正常使用。

【举例】

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

[Sysname-portal-local-websvr-https] quit

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

[Sysname-portal-local-websvr-https] quit

# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442

[Sysname-portal-local-websvr-https] quit

【相关命令】

·     default-logon-page

·     portal local-web-server

·     ssl server-policy(安全命令参考/SSL)

1.1.87  portal logout-record enable

portal logout-record enable命令用来开启Portal用户下线信息记录功能。

undo portal logout-record enable命令用来关闭Portal用户下线信息记录功能。

【命令】

portal logout-record enable

undo portal logout-record enable

【缺省情况】

Portal用户下线信息记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

Portal用户的下线信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal用户下线信息记录功能。

<Sysname> system-view

[Sysname] portal logout-record enable

【相关命令】

·     display portal logout-record

1.1.88  portal logout-record export

portal logout-record export命令用来导出Portal用户下线记录。

【命令】

portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string:表示储存Portal用户下线记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·     FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·     TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/logout/,表示地址为1.1.1.1的TFTP服务器的logout目录。

·     HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/logout/,表示地址为1.1.1.1的HTTP服务器的logout目录,其中登陆用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/logout/。

·     服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有用户下线记录到tftp://1.1.1.1/record/logout/路径下。

<Sysname> system-view

[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的用户下线记录到tftp://1.1.1.1/record/logout/路径下。

<Sysname> system-view

[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·     display portal logout-record

·     portal logout-record enable

·     reset portal logout-record

1.1.89  portal logout-record max

portal logout-record max命令用来配置设备保存Portal用户下线记录的最大条数。

undo portal logout-record max命令用来恢复缺省情况。

【命令】

portal logout-record max number

undo portal logout-record max

【缺省情况】

设备保存Portal用户下线记录的最大条数为6000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:Portal用户下线记录的最大条数,取值范围为1~6000。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal用户下线记录的最大条数为50。

<Sysname> system-view

[Sysname] portal logout-record max 50

【相关命令】

·     display portal logout-record

1.1.90  portal mac-trigger-server

portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。

undo portal mac-trigger-server命令用来删除MAC绑定服务器。

【命令】

portal mac-trigger-server server-name

undo portal mac-trigger-server server-name

【缺省情况】

不存在MAC绑定服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号以及设备和服务器间通信的预共享密钥等。

【举例】

# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts]

【相关命令】

·     display portal mac-trigger-server

·     portal apply mac-trigger-server

1.1.91  portal max-user

portal max-user命令用来配置全局Portal最大用户数。

undo portal max-user命令用来恢复缺省情况。

【命令】

portal max-user max-number

undo portal max-user

【缺省情况】

全局Portal最大用户数不受限制。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-number:系统中允许同时在线的最大Portal用户数。该参数的取值范围为1~4294967295。

【使用指导】

如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。

建议所有开启Portal的接口或者无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。

【举例】

# 配置全局Portal最大用户数为100。

<Sysname> system-view

[Sysname] portal max-user 100

【相关命令】

·     display portal user

·     portal { ipv4-max-user | ipv6-max-user }

1.1.92  portal nas-id-profile

portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo portal nas-id-profile命令用来恢复缺省情况。

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“用户接入与认证命令参考”中的“AAA”。

如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。

【举例】

# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal nas-id-profile aaa

【相关命令】

·     aaa nas-id profile(用户接入与认证命令参考/AAA)

1.1.93  portal nas-port-id format

portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。

undo portal nas-port-id format命令用来恢复缺省情况。

【命令】

portal nas-port-id format { 1 | 2 | 3 | 4 }

undo portal nas-port-id format

【缺省情况】

NAS-Port-ID的消息格式为格式2。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

1:表示格式1,具体为{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

2:表示格式2,具体为SlotID00IfNOVlanID。

3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。

4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**

【使用指导】

可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。

不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。

1. 格式1

{eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

各项含义如下:

·     {eth|trunk}:BRAS端口类型,包括以太接口或trunk类型的以太网接口。

·     NAS_slot:BRAS槽号,取值为0~31。

·     NAS_subslot:BRAS子槽号,取值为0~31。

·     NAS_Port:BRAS端口号,取值为0~63。

·     XPI:如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。

·     XCI:如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。

·     AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。

·     ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。

·     ANI_frame:接入节点机框号,取值为0~31。

·     ANI_slot:接入节点槽号,取值为0~127。

·     ANI_subslot:接入节点子槽号,取值为0~31。

·     ANI_port:接入节点端口号,取值为0~255。

·     ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。

字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。

如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。

如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。

对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”

其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。

对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth  31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。

格式1的解释示例如下:

·     例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535。

·     例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。

·     例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。

·     例4:NAS_PORT_ID =“eth  31/31/7:4096.2345 guangzhou001/1/31/63/31/127”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31, BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。

2. 格式2

SlotID00IfNOVlanID

各项含义如下:

·     SlotID:用户接入的槽位号,为两个字符的字符串。

·     IfNO:用户接入的接口编号,为3个字符的字符串。

·     VlanID:用户接入的VLAN ID,为9个字符的字符串。

3. 格式3

其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。对于IPv6用户,此处添加的是DHCP Option18的内容。

4. 格式4

其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:

