04-Portal命令
本章节下载: 04-Portal命令 (258.87 KB)
目 录
1.1.1 display portal acl(仅S5500-EI支持)
1.1.2 display portal connection statistics(仅S5500-EI支持)
1.1.3 display portal free-rule
1.1.4 display portal interface
1.1.5 display portal local-server
1.1.6 display portal server(仅S5500-EI支持)
1.1.7 display portal server statistics(仅S5500-EI支持)
1.1.8 display portal tcp-cheat statistics
1.1.11 portal auth-network(仅S5500-EI支持)
1.1.12 portal backup-group(仅S5500-EI支持)
1.1.17 portal local-server enable
1.1.21 portal nas-id-profile(仅S5500-EI支持)
1.1.22 portal nas-ip(仅S5500-EI支持)
1.1.23 portal nas-port-type(仅S5500-EI支持)
1.1.24 portal offline-detect interval
1.1.26 portal server(仅S5500-EI支持)
1.1.28 portal server method(仅S5500-EI支持)
1.1.29 portal server server-detect(仅S5500-EI支持)
1.1.30 portal server user-sync(仅S5500-EI支持)
1.1.32 reset portal connection statistics(仅S5500-EI支持)
仅S5500-EI系列以太网交换机支持Portal IPv6相关配置。
【命令】
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有ACL的信息,包括动态ACL和静态ACL。
dynamic:显示动态ACL的信息,即用户通过Portal认证后产生的ACL。
static:显示静态ACL的信息,即相关配置产生的ACL。
interface interface-type interface-number:显示指定接口的ACL统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal acl命令用来显示接口上Portal的ACL信息。
【举例】
# 显示接口Vlan-interface2上所有ACL的统计信息。(适用于S5500-EI系列交换机)
<Sysname> display portal acl all interface vlan-interface 2
IPv4 portal ACL rules on Vlan-interface2:
Rule 0
Inbound interface : all
Type : static
Action : permit
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 0
Protocol : 0
Destination:
IP : 192.168.1.15
Mask : 255.255.255.255
Rule 1
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 8.8.8.8
Mask : 255.255.255.255
MAC : 0015-e9a6-7cfe
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : 3001
Rule 2
Inbound interface : all
Type : static
Action : redirect
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Rule 3
Inbound interface : all
Type : static
Action : deny
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
IPv6 portal ACL rules on Vlan-interface2:
Rule 0
Inbound interface : all
Type : static
Action : permit
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : any
VLAN : 8
Protocol : 0
Destination:
IP : 2::2
Prefix length : 128
Port : any
Rule 1
Inbound interface : all
Type : static
Action : redirect
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : any
VLAN : 8
Protocol : 0
Destination:
IP : ::
Prefix length : 0
Port : any
Rule 2
Inbound interface : GigabitEthernet1/0/1
Type : static
Action : deny
Source:
IP : ::
Prefix length : 0
MAC : 0000-0000-0000
Interface : GigabitEthernet1/0/1
VLAN : 8
Protocol : 0
Destination:
IP : ::
Prefix length : 0
Port : any
表1-1 display portal acl命令显示信息描述表
字段 |
描述 |
Rule |
Portal ACL编号,此编号为生成的ACL序号,每次显示从0开始递增 |
Inbound interface |
Portal ACL绑定的接口 |
Type |
Portal ACL的类型 |
Action |
Portal ACL的匹配动作 |
Protocol |
Portal ACL的传输层协议号 |
Source |
Portal ACL的源信息 |
IP |
Portal ACL的源IP地址 |
Mask |
Portal ACL的源IP地址子网掩码 |
Prefix length |
Portal ACL的源IPv6地址前缀 |
Port |
Portal ACL的源传输层端口号 |
MAC |
Portal ACL的源MAC地址 |
Interface |
Portal ACL的源接口 |
VLAN |
Portal ACL的源VLAN |
Protocol |
Portal ACL的协议类型 |
Destination |
Portal ACL目的信息 |
IP |
Portal ACL的目的IP地址 |
Mask |
Portal ACL的目的IP地址子网掩码 |
Prefix length |
Portal ACL的目的IPv6地址前缀 |
Author ACL |
Portal ACL的授权ACL,该字段仅在Type为dynamic时才显示 |
Number |
Portal ACL的授权ACL号,即服务器下发的ACL号,None表示服务器未下发ACL |
【命令】
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有接口上Portal的连接统计信息。
interface interface-type interface-number:显示指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal connection statistics命令用来显示接口上Portal的连接统计信息。
【举例】
# 显示Vlan-interface1接口上Portal的连接统计信息。
<Sysname> display portal connection statistics interface vlan-interface 1
---------------Interface: Vlan-interface 1-----------------------
User state statistics:
State-Name User-Num
VOID 0
DISCOVERED 0
WAIT_AUTHEN_ACK 0
WAIT_AUTHOR_ACK 0
WAIT_LOGIN_ACK 0
WAIT_ACL_ACK 0
WAIT_NEW_IP 0
WAIT_USERIPCHANGE_ACK 0
ONLINE 1
WAIT_LOGOUT_ACK 0
WAIT_LEAVING_ACK 0
Message statistics:
Msg-Name Total Err Discard
MSG_AUTHEN_ACK 3 0 0
MSG_AUTHOR_ACK 3 0 0
MSG_LOGIN_ACK 3 0 0
MSG_LOGOUT_ACK 2 0 0
MSG_LEAVING_ACK 0 0 0
MSG_CUT_REQ 0 0 0
MSG_AUTH_REQ 3 0 0
MSG_LOGIN_REQ 3 0 0
MSG_LOGOUT_REQ 2 0 0
MSG_LEAVING_REQ 0 0 0
MSG_ARPPKT 0 0 0
MSG_PORT_REMOVE 0 0 0
MSG_VLAN_REMOVE 0 0 0
MSG_IF_REMOVE 6 0 0
MSG_IF_SHUT 0 0 0
MSG_IF_DISPORTAL 0 0 0
MSG_IF_UP 0 0 0
MSG_ACL_RESULT 0 0 0
MSG_CUT_L3IF 0 0 0
MSG_IP_REMOVE 0 0 0
MSG_ALL_REMOVE 1 0 0
MSG_IFIPADDR_CHANGE 0 0 0
MSG_SOCKET_CHANGE 8 0 0.
