04-Portal命令
本章节下载: 04-Portal命令 (383.21 KB)
1.1.3 display portal connection statistics
1.1.4 display portal free-rule
1.1.5 display portal interface
1.1.6 display portal local-server
1.1.8 display portal server statistics
1.1.9 display portal tcp-cheat statistics
1.1.11 display web-redirect user
1.1.24 portal https-redirect ssl-server-policy
1.1.26 portal local-server bind
1.1.28 portal mac-trigger binding-retry
1.1.29 portal mac-trigger enable
1.1.30 portal mac-trigger exclude-attribute
1.1.31 portal mac-trigger nas-port-type
1.1.32 portal mac-trigger server
1.1.39 portal grey-rule enable
1.1.43 portal safe-redirect enable
1.1.44 portal safe-redirect method
1.1.49 portal server include-error-message
1.1.51 portal server server-detect
1.1.52 portal server user-sync
1.1.54 portal silent ios optimize
1.1.55 portal url-param des-key
1.1.56 portal url-param format
1.1.57 portal url-param include
1.1.58 portal url-param nas-ip
1.1.59 portal user-address dhcp-alloc-only
1.1.61 portal user-url redirect-url
1.1.64 portal wlan ssid-switch
1.1.65 reset portal connection statistics
1.1.66 reset portal server statistics
access-user detect type arp retransmit number interval interval
2:系统级
type arp:表示探测报文的类型为ARP请求。
number:探测报文发送的次数,即允许探测无响应的次数,取值范围为2~5。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。
interval:探测报文发送的间隔,取值范围为5~120,单位为秒。
access-user detect命令用来配置Portal用户在线探测功能。undo access-user detect命令用来恢复缺省情况。
缺省情况下,接口上未配置Portal用户在线探测功能。
配置了该功能的设备,通过主动向从接口上线的Portal在线用户定期发送ARP探测报文来确认该用户是否在线。具体的探测过程为:若设备发现3分钟(不可配)内接口上未收到某Portal用户的报文,则向该用户发送ARP探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。 如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,并开始监测接下来的3分钟之内该用户是否有流量,并重复这个过程。
# 在接口Vlan-interface100上配置Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为3次,发送间隔为10秒。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] access-user detect type arp retransmit 3 interval 10
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
1:监控级
all:显示所有ACL的信息,包括动态ACL和静态ACL。
dynamic:显示动态ACL的信息,即用户通过Portal认证后产生的ACL。
static:显示静态ACL的信息,即相关配置产生的ACL。
interface interface-type interface-number:显示指定接口的ACL统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal acl命令用来显示接口上Portal的ACL信息。
# 显示接口Vlan-interface2上所有ACL的统计信息。
<Sysname> display portal acl all interface vlan-interface 2
IPv4 portal ACL rules on Vlan-interface2:
Rule 0
Inbound interface : all
Type : static
Action : permit
Protocol : 0
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Destination:
IP : 192.168.1.15
Mask : 255.255.255.255
Port : any
Rule 1
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 8.8.8.8
Mask : 255.255.255.255
MAC : 0015-e9a6-7cfe
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : 3001
Rule 2
Inbound interface : all
Type : static
Action : permit
Protocol : 0
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
SSID : abcd
Spot : 2610
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
Rule 3
Inbound interface : all
Type : static
Action : redirect
Protocol : 6
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 4
Inbound interface : all
Type : static
Action : deny
Protocol : 0
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
IPv6 portal ACL rules on Vlan-interface2:
Rule 0
Inbound interface : all
Type : static
Action : permit
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 2::2
Prefix length : 128
Port : any
Rule 1
Inbound interface : all
Type : static
Action : redirect
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 6
Destination:
IP : ::
Prefix length : 0
Port : 80
Rule 2
Inbound interface : any
Type : static
Action : deny
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : ::
Prefix length : 0
Port : any
表1-1 display portal acl命令显示信息描述表
Portal ACL编号,此编号为生成的ACL序号,每次显示从0开始递增 |
|
Portal ACL绑定的接口 |
|
Portal ACL的类型 |
|
Portal ACL的匹配动作 |
|
Portal ACL的传输层协议号 |
|
Portal ACL的源信息 |
|
Portal ACL的源IP地址 |
|
Portal ACL的源IP地址子网掩码 |
|
Portal ACL的源IPv6地址前缀 |
|
Portal ACL的源传输层端口号 |
|
Portal ACL的源MAC地址 |
|
Portal ACL的源接口 |
|
Portal ACL的源VLAN |
|
Portal ACL的源SSID |
|
Spot |
AP热点的名称 |
Portal ACL的协议类型 |
|
Portal ACL目的信息 |
|
Portal ACL的目的IP地址 |
|
Portal ACL的目的传输层端口号 |
|
Portal ACL的目的IP地址子网掩码 |
|
Portal ACL的目的IPv6地址前缀 |
|
Portal ACL的授权ACL,该字段仅在Type为dynamic时才显示 |
|
Portal ACL的授权ACL号,即服务器下发的ACL号,None表示服务器未下发ACL |
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
1:监控级
all:显示所有接口上Portal的连接统计信息。
interface interface-type interface-number:显示指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal connection statistics命令用来显示接口上Portal的连接统计信息。
# 显示接口Vlan-interface1上Portal的连接统计信息。
<Sysname> display portal connection statistics interface vlan-interface 1
---------------Interface: Vlan-interface1-----------------------
User state statistics:
State-Name User-Num
VOID 0
DISCOVERED 0
WAIT_AUTHEN_ACK 0
WAIT_EAP_ACK 0
WAIT_AUTHOR_ACK 0
WAIT_LOGIN_ACK 0
WAIT_ACL_ACK 0
WAIT_NEW_IP 0
WAIT_USERIPCHANGE_ACK 0
ONLINE 1
WAIT_LOGOUT_ACK 0
WAIT_LEAVING_ACK 0
Message statistics:
Msg-Name Total Err Discard
MSG_AUTHEN_ACK 3 0 0
MSG_AUTHOR_ACK 3 0 0
MSG_LOGIN_ACK 3 0 0
MSG_LOGOUT_ACK 2 0 0
MSG_LEAVING_ACK 0 0 0
MSG_CUT_REQ 0 0 0
MSG_AUTH_REQ 3 0 0
MSG_LOGIN_REQ 3 0 0
MSG_LOGOUT_REQ 2 0 0
MSG_LEAVING_REQ 0 0 0
MSG_ARPPKT 0 0 0
MSG_PORT_REMOVE 0 0 0
MSG_VLAN_REMOVE 0 0 0
MSG_IF_REMOVE 6 0 0
MSG_IF_SHUT 0 0 0
MSG_IF_DISPORTAL 0 0 0
MSG_IF_UP 0 0 0
MSG_ACL_RESULT 0 0 0
MSG_AAACUTBKREQ 0 0 0
MSG_CUT_BY_USERINDEX 0 0 0
MSG_CUT_L3IF 0 0 0
MSG_IP_REMOVE 0 0 0
MSG_ALL_REMOVE 1 0 0
MSG_IFIPADDR_CHANGE 0 0 0
MSG_SOCKET_CHANGE 8 0 0.
MSG_NOTIFY 0 0 0
MSG_SETPOLICY 0 0 0
MSG_SETPOLICY_RESULT 0 0 0
表1-2 display portal connection statistics命令显示信息描述表
Portal用户统计信息 |
|
处于void状态的用户数 |
|
处于discovered状态的用户数 |
|
处于wait_authen_ack状态的用户数 |
|
WAIT_EAP_ACK |
处于wait_eap_ack状态的用户数 |
处于wait_author_ack状态的用户数 |
|
处于wait_login_ack状态的用户数 |
|
处于wait_acl_ack状态的用户数 |
|
处于wait_new_ip状态的用户数 |
|
处于wait_useripchange_ack状态的用户数 |
|
处于online状态的用户数 |
|
处于wait_logout_ack状态的用户数 |
|
处于wait_leaving_ack状态的用户数 |
|
ARP消息 |
|
删除VLAN的用户消息 |
|
接口去使能Portal的消息 |
|
三层接口UP的消息 |
|
ACL下发失败的消息 |
|
AAA通知Portal删除备份用户的消息 |
|
删除某个IP的用户消息 |
|
接口IP变化消息 |
|
socket变化消息 |
|
服务器下发安全ACL的Set policy消息 |
|
Set policy结果消息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]
1:监控级
rule-number:免认证规则编号。不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal free-rule命令用来显示Portal的免认证规则信息。
需要注意的是,若不指定参数rule-number,则显示所有的免认证规则信息。
# 显示编号为1的免认证规则。
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
Port : any
MAC : 0000-0000-0000
Interface : any
SSID : abcd
Spot : 2610
Vlan : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
Protocol : 0
表1-3 display portal free-rule命令显示信息描述表
免认证规则的源IPv6地址前缀 |
|
免认证规则的源IP地址子网掩码 |
|
Spot |
AP热点的名称 |
免认证规则的目的IP地址子网掩码 |
|
免认证规则的目的IPv6地址前缀 |
|
1:监控级
interface-type interface-number:接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal interface命令用来显示指定接口的Portal配置信息。
# 显示接口Vlan-interface2的Portal配置信息。
<Sysname> display portal interface vlan-interface 2
Portal configuration of Vlan-interface2
IPv4:
Status: Portal running
Portal server: servername
Portal backup-group: 1