·     对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。

·     对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**

【举例】

# 配置NAS-Port-ID属性的格式为format 1。

<Sysname> system-view

[Sysname] portal nas-port-id format 1

1.1.94  portal nas-port-type

portal nas-port-type命令用来配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。

undo portal nas-port-type命令用来恢复缺省情况。

【命令】

portal nas-port-type { ethernet | wireless }

undo portal nas-port-type

【缺省情况】

接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ethernet:指定NAS-Port-Type属性名称为Ethernet,属性编号为15。

wireless:指定NAS-Port-Type属性名称为WLAN-IEEE 802.11,属性编号为19。

【使用指导】

若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。

【举例】

# 在无线服务模板service1上配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值为WLAN-IEEE 802.11。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal nas-port-type wireless

【相关命令】

·     display portal interface

1.1.95  portal oauth user-sync interval

portal oauth user-sync interval命令用来配置当Portal用户采用OAuth认证时用户信息同步的时间间隔。

undo portal oauth user-sync interval命令用来恢复缺省情况。

【命令】

portal oauth user-sync interval interval

undo portal oauth user-sync interval

【缺省情况】

Portal OAuth认证用户信息同步的时间间隔为60秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval:用户信息同步的时间间隔,取值范围为0、60~3600,单位为秒。

【使用指导】

本命令用来配置当Portal用户采用OAuth认证时用户信息由设备向服务器同步的时间间隔。如果时间间隔配置为0,则表示关闭Portal OAuth认证用户同步功能。

【举例】

# 配置Portal OAuth认证用户信息同步时间间隔为120秒。

<Sysname> system-view

[Sysname] portal oauth user-sync interval 120

1.1.96  portal outbound-filter enable

portal outbound-filter enable命令用来开启Portal出方向的报文过滤功能。

undo portal outbound-filter enable命令用来关闭Portal出方向的报文过滤功能。

【命令】

portal [ ipv6 ] outbound-filter enable

undo portal [ ipv6 ] outbound-filter enable

【缺省情况】

Portal出方向的报文过滤功能处于关闭状态。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示对接口或无线服务模板出方向的IPv6报文过滤。若不指定该参数,则表示对于接口或无线服务模板出方向的IPv4报文过滤。

【使用指导】

缺省情况下,开启了Portal认证的接口或无线服务模板,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口或无线服务模板发送的报文进行严格控制时,可以在接口或无线服务模板上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的接口或无线服务模板上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。

【举例】

# 在无线服务模板service1上开启出方向报文过滤功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal outbound-filter enable

1.1.97  portal packet log enable

portal packet log enable命令用来开启Portal协议报文的日志功能。

undo portal packet log enable命令用来关闭Portal协议报文的日志功能。

【命令】

portal packet log enable

undo portal packet log enable

【缺省情况】

Portal协议报文的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,设备会对Portal协议报文信息进行记录,包括用户名、IP地址、认证类型、报文类型、SSID、AP MAC地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。

【举例】

# 开启Portal协议报文的日志功能。

<Sysname> system-view

[Sysname] portal packet log enable

【相关命令】

·     portal redirect log enable

·     portal user log enable

1.1.98  portal pre-auth domain

portal pre-auth domain命令用来配置Portal认证前用户使用的认证域。

undo portal pre-auth domain命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth domain domain-name

undo portal [ ipv6 ] pre-auth domain

【缺省情况】

未配置Portal认证前用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6用户使用的认证域。若不指定该参数,则表示指定IPv4用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

开启Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL、User Profile和CAR),并根据授权信息获得相应的网络访问权限。若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息。用户下线之后,将被重新授予该认证前域中的授权属性。

配置Portal认证前域时,请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undo portal [ ipv6 ] pre-auth domain命令)后重新配置。

认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效。

如果认证前域的域名发生变化,新的域名对所有认证前用户生效。

如果当前认证前域中的ACL、User Profile和CAR授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。

对于认证前域中指定的授权ACL,需要注意的是:

·     如果该授权ACL不存在,或者配置的规则中允许访问的目的IP地址为“any”,则表示不对用户的访问进行限制,用户可以直接访问网络。

·     如果该授权ACL中没有配置任何规则,则表示对用户的所有访问进行限制,用户需要通过认证才可以访问网络。

·     请不要在该授权ACL中配置源地址信息,否则该授权ACL下发后将会导致用户不能正常上线。

Portal认证前用户使用的认证域与MAC-Trigger认证同时配置时,请保证用户免认证流量的阈值为0字节。

【举例】

# 在接口VLAN接口2上配置Portal认证前用户使用的认证域为abc。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal pre-auth domain abc

 

【相关命令】

·     display portal

1.1.99  portal pre-auth ip-pool

portal pre-auth ip-pool命令用来配置Portal认证前用户使用的地址池。

undo portal pre-auth ip-pool命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth ip-pool pool-name

undo portal [ ipv6 ] pre-auth ip-pool

【缺省情况】

未配置Portal认证前用户使用的地址池。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal用户。若不指定该参数,则表示IPv4 Portal用户。

pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。

仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效。

当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。

【举例】

# 在接口Vlan-interface100上为认证前的Portal用户指定IPv4地址池为abc。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal pre-auth ip-pool abc

【相关命令】

·     dhcp server ip-pool(网络互通/DHCP)

·     display portal

·     ipv6 dhcp pool(网络互通/DHCP)