MSG_NOTIFY 0 0 0
MSG_SETPOLICY 0 0 0
MSG_SETPOLICY_RESULT 0 0 0
表1-2 display portal connection statistics命令显示信息描述表
字段 |
描述 |
User state statistics |
Portal用户统计信息 |
State-Name |
用户状态名称 |
User-Num |
某状态下的用户数量 |
VOID |
处于void状态的用户数 |
DISCOVERED |
处于discovered状态的用户数 |
WAIT_AUTHEN_ACK |
处于wait_authen_ack状态的用户数 |
WAIT_AUTHOR_ACK |
处于wait_author_ack状态的用户数 |
WAIT_LOGIN_ACK |
处于wait_login_ack状态的用户数 |
WAIT_ACL_ACK |
处于wait_acl_ack状态的用户数 |
WAIT_NEW_IP |
处于wait_new_ip状态的用户数 |
WAIT_USERIPCHANGE_ACK |
处于wait_useripchange_ack状态的用户数 |
ONLINE |
处于online状态的用户数 |
WAIT_LOGOUT_ACK |
处于wait_logout_ack状态的用户数 |
WAIT_LEAVING_ACK |
处于wait_leaving_ack状态的用户数 |
Message statistics |
消息统计信息 |
Msg-Name |
消息名字 |
Total |
某一类消息的总数 |
Err |
某一类错误的消息的数目 |
Discard |
某一类被丢弃的消息的数目 |
MSG_AUTHEN_ACK |
认证回应消息 |
MSG_AUTHOR_ACK |
授权回应消息 |
MSG_LOGIN_ACK |
计费回应消息 |
MSG_LOGOUT_ACK |
停止计费请求回应消息 |
MSG_LEAVING_ACK |
下线请求回应消息 |
MSG_CUT_REQ |
切断用户请求消息 |
MSG_AUTH_REQ |
认证请求消息 |
MSG_LOGIN_REQ |
计费请求消息 |
MSG_LOGOUT_REQ |
停止计费请求消息 |
MSG_LEAVING_REQ |
下线请求消息 |
MSG_ARPPKT |
ARP消息 |
MSG_PORT_REMOVE |
删除某个二层接口的用户消息 |
MSG_VLAN_REMOVE |
删除VLAN的用户消息 |
MSG_IF_REMOVE |
删除某个三层接口导致用户下线的消息 |
MSG_IF_SHUT |
三层接口关闭的消息 |
MSG_IF_DISPORTAL |
接口去使能Portal的消息 |
MSG_IF_UP |
三层接口UP的消息 |
MSG_ACL_RESULT |
ACL下发失败的消息 |
MSG_CUT_L3IF |
强制用户下线导致的删除某个三层接口的用户消息 |
MSG_IP_REMOVE |
删除某个IP的用户消息 |
MSG_ALL_REMOVE |
删除所有的用户消息 |
MSG_IFIPADDR_CHANGE |
接口IP变化消息 |
MSG_SOCKET_CHANGE |
socket变化消息 |
MSG_NOTIFY |
通知下发消息 |
MSG_SETPOLICY |
服务器下发安全ACL的Set policy消息 |
MSG_SETPOLICY_RESULT |
Set policy结果消息 |
【命令】
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
rule-number:免认证规则编号。取值范围为0~255。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal free-rule命令用来显示Portal的免认证规则信息。
需要注意的是,若不指定参数rule-number,则显示所有的免认证规则信息。
相关配置可参考命令portal free-rule。
【举例】
# 显示编号为1的免认证规则(适用于S5500-SI系列交换机)。
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
MAC : 0000-0000-0000
Interface : any
Vlan : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
# 显示编号为1的免认证规则(适用于S5500-EI系列交换机)
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
MAC : 0000-0000-0000
Interface : any
Vlan : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Rule-Number 2:
Source:
IP : 1::2
Prefix length : 128
MAC : 0000-0000-0000
Interface : any
Vlan : 0
Destination:
IP : 1::
Prefix length : 64
表1-3 display portal free-rule命令显示信息描述表
字段 |
描述 |
Rule-Number |
免认证规则的编号 |
Source |
免认证规则的源信息 |
IP |
免认证规则的源IP地址 |
Mask |
免认证规则的源IP地址子网掩码 |
Prefix length |
免认证规则的源IPv6地址前缀 (仅S5500-EI支持) |
MAC |
免认证规则的源MAC地址 |
Interface |
免认证规则的源接口 |
Vlan |
免认证规则的源VLAN |
Destination |
免认证规则的目的信息 |
IP |
免认证规则的目的IP地址 |
Mask |
免认证规则的目的IP地址子网掩码 |
Prefix length |
免认证规则的目的IPv6地址前缀(仅S5500-EI支持) |
【命令】
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal interface命令用来显示指定接口的Portal配置信息。
【举例】
# 显示Vlan-interface1接口的Portal配置信息(适用于S5500-SI系列交换机)。
<Sysname> display portal interface vlan-interface 1
Interface portal configuration:
Vlan-interface1: Portal running
Portal server: servername
Authentication type: Direct
Authentication domain: my-domain
Authentication network:
source address : 0.0.0.0 mask : 0.0.0.0
destination address : 2.2.2.0. mask : 255.255.255.0
表1-4 display portal interface命令显示信息描述表
字段 |
描述 |
Interface portal configuration |
接口上Portal的配置信息 |
Vlan-interface1 |
接口上Portal认证的状态 · disabled:Portal认证未使能 · enabled:Portal认证已使能,但未生效 · running:Portal认证已生效 |
Portal server |
接口引用的Portal服务器 |
Authentication type |
接口上配置的认证方式 |
Authentication domain |
接口上的强制认证域 |
Authentication network |
Portal认证网段信息 |
address |
Portal认证网段的IP地址 |
mask |
Portal认证网段的子网掩码 |
# 显示接口Vlan-interface2的Portal配置信息(适用于S5500-EI系列交换机)。
<Sysname> display portal interface vlan-interface 2
Portal configuration of Vlan-interface2
IPv4:
Status: Portal running
Portal server: servername
Portal backup-group: 1
Authentication type: Layer3
Authentication domain: my-domain
Authentication network:
Source IP: 1.1.1.1 Mask : 255.255.0.0
Portal configuration of Vlan-interface2
IPv6:
Status: Portal running
Portal server: v6pt
Portal backup-group: None
Authentication type: Direct
Authentication domain:
Authentication network:
Source IP: 4::4 Prefix length: 128
表1-5 display portal interface命令显示信息描述表
字段 |
描述 |
Portal configuration of interface |
接口interface上的Portal的配置信息 |
IPv4 |
IPv4 Portal服务器的相关配置信息 |
IPv6 |
IPv6 Portal服务器的相关配置信息 |
Status |