Authentication type: Layer3
Authentication domain: my-domain
Authentication network:
Source IP: 1.1.1.1 Mask : 255.255.0.0
Portal configuration of Vlan-interface2
IPv6:
Status: Portal running
Portal server: v6pt
Portal backup-group: None
Authentication type: Direct
Authentication domain:
Authentication network:
Source IP: 4::4 Prefix length: 128
表1-4 display portal interface命令显示信息描述表
接口interface上的Portal的配置信息 |
|
IPv4 Portal服务器的相关配置信息 |
|
IPv6 Portal服务器的相关配置信息 |
|
接口上Portal认证的状态 · Portal disabled:Portal认证未使能 · Portal enabled:Portal认证已使能,但未生效 · Portal running:Portal认证已生效 |
|
接口引用的Portal服务器 |
|
Portal源认证网段信息 |
|
Portal源认证网段的IP地址 |
|
Portal源认证网段的子网掩码 |
|
Portal IPv6源认证网段的地址前缀长度 |
display portal local-server [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal local-server用来显示本地Portal服务器的配置信息,包括支持的协议类型、引用的SSL服务器端策略以及SSID的绑定关系。
相关配置可参考命令portal local-server和portal local-server bind。
# 显示本地Portal服务器的配置。
<Sysname> display portal local-server
Protocol: HTTPS
Server policy: policy1
Bind SSID list:
ssid1: file1.zip
ssid2: file1.zip
表1-5 display portal local-server命令显示信息描述表
本地Portal服务器支持的协议类型,包括HTTP和HTTPS |
|
指定HTTPS服务关联的SSL服务器策略,如果配置的是HTTP协议方式,则此字段为空 |
|
SSID绑定关系列表,如果未配置绑定关系,则此字段为空 |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]
1:监控级
server-name:Portal服务器的名称,为1~32个字符的字符串,区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal server命令用来显示Portal服务器信息。
需要注意的是,若不指定参数server-name,则显示所有Portal服务器信息。
# 显示Portal服务器aaa的信息。
<Sysname> display portal server aaa
Portal server:
1)aaa:
IP : 192.168.0.111
Port : 50100
Key : ******
URL : http://192.168.0.111
Server Type : IMC
Status : Up
表1-6 display portal server命令显示信息描述表
Portal服务器编号 |
|
Portal服务器名称 |
|
Portal服务器的IP地址 |
|
Portal服务器的监听端口 |
|
与Portal服务器进行报文交互时使用的共享密钥 |
|
Portal服务器重定向地址 |
|
Portal服务器类型,可包括: · CMCC:CMCC Portal服务器。 · iMC:H3C iMC Portal服务器 |
|
Portal服务器当前状态,其取值涵义如下: · N/A:该服务器未在任何接口上被引用或者服务器探测功能未开启,可达状态未知; · Up:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前可达; · Down:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前不可达 IPv6 Portal服务器目前不支持服务器探测功能,因此不显示此信息 IPv6 Portal服务器的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍 |
1:监控级
all:显示所有接口上Portal服务器的统计信息。
interface interface-type interface-number:显示指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal server statistics命令用来显示接口上Portal服务器的统计信息,其中包括设备接收到Portal服务器发送的报文以及设备发送给该Portal服务器的报文的信息。
需要注意的是,指定all参数时,设备依次显示各个接口上的Portal服务器的统计信息,即使是一个Portal服务器的统计信息也是分别在不同接口下显示。
# 显示接口Vlan-interface3上Portal服务器的统计信息。
<Sysname> display portal server statistics interface vlan-interface 3
---------------Interface: Vlan-interface3----------------------
Invalid packets: 0
Pkt-Name Total Discard Checkerr
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHANGE 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USERSYNC 2 0 0
ACK_NTF_USERSYNC 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
NTF_AUTH 0 0 0
ACK_NTF_AUTH 0 0 0
REQ_QUERY_STATE 0 0 0
ACK_QUERY_STATE 0 0 0
REQ_MACBINDING_INFO 0 0 0
ACK_MACBINDING_INFO 0 0 0
NTF_USER_LOGON 0 0 0
RESERVED33 0 0 0
NTF_USER_LOGOUT 0 0 0
RESERVED35 0 0 0
PT_TYPE_REQ_USER_OFFLINE 0 0 0
表1-7 display portal server statistics命令显示信息描述表
Portal服务器所在的接口 |
|
Portal服务器名称 |
|
Portal服务器向接入设备发送的challenge请求报文 |
|
接入设备对Portal服务器challenge请求的响应报文 |
|
Portal服务器向接入设备发送的请求认证报文 |
|
接入设备对Portal服务器认证请求的响应报文 |
|
Portal服务器向接入设备发送的下线请求报文 |
|
接入设备对Portal服务器下线请求的响应报文 |
|
Portal服务器收到认证成功响应报文后向接入设备发送的确认报文 |
|
接入设备发送给Portal服务器,用户被强制下线的通知报文 |
|
Portal服务器像接入设备发送的Portal心跳报文 |
|
Portal服务器向接入设备发送的发现新用户要求上线的通知报文 |
|
接入设备向Portal服务器发送的通知更改某个用户IP地址的通知报文 |
|
Portal服务器通知接入设备对用户表项的IP切换已成功报文 |
|
Portal服务器对强制下线通知的响应报文 |
|
接入设备收到的从Portal服务器发送的用户同步报文 |
|
接入设备向Portal服务器回应的用户同步响应报文 |
|
接入设备向Portal服务器发送的challenge请求报文 |
|
接入设备向Portal服务器发送的用户消息通知报文 |
|
Portal服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
|
Portal服务器向接入设备发送的强制认证通知报文 |
|
接入设备向Portal服务器发送的对NTF_AUTH的确认报文 |
|
Portal服务器向接入设备发送的用户在线状态查询报文 |
|
接入设备向Portal服务器发送的用户在线状态回应报文 |
|
接入设备向MAC绑定服务器发送的MAC绑定查询请求报文 |
|
MAC绑定服务器向接入设备发送的MAC绑定查询应答报文 |
|
接入设备向MAC绑定服务器发送的用户上线通知报文 |
|
接入设备发送给MAC绑定服务器的用户下线通知报文 |
|
MAC绑定服务器发送给接入设备的强制用户下线请求报文 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal tcp-cheat statistics命令用来显示TCP仿冒统计信息。
# 显示所有TCP仿冒统计信息。
<Sysname> display portal tcp-cheat statistics
TCP Cheat Statistic:
Total Opens: 0
Resets Connections: 0
Current Opens: 0
Packets Received: 0
Packets Sent: 0
Packets Retransmitted: 0
Packets Dropped: 0
HTTP Packets Sent: 0
Connection State:
SYN_RECVD: 0
ESTABLISHED: 0
CLOSE_WAIT: 0
LAST_ACK: 0
FIN_WAIT_1: 0
FIN_WAIT_2: 0
CLOSING: 0
表1-8 display portal tcp-cheat statistics命令显示信息描述表
TCP仿冒统计信息 |
|
通过RST报文重置的连接数 |
|
发送的HTTP报文数 |
|
处于established状态的连接数 |
|
处于close wait状态的连接数 |
|
处于last ack状态的连接数 |
|
处于fin wait 1状态的连接数 |
|
处于fin wait 2状态的连接数 |
|
处于closing状态的连接数 |
1:监控级
all:显示所有Portal用户的信息。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display portal user命令用来显示Portal用户的信息。
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:Stand-alone
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eab 2.2.2.2 1 Vlan-interface1
Index:3
State:ONLINE
SubState:NONE
ACL:3000
Work-mode:Primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 3.3.3.3 2 Vlan-interface2
Total 2 user(s) matched, 2 listed.
表1-9 display portal user命令显示信息描述表
Portal用户的索引 |
|
Portal用户的当前状态 |
|
Portal用户的当前子状态 |
|
Portal用户的授权ACL |
|
Portal用户的工作模式,有如下三种: |
|
Portal用户的MAC地址 |
|
Portal用户的IP地址 |
|
Portal用户所在的VLAN |
|
Portal用户所在的接口 |
|
【命令】
display web-redirect user [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display web-redirect user命令用来显示重定向Portal用户的信息。
【举例】
# 显示重定向Portal用户的信息。
<Sysname> display web-redirect user
Total users: 14
IP Status Aging Interface
18.18.0.2 authorized 85872 Vlan-interface2
18.18.1.26 authorized 86396 Vlan-interface2
18.18.1.27 authorized 86396 Vlan-interface2
18.18.1.28 authorized 86396 Vlan-interface2
18.18.1.29 authorized 86396 Vlan-interface2
18.18.1.30 authorized 86396 Vlan-interface2
18.18.0.95 authorized 86396 Vlan-interface2
18.18.0.96 authorized 86396 Vlan-interface6
18.18.0.97 authorized 86396 Vlan-interface6
18.18.0.98 authorized 86396 Vlan-interface6
18.18.0.99 authorized 86396 Vlan-interface6
18.18.0.100 authorized 86396 Vlan-interface6
18.18.0.101 unauthorized 86396 Vlan-interface6
表1-10 display web-redirect user命令显示信息描述表
字段 |
描述 |
IP |
重定向Portal用户的IP地址 |
Status |
web-redirect用户的授权状态: · authorized:授权状态,该状态下用户可以访问网络 · unauthorized:未授权状态,该状态下用户不能访问网络,当访问网络时,推出webredirec-url页面 |
Aging |
重定向Portal用户的老化时间,单位是秒 |
Interface |
重定向Portal用户接入的接口 |
【命令】
portal audit { interval interval | count number } *
undo portal audit { interval interval | count number } *
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
interval interval:配置设备向日志服务器发送用户上网日志记录的时间间隔,取值范围为1~120,单位为秒。
count number:配置设备每次向日志服务器发送用户上网日志的最大数目,取值范围为1~500。
【描述】
portal audit命令用来配置设备向日志服务器发送用户上网日志记录的时间间隔和每次发送的日志的最大数目。undo portal audit命令用来恢复缺省情况。
缺省情况下,设备向日志服务器发送用户上网日志记录的时间间隔为3秒,每次发送的日志最大数目为50。
【举例】
# 配置设备向日志服务器发送用户上网日志记录的时间间隔为1秒,每次发送的日志最大数目为100。
<Sysname> system-view
[Sysname] portal audit timer 1 count 100
【命令】
portal audit enable