1.1.100  portal redirect log enable

portal redirect log enable命令用来开启Portal重定向日志功能。

undo portal redirect log enable命令用来关闭Portal重定向日志功能。

【命令】

portal redirect log enable

undo portal redirect log enable

【缺省情况】

Portal重定向日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,会对Portal重定向报文信息进行记录,包括用户IP地址、MAC地址、SSID、BAS IP、Web服务器IP地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。

【举例】

# 开启Portal重定向日志功能。

<Sysname> system-view

[Sysname] portal redirect log enable

【相关命令】

·     portal packet log enable

·     portal user log enable

1.1.101  portal redirect max-session per-user

portal redirect max-session per-user命令用来配置单用户Portal重定向的最大会话数。

undo portal redirect max-session per-user命令用来恢复缺省情况。

【命令】

portal redirect max-session per-user number

undo redirect max-session per-user

【缺省情况】

未配置单用户Portal重定向的最大会话数。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:单用户Portal重定向的最大会话数,取值范围为1~128。

【使用指导】

当用户客户端装了恶意软件或遭到病毒攻击时,会发起大量Portal重定向会话。本命令用来同时配置设备上单个Portal用户的HTTP和HTTPS重定向的最大会话数,即单个Portal用户的HTTP重定向的最大会话数和HTTPS重定向会话数均为设置值,Portal重定向的总最大会话数为二者之和。

对于无线应用,仅集中转发模式生效。

【举例】

# 配置单用户Portal重定向的最大会话数为128。

<Sysname> system-view

[Sysname] portal redirect max-session per-user 128

【相关命令】

·     portal redirect max-session

·     display portal redirect

1.1.102  portal refresh enable

portal refresh enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。

undo portal refresh enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。

【命令】

portal refresh { arp | nd } enable

undo portal refresh { arp | nd } enable

【缺省情况】

Portal客户端Rule ARP表项、ND表项生成功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

arp:表示ARP表项。

nd:表示ND表项。

【使用指导】

Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后会被立即删除,导致Portal客户端在短时间内再上线时会因ARP/ND表项还未学习到而认证失败。此情况下,需要关闭本功能,使得Portal客户端上线后其ARP/ND表项仍为动态表项,在Portal客户端下线后按老化时间正常老化。

此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。

【举例】

# 关闭Portal客户端Rule ARP表项生成功能。

<Sysname> system-view

[Sysname] undo portal refresh arp enable

1.1.103  portal roaming enable

portal roaming enable命令用来开启Portal用户漫游功能。

undo portal roaming enable命令用来关闭Portal用户漫游功能。

【命令】

portal roaming enable

undo portal roaming enable

【缺省情况】

Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。

Portal用户漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。

Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效。

设备上有用户在线或认证前域用户的情况下,不能配置此命令。

【举例】

# 开启Portal用户漫游功能。

<Sysname> system-view

[Sysname] portal roaming enable

【相关命令】

·     portal refresh enable

1.1.104  portal safe-redirect enable

portal safe-redirect enable命令用来开启Portal安全重定向功能。

undo portal safe-redirect enable命令用来关闭Portal安全重定向功能。

【命令】

portal safe-redirect enable

undo portal safe-redirect enable

【缺省情况】

Portal安全重定向功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,除了免认证地址的HTTP请求,系统会将用户访问任意80端口的HTTP请求报文进行重定向,这可能会带来服务器负载过大的问题。开启Portal安全重定向功能后,系统将仅仅针对请求方法为GET的HTTP请求报文以及特定浏览器发送的报文进行重定向。在服务器负载过大的情况下,建议开启Portal安全重定向功能。

【举例】

# 开启Portal安全重定向功能。

<Sysname> system-view

[Sysname] portal safe-redirect enable

【相关命令】

·     portal safe-redirect forbidden-url

·     portal safe-redirect method

·     portal safe-redirect user-agent

1.1.105  portal safe-redirect forbidden-file

portal safe-redirect forbidden-file命令用来配置Portal安全重定向禁止URL携带指定扩展名的文件。

undo portal safe-redirect forbidden-file命令用来删除Portal安全重定向禁止URL携带指定扩展名的文件。

【命令】

portal safe-redirect forbidden-file filename-extension

undo portal safe-redirect forbidden-file filename-extension

【缺省情况】

Portal安全重定向允许URL携带任意扩展名的文件。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filename-extension:文件扩展名,为1~16个字符的字符串,区分大小写。

【使用指导】

只有在Portal安全重定向功能处于开启的状态下,才能执行本命令。

可以通过多次执行本命令,配置多个Portal安全重定向禁止URL携带指定扩展名的文件。

【举例】

# 配置Portal安全重定向禁止URL携带扩展名为.jpg的文件。

<Sysname> system-view

[Sysname] portal safe-redirect forbidden-file .jpg

【相关命令】

·     display portal safe-redirect statistics

·     portal safe-redirect enable

1.1.106  portal safe-redirect forbidden-url

portal safe-redirect forbidden-url命令用来配置Portal安全重定向禁止的URL地址。

undo portal safe-redirect forbidden-url命令用来删除配置的Portal安全重定向禁止的URL地址。

【命令】

portal safe-redirect forbidden-url user-url-string

undo portal safe-redirect forbidden-url user-url-string

【缺省情况】

Portal可以对任意URL地址的HTTP请求报文进行重定向。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