接口上Portal认证的状态 · Portal disabled:Portal认证未使能 · Portal enabled:Portal认证已使能,但未生效 · Portal running:Portal认证已生效 |
Portal server |
接口引用的Portal服务器 |
Portal backup-group |
接口所属的备份组编号 当接口不属于任何备份组时,显示为None |
Authentication type |
接口上配置的认证方式 |
Authentication domain |
接口上的强制认证域 |
Authentication network |
Portal认证网段信息 |
Source IP |
Portal源认证网段的IP地址 |
Mask |
Portal认证网段的子网掩码 |
Prefix length |
Portal IPv6认证网段的地址前缀长度 |
【命令】
display portal local-server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal local-server用来显示本地Portal服务器的配置信息,包括支持的协议类型、引用的SSL服务器端策略。
相关配置可参考命令portal local-server和portal local-server bind。
【举例】
# 显示本地Portal服务器的配置。
<Sysname> display portal local-server
Protocol:
Local-server IP: 255.255.255.255
Server policy:
表1-6 display portal local-server命令显示信息描述表
字段 |
描述 |
Protocol |
本地Portal服务器支持的协议类型,包括HTTP和HTTPS |
Local-server IP |
本地Portal服务器地址 |
Server policy |
指定HTTPS服务关联的SSL服务器策略,如果配置的是HTTP协议方式,则此字段为空 |
【命令】
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
server-name:Portal服务器的名称,为1~32个字符的字符串,区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal server命令用来显示Portal服务器信息。
需要注意的是,若不指定参数server-name,则显示所有Portal服务器信息。
相关配置可参考命令portal server。
【举例】
# 显示Portal服务器aaa的信息。
<Sysname> display portal server aaa
Portal server:
0)aaa:
IP : 192.168.0.111
VPN instance : vpn1
Port : 50100
Key : ******
URL : http://192.168.0.111
Status : Up
表1-7 display portal server命令显示信息描述表
字段 |
描述 |
1) |
Portal服务器编号 |
aaa |
Portal服务器名称 |
VPN instance |
Portal服务器所属的MPLS L3VPN(仅S5500-EI系列支持) |
IP |
Portal服务器的IP地址 |
Port |
Portal服务器的监听端口 |
Key |
与Portal服务器进行报文交互时使用的共享密钥 · 若已配置,则显示****** · 若未配置,则显示Not configured |
URL |
Portal服务器重定向地址 若未配置,则显示Not configured |
Status |
Portal服务器当前状态,其取值涵义如下: · N/A:该服务器未在任何接口上被引用或者服务器探测功能未开启,可达状态未知; · Up:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前可达; · Down:服务器探测功能已开启,且该服务器已经在接口上被引用,探测结果为该服务器当前不可达 IPv6 Portal服务器目前不支持服务器探测功能,因此不显示此信息 |
【命令】
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有接口上Portal服务器的统计信息。
interface interface-type interface-number:显示指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal server statistics命令用来显示接口上Portal服务器的统计信息,其中包括设备接收到Portal服务器发送的报文以及设备发送给该Portal服务器的报文的信息。
需要注意的是,指定all参数时,设备依次显示各个接口上的Portal服务器的统计信息,即使是一个Portal服务器的统计信息也是分别在不同接口下显示。
【举例】
# 显示Vlan-interface1接口上Portal服务器的统计信息。
<Sysname> display portal server statistics interface vlan-interface 1
---------------Interface: Vlan-interface 1----------------------
Server name: st
Invalid packets: 0
Pkt-Name Total Discard Checkerr
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHANGE 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_USERSYNC 2 0 0
ACK_NTF_USERSYNC 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
表1-8 display portal server statistics命令显示信息描述表
字段 |
描述 |
Interface |
Portal服务器所在的接口 |
Server name |
Portal服务器名称(仅S5500-SI系列支持) |
Invalid packets |
无效报文的数目 |
Pkt-Name |
报文的名称 |
Total |
报文的总数 |
Discard |
丢弃报文数 |
Checkerr |
错误报文数 |
REQ_CHALLENGE |
Portal服务器向接入设备发送的challenge请求报文 |
ACK_CHALLENGE |
接入设备对Portal服务器challenge请求的响应报文 |
REQ_AUTH |
Portal服务器向接入设备发送的请求认证报文 |
ACK_AUTH |
接入设备对Portal服务器认证请求的响应报文 |
REQ_LOGOUT |
Portal服务器向接入设备发送的下线请求报文 |
ACK_LOGOUT |
接入设备对Portal服务器下线请求的响应报文 |
AFF_ACK_AUTH |
Portal服务器收到认证成功响应报文后向接入设备发送的确认报文 |
NTF_LOGOUT |
接入设备发送给Portal服务器,用户被强制下线的通知报文 |
REQ_INFO |
信息询问报文 |
ACK_INFO |
信息询问的响应报文 |
NTF_USERDISCOVER |
Portal服务器向接入设备发送的发现新用户要求上线的通知报文 |
NTF_USERIPCHANGE |
接入设备向Portal服务器发送的通知更改某个用户IP地址的通知报文 |
AFF_NTF_USERIPCHANGE |
Portal服务器通知接入设备对用户表项的IP切换已成功报文 |
ACK_NTF_LOGOUT |
Portal服务器对强制下线通知的响应报文 |
NTF_USERSYNC |
接入设备收到的从Portal服务器发送的用户同步报文数 |
ACK_NTF_USERSYNC |
接入设备向Portal服务器回应的用户同步响应报文数 |
NTF_CHALLENGE |
接入设备向Portal服务器发送的challenge请求报文 |
NTF_USER_NOTIFY |
接入设备向Portal服务器发送的用户消息通知报文 |
AFF_NTF_USER_NOTIFY |
Portal服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
【命令】
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal tcp-cheat statistics命令用来显示TCP仿冒统计信息。
【举例】
# 显示所有TCP仿冒统计信息。
<Sysname> display portal tcp-cheat statistics
TCP Cheat Statistic:
Total Opens: 0
Resets Connections: 0
Current Opens: 0
Packets Received: 0
Packets Sent: 0
Packets Retransmitted: 0
Packets Dropped: 0
HTTP Packets Sent: 0
Connection State:
SYN_RECVD: 0
ESTABLISHED: 0
CLOSE_WAIT: 0
LAST_ACK: 0
FIN_WAIT_1: 0
FIN_WAIT_2: 0
CLOSING: 0
表1-9 display portal tcp-cheat statistics命令显示信息描述表
字段 |
描述 |