undo portal audit enable
【视图】
系统视图
【缺省级别】
2:系统级
【描述】
portal audit enable命令用来开启Portal用户上网日志记录功能。undo portal audit enable命令用来恢复缺省情况。
缺省情况下,Portal用户上网日志记录功能处于关闭状态。
【举例】
# 开启Portal用户上网日志记录功能。
<Sysname> system-view
[Sysname] portal audit enable
undo portal auth-network { ipv4-network-address | all | ipv6 ipv6-network-address }
2:系统级
ipv4-network-address:源IPv4认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
ipv6 ipv6-network-address:源IPv6认证网段地址。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
all:所有源认证网段。
portal auth-network命令用来配置源认证网段,即接口上只允许在源认证网段范围内的用户报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。undo portal auth-network命令用来取消源认证网段的配置。
缺省情况下,源IPv4认证网段为0.0.0.0/0,源IPv6认证网段为::/0,表示对来自任意网段的用户都进行Portal认证。
· 源认证网段配置仅对可跨三层Portal认证(layer3)有效。直接认证方式(direct)下的源认证网段为任意源IP,二次地址分配方式(redhcp)下的源认证网段为由接口私网IP决定的私网网段。
· 可通过多次执行本命令,配置多个源认证网段,最多允许配置32个源认证网段。
# 在接口Vlan-interface2上配置一条源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal auth-network 10.10.10.0 24
2:系统级
group-id:表示接口所属的Portal备份组序号,取值范围为1~256。
portal backup-group命令用来设置业务备份接口所属的Portal备份组,属于同一个Portal备份组的业务备份接口互相备份Portal用户数据。undo portal backup-group命令用来恢复缺省情况。
在双机热备组网环境中进行Portal业务数据备份时,备份源设备将Portal用户数据从本地某业务备份接口发往备份目的设备上对应的业务备份接口后,业务数据会被保存在目的设备。通过本命令将两台设备上指定的业务备份接口关联起来。
· 本文将备份Portal业务所涉及的接口简称为业务备份接口,与传输状态协商报文和备份数据的备份接口相区别。
· 当有接口已经加入某一备份组后,设备上的其它接口不能再加入该备份组。
· 只有相互备份的两台设备上的业务备份接口所属的备份组相同,且接口状态均up,并都使能了Portal认证,这两个业务备份接口之间的用户数据才可以进行同步。
# 在双机热备组网环境中,配置备份源设备的业务备份接口Vlan-interface1属于Portal备份组1。
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal backup-group 1
portal control-mode { mac | ip-mac }
2:系统级
mac:基于MAC的控制模式。该模式下,接口通过已认证用户的MAC地址来判断是否允许Portal报文通过。
ip-mac:基于IP+MAC的控制模式。该模式下,接口通过已认证用户的MAC地址和IP地址两者来判断是否允许Portal报文通过。
portal control-mode命令用来配置Portal用户报文的控制模式。undo portal control-mode命令用来恢复缺省情况。
缺省情况下,Portal用户报文的控制模式为IP+MAC。
基于MAC的控制模式下,IPv4或者IPv6用户通过Portal认证上线后,同时允许该用户的IPv4和IPv6报文通过认证接口。
基于IP+MAC的控制模式下,IPv4用户通过Portal认证上线后,仅允许该用户的IPv4报文通过认证接口。IPv6用户通过Portal认证上线后,仅允许该用户的IPv6报文通过认证接口。
· 此功能只对直接方式和二次地址认证方式的三层Portal认证生效。
· 如果接口下已经使能了Portal认证,则不能更改Portal用户报文的控制模式。
相关配置可参考命令portal server method。
# 配置Portal用户报文的控制模式为MAC。
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal control-mode mac
2:系统级
Ipv4-address:指定Portal用户的IPv4地址。
all:所有Portal用户。
interface interface-type interface-number:该接口下的所有Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定Portal用户的IPv6地址。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
portal delete-user命令用来强制接入设备上的Portal用户下线。
# 强制IP地址为1.1.1.1的Portal用户下线。
[Sysname] portal delete-user 1.1.1.1
2:系统级
id-value:设备编码名,为1~63个字符的字符串,区分大小写。该值为设备向客户端发送的重定向URL所携带的设备编码参数值。
portal device-id命令用来配置设备的编码名。undo portal device-id命令用来恢复缺省配置。
若指定三层Portal认证的Portal服务器类型为CMCC,则必须配置设备的编码名。
本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 配置设备的编码名为0002.0010.100.00。
[Sysname] portal device-id 0002.0010.100.00
在如上配置的情况下,设备向IP地址为10.1.2.34的客户端发送的重定向URL如下:
http://www.portal.com?wlanuserip=10.1.2.34&wlanacname=0002.0010.100.00
portal domain [ ipv6 ] domain-name
2:系统级
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写,且必须是已经存在的域名。
portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。undo portal domain命令用来删除指定的Portal用户使用的认证域。
缺省情况下,未指定Portal用户使用的认证域。
对于undo命令,如果不指定任何参数,则表示删除IPv4 Portal用户使用的认证域。
相关配置可参考命令display portal interface。
# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域my-domain。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
undo portal forbidden-rule rule-number
2:系统级
rule-number:不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
source:指定配置源。
wlan ssid ssid-name:黑名单规则的SSID名称。ssid-name为1~32个字符的字符串,不区分大小写。
hotspot hotspot-name:AP热点的名称。hotspot-name为1~63个字符的字符串,不区分大小写。
destination ip:禁止Portal用户访问的目的资源。
hostname:禁止Portal用户访问的域名。
ip-address:禁止Portal用户访问的IP地址。
mask { mask-length | netmask }:IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;netmask为子网掩码,点分十进制格式。
tcp port-number:禁止Portal用户访问的TCP协议的端口号,取值范围为0~65535。
udp port-number:禁止Portal用户访问的UDP协议的端口号,取值范围是为0~65535。
portal forbidden-rule命令用来配置禁止Portal用户访问的资源,指定目的资源的过滤规则。
undo portal forbidden-rule命令用来删除禁止Portal用户访问的规则。
需要注意的是:只能添加或者删除禁止访问过滤规则,不能修改过滤规则。
# 配置禁止访问过滤规则10,禁止Portal用户访问域名www.xyz.com。
[Sysname] portal forbidden-rule 10 destination ip www.xyz.com
# 配置禁止访问过滤规则13,禁止Portal用户访问TCP端口80。
[Sysname] portal forbidden-rule 13 destination tcp 80
# 配置禁止访问过滤规则14,禁止Portal用户访问的目的IP地址2.2.2.2/24。
[Sysname] portal forbidden-rule 14 destination ip 2.2.2.2 mask 32
【命令】
portal forwarding-mode local
undo portal forwarding-mode
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal forwarding-mode local命令用于配置Portal认证的本地转发模式。undo portal forwarding-mode命令用于恢复缺省情况。
当配置了Portal认证的本地转发模式后,AC对Portal用户进行认证,但Portal用户的数据流量直接由AP进行转发。
缺省情况下, AP会将Portal客户端的数据流量发送给AC,由AC进行转发。
【举例】
# 配置Portal认证的本地转发模式。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] portal forwarding-mode local
undo portal free-rule { rule-number | all }
2:系统级
rule-number:免认证规则编号。不同型号的设备支持的取值范围不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
any:表示不对前面的参数做限制。
ip ipv4-address:免认证规则的IPv4地址。
mask { mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ipv6 ipv6-address:免认证规则的IPv6地址。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
hostname hostname:免认证规则的IPv4域名,即用户认证前可以免费访问的IPv4域名。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
wlan ssid ssid:免认证规则的SSID名称,ssid为1~32个字符的字符串,不区分大小写。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
spot spot:AP热点的名称,为1~63个字符的字符串,区分大小写。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。
all:所有免认证规则。
portal free-rule命令用来配置Portal的免认证规则,指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。
· 如果同时指定源IPv4地址与源MAC地址,则必须保证IPv4地址为32位掩码的主机地址,否则指定的MAC地址无效。
· 如果同时指定源IPv6地址与源MAC地址,则必须保证IPv6地址为前缀长度为128位的主机地址,否则指定的MAC地址无效。
· 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
· 如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
· 加入聚合组的二层接口不能被指定为免认证规则的源接口,反之亦然。
· 若指定了spot参数,则表示用于配置基于源SSID与AP热点名称的免认证规则。
相关配置可参考命令display portal free-rule。
# 配置Portal免认证规则,符合源地址为10.10.10.1/24、接口为GigabitEthernet1/0/1和目的IP地址任意的报文不会触发Portal认证。
[Sysname] portal free-rule 15 source ip 10.10.10.1 mask 24 interface giabitethernet 1/0/1 destination ip any
# 配置Portal免认证规则,属于SSID为 test并且所在AP热点标识为“sp1”的无线用户报文不会触发Portal认证。
[Sysname] portal free-rule 15 source wlan ssid test spot sp1
# 配置Portal免认证规则,访问以下 域名的报文不会触发Portal认证。
[Sysname] portal free-rule 10 destination hostname http://www.xyz.com
portal host-check { dhcp-snooping | wlan }
undo portal host-check { dhcp-snooping | wlan }
2:系统级
dhcp-snooping:根据DHCP snooping表项进行主机合法性检查功能。
wlan:根据客户端的WLAN绑定表项信息进行主机合法性检查功能。
portal host-check { dhcp-snooping | wlan }命令用于开启根据DHCP snooping表项或者客户端的WLAN绑定表项信息进行主机合法性检查功能,即只有主机信息可在DHCP snooping表项中查询到的Portal用户才允许进行Portal认证。undo portal host-check { dhcp-snooping | wlan }命令用于关闭指定类型的主机合法性检查功能。
缺省情况下,设备根据ARP表项对主机进行合法性检查。
可以通过命令display wlan client source binding命令查看用户的WLAN绑定表项信息。
本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 开启根据DHCP snooping表项进行主机合法性检查功能。
[Sysname] portal host-check dhcp-snooping
【命令】
portal https-redirect ssl-server-policy policy-name