user-url-string:Portal安全重定向禁止的URL地址,为1~256个字符的字符串,区分大小写。

【使用指导】

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect forbidden-url命令。

可以通过多次执行本命令,配置多个Portal安全重定向禁止的URL地址。

【举例】

# 配置Portal安全重定向禁止的URL地址为http://www.abc.com。

<Sysname> system-view

[Sysname] portal safe-redirect forbidden-url http://www.abc.com

【相关命令】

·     portal safe-redirect enable

1.1.107  portal safe-redirect method

portal safe-redirect method命令用来配置Portal安全重定向允许的HTTP协议的请求方法。

undo portal safe-redirect method用来删除配置的Portal安全重定向允许的HTTP协议的请求方法。

【命令】

portal safe-redirect method { get | post }*

undo portal safe-redirect method { get | post }*

【缺省情况】

未配置HTTP协议的请求方法,Portal安全重定向功能开启后,HTTP协议的默认请求方法为GET。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

get:指定HTTP协议的请求方法为GET。

post:指定HTTP协议的请求方法为POST。

【使用指导】

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect method命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置Portal安全重定向允许的HTTP协议的请求方法为GET。

<Sysname> system-view

[Sysname] portal safe-redirect method get

【相关命令】

·     portal safe-redirect enable

1.1.108  portal safe-redirect user-agent

portal safe-redirect user-agent命令用来匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。

undo portal safe-redirect user-agent命令用来删除匹配的Portal安全重定向允许的HTTP User Agent中的的浏览器类型。

【命令】

portal safe-redirect user-agent user-agent-string

undo portal safe-redirect user-agent user-agent-string

【缺省情况】

未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。Portal安全重定向功能开启后,默认与表1-25中的所有浏览器类型匹配的HTTP报文都能被Portal重定向。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

user-agent-string:Portal安全重定向允许的HTTP User Agent中的浏览器类型,为1~255个字符的字符串,区分大小写。可配置的浏览器类型及描述如表1-25所示。

表1-25 浏览器类型及描述

浏览器类型

描述

Safari

苹果浏览器

Chrome

谷歌浏览器

Firefox

火狐浏览器

UC

UC浏览器

QQBrowser

QQ浏览器

LBBROWSER

猎豹浏览器

TaoBrowser

淘宝浏览器

Maxthon

傲游浏览器

BIDUBrowser

百度浏览器

MSIE 10.0

微软IE 10.0浏览器

MSIE 9.0

微软IE 9.0浏览器

MSIE 8.0

微软IE 8.0浏览器

MSIE 7.0

微软IE 7.0浏览器

MSIE 6.0

微软IE 6.0浏览器

MetaSr

搜狗浏览器

 

【使用指导】

配置本命令后,只有与Portal安全重定向允许的HTTP User Agent中的浏览器类型匹配的HTTP报文才能够被Portal重定向。可通过重复执行本命令匹配多个浏览器类型。

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect user-agent命令。

【举例】

# 配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型为Chrome和Safari。

<Sysname> system-view

[Sysname] portal safe-redirect user-agent Chrome

[Sysname] portal safe-redirect user-agent Safari

【相关命令】

·     portal safe-redirect enable

1.1.109  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

不存在Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·     display portal server

1.1.110  portal temp-pass enable

portal temp-pass enable命令用来开启Portal临时放行功能并设置临时放行时间。

undo portal temp-pass enable命令用来关闭Portal临时放行功能。

【命令】

portal temp-pass [ period period-value ] enable

undo portal temp-pass enable

【缺省情况】

Portal临时放行功能处于关闭状态。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

period period-value:临时放行时间,取值范围为10~3600,单位为秒,缺省值为30秒。

【使用指导】

除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证。当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换。

一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。

【举例】

# 在无线服务模板service1上开启Portal临时放行功能,并设置临时放行时间为25秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal temp-pass period 25 enable

【相关命令】

·     display portal

1.1.111  portal traffic-accounting disable

portal traffic-accounting disable命令用来关闭Portal用户流量计费功能。

undo portal traffic-accounting disable命令用来恢复缺省情况。

【命令】

portal traffic-accounting disable

undo portal traffic-accounting disable

【缺省情况】

Portal用户的流量计费功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费。当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对用户流量不做精确统计。当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量。

【举例】

# 关闭Portal用户流量计费功能。

<Sysname> system-view

[Sysname] portal traffic-accounting disable

1.1.112  portal traffic-backup threshold

portal traffic-backup threshold命令用来配置对Portal用户流量进行备份的阈值。

undo portal traffic-backup threshold命令用来恢复缺省情况。

【命令】

portal traffic-backup threshold value

undo portal traffic-backup threshold

【缺省情况】

Portal用户流量备份阈值为10兆字节。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

value:对Portal用户流量进行备份的阈值,取值范围为0~100000,单位为兆字节。取值为0时,表示对Portal用户流量进行实时备份。

【使用指导】

缺省情况下,流量备份的阈值为10M字节,即用户流量达到10M字节时设备会对该Portal用户的会话数据以及流量等信息进行备份。流量备份的阈值越小备份越频繁,流量备份越精确。当设备上有大量Portal用户在线时,对Portal用户信息进行频繁备份会影响到用户的上下线以及计费等流程的处理性能。因此,需综合考虑对各业务的处理性能和流量备份的精确度合理配置流量备份阈值。

【举例】

# 配置对Portal用户流量进行备份的阈值为10240兆字节。

<Sysname> system-view

[Sysname] portal traffic-backup threshold 10240

1.1.113  portal user-detect

portal user-detect命令用来开启IPv4 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。