TCP Cheat Statistic |
TCP仿冒统计信息 |
Total Opens |
打开的连接总数 |
Resets Connections |
通过RST报文重置的连接数 |
Current Opens |
当前正在打开的连接数 |
Packets Received |
收到的报文数 |
Packets Sent |
发送的报文数 |
Packets Retransmitted |
重传的报文数 |
Packets Dropped |
丢弃的报文数 |
HTTP Packets Sent |
发送的HTTP报文数 |
Connection State |
连接状态 |
ESTABLISHED |
处于established状态的连接数 |
CLOSE_WAIT |
处于close wait状态的连接数 |
LAST_ACK |
处于last ack状态的连接数 |
FIN_WAIT_1 |
处于fin wait 1状态的连接数 |
FIN_WAIT_2 |
处于fin wait 2状态的连接数 |
CLOSING |
处于closing状态的连接数 |
【命令】
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有Portal用户的信息。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal user命令用来显示Portal用户的信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:Stand-alone
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eab 2.2.2.2 1 Vlan-interface1
Index:3
State:ONLINE
SubState:NONE
ACL:3000
Work-mode:Primary
VPN instance:vpn1
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 2.2.2.3 2 Vlan-interface2
Total 2 user(s) matched, 2 listed.
表1-10 display portal user命令显示信息描述表
字段 |
描述 |
Index |
Portal用户的索引 |
State |
Portal用户的当前状态 |
SubState |
Portal用户的当前子状态 |
ACL |
Portal用户的授权ACL |
Work-mode |
Portal用户的工作模式 |
VPN instance |
Portal用户所属的MPLS L3VPN(仅S5500-SI系列支持) |
MAC |
Portal用户的MAC地址 |
IP |
Portal用户的IP地址 |
Vlan |
Portal用户所在的VLAN |
Interface |
Portal用户所在的接口 |
Total 2 user(s) matched, 2 listed |
总计有两个Portal用户 |
【命令】
portal auth-fail vlan authfail-vlan-id
undo portal auth-fail vlan
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
authfail-vlan-id:Auth-Fail VLAN ID。Portal用户认证失败后,将被加入此VLAN。
【描述】
portal auth-fail vlan命令用来配置指定端口的Portal认证的Auth-Fail VLAN。undo portal auth-fail vlan命令用来恢复缺省配置。
缺省情况下,端口没有配置Portal认证的Auth-Fail VLAN。
需要注意的是:
· 本命令指定的VLAN必须已经存在。
· 为使该配置生效,必须使能端口上的MAC VLAN功能。
· 不同的端口可以配置不同的Portal认证的Auth-Fail VLAN,但一个端口最多只能配置一个Portal认证的Auth-Fail VLAN。
【举例】
# 配置Portal用户认证失败后加入的Auth-Fail VLAN为VLAN 5。
<Sysname> system-view
[Sysname] vlan 5
[Sysname-vlan5] quit
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port link-type hybrid
[Sysname-GigabitEthernet1/0/1] mac-vlan enable
[Sysname-GigabitEthernet1/0/1] portal auth-fail vlan 5
【命令】
portal auth-network { network-address { mask-length | mask } | ipv6 ipv6-network-address prefix-length }
undo portal auth-network { network-address | all | ipv6 ipv6-network-address }
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
network-address:源IPv4认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
ipv6 ipv6-network-address:源IPv6认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
all:所有源认证网段。
【描述】
portal auth-network命令用来配置源认证网段,即接口上只允许在源认证网段范围内的用户报文才能触发Portal强制认证。如果用户在访问外部网络之前未主动进行Portal认证,且用户报文既不满足免认证规则又不在源认证网段内,则用户报文将被接入设备丢弃。undo portal auth-network命令用来取消源认证网段的配置。
缺省情况下,源IPv4认证网段为0.0.0.0/0,源IPv6认证网段为::/0,表示对来自任意网段的用户都进行Portal认证。
需要注意的是:
· 源认证网段配置仅对可跨三层Portal认证(layer3)有效。直接认证方式(direct)下的源认证网段为任意源IP,二次地址分配方式(redhcp)下的源认证网段为由接口私网IP决定的私网网段。
· 可通过多次执行本命令,配置多个源认证网段。
【举例】
# 在接口Vlan-interface2上配置一条源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal auth-network 10.10.10.0 24
【命令】
portal backup-group group-id
undo portal backup-group
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
group-id:表示接口所属的Portal备份组序号,取值范围为1~256。
【描述】
portal backup-group命令用来设置业务备份接口所属的Portal备份组,属于同一个Portal备份组的业务备份接口互相备份Portal用户数据。undo portal backup-group命令用来恢复缺省情况。
缺省情况下,业务备份接口不属于任何Portal备份组。
在双机热备组网环境中进行Portal业务数据备份时,备份源设备将Portal用户数据从本地某业务备份接口发往备份目的设备上对应的业务备份接口后,业务数据会被保存在目的设备。通过本命令将两台设备上指定的业务备份接口关联起来。
需要注意的是:
· 本文将备份Portal业务所涉及的接口简称为业务备份接口,与传输状态协商报文和备份数据的备份接口相区别。
· 当有接口已经加入某一备份组后,设备上的其它接口不能再加入该备份组。
· 只有相互备份的两台设备上的业务备份接口所属的备份组相同,且接口状态均up,并都使能了Portal认证,这两个业务备份接口之间的用户数据才可以进行同步。
【举例】
# 在双机热备组网环境中,配置备份源设备的业务备份接口Vlan-interface1属于Portal备份组1。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal backup-group 1
在对端设备上,应该将对应的业务备份接口也加入备份组1。
【命令】
portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
Ipv4-address:指定Portal用户的IPv4地址。
all:所有Portal用户。
interface interface-type interface-number:该接口下的所有Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定Portal用户的IPv6地址。(仅S5500-EI系列支持)
【描述】
portal delete-user命令用来强制接入设备上的Portal用户下线。
相关配置可参考命令display portal user。
【举例】
# 强制IP地址为1.1.1.1的Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
【命令】
portal domain [ ipv6 ] domain-name
undo portal domain [ ipv6 ]
【视图】
VLAN接口视图(仅S5500-EI支持)、二层以太网端口视图
【缺省级别】
2:系统级
【参数】