undo portal https-redirect ssl-server-policy
【视图】
系统视图
【缺省级别】
2:系统级
【描述】
portal https-redirect ssl-server-policy命令用来配置HTTPS重定向引用的SSL服务器端策略。undo portal https-redirect ssl-server-policy命令用来恢复缺省情况。
缺省情况下,未配置HTTPS重定向引用的SSL服务器端策略。
配置本命令时,需要保证SSL的服务器端策略已经存在。如果SSL获取的证书变更后,需要通过undo portal https-redirect ssl-server-policy命令删除配置HTTPS重定向引用的SSL服务器端策略后重新进行配置,新证书才能生效。
【举例】
# 配置HTTPS重定向引用的SSL服务器端策略为test。
<Sysname> system-view
[Sysname] ssl server-policy test
[Sysname] portal https-redirect ssl-server-policy test
portal local-server { http | https server-policy policy-name }
undo portal local-server { http | https }
2:系统级
http:指定本地Portal服务器使用HTTP协议和客户端交互认证信息。
https:指定本地Portal服务器使用HTTPS协议和客户端交互认证信息。
server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。其中,policy-name表示SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。
portal local-server命令用来配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件。undo portal local-server命令用来取消本地Portal服务器支持的协议类型。
缺省情况下,本地Portal服务器不支持任何协议类型。
· 执行本命令时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此,为保证自定义的缺省认证页面生效,请首先完成对它的编辑及保存工作,否则使用系统默认的缺省认证页面。
· 若指定HTTP协议,则HTTP报文的重定向地址格式为:http://设备IP/portal/logon.htm,客户端通过HTTP协议与Portal服务器交互认证信息。
· 若指定HTTPS协议,则HTTP报文的重定向地址格式为:https://设备IP/portal/logon.htm,客户端通过HTTPS协议与Portal服务器交互认证信息。
· 已经被HTTPS服务关联的SSL服务器端策略不能使用undo ssl server-policy删除。
· 本设备上所有与HTTPS服务相关联的SSL服务器端策略必须相同。
· 若设备上有本地Portal用户在线,则不能取消支持的协议类型或修改支持的协议类型,也不能修改关联的SSL服务器端策略。
· 更改HTTPS服务关联的SSL服务器端策略时,必须先使用undo portal local-server https命令取消配置的HTTPS协议,然后再重新指定SSL服务器策略。
相关配置可参考命令display portal local-server和“安全命令参考/SSL”中的ssl server-policy。
# 配置本地Portal服务器支持HTTP协议方式。
[Sysname] portal local-server http
# 配置本地Portal服务器支持HTTPS协议方式,并引用已经配置的SSL服务器端策略policy1。
[Sysname] portal local-server https server-policy policy1
# 更改SSL服务器端策略为policy2。
[Sysname] undo portal local-server https
[Sysname] portal local-server https server-policy policy2
portal local-server bind ssid ssidname&<1-10> file filename
undo portal local-server bind { ssid ssidname&<1-10> | all }
2:系统级
ssid ssidname&<1-10>:指定要绑定的SSID。其中,ssidname是SSID服务模板的标识,为1~32个字符的字符串,不区分大小写,可以包括字母、数字和空格,但字符串开始和结束位置不可以用空格,且不能是“f”“fi”“fil”和“file”。&<1-10>表示ssidname参数最多可以输入10次。
file filename:指定要绑定的文件。其中,filename表示用户定制的认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字和下划线。该文件由用户编辑,保存在设备根目录下的portal目录中。
all:表示所有绑定的SSID。
portal local-server bind命令用来配置SSID与定制页面文件的绑定,实现用户认证页面的定制功能。本地Portal服务器会根据绑定的文件向指定的SSID客户端推出相应的认证页面。undo portal local-server bind命令用来取消指定SSID或者所有SSID与认证页面的绑定。
用户访问Portal页面时,如果设备上没有配置SSID绑定功能,则向客户端推出缺省的认证页面,否则根据用户登录接口的SSID及其绑定的配置推出对应的认证页面。
· 要修改绑定关系,只需重新执行绑定命令即可,不必先取消已经存在的绑定关系。
· 对于相同的SSID,若多次执行绑定,则最后一条绑定条目生效。
· 设备上最多允许同时存在128条绑定条目。
相关配置可参考命令display portal local-server。
# 配置SSID1、SSID2与定制的认证页面文件file12.zip进行绑定。
[Sysname] portal local-server bind ssid ssid1 ssid2 file file12.zip
2:系统级
portal log packet命令用来打开Portal报文信息的日志开关。undo portal log packet命令用来关闭Portal报文信息的日志开关。
缺省情况下,Portal报文信息的日志开关处于关闭状态。
# 打开Portal报文信息的日志开关。
[Sysname] portal log packet
【命令】
portal mac-trigger binding-retry retry-times interval interval-value
undo portal mac-trigger binding-retry
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
binding-retry retry-times:指定尝试发送MAC绑定查询报文的重传次数,取值范围为1~10,缺省值为3。
interval interval-value:指定重传MAC绑定查询报文的时间间隔,取值范围为1~60,单位为秒,缺省值为1。
【描述】
portal mac-trigger binding-retry 命令用来配置Portal支持MAC快速认证时查询用户MAC地址绑定报文不可达时的重传次数及报文重传时间间隔。undo portal mac-trigger binding-retry用来恢复缺省情况。
缺省情况下,当MAC地址绑定服务器没有回应的情况下,设备最多尝试发送3次MAC绑定查询报文,重传MAC绑定查询报文的时间间隔为1秒。
相关配置可参考portal mac-trigger enable、portal mac-trigger server、portal server method和portal server。
【举例】
# 配置MAC地址绑定查询报文重传5次,每2秒发送一次。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] portal mac-trigger binding-retry 5 interval 2
portal mac-trigger enable [ period period-value ] [ threshold threshold-value ]
undo portal mac-trigger enable
2:系统级
period period-value:用户流量的统计周期,单位为秒,取值范围为60~7200,缺省值为300秒。
threshold threshold-value:触发MAC快速认证的用户流量阈值,单位为字节,取值范围为0~10240000,缺省值为0,表示只要Portal用户有访问网络的流量产生,设备就立即触发MAC快速认证,且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大,表示允许用户通过认证前可使用的流量越多,请根据网络流量的实际应用情况合理设置。
portal mac-trigger enable命令用来在接口下使能MAC快速认证功能。undo portal mac-trigger enable命令用来恢复缺省情况。
缺省情况下,MAC快速认证功能处于关闭状态。
接入设备实时检测Portal用户的流量,在一个统计周期内,用户的流量达到设定的阀值之前,允许用户访问外部网络资源,一旦用户流量达到设定的阀值,则触发MAC快速认证。若认证通过,则流量统计清零;若认证未通过,则在本统计周期内不会再次触发MAC快速认证,到本次统计周期结束时,流量统计清零,并重新开始重复以上过程。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通三层Portal认证的相关配置;
· 指定MAC绑定服务器的IP地址和端口号;
· 在使能了Portal认证的接口上使能MAC快速认证功能;
· 将MAC地址绑定服务器指定为一个Portal服务器,其中的Portal服务器名称可任意指定,无实际意义,并且URL等参数也无意义,不需指定。
相关配置可参考命令portal mac-trigger server、portal server method和portal server。
# 在接口Vlan-interface1上使能MAC快速认证功能,指定用户流量的检测周期为300秒,触发MAC快速认证的流量阈值为10240字节。
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal mac-trigger enable period 300 threshold 10240
portal mac-trigger exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。
undo portal mac-trigger exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。
【命令】
portal mac-trigger exclude-attribute attribute-number
undo portal mac-trigger exclude-attribute attribute-number
【缺省情况】
未配置Portal协议报文中不携带的属性字段。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
attribute-number:属性类型编号,取值范围为1~255。
【使用指导】
不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同。在进行MAC-trigger认证时,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,则会导致设备和Portal认证服务器不能通信。
在进行MAC-trigger认证时,可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。
通过多次执行本命令,可以配置多个Portal协议报文中不携带的属性字段。
Portal协议所有属性的详细描述如表1-11所示。
表1-11 Portal协议属性描述表
属性名称 |
属性编号 |
属性含义 |
UserName |
1 |
用户名 |
PassWord |
2 |
用户提交的明文密码 |
Challenge |
3 |
用于CHAP方式加密的随机数 |
ChapPassWord |
4 |
通过MD5算法加密后的密码 |
TextInfo |
5 |
用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。 |
UpLinkFlux |
6 |
表示该用户的上行(输出)流量 |
DownLinkFlux |
7 |
表示该用户的下行(输入)流量 |
Port |
8 |
端口信息 |
IP-Config |
9 |
在不同报文类型中含义不同: · 在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配 · 在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址 |
BAS-IP |
10 |
用于标识用户接入设备的IP地址,所有接入设备发送的报文都应该携带该属性。对于二次地址方式,其值为接入设备的公网IP地址 |
Session-ID |
11 |
用户标识,通常使用用户的MAC地址作为标识 |
Delay-Time |
12 |
报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中 |
User-List |
13 |
用户IP地址列表 |
EAP-Message |
14 |
需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个 |
User-Notify |
15 |
需要透传的RADIUS计费回应报文中的hw_User_Notify内容 |
SSID |
30 |
用户所在的SSID |
NAS-ID |
48 |
用户所在的NASID |
NAS-Port-ID |
80 |
用户所在的NAS-Port-ID |
BAS-IPv6 |
100 |
标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性 |
UserIPv6-List |
101 |
用户IPv6地址列表 |
【举例】
# 在MAC-trigger认证时,若Portal认证服务器不支持10号BAS-IP属性,则配置Portal协议报文中不携带属性字段BAS-IP。
<Sysname> system-view
[Sysname] portal mac-trigger exclude-attribute 10
【命令】
portal mac-trigger nas-port-type value
undo portal mac-trigger nas-port-type
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
value:nas-port-type属性值,取值范围为1~255。该值用于标识快速MAC地址认证用户计费时上传到RADIUS服务器上的NAS-Port-Type属性值,由私有文档定义。
【描述】
portal mac-trigger nas-port-type命令用来配置该接口上的MAC快速认证用户发送RADIUS计费请求报文时携带的NAS-Port-Type属性值。undo portal mac-trigger nas-port-type命令用来恢复缺省情况。