【命令】

portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]

undo portal user-detect

【缺省情况】

IPv4 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测类型。

·     arp:表示探测类型为ARP。

·     icmp:表示探测类型为ICMP。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·     当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·     当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。

如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文。

【举例】

# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测类型为ARP,检测用户ARP表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300

【相关命令】

·     display portal

1.1.114  portal user-dhcp-only

portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。

undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。

【命令】

portal [ ipv6 ] user-dhcp-only

undo portal [ ipv6 ] user-dhcp-only

【缺省情况】

仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。

【使用指导】

配置本命令后,配置静态IP地址的Portal认证用户不能上线。

在IPv6网络中,配置本命令后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址。

【举例】

# 在无线服务模板视图下配置仅允许通过DHCP获取IP地址的客户端上线功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal user-dhcp-only

【相关命令】

·     display portal

1.1.115  portal user-logoff after-client-offline enable

portal user-logoff after-client-offline enable命令用来开启无线Portal用户自动下线功能。

undo portal user-logoff after-client-offline enable命令用来关闭无线Portal用户自动下线功能。

【命令】

portal user-logoff after-client-offline enable

undo portal user-logoff after-client-offline enable

【缺省情况】

无线Portal用户自动下线功能处于关闭状态,无线客户端断开无线连接后,Portal用户不会自动下线。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启无线Portal用户自动下线功能后,在无线客户端断开无线连接时,设备将会强制该客户端上的Portal用户下线。

【举例】

# 开启无线Portal用户自动下线功能。

<Sysname> system-view

[Sysname] portal user-logoff after-client-offline enable

1.1.116  portal user-logoff ssid-switch enable

portal user-logoff ssid-switch enable命令用来开启无线Portal用户SSID切换后的强制下线功能。

undo portal user-logoff ssid-switch enable命令用来关闭无线Portal用户SSID切换后的强制下线功能。

【命令】

portal user-logoff ssid-switch enable

undo portal user-logoff ssid-switch enable

【缺省情况】

无线Portal用户SSID切换后保持在线状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

若用户创建2个无线服务模板,且都开启Portal认证,用户VLAN相同。用户先从一个无线服务模板的SSID上线,通过Portal认证;当用户切换到另一个无线服务模板的SSID且进行Portal认证时无法通过认证。

执行本命令后,当无线Portal用户从原SSID切换到新SSID后,设备会强制用户下线,并自动删除用户信息,用户再进行Portal认证时便可通过认证。

【举例】

# 开启无线Portal用户SSID切换后的强制下线功能。

<Sysname> system-view

[Sysname] portal user-logoff ssid-switch enable

1.1.117  portal user log enable

portal user log enable命令用来开启Portal用户上/下线日志功能。

undo portal user log enable命令用来关闭Portal用户上/下线日志功能。

【命令】

portal user log enable

undo portal user log enable

【缺省情况】

Portal用户上/下线日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、SSID、AP MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。

【举例】

# 开启Portal用户上/下线日志功能。

<Sysname> system-view

[Sysname] portal user log enable

【相关命令】

·     portal packet log enable

·     portal redirect log enable

1.1.118  portal web-server

portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。

undo portal web-server命令用来删除Portal Web服务器。

【命令】

portal web-server server-name

undo portal web-server server-name

【缺省情况】

不存在Portal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。

【举例】

# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs]

【相关命令】

·     display portal web-server

·     portal apply web-server

1.1.119  portal { bas-ip | bas-ipv6 }

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来删除接口或者无线服务模板上指定的BAS-IP或BAS-IPv6属性。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

bas-ip ipv4-address:接口发送Portal报文的BAS-IP属性值。其中,ipv4-address为本机的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

bas-ipv6 ipv6-address:接口发送Portal报文的BAS-IPv6属性值。其中,ipv6-address为本机的IPv6地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。

配置此命令后,设备主动发送的通知类Portal报文,其源IPv4地址为配置的BAS-IP,其源IPv6地址为配置的BAS-IPv6,否则为Portal报文出接口IP地址。

使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口或无线服务模板上必须配置BAS-IP或者BAS-IPv6属性。

【举例】

# 在无线服务模板service1上配置发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal bas-ip 2.2.2.2

【相关命令】

·     display portal

1.1.120  portal { ipv4-max-user | ipv6-max-user }

portal { ipv4-max-user | ipv6-max-user }命令用来配置接口或者无线服务模板上的Portal最大用户数。

undo portal { ipv4-max-user | ipv6-max-user }命令用来恢复缺省情况。

【命令】

portal { ipv4-max-user | ipv6-max-user } max-number

undo portal { ipv4-max-user | ipv6-max-user }

【缺省情况】

接口或者无线服务模板上的Portal最大用户数不受限制。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

max-number:接口或者无线服务模板上允许的最大IPv4或IPv6 Portal用户数,取值范围为1~4294967295。

【使用指导】

如果接口或者无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口或无线服务模板接入。

建议所有开启Portal的接口或者无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。

【举例】

# 在无线服务模板上配置IPv4 Portal最大用户数为100。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] portal ipv4-max-user 100

【相关命令】

·     display portal

·     portal max-user

1.1.121  redirect-url

redirect-url命令用来配置QQ或Facebook认证成功之后的重定向地址。

undo redirect-url命令用来恢复缺省情况。

【命令】

redirect-url url-string

undo redirect-url

【缺省情况】

QQ认证成功之后的重定向地址为http://oauthindev.h3c.com /portal/qqlogin.html。

Facebook认证成功之后的重定向地址为http://oauthindev.h3c.com/portal/fblogin.html。

【视图】

QQ认证服务器视图

Facebook认证服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:QQ或Facebook认证成功后的重定向URL,为1~256个字符的字符串,区分大小写。