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。(仅S5500-EI系列支持)
domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写,且必须是已经存在的域名。
【描述】
portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。undo portal domain命令用来恢复缺省情况。
缺省情况下,未指定Portal用户使用的认证域。
对于undo命令,如果不指定ipv6参数,则表示删除IPv4 Portal用户使用的认证域。
相关配置可参考命令display portal interface。
【举例】
# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域my-domain。(仅S5500-EI支持)
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
# 指定从端口GigabitEthernet1/0/1上接入的IPv4 Portal用户使用认证域my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet1/0/1
[Sysname–Gigabitethernet1/0/1] portal domain my-domain
【命令】
S5500-EI系列:
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ipv6 { ipv6-address prefix-length | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | netmask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ipv6 { ipv6-address prefix-length | any } | mac mac-address | vlan vlan-id ] * } } *
undo portal free-rule { rule-number | all }
S5500-SI系列:
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source any } *
undo portal free-rule { rule-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rule-number:免认证规则编号。取值范围为0~255。
any:表示不对前面的参数做限制。
ip ip-address:免认证规则的IP地址。
mask { mask-length | netmask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;netmask为子网掩码,点分十进制格式。
ipv6 ipv6-address prefix-length:免认证规则的IPv6地址。prefix-length:免认证规则的IPv6地址前缀长度,取值范围为1~128。(仅S5500-EI支持)
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。(仅S5500-EI支持)
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。(仅S5500-EI支持)
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。(仅S5500-EI支持)
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。(仅S5500-EI支持)
vlan vlan-id:免认证规则的源VLAN编号。(仅S5500-EI支持)
all:所有免认证规则。
【描述】
portal free-rule命令用来配置Portal的免认证规则,指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。
需要注意的是:
· 如果同时指定源IPv4地址与源MAC地址,则必须保证IPv4地址为32位掩码的主机地址,否则指定的MAC地址无效。
· 如果同时指定源IPv6地址与源MAC地址,则必须保证IPv6地址为前缀长度为128位的主机地址,否则指定的MAC地址无效。
· 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
· 如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
· 加入聚合组的二层以太网端口不能被指定为免认证规则的源端口,反之亦然。
· 对于二层Portal认证,只能配置从任意源地址(即source any)到任意或指定目的地址的免认证规则。配置了这种类型的免认证规则后,用户不需要通过Portal认证即可访问指定目的网段或地址的网络资源,且用户访问这些资源的HTTP请求不会被重定向到Portal认证页面上。
相关配置可参考命令display portal free-rule。
【举例】
# 配置Portal免认证规则,符合源地址为10.10.10.1/24、Vlan-interface1接口和目的IP地址任意的报文不会触发Portal认证。(适用于S5500-EI系列交换机)
<Sysname> system-view
[Sysname] portal free-rule 15 source ip 10.10.10.1 mask 24 interface vlan-interface 1 destination ip any
# 配置Portal免认证规则,目的IP地址为10.10.10.1/24的报文不会触发Portal认证。(适用于S5500-SI系列交换机)
<Sysname> system-view
[Sysname] portal free-rule 16 destination ip 10.10.10.1 mask 24 source any
【命令】
portal local-server { http | https server-policy policy-name }
undo portal local-server { http | https }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
http:指定本地Portal服务器使用HTTP协议和客户端交互认证信息。
https:指定本地Portal服务器使用HTTPS协议和客户端交互认证信息。
server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。其中,policy-name表示SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。
【描述】
portal local-server命令用来配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件。undo portal local-server命令用来取消本地Portal服务器支持的协议类型。
缺省情况下,本地Portal服务器不支持任何协议类型。
需要注意的是:
· 执行本命令时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此,为保证自定义的缺省认证页面生效,请首先完成对它的编辑及保存工作,否则使用系统默认的缺省认证页面。
· 若指定HTTP协议,则HTTP报文的重定向地址格式为:http://设备IP/portal/logon.htm,客户端通过HTTP协议与Portal服务器交互认证信息。
· 若指定HTTPS协议,则HTTP报文的重定向地址格式为:https://设备IP/portal/logon.htm,客户端通过HTTPS协议与Portal服务器交互认证信息。
· 已经被HTTPS服务关联的SSL服务器端策略不能使用undo ssl server-policy删除。
· 本设备上所有与HTTPS服务相关联的SSL服务器端策略必须相同。
· 若设备上有本地Portal用户在线,则不能取消支持的协议类型或修改支持的协议类型,也不能修改关联的SSL服务器端策略。
· 更改HTTPS服务关联的SSL服务器端策略时,必须先使用undo portal local-server https命令取消配置的HTTPS协议,然后再重新指定SSL服务器策略。
相关配置可参考命令display portal local-server和“安全命令参考/SSL”中的ssl server-policy。
【举例】
# 配置本地Portal服务器支持HTTP协议方式。
<Sysname> system-view
[Sysname] portal local-server http
# 配置本地Portal服务器支持HTTPS协议方式,并引用已经配置的SSL服务器端策略policy1。
<Sysname> system-view
[Sysname] portal local-server https server-policy policy1
# 更改SSL服务器端策略为policy2。
[Sysname] undo portal local-server https
[Sysname] portal local-server https server-policy policy2
【命令】
portal local-server enable
undo portal