缺省情况下,携带的NAS-Port-Type属性值与设备的接口类型相关。
【举例】
# 配置VLAN 3接口上的MAC快速地址认证用户发送计费请求报文时携带的NAS-Port-Type属性值为30。
<Sysname> system-view
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] portal mac-trigger nas-port-type 30
portal mac-trigger server ip ip-address [ port port-number ]
undo portal mac-trigger server
系统视图/接口视图
2:系统级
ip ip-address:MAC绑定服务器的IPv4地址。
port port-number:MAC服务器监听来自接入设备的MAC绑定查询请求的UDP端口号,取值范围为1~65534,缺省值为50100。
portal mac-trigger server命令用来指定MAC绑定服务器。undo portal mac-trigger server命令用来恢复缺省情况。
缺省情况下,未指定MAC绑定服务器。
MAC绑定服务器上记录了Portal用户的MAC地址与Portal用户帐号的绑定关系,当MAC绑定服务器接收到来自接入设备的MAC绑定查询请求后,会查询该MAC地址是否与服务器上的Portal用户帐号绑定。如果已绑定,则MAC绑定服务器获取该用户的帐号信息,并使用该用户的用户名和密码向接入设备直接发起Portal认证。
当接口下配置了Mac-Trigger服务器时,接口的配置优先生效。
相关配置可参考命令portal mac-trigger enable。
# 指定支MAC绑定服务器的IP地址为2.2.2.2,端口号为50111。
[Sysname] portal mac-trigger server ip 2.2.2.2 port 50111
2:系统级
max-number:允许同时在线的最大Portal用户数,该参数的取值范围和缺省值与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
portal max-user命令用来配置Portal最大用户数。undo portal max-user命令用来恢复缺省情况。
需要注意的是,如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
# 配置Portal最大用户数为100。
[Sysname] portal max-user 100
系统视图/接口视图
2:系统级
nas-id:NAS-ID名称,为1~63个字符的字符串,区分大小写。该值为接口上有Portal用户上线时设备向RADIUS服务器发送的RADIUS请求报文的NAS-Identifier属性值。
portal nas-id命令用来配置接口发送RADIUS报文的NAS-ID。undo portal nas-id命令用来恢复缺省情况。
缺省情况下,使用命令sysname配置的设备名作为接口发送RADIUS报文的NAS-ID。sysname的具体配置请参见“基础配置命令参考”中的“设备管理”。
NAS-ID可在系统视图下或者接口视图下进行配置,接口上的配置优先,若接口上没有配置,则使用系统视图下的全局配置。
# 配置接口Vlan-interface2发送RADIUS报文的NAS-ID为0002053110000460。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id 0002053110000460
portal nas-id-profile profile-name
2:系统级
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
portal nas-id-profile命令用来指定接口的NAS-ID Profile。undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。
需要注意的是,如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,接口上已通过命令portal nas-id命令配置了NAS-ID,则使用该NAS-ID作为接口的NAS-ID;如果接口上既没有指定NAS-ID Profile,也没有配置NAS-ID,则使用设备名作为NAS-ID。
# 在接口Vlan-interface2上指定名为aaa的NAS-ID Profile。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
portal nas-ip { ipv4-address | ipv6 ipv6-address }
2:系统级
ipv4-address:接口发送Portal报文的IPv4源地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:接口发送Portal报文的IPv6源地址,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
portal nas-ip命令用来配置接口发送Portal报文使用的源地址。undo portal nas-ip命令用来删除指定的源地址。
缺省情况下,未指定接口发送Portal报文使用的源地址,即以接入用户的接口地址作为发送Portal报文的源地址。
对于undo命令,如果不指定任何参数,则表示删除指定的IPv4源地址。
# 配置接口Vlan-interface5发送Portal报文使用的IPv4源地址为2.2.2.2。
[Sysname] interface vlan-interface 5
[Sysname-Vlan-interface5] portal nas-ip 2.2.2.2
portal nas-port-id nas-port-id-value
2:系统级
nas-port-id-value:NAS-Port-ID的名称,为1~253字符的字符串,区分大小写。该值为接口上有Portal用户上线时设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-ID属性值。
portal nas-port-id命令用来配置接口的NAS-Port-ID。指定该接口下接入的Portal用户需要携带的NAS-Port-ID。undo portal nas-port-id命令用来恢复缺省情况。
缺省情况下,未指定接口的NAS-Port-ID,RADIUS请求报文中的NAS-Port-ID属性值为接入设备获取到的用户接入的端口信息。
# 配置接口Vlan-interface2的NAS-Port-ID为ap1。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-port-id ap1
portal nas-port-type { ethernet | wireless }
ethernet:指定用户接入的端口类型为Ethernet,对应的编码值为15。
wireless:指定用户接入的端口类型为符合IEEE 802.11标准的无线接口,对应的编码值为19。该参数通常在接入无线Portal用户的接口上指定,可保证接入设备向RADIUS服务器传递的用户端口类型为无线类型。
portal nas-port-type命令用来配置接口的NAS-Port-Type,即向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。undo portal nas-port-type命令用来恢复缺省情况。
缺省情况下,未指定接口的NAS-Port-Type,RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。
# 配置接口Vlan-interface2的NAS-Port-Type为符合IEEE 802.11标准的无线接口类型。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-port-type wireless
【命令】
portal grey-rule enable
undo portal grey-rule enable
【视图】
接口视图
【缺省级别】
2:系统级
【描述】
portal grey-rule enable命令用来开启接口的灰名单功能。undo portal grey-rule enable命令用来关闭接口的灰名单功能。
缺省情况下,未开启接口的灰名单功能。
开启接口的灰名单功能后,设备不会将匹配灰名单规则的数据流量发送给AAA服务器。
【举例】
# 在接口VLAN 100下开启灰名单功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] portal grey-rule enable
【命令】
portal grey-rule rule-number [ source { ip ip-address [ mask { mask-length | mask } ] | wlan ssid ssid-name [ hotspot hotspot-name ] } * ] destination { domain domain-name | ip ip-address [ mask { mask-length | mask } ] | tcp tcp-port-number | udp udp-port-number } *
undo portal grey-rule rule-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rule-number:灰名单规则编号。不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
ip ip-address:灰名单规则的IP地址。
mask { mask-length | mask }:灰名单规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
wlan ssid ssid-name:灰名单规则的SSID名称。ssid-name为1~32个字符的字符串,不区分大小写。
hotspot hotspot-name:AP热点的名称。hotspot-name为1~63个字符的字符串,不区分大小写。
domain domain-name:Portal用户访问的域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”、“””、“|”以及“@”字符。
tcp tcp-port-number:灰名单规则的TCP端口号,取值范围为0~65535。
udp udp-port-number:灰名单规则的UDP端口号,取值范围为0~65535。
【描述】
portal grey-rule命令用来配置Portal的灰名单规则,指定源过滤条件或目的过滤条件。undo portal grey-rule命令用来删除灰名单规则。
需要注意的是,只能添加或者删除灰名单规则,不能修改灰名单规则。
【举例】
# 配置灰名单规则10,对于Portal用户访问域名www.xyz.com的流量不计费。
<Sysname> system-view
[Sysname] portal grey-rule 10 destination domain www.xyz.com
2:系统级
listen-port:本机监听和接收Portal报文的UDP端口号,取值范围为1~65535。
portal port命令用来配置监听和接收Portal报文端口。undo portal port命令用来恢复缺省情况。
缺省情况下,接收Portal报文的端口为2000。
在MAC-BAC组网环境下,Master AC向BAS AC发送Portal报文时的目的端口(由portal-proxy server port命令设置)必须和BAS AC监听和接收Portal报文的端口一致。
# 配置监听和接收Portal报文的端口为30000。
[Sysname] portal port 30000
portal redirect-url url-string [ wait-time period ]
2:系统级
url-string:Portal用户认证成功后,认证页面自动跳转目的网站地址,为1~127个字符的字符串,必须是以http://或者https://开头的完整的URL路径。
period:Portal用户认证成功后认证页面等待进行跳转的时间间隔,取值范围为1~90,单位为秒,缺省值为5。
portal redirect-url命令用来指定Portal用户认证成功后认证页面自动跳转的目的网站地址。undo portal redirect-url命令用来恢复缺省情况。
缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面。
· 该特性需要与支持自动跳转页面功能的iMC服务器配合使用。
· wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。
# 指定Portal用户认证成功后,认证页面在3秒后自动跳转为http://www.testpt.cn网站页面。
[Sysname] portal redirect-url http://www.testpt.cn wait-time 3
【命令】
portal safe-redirect enable
undo portal safe-redirect enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal safe-redirect enable命令用来开启Portal安全重定向功能。undo portal safe-redirect enable 命令用来恢复缺省情况。
缺省情况下,不开启Portal安全重定向功能。
【举例】
# 开启Portal安全重定向功能。
<Sysname> system-view
[Sysname] portal safe-redirect enable
【命令】
portal safe-redirect method { get | post }
undo portal safe-redirect method
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
get:指定HTTP协议的请求方法为GET。
post:指定HTTP协议的请求方法为POST。
【描述】
portal safe-redirect method命令用来开启Portal服务器仅允许HTTP协议的请求方法为GET或者POST的报文进行重定向。undo portal safe-redirect method用来恢复缺省配置。
缺省情况下,不指定HTTP协议的请求方法。
需要注意的是,需要先开启Portal安全重定向功能才能配置上述功能。
【举例】
# 开启安全重定向功能,配置安全重定向的方法为GET。
<Sysname> system-view
[Sysname] portal safe-redirect enable
[Sysname] portal safe-redirect method get
【命令】
portal safe-redirect user-agent user-agent-string
undo portal safe-redirect user-agent user-agent-string
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
user-agent-string:指定产生HTTP协议请求的浏览器类型,为1~127个字符的字符串,区分大小写。建议用户参考表1-12中建议的user-agent-string字段描述配置浏览器类型,用户在实际配置过程中,只要配置的user-agent-string包含下表中的关键字,即可自动识别浏览器类型。