【使用指导】

用户采用QQ或Facebook作为第三方认证平台时,当客户端与第三方认证平台完成了认证、授权交互后,客户端会被强制重定向到本命令配置的地址上。用户需要在设备上配置DNS代理,将此地址指向设备端,从而使客户端对设备端发起本地Portal认证。

【举例】

# 配置QQ认证服务器的重定向地址。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] redirect-url http://www.abc.com/portal/qqlogin.html

# 配置Facebook认证服务器的重定向地址。

<Sysname> system-view

[Sysname] portal extend-auth-server facebook

[Sysname-portal-extend-auth-server-fb] redirect-url http://h3c.com/portal/fblogin.html

【相关命令】

·     display portal extend-auth-server

1.1.122  reset portal auth-error-record

reset portal auth-error-record命令用来清除Portal认证异常记录。

【命令】

reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all:清除所有的Portal认证异常记录。

ipv4 ipv4-address:清除指定IPv4地址的用户Portal认证异常记录。

ipv6 ipv6-address:清除指定IPv6地址的用户Portal认证异常记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【举例】

# 清除所有的Portal认证异常记录。

<Sysname> reset portal auth-error-record all

# 清除IP地址为11.1.0.1的用户Portal认证异常记录。

<Sysname> reset portal auth-error-record ipv4 11.1.0.1

# 清除IPv6地址为2000::2的用户Portal认证异常记录。

<Sysname> reset portal auth-error-record ipv6 2000::2

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证异常记录。

<Sysname> reset portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·     display portal auth-error-record

1.1.123  reset portal auth-fail-record

reset portal auth-fail-record命令用来清除Portal认证失败记录。

【命令】

reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all:清除所有的Portal认证失败记录。

ipv4 ipv4-address:清除指定IPv4地址用户的Portal认证失败记录。

ipv6 ipv6-address:清除指定IPv6地址用户的Portal认证失败记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:清除指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 清除所有的认证失败记录。

<Sysname> reset portal auth-fail-record all

# 清除IP地址为11.1.0.1的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record ipv4 11.1.0.1

# 清除IPv6地址为2000::2的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record ipv6 2000::2

# 清除用户名为abc的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record username abc

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证失败记录。

<Sysname> reset portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·     display portal auth-fail-record

1.1.124  reset portal captive-bypass statistics

reset portal captive-bypass statistics命令用来清除Portal被动Web认证功能的的报文统计信息。

【命令】

reset portal captive-bypass statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除Portal被动Web认证功能的报文统计信息。

<Sysname> reset portal captive-bypass statistics

【相关命令】

·     display portal captive-bypass statistics

1.1.125  reset portal local-binding mac-address

reset portal local-binding mac-address命令用来清除本地MAC Trigger绑定表项信息。

【命令】

reset portal local-binding mac-address { mac-address | all }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

mac-address:用户的MAC地址,格式为H-H-H。

all:清除本地MAC-Trigger绑定表项的所有信息。

【举例】

# 清除本地MAC-Trigger绑定表项的所有信息。

<Sysname> reset portal local-binding mac-address all

【相关命令】

·     display portal local-binding mac-address

·     local-binding aging-time

1.1.126  reset portal logout-record

reset portal logout-record命令用来清除用户下线记录。

【命令】

reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all:清除所有的用户下线记录。

ipv4 ipv4-address:清除指定IPv4地址用户的下线记录。

ipv6 ipv6-address:清除指定IPv6地址用户的下线记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:清除指定用户名用户的下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 清除所有的用户下线记录。

<Sysname> reset portal logout-record all

# 清除指定IP地址为11.1.0.1的用户下线记录。

<Sysname> reset portal logout-record ipv4 11.1.0.1

# 清除指定IPv6地址为2000::2的用户下线记录。

<Sysname> reset portal logout-record ipv6 2000::2

# 清除指定用户名为abc的用户下线记录。

<Sysname> reset portal logout-record username abc

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal用户下线记录。

<Sysname> reset portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·     display portal logout-record

1.1.127  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-nameserver server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

extend-auth-server:第三方Portal认证服务器类型。

cloud:第三方Portal认证服务器类型为绿洲云服务器。

facebook:第三方Portal认证服务器类型为Facebook服务器。

mail:第三方Portal认证服务器类型为邮箱服务器。

qq:第三方Portal认证服务器类型为QQ服务器。

wechat:第三方Portal认证服务器类型为微信服务器。

mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。若未指定本参数,则表示清除指定的Portal认证服务器的名称。

server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若未指定任何参数,则表示清除所有Portal认证服务器和MAC绑定服务器的报文统计信息。

【举例】

# 清除名称为st上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

# 清除名称为newpt的MAC绑定服务器的报文统计信息。

<Sysname> reset portal packet statistics mac-trigger-server newpt

# 清除类型为cloud的第三方Portal认证服务器的报文统计信息。

<Sysname> reset portal packet statistics extend-auth-server cloud

【相关命令】

·     display portal packet statistics

1.1.128  reset portal redirect statistics

reset portal redirect statistics命令用来清除Portal重定向报文统计信息。

【命令】

reset portal redirect statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除Portal重定向报文统计信息。