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal local-server enable命令用来在端口上使能二层Portal认证。undo portal命令用来恢复缺省配置。
缺省情况下,未使能二层Portal认证。
需要注意的是:
· 为使二层端口上的Portal认证功能正常运行,请保证未在任何三层接口上使能Portal认证,并且不建议端口上同时使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。关于端口安全、802.1X的相关介绍,请参考“安全配置指导”中的“端口安全”和“802.1X”。
· 使能该功能前,必须先指定本地Portal服务器的监听IP地址。
相关配置请参考命令portal local-server ip。
【举例】
# 在端口GigabitEthernet1/0/1上使能二层Portal认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal local-server enable
【命令】
portal local-server ip ip-address
undo portal local-server ip
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:本地Portal服务器的监听IP地址。该地址为接入设备上一个与Portal客户端路由可达的三层接口IP地址(通常为Loopback接口IP)。
【描述】
portal local-server ip命令用来指定二层Portal认证的本地Portal服务器监听IP地址。对于Portal用户输入任意URL地址进行的Web访问请求,设备都将其重定向到该监听地址的认证页面上。undo portal local-server ip命令用来恢复缺省配置。
缺省情况下,没有指定本地Portal服务器的监听IP地址。
需要注意的是,配置的监听IP地址推荐使用LoopBack接口地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
【举例】
# 配置二层Portal认证的本地Portal服务器监听IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] interface loopback 1
[Sysname-LoopBack1] ip address 1.1.1.1 32
[Sysname-LoopBack1] quit
[Sysname] portal local-server ip 1.1.1.1
【命令】
portal max-user max-number
undo portal max-user
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
max-number:允许同时在线的最大Portal用户数,S5500-EI系列以太网交换机的取值范围为1~3000,S5500-SI系列以太网交换机的取值范围为1~1000。
【描述】
portal max-user命令用来配置Portal最大用户数。undo portal max-user命令用来恢复缺省情况。
缺省情况下,S5500-EI系列以太网交换机的Portal最大用户数为3000,S5500-SI系列以太网交换机的Portal最大用户数为1000。
需要注意的是,如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
【举例】
# 配置Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【命令】
portal move-mode auto
undo portal move-mode
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal move-mode auto命令用来开启Portal用户认证端口的自动迁移功能。已认证用户离开原认证端口到达新的认证端口后,如果端口的VLAN相同,则用户不需要重新认证,就可以继续访问网络;若端口的VLAN不同,则该用户将在原端口上下线,在新的端口上重新认证后上线。undo portal move-mode用来恢复缺省情况。
缺省情况下,Portal用户认证端口的自动迁移功能处于关闭状态。认证成功的用户从同一设备上的当前认证端口离开并迁移到其它认证端口上接入时,由于原端口上仍然保留该用户的认证信息,从而无法在新端口上认证上线。
需要注意的是,在开启了本功能的情况下,若用户认证端口迁移后原端口状态变为down,则用户也会下线,所以本功能仅能在用户和设备之间存在Hub、二层交换机或AP的组网环境下生效。
【举例】
# 开启Portal用户认证端口的自动迁移功能。
<Sysname> system-view
[Sysname] portal move-mode auto
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
【描述】
portal nas-id-profile命令用来指定接口的NAS-ID Profile。undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。
缺省情况下,未指定NAS-ID Profile。
需要注意的是,如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,则使用设备名作为NAS-ID。
【举例】
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile 。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【命令】
portal nas-ip { ipv4-address | ipv6 ipv6-address }
undo portal nas-ip [ ipv6 ]
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
ipv4-address:接口发送Portal报文的IPv4源地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:接口发送Portal报文的IPv6源地址,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。
【描述】
portal nas-ip命令用来配置接口发送Portal报文使用的源地址。undo portal nas-ip命令用来恢复缺省情况。
缺省情况下,未指定源地址,即以接入用户的接口地址作为发送Portal报文的源地址。
对于undo命令,如果不指定参数,则表示删除指定的IPv4源地址。
【举例】
# 配置接口Vlan-interface5发送Portal报文使用的IPv4源地址为2.2.2.2。
<Sysname> system-view
[Sysname] interface vlan-interface 5
[Sysname-Vlan-interface5] portal nas-ip 2.2.2.2
【命令】
portal nas-port-type { ethernet | wireless }
undo portal nas-port-type
【视图】
VLAN接口视图
【缺省级别】
系统级
【参数】
ethernet:指定用户接入的端口类型为Ethernet,对应的编码值为15。
wireless:指定用户接入的端口类型为符合IEEE 802.11标准的无线接口,对应的编码值为19。该参数通常在接入无线Portal用户的接口上指定,可保证接入设备向RADIUS服务器传递的用户端口类型为无线类型。
【描述】
portal nas-port-type命令用来配置接口的NAS-Port-Type,即向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。undo portal nas-port-type命令用来恢复缺省情况。
缺省情况下,未指定接口的NAS-Port-Type,RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。
【举例】
# 配置接口Vlan-interface 2的NAS-Port-Type为符合IEEE 802.11标准的无线接口类型。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-port-type wireless
【命令】
portal offline-detect interval offline-detect-interval
undo portal offline-detect interval
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
offline-detect-value:用户在线检测时间间隔,取值范围为60~65535。
【描述】
portal offline-detect interval命令用来配置二层Portal用户的在线检测时间间隔。设备会以此为间隔定期检测此端口上所有在线用户的MAC地址表项是否被流量命中过,若检测到某用户的MAC没有被命中过或者该用户的MAC地址表项已经老化,则认为一次检测失败,若连续两次检测失败,设备将强制该用户下线。undo portal offline-detect interval命令用来恢复缺省情况。
缺省情况下,二层Portal用户在线检测时间间隔为300秒。
需要注意的是,由于设备进行检测时若发现用户MAC地址表项已经老化,则会认为检测失败,因此,为避免这种无效检测,建议配置的检测时间间隔小于等于用户MAC地址表项的老化时间。