表1-12 user-agent-string字段描述与浏览器类型对应关系表
建议的user-agent-string字段描述 |
浏览器类型描述 |
Safari |
苹果浏览器 |
Chrome |
谷歌浏览器 |
Firefox |
火狐浏览器 |
UC |
UC浏览器 |
QQBrowser |
QQ浏览器 |
LBBROWSER |
猎豹浏览器 |
TaoBrowser |
淘宝浏览器 |
Maxthon |
傲游浏览器 |
BIDUBrowser |
百度浏览器 |
MSIE 10.0 |
微软IE 10.0浏览器 |
MSIE 9.0 |
微软IE 9.0浏览器 |
MSIE 8.0 |
微软IE 8.0浏览器 |
MSIE 7.0 |
微软IE 7.0浏览器 |
MSIE 6.0 |
微软IE 6.0浏览器 |
MetaSr |
搜狗浏览器 |
【描述】
portal safe-redirect user-agent命令用来配置合法的HTTP协议请求的浏览器类型,当配置了该命令时,只有匹配到对应HTTP协议请求的浏览器类型的HTTP报文才允许重定向,该命令可以配置多条。undo portal safe-redirect user-agent命令用来取消配置的HTTP协议请求的浏览器类型。
缺省情况下,没有配置HTTP协议请求的浏览器类型。
需要注意的是,需要先开启Portal安全重定向功能才能配置上述功能。
【举例】
# 开启安全重定向功能,配置合法的HTTP协议请求的浏览器类型为chrome和Safari。
<Sysname> system-view
[Sysname] portal safe-redirect enable
[Sysname] portal safe-redirect user-agent chrome
[Sysname] portal safe-redirect user-agent Safari
【命令】
portal safe-redirect forbidden-url user-url-string
undo portal safe-redirect forbidden-url user-url-string
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
user-url-string:指定产生HTTP协议请求的目的主机地址,为1~127个字符的字符串,区分大小写。
【描述】
portal safe-redirect forbidden-url命令用来配置禁止对用户指定的目的主机进行重定向,当配置了该命令时,匹配到对应目的主机的HTTP报文不允许重定向,该命令可以配置多条。undo portal safe-redirect forbidden-url命令用来配置允许对用户指定的目的主机进行重定向。
缺省情况下,不限制对任何指定的目的主机进行重定向。
需要注意的是,需要先开启Portal安全重定向功能才能配置上述功能。
【举例】
# 开启安全重定向功能,配置禁止对于目的地址为3g.qq.com报文进行重定向。
<Sysname> system-view
[Sysname] portal safe-redirect enable
[Sysname] portal safe-redirect forbidden-url 3g.qq.com
portal server server-name { ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | server-type { cmcc | imc } | url url-string ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | server-type { cmcc | imc } | url url-string ] * }
undo portal server server-name [ key | port | server-type | url ]
2:系统级
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
ipv4-address:Portal服务器的IPv4地址。若指定的是本地Portal服务器,则此地址为接入设备上与Portal客户端路由可达的三层接口IP地址,但在双机热备环境下此地址建议为VRRP下行链路所在备份组的虚拟IP地址。
ipv6 ipv6-address:Portal服务器的IPv6地址。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
key:与Portal服务器通信需要的共享密钥。设备与Portal服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~16个字符的字符串;密文密钥为1~53个字符的字符串。不指定cipher或simple时,表示以明文方式设置共享密钥。
port-id:设备向Portal服务器主动发送报文时使用的目的端口号,取值范围为1~65534,缺省值为50100。
server-type { cmcc | imc }:Portal服务器类型,缺省为imc。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
· cmcc:CMCC Portal服务器。指定该类型的Portal服务器时,还必须配置设备的编码名(通过命令portal device-id)。
· imc:H3C iMC Portal服务器。
url-string:HTTP报文重定向地址。缺省的HTTP报文重定向地址格式为http://ip-address,其中ip-address为Portal服务器的IP地址。重定向地址支持域名解析,但需要使用命令portal free-rule将DNS服务器地址加入Portal的免认证地址范围内。
portal server命令用来指定三层Portal认证的Portal服务器。undo portal server命令用来删除指定的Portal服务器,或者恢复服务器参数为缺省值。
缺省情况下,没有指定三层Portal认证的Portal服务器。
· 配置Portal认证时,服务器名称和重定向URL配置项的内容不能包含中文以及?<>\’’%’&#任何字符之一。
· 若指定名字的Portal服务器存在,但该接口上没有用户,则undo portal server命令不指定任何参数时,将删除指定Portal服务器;否则相同条件下,指定参数port、server-type、url时,将恢复指定参数为缺省值。
· 已配置的Portal服务器及其参数仅在该Portal服务器未被任何接口引用时才可以被删除或修改。要删除或修改已经被接口引用的Portal服务器配置,必须首先在引用该Portal服务器的接口上使用命令undo portal取消配置。
· 通常,使用本地Portal服务器时,Portal服务器参数key、port、server-type和url均不需配置,若配置也无效。但在无线环境下使用本地Portal服务器进行双机热备时,url需要配置,且地址格式为http://ip-address/portal/logon.htm或https://ip-address/portal/logon.htm,其中,协议类型为本地Portal服务器支持的协议类型(由命令portal local-server配置),ip-address为VRRP下行链路所在备份组的虚拟IP地址。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令display portal server。
# 配置Portal服务器pts的IP地址为192.168.0.111、密钥为明文portal、HTTP重定向的URL为http://192.168.0.111/portal。
[Sysname] portal server pts ip 192.168.0.111 key simple portal url http://192.168.0.111/portal
portal server banner banner-string
2:系统级
banner-string:用户定制的Web页面欢迎信息,为1~50个字符的字符串,区分大小写,不允许为‘<’、‘&’。字符串中可包括连续多个连续空格,浏览器将会识别为一个空格。
portal server banner命令用来配置本地Portal服务器提供的缺省Web页面欢迎信息。undo portal server banner命令用来恢复缺省配置。
缺省情况下,无Web页面欢迎信息。
需要注意的是,配置的Web页面欢迎信息仅对缺省的认证页面有效,对于用户定制的认证页面无效。
# 配置本地Portal服务器提供的Web页面欢迎信息为:Welcome to Portal Authentication。
[Sysname] portal server banner Welcome to Portal Authentication
【命令】
portal server server-name include-error-message
undo portal server server-name include-error-message
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
【描述】
portal server server-name include-error-message命令用来配置CMCC错误码发送功能。undo portal server server-name include-error-message命令用来恢复缺省情况。
缺省情况下,未配置CMCC错误码发送功能。
【举例】
# 配置CMCC错误码发送功能。
<Sysname> system-view
[Sysname] portal server cmcc include-error-message
portal server server-name method { direct | layer3 | redhcp }
undo portal [ server server-name ]
2:系统级
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
method:认证方式。
· direct:直接认证方式。
· layer3:三层认证方式。
· redhcp:二次地址分配认证方式。
portal server method命令用来在接口上使能三层Portal认证,同时指定引用的Portal服务器和认证方式。undo portal命令用来在接口上取消所有的或指定的三层Portal认证。
· 使能三层Portal认证的接口上所引用的Portal服务器必须已经存在。
· 使用本地Portal服务器的情况下,二次地址分配认证方式可配置但不生效。
· IPv6 Portal服务器不支持二次地址分配方式的Portal认证。
· 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是,不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证。
· 当接口上同时使能IPv4 Portal服务器和IPv6 Portal服务器的三层Portal认证时,如果客户端使用IPv4地址认证上线,则设备可以同时获取客户端的IPv4地址和IPv6地址;如果客户端使用IPv6地址认证上线,则设备只能获取客户端的IPv6地址。
· 如果不指定任何参数,则对应的undo命令表示取消接口上的所有三层Portal认证。
· 对于不支持IPv6 Portal服务器的设备,undo命令不支持server server-name参数。
· IPv6 Portal服务器的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
相关配置可参考命令display portal server。
# 在接口Vlan-interface100上使能三层Portal认证。指定Portal服务器pts,并配置为直接认证方式。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal server pts method direct
undo portal server server-name server-detect
2:系统级
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
server-detect method { http | portal-heartbeat }:Portal服务器探测方式。包括以下两种,且可同时选择。
· http:表示探测HTTP连接。接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。当Portal服务器不支持逃生心跳功能的时候只能使用此探测方式。
· portal-heartbeat:表示探测Portal心跳报文。设备检测Portal服务器定期发送的Portal心跳报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。该方式仅对支持Portal心跳检测机制(目前仅iMC的Portal服务器支持)的Portal服务器有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,且服务器上配置的逃生心跳间隔要小于等于设备上配置的探测间隔。
action { log | permit-all | trap }:Portal服务器可达状态的变化时,可触发执行的操作。包括以下四种,且同时可选择多种。
· log:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
· permit-all:也称为Portal逃生,表示在Portal服务器不可达时,暂时取消端口进行的Portal认证,允许所有Portal用户访问网络资源。之后,若端口收到服务器的探测报文,或者收到其它认证报文(上线报文、下线报文等),则恢复其Portal认证功能。
· redirect-server server-name:当Portal服务器探测的URL不可达时,重定向报文会重定向到该配置指定的服务器所指定的URL。server-name表示服务器名称,为1~32个字符的字符串,区分大小写。该服务器必须已经存在。
· trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。
interval interval:进行探测尝试的时间间隔,取值范围为20~600,单位为秒,缺省值为20。
retry retries:连续探测失败的最大次数,取值范围为1~5,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
portal server server-detect命令用来配置对Portal服务器的探测功能,包括配置探测方法、可触发执行的操作、探测时间间隔以及最大探测失败次数。配置此功能后,设备会周期性地检测指定的Portal服务器状态是否可达,并在可达状态发生变化后执行指定的操作。undo portal server server-detect命令用来取消对指定的Portal服务器的探测功能配置。
缺省情况下,未配置对Portal服务器的探测功能。
· 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
· 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
· 在设备上删除Portal服务器时将会同时删除该服务器的探测功能配置。
· 对同一服务器多次执行探测功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对指定Portal服务器配置的探测功能,只有当该服务器在接口上使能之后才能生效。