<Sysname> reset portal redirect statistics

【相关命令】

·     display portal redirect statistics

1.1.129  reset portal safe-redirect statistics

reset portal safe-redirect statistics命令用来清除Portal安全重定向功能的报文统计信息。

【命令】

reset portal safe-redirect statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除Portal安全重定向功能的报文统计信息。

<Sysname> reset portal safe-redirect statistics

【相关命令】

·     display portal safe-redirect statistics

1.1.130  server-detect (portal authentication server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。

【命令】

server-detect [ timeout timeout ] { log | trap } *

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。

log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

【使用指导】

只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log

【相关命令】

·     portal server

1.1.131  server-detect (portal web server view)

server-detect命令用来开启Portal Web服务器的可达性探测功能。

undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。

【命令】

server-detect [ interval interval ] [ retry retries ] { log | trap } *

undo server-detect

【缺省情况】

Portal Web服务器的可达性探测功能处于关闭状态。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval:进行探测尝试的时间间隔,取值范围为1~1200,单位为秒,缺省值为5。建议配置时间不低于5秒。

retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。

log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。

【使用指导】

该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。

只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。

【举例】

# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log trap

【相关命令】

·     portal web-server

1.1.132  server-detect url

server-detect url命令用来配置Portal web服务器的探测URL及探测类型。

undo server-detect url命令用来恢复缺省情况。

【命令】

server-detect url string [ detect-type { http | tcp } ]

undo server-detect url

【缺省情况】

Portal Web服务器可达性探测的URL为Portal web服务器视图下url命令配置的URL地址,探测类型为TCP。

【视图】

Portal web服务器视图

【缺省用户角色】

network-admin

【参数】

string:探测Portal web服务器的URL,为1~256个字符的字符串,区分大小写。

detect-type:探测类型。若未指定本参数,则探测类型为TCP。

tcp:Portal web服务器的探测类型为TCP。

http:Portal web服务器的探测类型为HTTP。

【使用指导】

若未开启Portal Web服务器的可达性探测功能,本命令不生效。

【举例】

# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal

# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是TCP。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type tcp

# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是HTTP。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type http

【相关命令】

·     server-detect (portal web-server view)

1.1.133  server-register

server-register命令用来配置设备定期向Portal认证服务器发送注册报文。

undo server-register命令用来恢复缺省情况。

【命令】

server-register [ interval interval-value ]

undo server-register

【缺省情况】

设备不会定期向Portal认证服务器发送注册报文。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。

【使用指导】

Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。

需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。

【举例】

# 配置设备每隔120秒向Portal认证服务器发送注册报文。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-register interval 120

【相关命令】

·     server-type (portal authentication server view/portal web-server view)

1.1.134  server-type (MAC binding server view)

server-type命令用来配置MAC绑定服务器的服务类型。

undo server-type用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

MAC绑定服务器的服务类型为imc

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。

imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。

【举例】

# 指定MAC绑定服务器的服务类型为cmcc。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] server-type cmcc

1.1.135  server-type (portal authentication server view/portal web-server view)

server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。

undo server-type命令用来恢复缺省情况。

【命令】

server-type { cmcc | imc | oauth }

undo server-type

【缺省情况】

Portal认证服务器或Portal Web服务器的类型为iMC服务器。

【视图】

Portal认证服务器视图

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。

imc:表示Portal服务器类型为符合iMC标准规范的服务器。

oauth:表示Portal Web服务器类型为符合绿洲平台标准规范的服务器。本参数仅支持Portal Web服务器视图下配置。

【使用指导】

设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。

【举例】

# 配置Portal认证服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-type cmcc

# 配置Portal Web服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal web-server pts

[Sysname-portal-websvr-pts] server-type cmcc

【相关命令】

·     display portal server

1.1.136  shop-id

shop-id命令用来配置微信认证服务时设备所在门店的唯一标识。

undo shop-id命令用来恢复缺省情况。

【命令】

shop-id shop-id

undo shop-id

【缺省情况】

未配置设备所在门店的唯一标识。

【视图】

微信认证服务器视图

【缺省用户角色】

network-admin

【参数】

shop-id:设备所在门店的唯一标识。

【使用指导】

终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。

网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。

进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。

该配置需要与微信公众号中配置的保持一致。

【举例】

# 配置微信认证服务时设备所在门店的唯一标识为6747662。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat] shop-id 6747662

【相关命令】

·     display portal extend-auth-server

1.1.137  subscribe-required enable

subscribe-required enable命令用来开启Portal本地微信认证强制关注功能。

undo subscribe-required enable命令用来关闭Portal本地微信认证强制关注功能。

【命令】

subscribe-required enable

undo subscribe-required enable

【缺省情况】

Portal本地微信认证强制关注功能处于关闭状态。

【视图】

微信认证服务器视图

【缺省用户角色】

network-admin

【使用指导】

本功能必须与开启Portal临时放行功能配合使用,并建议将临时放行时间配置为600秒。

用户如果未关注商家的微信公众号,则无法进行Portal本地微信认证。

【举例】

# 开启Portal本地微信认证强制关注功能。

<Sysname> system-view

[Sysname] portal extend-auth-server wechat

[Sysname-portal-extend-auth-server-wechat] subscribe-required enable

1.1.138  tcp-port

tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-server命令指定的TCP端口号。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指导】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。

