• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全命令参考

目录

04-Portal命令

本章节下载 04-Portal命令  (400.20 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500-S/Command/Command_Manual/H3C_S12500-S_CR-R757X-6W100/10/201812/1138810_30005_0.htm

04-Portal命令

目  录

1 Portal

1.1 Portal配置命令

1.1.1 aging-time

1.1.2 authentication-timeout

1.1.3 binding-retry

1.1.4 captive-bypass enable

1.1.5 default-logon-page

1.1.6 display portal

1.1.7 display portal mac-trigger-server

1.1.8 display portal packet statistics

1.1.9 display portal rule

1.1.10 display portal server

1.1.11 display portal user

1.1.12 display portal web-server

1.1.13 display web-redirect rule

1.1.14 free-traffic threshold

1.1.15 if-match

1.1.16 ip (MAC binding server view)

1.1.17 ip (portal authentication server view)

1.1.18 ipv6

1.1.19 nas-port-type

1.1.20 port (MAC binding server view)

1.1.21 port (portal authentication server view)

1.1.22 portal { bas-ip | bas-ipv6 } (interface view)

1.1.23 portal { ipv4-max-user | ipv6-max-user } (interface view)

1.1.24 portal apply mac-trigger-server

1.1.25 portal apply web-server (interface view)

1.1.26 portal authorization strict-checking

1.1.27 portal delete-user

1.1.28 portal device-id

1.1.29 portal domain (interface view)

1.1.30 portal enable (interface view)

1.1.31 portal fail-permit server

1.1.32 portal free-all except destination

1.1.33 portal free-rule

1.1.34 portal free-rule destination

1.1.35 portal free-rule source

1.1.36 portal ipv6 free-all except destination

1.1.37 portal ipv6 layer3 source

1.1.38 portal ipv6 user-detect

1.1.39 portal layer3 source

1.1.40 portal local-web-server

1.1.41 portal log enable

1.1.42 portal mac-trigger-server

1.1.43 portal max-user

1.1.44 portal nas-id-profile

1.1.45 portal nas-port-id format

1.1.46 portal nas-port-type

1.1.47 portal pre-auth domain

1.1.48 portal pre-auth ip-pool

1.1.49 portal refresh enable

1.1.50 portal roaming enable

1.1.51 portal server

1.1.52 portal user-detect

1.1.53 portal user-dhcp-only (interface view)

1.1.54 portal user-rule assign-check enable

1.1.55 portal web-proxy port

1.1.56 portal web-server

1.1.57 reset portal packet statistics

1.1.58 server-detect (portal authentication server view)

1.1.59 server-detect (portal web server view)

1.1.60 server-type

1.1.61 server-type (MAC binding server view)

1.1.62 tcp-port

1.1.63 url

1.1.64 url-parameter

1.1.65 user-sync

1.1.66 version

1.1.67 vpn-instance

1.1.68 web-redirect url

 


1 Portal

1.1  Portal配置命令

1.1.1  aging-time

aging-time命令用来配置MAC-Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC-Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。

【举例】

# 指定MAC-Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·     display portal mac-trigger-server

1.1.2  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC-Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·     display portal mac-trigger-server

1.1.3  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3次,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·     display portal mac-trigger-server

1.1.4  captive-bypass enable

captive-bypass enable命令用来开启Portal被动Web认证功能。

undo captive-bypass enable命令用来关闭Portal被动Web认证功能。

【命令】

captive-bypass enable

undo captive-bypass enable

【缺省情况】

Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。

【举例】

# 开启Portal被动Web认证功能。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] captive-bypass enable

【相关命令】

·     display portal web-server

1.1.5  default-logon-page

default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务未提供缺省认证页面文件。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·     portal local-web-server

1.1.6  display portal

display portal命令用来显示Portal配置信息和Portal运行状态信息。

【命令】

display portal interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:表示接口类型和接口编号。

【举例】

# 显示接口Vlan-interface2的Portal配置信息和Portal运行状态信息。

<Sysname> display portal interface vlan-interface 2

 Portal information of Vlan-interface2

     NAS-ID profile: aaa

     Authorization : Strict checking

     ACL           : Enabled

     User profile  : Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal web server: wbs

     Portal mac-trigger-server: mts

     Authentication domain: my-domain

     Pre-auth domain: abc

     User-dhcp-only: Enabled

     Pre-auth IP pool: ab

     Max Portal users: Not configured

     Bas-ip: Not configured

     User detection: Type: ICMP  Interval: 300s  Attempts: 5   Idle time: 180s

     Action for server detection:

         Server type    Server name                        Action

         Web server     wbs                                fail-permit

         Portal server  pts                                fail-permit

     Layer3 source network:

         IP address               Mask

         1.1.1.1                  255.255.0.0

 

     Destination authentication subnet:

         IP address               Mask

         2.2.2.2                  255.255.255.0

 

 IPv6:

     portal status: Disabled

     Portal authentication method: Disabled

     Portal web server: Not configured

     Portal mac-trigger-server: Not configured

     Authentication domain: Not configured

     Pre-auth domain: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max Portal users: Not configured

     Bas-ipv6:Not configured

     User detection: Not configured

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address                                        Prefix length

 

     Destination authentication subnet:

         IP address                                        Prefix length

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

NAS-ID profile

接口上引用的NAS-ID profile

Authorization

服务器下发给Portal用户的授权信息类型,包括ACL

Strict checking

Portal授权信息的严格检查模式是否开启

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·     Disabled:Portal认证未开启

·     Enabled:Portal认证已开启

·     Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放

Portal authentication method

接口上配置的认证方式,包括以下取值:

·     Direct:直接认证方式

·     Redhcp:二次地址分配认证方式

·     Layer3:可跨三层认证方式

Portal Web server

接口上配置的Portal Web服务器的名称

Portal mac-trigger-server

接口上配置MAC绑定服务器的名称

Authentication domain

接口上的Portal强制认证域

Pre-auth domain

接口上的Portal认证前域,即Portal认证前用户使用的认证域

User-dhcp-only

仅允许通过DHCP方式获取IP地址的客户端上线功能

·     Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线

·     Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线

Pre-auth ip-pool

为认证前的Portal用户指定的IP地址池名称

Max Portal users

接口上配置的最大用户数

Bas-ip

发送给Portal认证服务器的Portal报文的BAS-IP属性

Bas-ipv6

发送给Portal认证服务器的Portal报文的BAS-IPv6属性

User detection

接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间

Action for server detection

服务器可达性探测功能对应的端口控制配置:

·     Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器

·     Server name:服务器名称

·     Action:对应的接口根据服务器探测结果所采取的动作,fail-permit表示服务器探测失败,不需要认证即可访问网络

Layer3 source subnet

Portal源认证网段信息

Destination authentication subnet

Portal目的认证网段认证信息

IP address

Portal认证网段的IP地址

Mask

Portal认证网段的子网掩码

Prefix length

Portal IPv6认证网段的地址前缀长度

 

【相关命令】

·     portal domain

·     portal enable

·     portal free-all except destination

·     portal ipv6 free-all except destination

·     portal ipv6 layer3 source

·     portal layer3 source

·     portal web-server

1.1.7  display portal mac-trigger-server

display portal mac-trigger-server命令用来显示MAC绑定服务器信息。

【命令】

display portal mac-trigger-server { all | name server-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

all:显示所有MAC绑定服务器信息。

name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。

【举例】

# 显示全部MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server all

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : IMC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