【举例】
# 配置设备检测GigabitEthernet 1/0/1端口上二层Portal用户在线状态的时间间隔为3600秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet 1/0/1] portal offline-detect interval 3600
【命令】
portal redirect-url url-string [ wait-time period ]
undo portal redirect-url
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
url-string:Portal用户认证成功后,认证页面的自动跳转目的网站地址,为1~127个字符的字符串,必须是以http://或者https://开头的完整的URL路径。
period:Portal用户认证成功后认证页面等待进行跳转的时间间隔,取值范围为1~90,单位为秒,缺省值为5。
【描述】
portal redirect-url命令用来指定Portal用户认证成功后认证页面的自动跳转目的网站地址。undo portal redirect-url命令用来恢复缺省情况。
缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面。
需要注意的是:
· 对于三层远程Portal认证,该特性需要与支持自动跳转页面功能的iMC服务器配合使用。
· wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。
· 若二层Portal认证用户认证成功后要被授权VLAN,则用户上线后可能需要更新自己的IP地址,本命令中指定的网站页面跳转等待时间间隔应该大于用户更新IP地址的时间,否则用户可能会因为IP地址还没有完成更新而无法打开指定的跳转网站页面。
【举例】
# 指定Portal用户认证成功后,认证页面在3秒后自动跳转为http://www.testpt.cn网站页面。
<Sysname> system-view
[Sysname] portal redirect-url http://www.testpt.cn wait-time 3
【命令】
portal server server-name { ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * }
undo portal server server-name [ key | port | url | vpn-instance ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
ipv4-address:Portal服务器的IPv4地址。若指定的是本地Portal服务器,则此地址为接入设备上与Portal客户端路由可达的三层接口IP地址,但在双机热备环境下此地址建议为VRRP下行链路所在备份组的虚拟IP地址。
ipv6 ipv6-address:Portal服务器的IPv6地址。
key:与Portal服务器通信需要的共享密钥。设备与Portal服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~16个字符的字符串;密文密钥为1~53个字符的字符串。不指定cipher或simple时,表示以明文方式设置共享密钥。
port-id:设备向Portal服务器主动发送报文时使用的目的端口号,取值范围为1~65534,缺省值为50100。
url-string:HTTP报文重定向地址。缺省的HTTP报文重定向地址格式为http://ip-address,其中ip-address为Portal服务器的IP地址。重定向地址支持域名解析,但需要使用命令portal free-rule将DNS服务器地址加入Portal的免认证地址范围内。
vpn-instance-name:Portal服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal服务器位于公网中。
【描述】
portal server命令用来指定三层Portal认证的Portal服务器。undo portal server命令用来删除指定的Portal服务器,或者恢复服务器参数为缺省值。
缺省情况下,没有指定三层Portal认证的Portal服务器。
需要注意的是:
· 若指定名字的Portal服务器存在,但该接口上没有用户,则undo portal server命令不指定任何参数时,将删除指定Portal服务器;否则相同条件下,指定参数port、url时,将恢复指定参数为缺省值。
· 已配置的Portal服务器及其参数仅在该Portal服务器未被任何接口引用时才可以被删除或修改。要删除或修改已经被接口引用的Portal服务器配置,必须首先在引用该Portal服务器的接口上使用命令undo portal取消配置。
· 通常,使用本地Portal服务器时,Portal服务器参数key、port和url均不需配置,若配置也无效。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令display portal server。
【举例】
# 配置Portal服务器pts的IP地址为192.168.0.111、密钥为明文portal、HTTP重定向的URL为http://192.168.0.111/portal。
<Sysname> system-view
[Sysname] portal server pts ip 192.168.0.111 key simple portal url http://192.168.0.111/portal
【命令】
portal server banner banner-string
undo portal server banner
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
banner-string:用户定制的Web页面欢迎信息,为1~50个字符的字符串,区分大小写,不允许为‘<’、‘&’。字符串中可包括连续多个连续空格,浏览器将会识别为一个空格。
【描述】
portal server banner命令用来配置本地Portal服务器提供的缺省Web页面欢迎信息。undo portal server banner命令用来恢复缺省配置。
缺省情况下,无Web页面欢迎信息。
需要注意的是,配置的Web页面欢迎信息仅对缺省的认证页面有效,对于用户定制的认证页面无效。
【举例】
# 配置本地Portal服务器提供的Web页面欢迎信息为:Welcome to Portal Authentication。
<Sysname> system-view
[Sysname] portal server banner Welcome to Portal Authentication
【命令】
portal server server-name method { direct | layer3 | redhcp }
undo portal [ server server-name ]
【视图】
VLAN接口视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。
method:认证方式。
· direct:直接认证方式。
· layer3:三层认证方式。
· redhcp:二次地址分配认证方式。
【描述】
portal server method命令用来在接口上使能三层Portal认证,同时指定引用的Portal服务器和认证方式。undo portal命令用来在接口上取消三层Portal认证。
缺省情况下,接口上没有使能三层Portal认证。
需要注意的是:
· 使能三层Portal认证的接口上所引用的Portal服务器必须已经存在。
· 使用本地Portal服务器的情况下,二次地址分配认证方式可配置但不生效。
· IPv6 Portal服务器不支持二次地址分配方式的Portal认证。
· 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是,不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证
· 如果不指定任何参数,则对应的undo命令表示取消接口上的所有三层Portal认证。
相关配置可参考命令display portal server。
【举例】
# 在接口Vlan-interface100上使能三层Portal认证。指定Portal服务器pts,并配置为直接认证方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal server pts method direct
【命令】
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]
undo portal server server-name server-detect
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
server-detect method { http | portal-heartbeat }:Portal服务器探测方式。包括以下两种,且可同时选择。
· http:表示探测HTTP连接。接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。当Portal服务器不支持逃生心跳功能的时候只能使用此探测方式。