· 对于Portal服务器发来的其它认证报文(上线报文,下线报文等)也认为等效于心跳报文。
· 同一接口下,配置根据SSID和AP热点指定使用不同的portal服务器时,不支持portal逃生功能。
相关配置可参考命令display portal server。
# 配置对Portal服务器pts的探测功能:探测方式为同时探测HTTP连接和Portal心跳报文,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的Trap信息和日志信息,并打开网络限制,允许未认证用户访问网络。
[Sysname] portal server pts server-detect method http portal-heartbeat action log permit-all trap interval 600 retry 2
portal server server-name user-sync [ interval interval ] [ retry retries ]
undo portal server server-name user-sync
2:系统级
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
user-sync:开启Portal用户同步功能。
interval interval:检测用户同步报文的时间间隔,取值范围为60~3600,单位为秒,缺省值为300。
retry retries:连续检测失败的最大次数,取值范围为1~5,缺省值为4。如果接入设备上的某用户信息在连续retrie个周期内,都未曾在该服务器发送的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
portal server user-sync命令用来配置对指定Portal服务器的Portal用户同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。undo portal server user-sync命令用来取消指定的Portal用户同步功能配置。
缺省情况下,未配置Portal用户同步功能。
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测间隔。
· 在设备上删除Portal服务器时将会同时删除该服务器的用户同步功能配置。
· 对同一服务器多次执行用户同步功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
# 配置对Portal服务器pts的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
[Sysname] portal server pts user-sync interval 600 retry 2
【命令】
portal silent { android | ios user-agent [ user-agent [ reply-file file-name ] ] }
undo portal silent [ android | ios user-agent [ user-agent ] ]
【视图】
系统视图\接口视图
【缺省级别】
2:系统级
【参数】
android:配置Android移动终端为静默状态,即在用户认证前Android移动终端发送了General 204号的HTTP报文,该报文直接丢弃,移动终端不会通过该方式自动触发Portal认证。
ios:配置IOS移动终端为静默状态,即在用户认证前IOS移动终端发送的HTTP报文匹配到该url的情况下,用户的重定向报文回复一个特定文件的内容,移动终端不会通过该方式自动触发Portal认证。
user-agent [ user-agent ]:未认证用户进行HTTP访问的客户端程序名或者关键字,对应HTTP协议get请求报文中的User-Agent字段内容或者内容包含的关键字。若未指定user-agent,则表示生成CaptiveNetWorkSupport的默认配置。
reply-file file-name:为指定的客户端进行HTTP请求回应的特定页面数据文件,该文件可由管理员自定义编辑,并上传到设备的根目录中,其中file-name为回应的页面数据文件名。若未指定file-name时可以使用设备默认内置的页面数据文件。
【描述】
portal silent命令用于在Portal用户认证前将指定的移动终端设置成静默状态。undo portal silent命令用于将指定的移动终端恢复为非静默状态。
缺省情况下,没有将任何移动终端设置成静默状态。
将指定的移动终端设置成静默状态后,在用户主动发起Portal认证之前,就不会因为移动终端进行网络检测而触发Portal重定向。对于IOS移动客户端,如果user-agent指定的关键字与系统APP检测网络时发送HTTP请求报文中的User-Agent内容匹配成功,则返回给移动终端指定的页面数据文件;否则,做正常重定向处理。
若同时在系统视图和接口视图下配置本命令,则接口视图下的配置生效。
【举例】
# 配置用户认证前,为IOS终端User-Agent字段内容包含CaptiveNetworkSupport的所有HTTP请求回应指定的response.html页面文件,并且不会触发Portal重定向。
<Sysname> system-view
[Sysname] portal silent ios user-agent CaptiveNetworkSupport reply-file response.html
【命令】
portal silent ios optimize
undo portal silent ios optimize
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal silent ios optimize命令用来开启iOS重定向优化功能。undo portal silent ios optimize命令用来关闭iOS重定向优化功能。
缺省情况下,未开启本功能。
当无线控制器开启了Portal认证,iOS移动终端会自动弹出Portal认证页面,如果没有通过Portal认证,当按“home”键返回桌面时,Wi-Fi连接会自动断开。当开启iOS重定向优化功能后,可以使Wi-Fi继续保持连接状态。
【举例】
# 开启iOS重定向优化功能。
<Sysname> system-view
[Sysname] portal silent ios optimize
【命令】
portal url-param des-key { simple | cipher } key
undo portal url-param des-key
【视图】
系统视图/接口视图
【缺省级别】
2:系统级
【参数】
simple:表示以明文方式设置共享密钥。
cipher:表示以密文方式设置共享密钥。
key:设置的明文密钥或密文密钥,区分大小写。明文密钥为8个字符的字符串;密文密钥为1~41个字符的字符串。
【描述】
portal url-param des-key命令用来指定重定向URL携带参数的加密密钥。
undo portal url-param des-key命令用来恢复初始密钥。
缺省情况下,初始密钥密钥为12345678。
如果在接口下配置了重定向URL加密参数的密钥,则以接口下配置的参数为准。
【举例】
# 全局指定重定向URL携带参数的明文加密密钥为test1234。
<Sysname> system-view
[Sysname] portal url-param des-key simple test1234
【命令】
portal url-param { user-mac | ap-mac } format { with-2-hyphen | with-5-hyphen | no-hyphen } { lowercase | uppercase }
undo portal url-param { user-mac | ap-mac } format
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
user-mac:用户的源MAC地址。
ap-mac:用户接入AP的MAC地址。
with-2-hyphen:MAC地址格式为携带2个连字符。
with-5-hyphen:MAC地址格式为携带5个连字符。
no-hyphen:MAC地址格式为不带连字符。
lowercase:MAC地址格式为小写。
uppercase:MAC地址格式为大写。
【描述】
portal url-param format命令用来配置Portal重定向URL中携带的用户或AP的MAC地址格式。undo portal url-param format命令用来删除配置的Portal重定向URL中携带的用户或AP的MAC地址格式。
缺省情况下,Portal重定向URL中携带的用户或AP的MAC地址格式为5个连字符的大写方式。
【举例】
# 配置Portal重定向URL中携带的用户MAC地址格式为不带连字符的小写格式。
<Sysname> system-view
[Sysname] interface vlan 100
[Sysname-Vlan-interface100] portal url-param user-mac format no-hyphen lowercase
系统视图/接口视图
2:系统级
nas-id:指定Portal重定向URL中包含NAS-ID参数。
nas-ip:portal重定向URL包含nas-ip参数。
nas-port-id:指定Portal重定向URL中包含NAS-PORT-ID参数。
user-mac:指定Portal重定向URL中包含UserMac参数。
ap-mac:Portal重定向URL中包含ap-mac参数。
des-encrypt:Portal重定向URL中的用户MAC地址或者AP MAC地址采用DES方式加密。若不指定该参数,则表示Portal重定向URL中的用户MAC地址或者AP MAC地址为明文。
user-url:指定Portal重定向URL包含用户访问的URL,不配置此参数时,iMC和本地Portal默认携带此参数。
user-ip:Portal重定向URL中包含user-ip参数,不配置此参数时,iMC和CMCC以各自默认参数名携带此参数。
user-vlan:Portal重定向URL中包含UserVLAN参数。
ac-name:Portal重定向URL中包含ac-name参数。
ssid:Portal重定向URL中包含SSID参数。
param-name para-name:指定Portal重定向URL中包含的参数名称。其中,para-name表示参数名,为1~20个字符的字符串,区分大小写,且只支持字母和数字。指定的参数和参数名在Portal重定向URL中的格式为"para-name=param-value"。
portal url-param include命令用来指定重定向URL需要携带的参数,并指定它在重定向URL中的参数名。undo portal url include命令用户取消重定向URL携带的参数。
缺省情况下,重定向URL携带的参数与服务器支持的URL格式有关,具体如下:
· CMCC方式重定向页面携带参数为user-ip、ac-name和ssid;
· iMC方式重定向页面携带参数为user-ip;
· 本地Portal Server方式重定向页面携带参数为user-ip、ac-name和ssid。
NAS-ID值的选择顺序:
(1) 首先从WLAN模块获取,若获取不到则转到步骤(2);
(2) 获取接口视图下通过nas-id-profile命令指定的NAS-ID Profile中与用户VLAN所绑定的NAS-ID,若获取不到则转到步骤(3);
(3) 获取接口下的nas-id配置值,若获取不到则转到步骤(4);
(4) 获取全局portal nas-id配置值,获取到做为用户的NAS-ID值;若获取不到,则不在Portal重定向URL中填该值。
若接口下指定了接口发送Portal报文使用的源地址(通过portal nas-ip命令指定),则这个源地址就作为NAS-IP填充到重定向URL里,否则取用户接入的接口地址作为NAS-IP填充到重定向URL。相关配置可参考命令portal nas-ip。
· nas-port-id
NAS-PORT-ID值的选择顺序:
(1) 首先从WLAN模块获取,若获取不到则转到步骤(2);
(2) 获取接口下的nas-port-id配置值,获取到则作为用户的NAS-PORT-ID值;若获取不到,则不在Portal重定向URL中填写该值。
用户的MAC地址,格式为XX-XX-XX-XX-XX-XX。
用户的MAC地址采用DES算法加密传输。
用户认证成功后重定向指定的URL地址。如果配置了user-url参数,则用户认证成功后将被强制访问指定的URL地址。具体的强制访问URL地址由portal redirect-url命令指定。
· ap-mac
用户接入AP的MAC地址,格式为XX-XX-XX-XX-XX-XX。
· user-ip
用户的IP地址,默认不配置此参数时,iMC携带参数名为userip,CMCC携带参数名为wlanuserip,其他服务器不携带此参数。
· user-vlan
用户的VLAN信息。
· ac-name
接入AC设备名字,即系统配置的portal device-id。默认不配置此参数时,CMCC携带参数名为wlanacname。
· ssid
无线用户接入服务名,默认不配置此参数时,CMCC服务器需要无线用户(能够获取到ssid的)携带参数ssid。
需要注意的是,系统视图下的配置适用于所有接口上的Portal用户,接口上配置优先级高于系统视图下的配置。
# 指定重定向URL携带NAS-ID参数,参数名字为wlannasid。
[Sysname] portal url-param include nas-id param-name wlannasid
# 在接口上配置指定携带User-MAC参数,参数名为wlanusermac。
[Sysname] interface Vlan-interface10
[Sysname-Vlan-interface10] portal url-param include user-mac des-encrypt param-name wlanusermac
在如上配置的情况下,nas-id为test,设备向IP地址为10.1.2.34的客户端发送的重定向URL为:http://www.portal.com?wlanacname=0002.0010.100.00&wlanuserip=10.1.2.34&ssid=easy&wlannasid=test&wlanusermac=00-00-22-33-44-55
portal url-param nas-ip ip-address
2:系统级
ip-address:用于填充重定向URL中NAS-IP属性字段的IPv4地址,格式为X.X.X.X。
portal url-param nas-ip用来配置在重定向URL中添加的NAS-IP属性值。undo portal url-param nas-ip命令用来恢复缺省情况。
缺省情况下,未配置在重定向URL中添加的NAS-IP属性值。
在MAC-BAC组网环境下,BAS AC在发送给用户的重定向URL中添加的NAS-IP属性值必须为Master AC的IP地址。Portal服务器收到用户的HTTP报文时,在报文的URL中读取此NAS-IP值用于识别接入设备,并向该NAS-IP的设备发送Portal请求报文。如果不配置此NAS-IP,则BAS AC向用户发送重定向报文的URL中携带的NAS-IP的取值为通过portal nas-ip命令配置的IP地址,若没有通过portal nas-ip命令配置该地址,则取用户接入的接口地址。
本命令必须与命令portal url-param include配合使用,且仅当配置portal url-param include nas-ip的情况下本命令才能生效。