Portal mac trigger server name: mts

  Version                    : 1.0

  Server type                : IMC

  IP                         : 4.4.4.2

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  Free-traffic threshold     : 0 bytes

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

# 显示名字为ms1的MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server name ms1

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : IMC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

表1-2 display portal mac-trigger-server命令显示信息描述表

字段

描述

Portal mac trigger server name

MAC绑定服务器的名称

Version

Portal协议报文的版本,取值包括:

·     1.0:版本1

·     2.0:版本2

·     3.0:版本3

Server type

MAC绑定服务器的服务类型,取值为iMC:表示H3C iMC Portal服务器或H3C CAMS Portal服务器

IP

MAC绑定服务器的IP地址

Port

设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号

VPN instance

MAC绑定服务器所属的VPN实例

Aging time

MAC-Trigger表项老化时间,单位为秒

Free-traffic threshold

用户免认证流量阈值,单位为字节

NAS-Port-Type

发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值

Binding retry times

设备向MAC绑定服务器发起MAC查询的最大尝试次数

Binding retry interval

设备向MAC绑定服务器发起MAC查询的时间间隔

Authentication timeout

设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间

 

1.1.8  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器的报文统计信息。

【命令】

display portal packet statistics [ server server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

执行此命令后,显示的报文统计信息包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息。

若不指定参数server,则依次显示所有Portal认证服务器的报文统计信息。

【举例】

# 显示名称为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

 Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_HEARTBEAT                       0        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

表1-3 display portal server statistics命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

Invalid packets

无效报文的数目

Pkt-Type

报文的名称

Total

报文的总数

Drops

丢弃报文数

Errors

携带错误信息的报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

 

【相关命令】

·     reset portal packet statistics

1.1.9  display portal rule

display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。

【命令】

(独立运行模式)

display portal rule { all | dynamic | static } { interface interface-type interface-number [ slot slot-number ] }

(IRF模式)

display portal rule { all | dynamic | static } { interface interface-type interface-number [ chassis chassis-number slot slot-number ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。

dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。

static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。

interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。

slot slot-number:显示指定单板上的Portal规则信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的Portal规则信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(IRF模式)

【举例】

# 显示接口Vlan-interface100上所有Portal过滤规则的信息。(独立运行模式)

<Sysname> display portal rule all interface vlan-interface 100 slot 1

Slot 1:

IPv4 portal rules on Vlan-interface100:

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : Vlan-interface100

    VLAN           : 100

 Destination:

    IP             : 192.168.0.111

    Mask           : 255.255.255.255

    Port           : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 2.2.2.2

    MAC            : 000d-88f8-0eab

    Interface      : Vlan-interface100

    VLAN           : 100

 Author ACL:

    Number         : 3001

 

Rule 3

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : Vlan-interface100

    VLAN           : 100

    Protocol       : TCP

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : Vlan-interface100

    VLAN           : Any

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

 

IPv6 portal rules on Vlan-interface100:

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP              : ::

    Prefix length   : 0

    Port            : Any

    MAC             : 0000-0000-0000

    Interface       : Vlan-interface100

    VLAN            : 100

 Destination:

    IP               : 3000::1

    Prefix length    : 64

    Port             : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP              : 3000::1

    MAC             : 0015-e9a6-7cfe

    Interface       : Vlan-interface100

    VLAN            : 100

 Author ACL:

    Number          : 3001

 

Rule 3

 Type                 : Static

 Action               : Redirect

 Status               : Active

 Source:

    IP              : ::

    Prefix length   : 0

    Interface       : Vlan-interface100

    VLAN            : 100

    Protocol        : TCP

 Destination:

    IP              : ::

    Prefix length   : 0

    Port            : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : ::

    Prefix length  : 0

    Interface      : Vlan-interface100

    VLAN           : 100

 Destination:

    IP             : ::

    Prefix length  : 0

Author ACL:

    Number          : 3001

 

Rule 5:

 Type                : Static

 Action              : Match pre-auth ACL

 Status              : Active

 Source:

    Interface      : Vlan-interface100

Pre-auth ACL:

    Number         : 3002

表1-4 display portal rule命令显示信息描述表

字段

描述

Rule

Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号

Type

Portal过滤规则的类型,包括以下取值:

·     Static:静态类型

·     Dynamic:动态类型

Action

Portal过滤规则的匹配动作,包括以下取值:

·     Permit:允许报文通过

·     Redirect:重定向报文

·     Deny:拒绝报文通过

·     Match pre-auth ACL:匹配认证前域中的授权ACL规则

Protocol

Portal免认证规则中使用的传输层协议,包括以下取值:

·     Any:不限制传输层协议类型

·     TCP:TCP传输类型

·     UDP:UDP传输类型

Status

Portal过滤规则下发的状态,包括以下取值:

·     Active:表示规则已生效

·     Deactive:表示规则未生效

Source

Portal过滤规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

Port

源传输层端口号

MAC

源MAC地址

Interface

Portal过滤规则应用的二层或三层接口

VLAN

源VLAN

Protocol

Portal重定向规则中使用的传输层协议类型,取值只能为TCP

Destination

Portal规则的目的信息

IP

目的IP地址

Port

目的传输层端口号

Mask

目的IPv4地址子网掩码

Prefix length

目的IPv6地址前缀

Author ACL

Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示

Pre-auth ACL

Portal用户认证前的授权ACL,该字段仅在Action为Match pre-auth ACL时显示

Number

授权ACL编号,N/A表示AAA未授权ACL

 

1.1.10  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  Type                  : IMC

  IP                    : 192.168.0.111

  VPN instance          : Not configured

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log, trap

  User synchronization  : Timeout 200s

  Status                : Up

表1-5 display portal server命令显示信息描述表

字段

描述

Type

Portal认证服务器类型为iMC,表示符合iMC标准规范的服务器

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

VPN instance

Portal认证服务器所属的MPLS L3VPN实例

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)

User synchronization

Portal用户用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

 

【相关命令】

·     portal enable

·     portal server

·     server-detect (portal authentication server view)

·     user-sync

1.1.11  display portal user

display portal user命令用来显示Portal用户的信息。

【命令】

display portal user { all | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] } [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

all:显示所有Portal用户的信息。

interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。

ip ipv4-address:显示指定IPv4地址的Portal用户信息。

ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。

pre-auth:显示Portal认证前用户信息。认证前用户是指被加入认证前域的未进行Portal认证的用户。若不指定该参数,则显示Portal用户的信息。

verbose:显示指定Portal用户的详细信息。

【举例】

# 显示所有Portal用户的信息。

<Sysname> display portal user all

Total portal users: 2

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            100    Vlan-interface100

  Authorization information:

    DHCP IP pool: N/A

    User profile: abc (active)

    Session group profile: bcd (inactive)

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

 

Username: def

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eac     3.3.3.3            200    Vlan-interface200

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: 3001

    Inbound CAR: CIR    3072 bps        PIR     3072 bps (inactive)