· portal-heartbeat:表示探测Portal心跳报文。设备检测Portal服务器定期发送的Portal心跳报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。该方式仅对支持Portal心跳检测机制(目前仅iMC的Portal服务器支持)的Portal服务器有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,且服务器上配置的逃生心跳间隔要小于等于设备上配置的探测间隔。
action { log | permit-all | trap }:Portal服务器可达状态的变化时,可触发执行的操作。包括以下三种,且同时可选择多种。
· log:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
· permit-all:也称为Portal逃生,表示在Portal服务器不可达时,暂时取消端口进行的Portal认证,允许所有Portal用户访问网络资源。之后,若端口收到服务器的探测报文,或者收到其它认证报文(上线报文、下线报文等),则恢复其Portal认证功能。
· trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。
interval interval:进行探测尝试的时间间隔,取值范围为20~600,单位为秒,缺省值为20。
retry retries:连续探测失败的最大次数,取值范围为1~5,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
【描述】
portal server server-detect命令用来配置对Portal服务器的探测功能,包括配置探测方法、可触发执行的操作、探测时间间隔以及最大探测失败次数。配置此功能后,设备会周期性地检测指定的Portal服务器状态是否可达,并在可达状态发生变化后执行指定的操作。undo portal server server-detect命令用来取消对指定的Portal服务器的探测功能配置。
缺省情况下,未配置对Portal服务器的探测功能。
需要注意的是:
· 可同时配置多种探测方式和可触发执行的操作。
· 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
· 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
· 在设备上删除Portal服务器时将会同时删除该服务器的探测功能配置。
· 对同一服务器多次执行探测功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对指定Portal服务器配置的探测功能,只有当该服务器在接口上使能之后才能生效。
· 对于Portal服务器发来的其它认证报文(上线报文,下线报文等)也认为等效于心跳报文。
相关配置可参考命令display portal server。
【举例】
# 配置对Portal服务器pts的探测功能:探测方式为同时探测HTTP连接和Portal心跳报文,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息,并打开网络限制,允许未认证用户访问网络。
<Sysname> system-view
[Sysname] portal server pts server-detect method http portal-heartbeat action log permit-all interval 600 retry 2
【命令】
portal server server-name user-sync [ interval interval ] [ retry retries ]
undo portal server server-name user-sync
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server-name:Portal服务器名称,为1~32个字符的字符串,区分大小写。该Portal服务器必须已经存在。
user-sync:开启Portal用户同步功能。
interval interval:检测用户同步报文的时间间隔,取值范围为60~3600,单位为秒,缺省值为300。
retry retries:连续检测失败的最大次数,取值范围为1~5,缺省值为4。如果接入设备上的某用户信息在连续retrie个周期内,都未曾在该服务器发送的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
【描述】
portal server user-sync命令用来配置对指定Portal服务器的Portal用户同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。undo portal server user-sync命令用来取消指定的Portal用户同步功能配置。
缺省情况下,未配置Portal用户同步功能。
需要注意的是:
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测间隔。
· 在设备上删除Portal服务器时将会同时删除该服务器的用户同步功能配置。
· 对同一服务器多次执行用户同步功能的配置时,新的配置将覆盖原有的配置,可选参数未配置时,使用缺省值。
· 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
【举例】
# 配置对Portal服务器pts的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
<Sysname> system-view
[Sysname] portal server pts user-sync interval 600 retry 2
【命令】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
port-number:Web代理服务器的TCP端口号,取值范围为1~65535。
all:指定所有Web代理服务器的TCP端口号。
【描述】
portal web-proxy port命令用来添加允许触发Portal认证的Web代理服务器端口。undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
缺省情况下,不存在允许触发Portal认证的Web代理服务器端口。
需要注意的是:
· 本功能仅二层Portal认证支持。
· 通过多次执行本命令,最多可以添加4个Web代理服务器端口。
· 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 除了需要网络管理员在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将设备的本地Portal服务器监听IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。
【举例】
# 某组网环境中,有些Portal客户端浏览器使用Web代理服务器上网,端口号为8080。为了允许这样的Portal用户认证上网,网络管理员需要在Portal接入设备上添加允许触发Portal认证的Web代理服务器端口号8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【命令】
reset portal connection statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除所有接口上Portal的连接统计信息。
interface interface-type interface-number:清除指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。
【描述】
reset portal connection statistics命令用来清除接口上Portal的连接统计信息。
【举例】
# 清除Vlan-interface1接口上Portal的连接统计信息。
<Sysname> reset portal connection statistics interface vlan-interface 1
【命令】
reset portal server statistics { all | interface interface-type interface-number }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
all:清除所有接口上Portal服务器的统计信息。
interface interface-type interface-number:清除指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。
【描述】
reset portal server statistics命令用来清除接口上Portal服务器的统计信息。
【举例】
# 清除Vlan-interface1接口上的Portal服务器的统计信息。
<Sysname> reset portal server statistics interface vlan-interface 1
【命令】
reset portal tcp-cheat statistics
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
无
【描述】
reset portal tcp-cheat statistics命令用来清除TCP仿冒统计信息。
【举例】
# 清除TCP仿冒统计信息。
<Sysname> reset portal tcp-cheat statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!