相关配置可参考命令portal url-param include和portal nas-ip。
# 在接口VLAN 2上配置在重定向URL中添加的NAS-IP属性值为192.168.0.2。
[Sysname] portal url-param include nas-ip
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal url-param nas-ip 192.168.0.2
【命令】
portal user-address dhcp-alloc-only
undo portal user-address dhcp-alloc-only
【视图】
接口视图
【缺省级别】
2:系统级
【描述】
portal user-address dhcp-alloc-only命令用来配置Portal用户动态IP地址检查功能。undo portal user-address dhcp-alloc-only命令用来恢复缺省情况。
缺省情况下,没有配置Portal用户动态IP地址检查功能。
当使用静态IP地址的用户发起Portal认证时,直接做认证失败处理。
【举例】
# 配置VLAN1接口下Portal用户动态IP地址检查功能。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] portal user-address dhcp-alloc-only
【命令】
portal user-url user-url-string free
undo portal user-url [ user-url-string ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
user-url-string:指Portal用户访问的网站地址或网站域名中的关键字,为1~127个字符的字符串。
free:Portal用户不需要认证即可访问包含指定关键字的一类域名所对应的服务器地址。
【描述】
portal user-url命令用于配置对用户放行指定的一类网站地址。undo portal user-url命令用于删除已配置的对用户放行指定的网站地址。
缺省情况下,没有配置对用户放行指定的网站地址。当配置为free接入控制方式时,用户不需要认证即可访问指定的网站地址。
需要注意的是:
当需要对用户放行指定的网站地址时,user-url-string字符串是域名地址中的关键字或携带通配符的域名地址。携带通配符的域名地址格式为*abc.com.cm、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的域名地址、匹配所有以abc开头的域名地址和匹配所有含有abc字符串的域名地址。其中*为通配符。
【举例】
# 配置免认证允许访问域名包含“weixin”关键字的服务器。
<Sysname> system-view
[Sysname] portal user-url weixin free
【命令】
portal user-url user-url-string redirect-url redirect-url-string
undo portal user-url
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
user-url-string:用户访问的网站地址,为1~127个字符的字符串,必须是以http://开头的完整的URL路径。
redirect-url-string:重定向的URL地址,为1~127个字符的字符串,必须是以http://
开头的完整的URL路径。
【描述】
portal user-url命令用于配置基于用户Web访问地址的重定向URL。undo portal user-url命令用于恢复缺省情况。
当重定向的URL地址指定为portal认证页面URL时,可以实现根据用户访问URL推不同认证页面。
缺省情况下,没有配置基于用户Web访问地址的重定向URL。
【举例】
# 配置基于用户Web访问http://5.5.5.5地址时,向用户推出重定URL http://111.8.0.244:8080/portal。
<Sysname> system-view
[Sysname] portal user-url http://5.5.5.5 redirect-url http://111.8.0.244:8080/portal
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
2:系统级
port-number:Web代理服务器的TCP端口号,取值范围为1~65535。
all:指定所有Web代理服务器的TCP端口号。
portal web-proxy port命令用来添加允许触发Portal认证的Web代理服务器端口。undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
缺省情况下,不存在允许触发Portal认证的Web代理服务器端口。
· 通过多次执行本命令,最多可以添加4个Web代理服务器端口。
· 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 如果设备上已添加了80端口为Web代理服务器端口,则未使用代理服务器上网的客户端只有通过访问开启了HTTP服务的可达主机,才能触发Portal认证。
· 如果需要对认证成功的Portal用户下发授权ACL,则该ACL必须包含一条允许Web代理服务器IP地址的规则,否则用户上线后,无法接收远程Portal服务器发送的心跳检测报文。
# 某组网环境中,有些Portal客户端浏览器使用Web代理服务器上网,端口号为8080。为了允许这样的Portal用户认证上网,网络管理员需要在Portal接入设备上添加允许触发Portal认证的Web代理服务器端口号8080。
[Sysname] portal web-proxy port 8080
portal [ ipv6 ] wlan ssid ssid-name [ spot spot-name ] { server server-name [ domain domain-name ] | redirect-url url-value [ wait-time value ] | redirect-url-param { nas-id param-name | nas-ip param-name | user-ip param-name | user-mac param-name [ des-encrypt ] | ap-mac param-name [ des-encrypt ] | ac-name param-name | ssid-name param-name } * } *
undo portal [ ipv6 ] wlan ssid ssid-name [ spot spot-name ]
2:系统级
ipv6:用户类型为IPv6。
ssid ssid-name:无线用户接入的SSID的名称。为1~32个字符的字符串,区分大小写。
spot spot-name:AP热点的名称。为1~63个字符的字符串,区分大小写。
server server-name:要绑定的Portal服务器的名称,为1~32个字符的字符串,区分大小写。
domain domain-name:要绑定的ISP认证域的名称,为1~24个字符的字符串,不区分大小写。
redirect-url url-value:Portal用户认证成功后重定向的URL的名称。为1~127个字符的字符串,区分大小写。
wait-time value:Portal用户认证成功后重定向到新URL的等待时间,取值范围1~90,单位为秒。
redirect-url-param:指定Portal用户认证成功之后重定向的URL中需要携带的参数以及参数的名称。
nas-id:指定Portal用户登录成功后重定向URL中包含NAS-ID参数。
nas-ip:指定Portal用户登录成功后重定向URL包含nas-ip参数。
user-ip:指定Portal用户登录成功后重定向URL中包含User-IP参数。
user-mac:指定Portal用户登录成功后重定向URL中包含User-MAC参数。
des-encrypt:指定Portal用户登录成功后重定向URL中的用户MAC地址或者AP MAC地址采用DES方式加密,否则使用明文MAC地址。
ap-mac:指定Portal用户登录成功后重定向URL中包含ap-mac参数。
ac-name:指定Portal用户登录成功后重定向URL中包含ac-name参数。
ssid-name:指定Portal用户登录成功后重定向URL中包含SSID参数。
para-name:指定前面命令配置的参数在URL中所显示的参数名称,内容为1~20个字符的字符串,区分大小写,且只支持字母和数字。指定的参数和参数名在URL中的格式为"para-name=param-value"。
portal [ ipv6 ] wlan ssid命令用来为指定的SSID和AP热点的IPv4或者IPv6用户绑定Portal认证使用的Portal服务器和认证域或者重定向的用户URL以及在URL中需要携带的参数。与指定SSID以及AP热点相匹配的无线接入IPv4或者IPv6用户,将与本命令中指定的Portal Server,Domain,重定向URL进行相关的处理。undo portal wlan ssid命令用来删除为指定的SSID和AP热点配置的绑定关系。
缺省情况下,没有为任何SSID和AP热点绑定使用的Portal服务器和认证域以及重定向URL和URL参数。
需要注意的是:
· 为使配置的绑定关系生效,需要配置相应的免认证规则,以保证设备发送给被绑定Portal服务器的报文可以通过,以及需要保证绑定的Portal服务器和认证域存在。
· 无线用户接入时,先根据其接入的SSID和AP热点来查找使用的Portal服务器和认证域,若未找到与之匹配的绑定关系,则使用接口下使能Portal认证时指定的Portal服务器和系统视图下配置的认证域进行认证。
· 无线用户接入时,先根据其接入的SSID和AP热点来查找使用的重定向URL。若未找到与之匹配的绑定关系,则使用全局配置的命令portal redirect-url。
相关配置可参考portal server、portal free-rule、portal redirect-url和“安全命令参考/AAA”中的命令domain。
# 已经存在名字为pt的portal服务器和名字为dm1的ISP认证域,配置SSID为service和AP热点标识为sp1的无线IPv6用户与名称为pt的Portal服务器进行Portal认证,并使用名称为dm1的认证域,认证成功后重定向到一个外部URL携带nas-ip和user-mac参数,并且nas-ip的参数名为wlannasip,user-mac参数名为wlanusermac,mac地址需要进行加密。
[Sysname] portal ipv6 wlan ssid service spot sp1 server pt domain dm1 redirect-url-param nas-ip wlannasip user-mac wlanusermac des-encrypt
如上配置,假定用户初始访问URL为http://3.3.3.1,则登录成功后页面重定向URL为http://3.3.3.1? wlannasip=93.0.27.54&wlanusermac=c57d9d0c1f559e86919f816b3b240c40000d025e2450c0c8
【命令】
portal wlan ssid-switch logoff
undo portal wlan ssid-switch logoff
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
logoff:表示SSID切换后,Potal用户需要下线。
【描述】
portal wlan ssid-switch命令用来配置无线Portal用户SSID切换后的强制下线功能。当无线Potal用户接入的SSID发生切换后,接入设备将会强制其下线。undo portal wlan ssid-switch命令用来恢复缺省情况。
缺省情况下,无线Portal用户SSID切换后,用户保持在线状态。
【举例】
# 配置无线Portal用户SSID切换后的强制下线功能。
<Sysname> system-view
[Sysname] portal wlan ssid-switch logoff
reset portal connection statistics { all | interface interface-type interface-number }
1:监控级
all:清除所有接口上Portal的连接统计信息。
interface interface-type interface-number:清除指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
reset portal connection statistics命令用来清除接口上Portal的连接统计信息。
# 清除Vlan-interface2接口上Portal的连接统计信息。
<Sysname> reset portal connection statistics interface vlan-interface 2
reset portal server statistics { all | interface interface-type interface-number }
1:监控级
all:清除所有接口上Portal服务器的统计信息。
interface interface-type interface-number:清除指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
reset portal server statistics命令用来清除接口上Portal服务器的统计信息。
# 清除接口Vlan-interface2上的Portal服务器的统计信息。
<Sysname> reset portal server statistics interface vlan-interface 2
reset portal tcp-cheat statistics
1:监控级
reset portal tcp-cheat statistics命令用来清除TCP仿冒统计信息。
# 清除TCP仿冒统计信息。
<Sysname> reset portal tcp-cheat statistics
web-redirect url url-string [ interval interval ]
2:系统级
url-string:强推页面的地址,即用户的Web访问请求被重定向的URL地址。
interval:强推页面的周期,取值范围为60~86400,单位为秒,缺省为86400。
web-redirect命令用来配置接口的强推页面功能,包括设置强推页面的地址和强推页面的时间间隔。undo web-redirect命令用来恢复缺省情况。
· 目前,强推页面功能和Portal功能无法在接口上共存,建议二者不要同时配置使用。
· 当修改了强推页面功能指定的网页后,已在线用户仍访问原配置指定的网页,在原配置的强推页面周期过后访问新配置指定的网页,首次进行Web访问的用户访问新配置指定的网页。
# 在接口Vlan-interface100上配置强推页面功能:强推页面地址为http://192.0.0.1,强推页面周期为3600秒。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] web-redirect url http://192.0.0.1 interval 3600
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!