    Outbound CAR: CIR    3072 bps        PIR     3072 bps (inactive)

# 显示所有Portal认证前用户的信息。

<Sysname> display portal user pre-auth

Total portal pre-auth users: 2

  MAC             IP                    VLAN    Interface

  000a-eb29-75f1  18.18.0.3             200     Route-Aggregation100

  State: Online

  VPN instance: N/A

  Authorization information:

    User profile: quew (active)

    Session group profile: pt1 (active)

    ACL number: 3000 (active)

    Inbound CAR: CIR    3072 bps        PIR     3072 bps (inactive)

    Outbound CAR: CIR    3072 bps         PIR     3072 bps (inactive)

 

  MAC             IP                    VLAN    Interface

  000a-eb29-75f2  18.18.0.4             200     Route-Aggregation100

  State: Online

  VPN instance: N/A

  Authorization information:

    User profile: quew (active)

    Session group profile: pt1 (active)

    ACL number: 3000 (active)

    Inbound CAR: CIR    3072 bps        PIR     3072 bps (inactive)

    Outbound CAR: CIR    3072 bps         PIR     3072 bps (inactive)

表1-6 display portal user命令显示信息描述表

字段

描述

Total portal users

总计的Portal用户数目

Username

用户名

Portal server

用户认证所使用的Portal认证服务器的名称

State

Portal用户的当前状态,包括以下取值:

·     Initialized:初始化完成后的待认证状态

·     Authenticating:正在认证状态

·     Waiting_SetRule:等待下发用户授权信息

·     Authorizing:正在授权状态

·     Online:在线状态

·     Waiting_Traffic:等待获取用户最后一次流量

·     Stop Accounting:停止计费

·     Done:下线结束

VPN instance

Portal用户所属的MPLS L3VPN实例。若用户属于公网,则显示为N/A

MAC

Portal用户的MAC地址

IP

Portal用户的IP地址

VLAN

Portal用户所在的VLAN

Interface

Portal用户接入的接口

Authorization information

Portal用户的授权信息

DHCP IP pool

Portal用户的授权地址池名称。若无授权地址池,则显示为N/A

User profile

(暂不支持)‌Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权User profile成功

·     inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

(暂不支持)‌Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权Session group profile成功

·     inactive:AAA授权Session group profile失败或者设备上不存在该User profile

ACL number

Portal用户的授权ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·     active:AAA授权ACL成功

·     inactive:AAA授权ACL失败或者设备上不存在该ACL

Inbound CAR

(暂不支持)授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A

Outbound CAR

(暂不支持)授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A

 

# 显示IP地址为50.50.50.3的Portal用户的详细信息。

<Sysname> display portal user ip 50.50.50.3 verbose

Basic:

  Current IP address: 50.50.50.3

  Original IP address: 30.30.30.2

  Username: user1@hrss

  User ID: 0x28000002

  Access interface: Vlan-interface20

  Service-VLAN/Customer-VLAN: -/-

  MAC address: 0000-0000-0001

  Domain: hrss

  VPN instance: N/A

  Status: Online

  Portal server: test

  Portal authentication method: Direct

AAA:

  Realtime accounting interval: 720s, retry times: 5

  Idle cut: N/A

  Session duration: N/A, remaining: N/A

  Remaining traffic: N/A

  Login time: 2018-01-04 16:13:35 UTC

  Accounting-start fail action: Online

  Accounting-update fail action: Online

  Accounting quota-out action: Offline

  DHCP IP pool: N/A

ACL&QoS&Multicast:

  Inbound CAR: CIR 64000bps PIR 640000bps

  Outbound CAR: CIR 64000bps PIR 640000bps

  ACL number: 3000(inactive)

  User profile: portal (active)

  Session group profile: N/A

  Max multicast addresses: 4

  Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7

                          2.2.2.2, 3.3.3.3, 4.4.4.4

  User group: 1 (Id=1)

Flow statistic:

  Uplink   packets/bytes: 7/546

  Downlink packets/bytes: 0/0

ITA:

  level-1 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

表1-7 display portal user verbose命令显示信息描述表

字段

描述

Current IP address

Portal用户当前的IP地址

Original IP address

Portal用户认证时的IP地址

Username

Portal用户上线时使用的用户名

User ID

Portal用户ID

Access interface

Portal用户接入的接口

Service-VLAN/Customer-VLAN

Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息)

MAC address

用户的MAC地址

Domain

用户认证时使用的ISP域名

VPN instance

用户所属的MPLS L3VPN实例,N/A表示用户属于公网

Status

Portal用户的当前状态,包括以下取值:

·     Authenticating:正在认证状态

·     Authorizing:正在授权状态

·     Waiting_SetRule:正在下发Portal规则状态

·     Online:在线状态

·     Waiting_Traffic:正在等待用户流量状态

·     Stop Accounting:正在停止计费状态

·     Done:用户下线完成状态

Portal server

Portal服务器名称

Portal authentication method

接入接口上的Portal认证方式,包括如下取值:

·     Direct:直接认证方式

·     Redhcp:二次地址分配认证方式

·     Layer3:可跨三层认证方式

AAA

Portal用户的AAA授权信息

Realtime accounting interval

授权的实时计费间隔和重传次数。若未授权,则显示为N/A

Idle cut

授权的闲置切断时长和流量。若未授权,则显示为N/A

direction

用户数据流量的统计方向,包括以下取值:

·     Both:表示用户双向数据流量

·     Inbound:表示用户上行数据流量

·     Outbound:表示用户下行数据流量

Session duration

授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A

Remaining traffic

授权的剩余流量。若未授权,则显示为N/A

Login time

用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19  2:42:30 UTC

Accounting-start fail action

(暂不支持)用户计费开始失败的动作,包括以下取值:

·     Online:如果用户计费开始失败,则保持用户在线

·     Offline:如果用户计费开始失败,则强制用户下线

Accounting-update fail action

(暂不支持)用户计费更新失败的动作,包括以下取值:

·     Online:如果用户计费更新失败,则保持用户在线

·     Offline:如果用户计费更新失败,则强制用户下线

Accounting quota-out action

(暂不支持)用户计费流量配额耗尽策略,包括以下取值:

·     Online:如果用户计费流量配额耗尽,则保持用户在线

·     Offline:如果用户计费流量配额耗尽,则强制用户下线

DHCP IP pool

授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A

Inbound CAR

(暂不支持)授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

(暂不支持)授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

ACL number

授权的ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·     active:AAA授权ACL成功

·     inactive:AAA授权ACL失败或者设备上不存在该ACL

User profile

(暂不支持)‌授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权User profile成功

·     inactive:AAA授权User profile失败或者设备上不存在该User profile

Session group profile

‌(暂不支持)授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下:

·     active:AAA授权Session group profile成功

·     inactive:AAA授权Session group profile失败或者设备上不存在该User profile

Max multicast addresses

授权Portal用户可加入的组播组的最大数目

Multicast address list

授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A

User group

Portal用户所属的用户组的名称。当用户组的ID取值为0xffffffff时无效。

Flow statistic

Portal用户流量统计信息

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

ITA

Portal用户的ITA业务流量统计信息

Accounting merge

ITA统一计费功能的开启状态,包括以下取值:

·     Enabled:开启了统一计费功能,即系统将ITA业务策略下所有级别的流量进行合并,并以该ITA业务策略中配置的最低的流量计费级别上报给计费服务器

·     Disabled:未开启统一计费功能,即系统将各个级别的流量分别上报给计费服务器

Traffic separate

ITA业务流量与用户总计费流量分离功能的开启状态,包括以下取值:

·     Enabled:设备上报给计费服务器的用户总计费流量中不包含ITA流量

·     Disabled:设备上报给计费服务器的用户主计费流量中包含ITA流量

Quota-out offline

ITA业务流量配额耗尽策略,包括以下取值:

·     Enabled:当用户的指定级别的流量配额耗尽后,用户不能访问授权的目的IP地址段

·     Disabled:当用户的指定级别的流量配额耗尽后,用户仍能访问授权的目的IP地址段

Level-n session duration

AAA授权计费级别为n的ITA业务流量的会话超时时间以及剩余的在线时长。若未授权,则显示为N/A

Remaining traffic

AAA授权ITA业务流量的剩余流量

Traffic action

ITA业务流量配额耗尽策略规则的匹配动作,包括以下取值:

·     Permit:当用户的指定级别的流量配额耗尽后,允许用户访问授权的目的IP地址段

·     Deny:当用户的指定级别的流量配额耗尽后,禁止用户访问授权的目的IP地址段

Inbound CAR

(暂不支持)AAA为ITA业务流量授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Outbound CAR

(暂不支持)AAA为ITA业务流量授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive

Uplink packets/bytes

ITA业务流量上行流量报文数/字节数

Downlink packets/bytes

ITA业务流量下行流量报文数/字节数

 

【相关命令】

·     portal enable

1.1.12  display portal web-server

display portal web-server命令用来显示Portal Web服务器信息。

【命令】

display portal web-server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal Web服务器信息。

【举例】

# 显示Portal Web服务器wbs的信息。

<Sysname> display portal web-server wbs

Portal Web server: wbs

    Type             : IMC

    URL              : http://www.test.com/portal

    URL parameters   : userurl=http://www.test.com/welcome

                       userip=source-address

    VPN instance     : Not configured

    Server detection : Interval: 120s  Attempts: 5  Action: log, trap

    IPv4 status      : Up

    IPv6 status      : Up

    Captive-bypass   : Disabled

    If-match         : original-url http://2.2.2.2 redirect-url http://192.168.56.2

表1-8 display portal web-server命令显示信息描述表

字段

描述

Type

Portal Web服务器类型,其取值为iMC,表示符合iMC标准规范的服务器

Portal Web server

Portal Web服务器名称

URL

Portal Web服务器的URL地址以及携带的参数

URL parameters

Portal Web服务器的URL携带的参数信息

VPN instance

Portal Web服务器所属的MPLS L3VPN实例名称

Server detection

Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)

IPv4 status

IPv4 Portal Web服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

IPv6 status

IPv6 Portal Web服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

Captive-bypass

‌Portal被动Web认证功能状态,其取值如下:

·     Disabled:未开启

·     Enabled:已开启

If-match

配置的URL重定向匹配规则,未配置时,显示Not configured

 

【相关命令】

·     portal enable

·     portal web-server

·     server-detect (portal web-server view)

1.1.13  display web-redirect rule

display web-redirect rule命令用来显示指定接口上的Web重定向过滤规则信息。

【命令】

(独立运行模式)

display web-redirect rule interface interface-type interface-number [ slot slot-number ]

(IRF模式)

display web-redirect rule interface interface-type interface-number [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。

slot slot-number:显示指定单板上指定接口的Web重定向过滤规则信息。slot-number表示单板所在槽位号。若不指定该参数,则显示主用主控板上的Web重定向过滤规则信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上指定接口的Web重定向过滤规则。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在槽位号。若不指定该参数,则显示全局主用主控板上的Web重定向过滤规则信息。(IRF模式)

【举例】

# 显示接口Vlan-interface100上的所有Web重定向过滤规则。

<Sysname> display web-redirect rule interface vlan-interface 100

IPv4 web-redirect rules on vlan-interface 100:

Rule 1:

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 192.168.2.114

    VLAN           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

 

IPv6 web-redirect rules on vlan-interface 100:

Rule 1:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

表1-9 display web-redirect rule命令显示信息描述表

字段

描述

Rule

Web重定向规则编号

Type

Web重定向规则的类型,包括以下取值:

·     Static:静态类型。该类型的规则在Web重定向功能生效时生成

·     Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成

Action

Web重定向规则的匹配动作,包括以下取值:

·     Permit:允许报文通过

·     Redirect:重定向报文

Status

Web重定向规则下发的状态,包括以下取值:

·     Active:表示规则已生效

·     Inactive:表示规则未生效

Source

Web重定向规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

VLAN

源VLAN,如果未指定,显示为Any

Protocol

Web重定向规则中使用的传输层协议类型,取值只能为TCP

Destination

Web重定向规则的目的信息

Port

目的传输层端口号,默认为80

 

1.1.14  free-traffic threshold

free-traffic threshold命令用来配置用户免认证流量的阈值。

undo free-traffic threshold命令用来恢复缺省情况。

【命令】

free-traffic threshold value

undo free-traffic threshold

【缺省情况】

用户免认证流量的阈值为0字节。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。

【使用指导】

设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。

【举例】

# 配置用户免认证流量的阈值为10240字节。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240

【相关命令】

·     display portal mac-trigger-server

1.1.15  if-match

if-match命令用来配置重定向URL的匹配规则。

undo if-match命令用来删除配置的重定向URL匹配规则。

【命令】

if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }

undo if-match { original-url url-string | user-agent user-agent }

【缺省情况】

不存在重定向URL的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。

aes:加密算法为AES算法。

des:加密算法为DES算法。

key:设置密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·     对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。

·     对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。

user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

【使用指导】

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。

【举例】

# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1,对重定向URL中携带的参数进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678

# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1

【相关命令】

·     display portal web-server

·     portal free-rule

·     url

·     url-parameter

1.1.16  ip (MAC binding server view)

ip命令用来配置MAC绑定服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未配置MAC绑定服务器的IP地址。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:MAC绑定服务器的IPv4地址。

vpn-instance vpn-instance-name:MAC绑定服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。

key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。

cipher:以密文方式设置共享密钥。

simple:以明文方式设置共享密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal

【相关命令】

·     display portal mac-trigger-server

1.1.17  ip (portal authentication server view)

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

vpn-instance vpn-instance-name:Portal认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·     portal server

·     display portal server

1.1.18  ipv6

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ipv6

【缺省情况】

未指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

vpn-instance vpn-instance-name:Portal认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv6地址和VPN实例的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·     display portal server

·     portal server

1.1.19  nas-port-type

nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

undo nas-port-type命令用来恢复缺省情况。

【命令】

nas-port-type value

undo nas-port-type

【缺省情况】

设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

value:NAS-Port-Type属性值,取值范围为1~255。

【使用指导】

设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。

请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。

【举例】

# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] nas-port-type 30

【相关命令】

·     display portal mac-trigger-server

1.1.20  port (MAC binding server view)

port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

MAC绑定服务器监听查询报文的UDP端口号是50100。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

port-number:UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。

【举例】

# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。

<sysname> system-view

[sysname] portal mac-trigger-server mts

[sysname-portal-mac-trigger-server-mts] port 1000

【相关命令】

·     display portal mac-trigger-server

1.1.21  port (portal authentication server view)

port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·     portal server

1.1.22  portal { bas-ip | bas-ipv6 } (interface view)