配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·     除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·     不能把使用HTTP协议的本地Portal Web服务侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则使用的TCP端口号不能相同。

【举例】

# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·     portal local-web-server

1.1.139  url

url命令用来指定Portal Web服务器的URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

未指定Portal Web服务器的URL。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。

【举例】

# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url http://www.test.com/portal

【相关命令】

·     display portal web-server

1.1.140  url-parameter

url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。

【命令】

url-parameter param-name { nas-id | nas-port-id | original-url | source-address | ssid | { ap-mac | source-mac } [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }

undo url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

nas-id:网络接入服务器标识。

nas-port-id:网络接入服务器端口标识。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

ssid:无线AP的SSID(服务集标示符)。

ap-mac:无线AP的MAC地址。

source-mac:用户的MAC地址。

format:指定MAC地址格式。

section:指定MAC地址分段数。

1:MAC地址被分为1段,如XXXXXXXXXXXX。

3:MAC地址被分为3段,如XXXX-XXXX-XXXX。

6:MAC地址被分为6段,如XX-XX-XX-XX-XX-XX。

lowercase:MAC地址格式为小写。

uppercase:MAC地址格式为大写。

encryption:表示以密文的方式携带无线AP的MAC地址和用户的MAC地址。

aes指定加密算法为AES算法。

des指定加密算法为DES算法。

cipher:以密文方式设置密钥。

key:指定加密密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·     对于des cipher,密钥为41个字符的字符串。

·     对于des simple,密钥为8个字符的字符串。

·     对于aes cipher,密钥为1~73个字符的字符串。

·     对于aes simple,密钥为1~31个字符的字符串。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

vlan:用户VLAN。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置,最后配置的生效。

该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address

url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:

·     userurl:表示original-url

·     userip:表示source-address

·     usermac:表示source-mac

在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。

如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:

http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl=http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter userip source-address

[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数vlan,其值为用户VLAN。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter uservlan vlan

【相关命令】

·     display portal web-server

·     url

1.1.141  user-agent

user-agent命令用来配置Portal认证请求报文中User-Agent字段需要匹配的信息。

undo user-agent命令用来恢复缺省情况。

【命令】

user-agent user-agent-string

undo user-agent

【缺省情况】

Portal认证请求报文中User-Agent字段需要匹配的信息为MicroMessenger。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

user-agent-string:Portal认证请求报文中User-Agent字段需要匹配的信息,为1~255个字符的字符串,区分大小写。

【【举例】

# 配置Portal认证请求报文中User-Agent字段需要匹配的信息为text。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] user-agent text

1.1.142  user-password modify enable

user-password modify enable命令用来在Portal的Web认证页面上开启Portal本地用户密码修改功能。

undo user-password modify enable命令用来在Portal的Web认证页面上关闭Portal本地用户密码修改功能。

【命令】

user-password modify enable

undo user-password modify enable

缺省情况】

Portal本地用户密码修改功能处于关闭状态。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,当用户进行本地Portal认证时,在Web认证页面上会显示密码修改按钮,本地用户可以通过此按钮进行密码修改操作,当关闭本功能时,Web认证页面上不会显示密码修改按钮。

【举例】

# 在本地Portal Web服务视图下,开启Portal本地用户密码修改功能。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] user-password modify enable

【相关命令】

·     portal local-web-server

1.1.143  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。

undo user-sync命令用来关闭Portal用户信息同步功能。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。

【使用指导】

配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

·     对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

·     如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

开启Portal用户信息同步功能时,需要注意的是:

·     只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

·     在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

·     对同一服务器多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·     portal server

1.1.144  version

version命令用来配置Portal协议报文的版本号。

undo version命令用来恢复缺省情况。

【命令】

version version-number

undo version

【缺省情况】

Portal协议报文的版本号为1。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

version-number:Portal协议报文的版本号,取值范围为1~3。

【使用指导】

配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。

【举例】

# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] version 2

【相关命令】

·     display portal mac-trigger-server

·     portal mac-trigger-server

1.1.145  web-redirect url

web-redirect url命令用来配置Web重定向功能。

undo web-redirect命令用来关闭Web重定向功能。

【命令】

web-redirect [ ipv6 ] url url-string [ interval interval ]

undo web-redirect [ ipv6 ]

【缺省情况】

Web重定功能处于关闭状态。

【视图】

接口视图

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。

url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串。Web重定向的地址必须存在,必须是以http://或者https://开头的完整URL路径。

interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。

【使用指导】

接口或无线服务模板上配置了Web重定向功能后,当该接口或无线服务模板上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。

Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。

无线服务模板下可以同时开启Web重定向功能和Portal功能,并且同时生效。

Web重定向功能指定的URL地址或用户访问的地址为本设备地址时,本设备必须保证HTTP服务处于开启状态。

当用户想根据不同参数推送不同的广告页面时,url-string的格式必须为http://XXXX/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o。其中,userip=%c表示用户IP地址、usermac=%m表示用户MAC地址、nasid=%n表示设备标识、ssid=%E表示用户接入的SSID、originalurl=%o表示用户在浏览器中输入的原始页面地址。url-string中可携带哪些参数字段请根据实际情况进行选择。

【举例】

# 在无线服务模板service1上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。

<Sysname> system-view  

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] web-redirect url http://192.0.0.1/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o interval 3600

【相关命令】

·     display web-redirect rule

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!