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来恢复缺省情况。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。

配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址。

接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。

使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。

【举例】

# 配置接口Vlan-interface100发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2

【相关命令】

·     display portal

1.1.23  portal { ipv4-max-user | ipv6-max-user } (interface view)

portal { ipv4-max-user | ipv6-max-user }命令用来配置接口上的Portal最大用户数。

undo portal { ipv4-max-user | ipv6-max-user }命令用来恢复缺省情况。

【命令】

portal { ipv4-max-user | ipv6-max-user } max-number

undo portal { ipv4-max-user | ipv6-max-user }

【缺省情况】

接口上的Portal最大用户数不受限制。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:接口上允许的最大IPv4或IPv6 Portal用户数,取值范围为1~4294967295。

【使用指导】

如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。

【举例】

# 在接口Vlan-interface100上配置IPv4 Portal最大用户数为100。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal ipv4-max-user 100

【相关命令】

·     display portal

·     portal max-user

1.1.24  portal apply mac-trigger-server

portal apply mac-trigger-server命令用来应用MAC绑定服务器。

undo portal apply mac-trigger-server命令用来恢复缺省情况。

【命令】

portal apply mac-trigger-server server-name

undo portal apply mac-trigger-server

【缺省情况】

未应用MAC绑定服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

基于MAC地址的快速认证仅支持IPv4的直接认证方式。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·     完成普通三层Portal认证的相关配置;

·     配置MAC绑定服务器的IP地址和端口号;

·     在接口上应用MAC绑定服务器。

【举例】

# 在接口Vlan-interface1上应用MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] portal apply mac-trigger-server mts

【相关命令】

·     portal mac-trigger-server

1.1.25  portal apply web-server (interface view)

portal [ ipv6 ] apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP请求报文重定向到该Web服务器。

undo portal [ ipv6 ] apply web-server命令用来取消恢复缺省情况。

【命令】

portal [ ipv6 ] apply web-server server-name [ fail-permit ]

undo portal [ ipv6 ] apply web-server

【缺省情况】

未引用Portal Web服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。

fail-permit:开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

【使用指导】

一个接口上可以同时开启IPv4 Portal认证和IPv6 Portal认证,因此也可以同时引用一个IPv4 Portal Web服务器和一个IPv6 Portal Web认证服务器。

如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即取消接口Portal认证功能,当两个服务器均恢复正常通信后,再重新启动Portal认证功能。

【举例】

# 在接口Vlan-interface100上引用名称为wbs的Portal Web服务器作为用户认证时使用的Web服务器。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal apply web-server wbs

【相关命令】

·     display portal

·     portal fail-permit server

·     portal web-server

1.1.26  portal authorization strict-checking

portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。

undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。

【命令】

portal authorization { acl | user-profile } strict-checking

undo portal authorization { acl | user-profile } strict-checking

【缺省情况】

缺省为非严格检查授权信息模式,当服务器下发的授权ACL在设备上不存在或者设备下发ACL失败时,用户保持在线。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl:表示开启对授权ACL的严格检查。

user-profile:表示开启对授权User Profile的严格检查。设备暂不支持本关键字。

【使用指导】

接口上开启Portal授权信息的严格检查模式后当服务器给用户下发的授权ACL在设备上不存在或者设备下发ACL失败时,设备将强制该用户下线。

【举例】

# 在接口Vlan-interface100上开启对授权ACL的严格检查模式。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] portal authorization acl strict-checking

【相关命令】

·     display portal

1.1.27  portal delete-user

portal delete-user命令用来强制在线Portal用户下线。

【命令】

portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address }

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:在线Portal用户的IPv4地址。

all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。

interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。

【举例】

# 强制IP地址为1.1.1.1的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

【相关命令】

·     display portal user

1.1.28  portal device-id

portal device-id命令用来配置设备ID。

undo portal device-id命令用来恢复缺省情况。

【命令】

portal device-id device-id

undo portal device-id

【缺省情况】

未配置任何设备ID。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

device-id:设备ID,为1~63个字符的字符串,区分大小写。

【使用指导】

通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。

不同设备的设备ID不能相同。

【举例】

# 配置设备的ID名为0002.0010.100.00。

<Sysname> system-view

[Sysname] portal device-id 0002.0010.100.00

1.1.29  portal domain (interface view)

portal [ ipv6 ] domain命令用于指定Portal用户使用的认证域,使得所有从该接口接入的Portal用户强制使用该认证域。

undo portal [ ipv6 ] domain命令用来删除Portal用户使用的认证域。

【命令】

portal [ ipv6 ] domain domain-name

undo portal [ ipv6 ] domain

【缺省情况】

未指定Portal用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。

【举例】

# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal domain my-domain

【相关命令】

·     display portal

1.1.30  portal enable (interface view)

portal [ ipv6 ] enable命令用来开启Portal认证功能,并指定认证方式。

undo portal [ ipv6 ] enable命令用来关闭Portal认证功能。

【命令】

portal enable method { direct | layer3 | redhcp }

portal ipv6 enable method { direct | layer3 }

undo portal [ ipv6 ] enable

【缺省情况】

Portal认证功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。

method:认证方式。

·     direct:直接认证方式。

·     layer3:可跨三层认证方式。

·     redhcp:二次地址分配认证方式。

【使用指导】

不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal [ ipv6 ] enable命令取消Portal认证功能,再执行portal [ ipv6 ] enable命令。

开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。

IPv6 Portal认证不支持二次地址分配方式。

允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。

为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。

【举例】

# 在接口Vlan-interface100上开启IPv4 Portal认证,且指定为直接认证方式。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal enable method direct

【相关命令】

·     display portal

1.1.31  portal fail-permit server

portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能。

undo portal [ ipv6 ] fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit server server-name

undo portal [ ipv6 ] fail-permit server

【缺省情况】

Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

如果接口上同时开启了Portal认证服务器不可达时的Portal用户逃生功能和Portal Web服务器不可达时的Portal用户逃生功能,则当任意一个服务器不可达时,立即放开接口控制,允许用户不经过Portal认证即可自由访问网络;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。

一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal fail-permit server pts1

【相关命令】

·     display portal

1.1.32  portal free-all except destination

portal free-all except destination命令用来配置IPv4 Portal目的认证网段。

undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。

【命令】

portal free-all except destination ipv4-network-address { mask-length | mask }

undo portal free-all except destination [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

可以通过多次执行本命令,配置多条目的认证网段。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。

目的网段认证对二次地址分配认证方式的Portal认证不生效。

如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24

【相关命令】

·     display portal

1.1.33  portal free-rule

portal free-rule命令用来配置基于IP地址的Portal免认证规则。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于IP地址的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

source:指定源信息。

ip ipv4-address:免认证规则的IPv4地址。

{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ipv6 ipv6-address:免认证规则的IPv6地址。

prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。

ip any:任意IPv4地址。

ipv6 any:任意IPv6地址。

tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。

udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。

all:所有免认证规则。

interface interface-type interface-number:免认证规则生效的三层接口。

【使用指导】

可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。

如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。

相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

【举例】

# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface1。该规则表示在Vlan-interface1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 1

# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为Vlan-interface1。该规则表示在Vlan-interface1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64 interface vlan-interface 1

【相关命令】

·     display portal rule

1.1.34  portal free-rule destination

portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number destination host-name

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于目的的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。

all:所有免认证规则。

【使用指导】

基于目的Portal免认证规则支持如下两种配置方式:

·     精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。

·     模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc**abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。

配置基于目的Portal免认证规则时,需要注意的是:

·     通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。

·     配置的主机名不能只有通配符。

·     相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

·     目前,只有用户浏览器发起的HTTP/HTTPS请求报文,支持模糊匹配的免认证规则。

【举例】

# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.h3c.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 4 destination www.h3c.com

【相关命令】

·     display portal rule

1.1.35  portal free-rule source

portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo portal free-rule { rule-number | all }

【缺省情况】

未配置基于源的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。

mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。

vlan vlan-id:免认证规则的源VLAN编号。配置本关键字仅对通过VLAN接口接入的Portal用户生效。

all:所有免认证规则。

【使用指导】

如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。

【举例】

# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10

【相关命令】

·     display portal rule

1.1.36  portal ipv6 free-all except destination

portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。

undo portal ipv6 free-all except destination命令用来删除IPv6 Portal目的认证网段。

【命令】

portal ipv6 free-all except destination ipv6-network-address prefix-length

undo portal ipv6 free-all except destination [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-network-address:IPv6 Portal认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

可以通过多次执行本命令,配置多条目的认证网段。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal目的认证网段。

目的网段认证对二次地址分配认证方式的Portal认证不生效。

如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16

【相关命令】

·     display portal

1.1.37  portal ipv6 layer3 source

portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段。

undo portal ipv6 layer3 source命令用来删除IPv6 Portal源认证网段。

【命令】

portal ipv6 layer3 source ipv6-network-address prefix-length

undo portal ipv6 layer3 source [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-network-address:IPv6 Portal源认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

配置此功能后,接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16

【相关命令】

·     display portal

·     portal ipv6 free-all except destination

1.1.38  portal ipv6 user-detect

portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv6 Portal用户在线探测功能。

【命令】

portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]

undo portal ipv6 user-detect

【缺省情况】

IPv6 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

type:指定探测类型。

·     icmpv6:表示探测类型为ICMPv6。

·     nd:表示探测类型为ND。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·     当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·     当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。

【举例】

# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测类型为ND,检测用户ND表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300

【相关命令】

·     display portal

1.1.39  portal layer3 source

portal layer3 source命令用来配置IPv4 Portal源认证网段。

undo portal layer3 source命令用来删除IPv4 Portal源认证网段。

【命令】

portal layer3 source ipv4-network-address { mask-length | mask }

undo portal layer3 source [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

配置此功能后,接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24

【相关命令】

·     display portal

·     portal free-all except destination

1.1.40  portal local-web-server

portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。

undo portal local-web-server命令用来关闭本地Portal服务功能。

【命令】

portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }

undo portal local-web-server { http | https }

【缺省情况】

本地Portal服务功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。

【使用指导】

本地Portal服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:

·     该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。

·     该URL以/portal/结尾,例如:http://1.1.1.1/portal/。

配置本地Portal Web服务功能时,需要注意的是:

·     已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·     不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。

配置本地Portal Web服务参数时,需要注意的是:

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。

·     除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,如HTTP的端口号80;Telnet的端口号23,否则会造成本地Portal Web服务无法向Portal用户推送认证页面。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

[Sysname-portal-local-websvr-https] quit

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

[Sysname-portal-local-websvr-https] quit

# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442

[Sysname-portal-local-websvr-https] quit

【相关命令】

·     default-logon-page

·     portal local-web-server

·     ssl server-policy(安全命令参考/SSL)

1.1.41  portal log enable

portal log enable命令用来开启Portal用户上/下线日志功能。

undo portal log enable命令用来关闭Portal用户上/下线日志功能。

【命令】

portal log enable

undo portal log enable

【缺省情况】

Portal用户上/下线日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Portal用户上/下线日志功能。

<Sysname> system-view

[Sysname] portal log enable

1.1.42  portal mac-trigger-server

portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。

undo portal mac-trigger-server命令用来删除MAC绑定服务器。

【命令】

portal mac-trigger-server server-name

undo portal mac-trigger-server server-name

【缺省情况】

不存在MAC绑定服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等。

【举例】

# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts]

【相关命令】

·     portal apply mac-trigger-server

·     display portal mac-trigger-server

1.1.43  portal max-user

portal max-user命令用来配置全局Portal最大用户数。

undo portal max-user命令用来恢复缺省情况。

【命令】

portal max-user max-number

undo portal max-user

【缺省情况】

全局Portal最大用户数不受限制。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:系统中允许同时在线的最大Portal用户数取值范围为1~4294967295。

【使用指导】

如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。

建议所有开启Portal的接口上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。

【举例】

# 配置全局Portal最大用户数为100。

<Sysname> system-view

[Sysname] portal max-user 100

【相关命令】

·     display portal user

·     portal { ipv4-max-user | ipv6-max-user }

1.1.44  portal nas-id-profile

portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo portal nas-id-profile命令用来恢复缺省情况。

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。

对于QinQ报文,Portal接入只能匹配内层VLAN。有关QinQ的详细介绍,请参见“二层技术-以太网交换配置指导”中的“QinQ”。

如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。

【举例】

# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal nas-id-profile aaa

【相关命令】

·     aaa nas-id profile(安全命令参考/AAA)

1.1.45  portal nas-port-id format

portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。

undo portal nas-port-id format命令用来恢复缺省情况。

【命令】

portal nas-port-id format { 1 | 2 | 3 | 4 }

undo portal nas-port-id format

【缺省情况】

NAS-Port-ID的消息格式为格式2。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

1:表示格式1,具体为{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

2:表示格式2,具体为SlotID00IfNOVlanID。

3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。

4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**

【使用指导】

可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。

不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。

1. 格式1

{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

各项含义如下:

·     {atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口。

·     NAS_slot:BRAS槽号,取值为0~31。

·     NAS_subslot:BRAS子槽号,取值为0~31。

·     NAS_Port:BRAS端口号,取值为0~63。

·     XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。

·     XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。

·     AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。

·     ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。

·     ANI_frame:接入节点机框号,取值为0~31。

·     ANI_slot:接入节点槽号,取值为0~127。

·     ANI_subslot:接入节点子槽号,取值为0~31。

·     ANI_port:接入节点端口号,取值为0~255。

·     ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。

字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。

如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0。

如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。

如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。

对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”

其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。

对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth  31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。

格式1的解释示例如下:

·     例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535。

·     例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。

·     例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。

·     例4:NAS_PORT_ID =“eth  31/31/7:4096.2345 guangzhou001/1/31/63/31/127”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31, BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。

2. 格式2

SlotID00IfNOVlanID

各项含义如下:

·     SlotID:用户接入的槽位号,为两个字符的字符串。

·     IfNO:用户接入的接口编号,为3个字符的字符串。

·     VlanID:用户接入的VLAN ID,为9个字符的字符串。

3. 格式3

其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。对于IPv6用户,此处添加的是DHCP Option18的内容。

4. 格式4

其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:

·     对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。

·     对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**

【举例】

# 配置NAS-Port-ID属性的格式为format 1。

<Sysname> system-view

[Sysname] portal nas-port-id format 1

1.1.46  portal nas-port-type

portal nas-port-type命令用来配置接入设备发送的RADIUS请求报文的NAS-Port-Type属性类型。

undo portal nas-port-type命令用来恢复缺省情况。

【命令】

portal nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }

undo portal nas-port-type

【缺省情况】

接入设备发送的RADIUS请求报文中的NAS-Port-Type属性类型为Ethernet,属性值为15。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

802.11:指定NAS-Port-Type属性类型为Wireless-IEEE 802.11,属性值为19。

adsl-cap:指定NAS-Port-Type属性类型为ADSL-CAP,属性值为12。

adsl-dmt:指定NAS-Port-Type属性类型为ADSL-DMT,属性值为13。

async:指定NAS-Port-Type属性类型为Async,属性值为0。

cable:指定NAS-Port-Type属性类型为Cable,,属性值为17。

ethernet:指定NAS-Port-Type属性类型为Ethernet,属性值为15。

g.3-fax:指定NAS-Port-Type属性类型为G.3 Fax,属性值为10。

hdlc:指定NAS-Port-Type属性类型为HDLC Clear Channel,属性值为7。

idsl:指定NAS-Port-Type属性类型为IDSL,属性值为14。

isdn-async-v110:指定NAS-Port-Type属性类型为ISDN Async V.110,属性值为4。

isdn-async-v120:指定NAS-Port-Type属性类型为ISDN Async V.120,属性值为3。

isdn-sync:指定NAS-Port-Type属性类型为ISDN Sync,属性值为2。

piafs:指定NAS-Port-Type属性类型为PIAFS,属性值为6。

sdsl:指定NAS-Port-Type属性类型为SDSL,属性值为11。

sync:指定NAS-Port-Type属性类型为Sync,属性值为1。

virtual:指定NAS-Port-Type属性类型为Virtual,属性值为5。

wireless-other:指定NAS-Port-Type属性类型为Wireless-Other,属性值为18。

x.25:指定NAS-Port-Type属性类型为X.25,属性值为8。

x.75:指定NAS-Port-Type属性类型为X.75,属性值为9。

xdsl:指定NAS-Port-Type属性类型为xDSL,属性值为16。

【举例】

# 在接口Vlan-interface20上配置接入设备发送的RADIUS请求报文的NAS-Port-Type属性类型为SDSL。

<Sysname> system-view

[Sysname] interface vlan-interface 20

[Sysname-Vlan-interface20] portal nas-port-type sdsl

1.1.47  portal pre-auth domain

portal [ ipv6 ] pre-auth domain命令用来配置Portal认证前用户使用的认证域。

undo portal [ ipv6 ] pre-auth domain命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth domain domain-name

undo portal [ ipv6 ] pre-auth domain

【缺省情况】

未配置Portal认证前用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:指定IPv6用户使用的认证域。若不指定该参数,则表示指定IPv4用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

开启Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL等),并根据授权信息获得相应的网络访问权限。若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息。用户下线之后,将被重新授予该认证前域中的授权属性。

认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效。

配置Portal认证前域时,请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undo portal [ ipv6 ] pre-auth domain命令)后重新配置。

如果认证前域的域名发生变化,新的域名对所有认证前用户生效。

如果当前认证前域中的ACL等授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。

对于认证前域中指定的授权ACL,需要注意的是:

·     如果该授权ACL不存在,或者配置的规则中允许访问的目的IP地址为“any”,则表示不对用户的访问进行限制,用户可以直接访问网络。

·     如果该授权ACL中没有配置任何规则,则表示对用户的所有访问进行限制,用户需要通过认证才可以访问网络。

·     该授权ACL中不要配置源地址信息,如果该授权ACL中配置了源地址信息,则该授权ACL下发后将会导致用户不能正常上线。

【举例】

# 在接口Vlan-interface1上配置Portal认证前用户使用的认证域为abc。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] portal pre-auth domain abc

【相关命令】

·     display portal

1.1.48  portal pre-auth ip-pool

portal [ ipv6 ] pre-auth ip-pool命令用来配置Portal认证前用户使用的地址池。

undo portal [ ipv6 ] pre-auth ip-pool命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth ip-pool pool-name

undo portal [ ipv6 ] pre-auth ip-pool

【缺省情况】

未配置Portal认证前用户使用的地址池。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示IPv6 Portal用户。若不指定该参数,则表示IPv4 Portal用户。

pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。

仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效。

当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。

【举例】

# 在接口Vlan-interface100上为认证前的Portal用户指定IPv4地址池为abc。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal pre-auth ip-pool abc

【相关命令】

·     dhcp server ip-pool(三层技术-IP业务命令参考/DHCP)

·     display portal

·     ipv6 dhcp pool(三层技术-IP业务命令参考/DHCP)

1.1.49  portal refresh enable

portal refresh { arp | nd } enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。

undo portal refresh { arp | nd } enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。

【命令】

portal refresh { arp | nd } enable

undo portal refresh { arp | nd } enable

【缺省情况】

Portal客户端Rule ARP表项、ND表项生成功能均处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

arp:表示ARP表项。

nd:表示ND表项。

【使用指导】

Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后会被立即删除,导致Portal客户端在短时间内再上线时会因ARP/ND表项还未学习到而认证失败。此情况下,需要关闭本功能,使得Portal客户端上线后其ARP/ND表项仍为动态表项,在Portal客户端下线后按老化时间正常老化。

此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。

【举例】

# 关闭Portal客户端Rule ARP表项生成功能。

<Sysname> system-view

[Sysname] undo portal refresh arp enable

1.1.50  portal roaming enable

portal roaming enable命令用来开启Portal用户漫游功能。

undo portal roaming enable命令用来关闭Portal用户漫游功能。

【命令】

portal roaming enable

undo portal roaming enable

【缺省情况】

Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效。

设备上有用户在线或认证前域用户的情况下,不能配置此命令。

如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。

Portal用户漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。

【举例】

# 开启Portal用户漫游功能。

<Sysname> system-view

[Sysname] portal roaming enable

1.1.51  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

不存在Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·     display portal server

1.1.52  portal user-detect

portal user-detect命令用来开启IPv4 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。

【命令】

portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]

undo portal user-detect

【缺省情况】

IPv4 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

type:指定探测类型。

·     arp:表示探测类型为ARP。

·     icmp:表示探测类型为ICMP。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·     当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·     当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。

【举例】

# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测类型为ARP,检测用户ARP表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300

【相关命令】

·     display portal

1.1.53  portal user-dhcp-only (interface view)

portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。

undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。

【命令】

portal [ ipv6 ] user-dhcp-only

undo portal [ ipv6 ] user-dhcp-only

【缺省情况】

仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。

【使用指导】

配置本命令后,配置静态IP地址的Portal认证用户不能上线。

在IPv6网络中,配置本命令后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以终端必须关闭临时IPv6地址。

【举例】

# 在接口Vlan-interface100上配置仅允许通过DHCP获取IP地址的客户端上线功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal user-dhcp-only

【相关命令】

·     display portal

1.1.54  portal user-rule assign-check enable

portal user-rule assign-check enable命令用来配置第二类Portal过滤规则下发的完整性检查功能。

undo portal user-rule assign-check enable命令用来关闭第二类Portal过滤规则下发的完整性检查功能。

【命令】

portal user-rule assign-check enable

undo portal user-rule assign-check enable

【缺省情况】

第二类Portal过滤规则下发的完整性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

下发的第二类Portal过滤规则,可通过display portal rule dynamic命令查看。

【举例】

# 配置第二类Portal过滤规则下发的完整性检查功能。

<Sysname> system-view

[Sysname] portal rule assign-check enable

【相关命令】

·     display portal rule dynamic

1.1.55  portal web-proxy port

portal web-proxy port命令用来配置允许触发Portal认证的Web代理服务器端口。

undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。

【命令】

portal web-proxy port port-number

undo portal web-proxy port { port-number | all }

【缺省情况】

不存在允许触发Portal认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

port-number:Portal认证的Web代理服务器的TCP端口号,取值范围为1~65535。

all:指定所有Portal认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。

多次配置本命令可以添加多个Web代理服务器的TCP端口号。

配置Portal认证Web代理服务器端口号,需要注意的是:

·     如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。

·     除了需要网络管理员在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。

·     目前不支持配置Portal认证Web代理服务器的端口号为443。

【举例】

# 配置允许触发Portal认证的Web代理服务器端口号为8080。

<Sysname> system-view

[Sysname] portal web-proxy port 8080

【相关命令】

·     portal enable method

1.1.56  portal web-server

portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。

undo portal web-server命令用来删除Portal Web服务器。

【命令】

portal web-server server-name

undo portal web-server server-name

【缺省情况】

不存在Portal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。

【举例】

# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs]

【相关命令】

·     display portal web-server

·     portal apply web-server

1.1.57  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ server server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server,则清除所有Portal认证服务器的报文统计信息。

【举例】

# 清除名称为st上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

【相关命令】

·     display portal packet statistics

1.1.58  server-detect (portal authentication server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。

【命令】

server-detect [ timeout timeout ] { log | trap } *

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。

log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

【使用指导】

只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log

【相关命令】

·     portal server

1.1.59  server-detect (portal web server view)

server-detect命令用来开启Portal Web服务器的可达性探测功能。

undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。

【命令】

server-detect [ interval interval ] [ retry retries ] { log | trap } *

undo server-detect

【缺省情况】

Portal Web服务器的可达性探测功能处于关闭状态。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval interval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20。

retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。

log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。

【使用指导】

该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。

只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。

【举例】

# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log

【相关命令】

·     portal web-server

1.1.60  server-type

server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。

undo server-type命令用来恢复缺省情况。

【命令】

server-type imc

undo server-type

【缺省情况】

Portal认证服务器或Portal Web服务器的类型为iMC服务器。

【视图】

Portal认证服务器视图

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

imc:表示Portal服务器类型为符合iMC标准规范的服务器。

【使用指导】

设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。

【举例】

# 配置Portal认证服务器类型为imc。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-type imc

# 配置Portal Web服务器类型为imc。

<Sysname> system-view

[Sysname] portal web-server pts

[Sysname-portal-websvr-pts] server-type imc

【相关命令】

·     display portal server

1.1.61  server-type (MAC binding server view)

server-type命令用来配置MAC绑定服务器的服务类型。

undo server-type用来恢复缺省情况。

【命令】

server-type imc

undo server-type

【缺省情况】

MAC绑定服务器的服务类型为imc。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。

【举例】

# 指定MAC绑定服务器的服务类型为imc。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] server-type imc

1.1.62  tcp-port

tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-serve命令指定的TCP端口号。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指导】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。

配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·     除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·     不能把使用HTTP协议的本地Portal Web服务侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则使用TCP端口号不能相同。

【举例】

# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·     portal local-web-server

1.1.63  url

url命令用来指定Portal Web服务器的URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

未指定Portal Web服务器的URL。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。

若要对用户的HTTPS请求进行重定向,需要通过http-redirect https-port命令配置对HTTPS报文进行重定向的内部侦听端口号,具体介绍请参见“三层业务-IP业务命令参考”中的“HTTP重定向”。

【举例】

# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url http://www.test.com/portal

【相关命令】

·     display portal web-server

1.1.64  url-parameter

url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。

【命令】

url-parameter param-name { original-url | source-address | source-mac [ encryption { aes | des } key { cipher | simple } string ] | value expression }

undo url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

encryption:表示以密文的方式携带用户的MAC地址。

aes指定加密算法为AES算法。

des指定加密算法为DES算法。

cipher:以密文方式设置密钥。

key:指定加密密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·     对于des cipher,密钥为41个字符的字符串。

·     对于des simple,密钥为8个字符的字符串。

·     对于aes cipher,密钥为1~73个字符的字符串。

·     对于aes simple,密钥为1~31个字符的字符串。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置,最后配置的生效。

该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:

·     userurl:表示original-url

·     userip:表示source-address

·     usermac:表示source-mac

在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。

如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl= http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter userip source-address

[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678

【相关命令】

·     display portal web-server

·     url

1.1.65  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。

undo user-sync命令用来关闭Portal用户信息同步功能。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。

【使用指导】

配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

对同一服务器多次执行本命令,最后一次执行的命令生效。

对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·     portal server

1.1.66  version

version命令用来配置Portal协议报文的版本号。

undo version命令用来恢复缺省情况。

【命令】

version version-number

undo version

【缺省情况】

Portal协议报文的版本号为1。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

version-number:Portal协议报文的版本号,取值范围为1~3。

【使用指导】

配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。

【举例】

# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] version 2

【相关命令】

·     portal mac-trigger-server

·     display portal mac-trigger-server

1.1.67  vpn-instance

vpn-instance命令用来配置Portal Web服务器所属的VPN实例。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

Portal Web服务器位于公网中。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

vpn-instance-name:Portal Web服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【使用指导】

一个Portal Web服务器只能属于一个VPN实例。

【举例】

# 配置Portal Web服务器wbs所属的VPN实例为abc。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] vpn-instance abc

1.1.68  web-redirect url

web-redirect url命令用来配置Web重定向功能。

undo web-redirect命令用来关闭Web重定向功能。

【命令】

web-redirect [ ipv6 ] url url-string [ interval interval ]

undo web-redirect [ ipv6 ]

【缺省情况】

Web重定功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。

url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串,必须是以http://或者https://开头的完整URL路径。

interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。

【使用指导】

接口上配置了Web重定向功能后,当该接口上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。

不能同时开启Web重定向功能和Portal功能,否则Web重定向功能失效。

Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。

【举例】

# 在接口Vlan-interface100上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] web-redirect url http://192.0.0.1 interval 3600

【相关命令】

·     display web-redirect rule

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们