• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全命令参考

目录

06-Portal命令

本章节下载 06-Portal命令  (759.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_CR(V7)(R9514_R9323)-6W203/03/201912/1248987_30005_0.htm

06-Portal命令

目  录

1 Portal

1.1 Portal配置命令

1.1.1 aaa-fail nobinding enable

1.1.2 aging-time

1.1.3 app-id

1.1.4 app-key

1.1.5 authentication-timeout

1.1.6 auth-url

1.1.7 binding-retry

1.1.8 cloud-binding enable

1.1.9 cloud-server url

1.1.10 default-logon-page

1.1.11 display portal

1.1.12 display portal auth-error-record

1.1.13 display portal auth-fail-record

1.1.14 display portal extend-auth-server

1.1.15 display portal local-binding mac-address

1.1.16 display portal logout-record

1.1.17 display portal mac-trigger-server

1.1.18 display portal packet statistics

1.1.19 display portal redirect statistics

1.1.20 display portal rule

1.1.21 display portal safe-redirect statistics

1.1.22 display portal server

1.1.23 display portal user

1.1.24 display portal user count

1.1.25 display portal web-server

1.1.26 display web-redirect rule

1.1.27 exclude-attribute (MAC binding server view)

1.1.28 exclude-attribute (portal authentication server view)

1.1.29 free-traffic threshold

1.1.30 if-match

1.1.31 if-match temp-pass

1.1.32 ip (MAC binding server view)

1.1.33 ip (portal authentication server view)

1.1.34 ipv6 (portal authentication server view)

1.1.35 local-binding aging-time

1.1.36 local-binding enable

1.1.37 logon-page bind

1.1.38 logout-notify

1.1.39 mail-domain-name

1.1.40 mail-protocol

1.1.41 nas-port-type

1.1.42 port (MAC binding server view)

1.1.43 port (portal authentication server view)

1.1.44 portal { bas-ip | bas-ipv6 }

1.1.45 portal { ipv4-max-user | ipv6-max-user }

1.1.46 portal apply mac-trigger-server

1.1.47 portal apply web-server

1.1.48 portal auth-error-record enable

1.1.49 portal auth-error-record export

1.1.50 portal auth-error-record max

1.1.51 portal auth-fail-record enable

1.1.52 portal auth-fail-record export

1.1.53 portal auth-fail-record max

1.1.54 portal authorization strict-checking

1.1.55 portal delete-user

1.1.56 portal device-id

1.1.57 portal domain

1.1.58 portal dual-stack enable

1.1.59 portal dual-stack traffic-separate enable

1.1.60 portal enable

1.1.61 portal extend-auth domain

1.1.62 portal extend-auth-server

1.1.63 portal fail-permit server

1.1.64 portal fail-permit web-server

1.1.65 portal free-all except destination

1.1.66 portal free-rule

1.1.67 portal free-rule description

1.1.68 portal free-rule destination

1.1.69 portal free-rule source

1.1.70 portal ipv6 free-all except destination

1.1.71 portal ipv6 layer3 source

1.1.72 portal ipv6 user-detect

1.1.73 portal layer3 source

1.1.74 portal local-web-server

1.1.75 portal logout-record enable

1.1.76 portal logout-record export

1.1.77 portal logout-record max

1.1.78 portal mac-trigger-server

1.1.79 portal max-user

1.1.80 portal nas-id-profile

1.1.81 portal nas-port-id format

1.1.82 portal outbound-filter enable

1.1.83 portal packet log enable

1.1.84 portal pre-auth domain

1.1.85 portal pre-auth ip-pool

1.1.86 portal redirect log enable

1.1.87 portal refresh enable

1.1.88 portal roaming enable

1.1.89 portal safe-redirect enable

1.1.90 portal safe-redirect forbidden-file

1.1.91 portal safe-redirect forbidden-url

1.1.92 portal safe-redirect method

1.1.93 portal safe-redirect user-agent

1.1.94 portal server

1.1.95 portal temp-pass enable

1.1.96 portal traffic-accounting disable

1.1.97 portal user log enable

1.1.98 portal user-detect

1.1.99 portal user-dhcp-only

1.1.100 portal web-server

1.1.101 redirect-url

1.1.102 reset portal auth-error-record

1.1.103 reset portal auth-fail-record

1.1.104 reset portal captive-bypass statistics

1.1.105 reset portal logout-record

1.1.106 reset portal packet statistics

1.1.107 reset portal redirect statistics

1.1.108 reset portal safe-redirect statistics

1.1.109 server-detect (portal authentication server view)

1.1.110 server-detect (portal web-server view)

1.1.111 server-register

1.1.112 server-type (MAC binding server view)

1.1.113 server-type (portal authentication server view/portal web-server view)

1.1.114 tcp-port

1.1.115 url

1.1.116 url-parameter

1.1.117 user-password modify enable

1.1.118 user-sync

1.1.119 version

1.1.120 web-redirect url

 


1 Portal

1.1  Portal配置命令

1.1.1  aaa-fail nobinding enable

aaa-fail nobinding enable命令用来配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文触发正常的Portal认证。

undo aaa-fail nobinding enable命令用来恢复缺省情况。

【命令】

aaa-fail nobinding enable

undo aaa-fail nobinding enable

【缺省情况】

若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

用户进行基于MAC地址的快速认证且AAA认证失败后,设备收到认证失败信息会直接将MAC-trigger表项状态设为未绑定状态,然后对“未绑定”状态的用户直接发起正常的Portal认证,不再到MAC绑定服务器上进行绑定状态查询。

【举例】

# 在MAC绑定服务器mts视图下,配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aaa-fail nobinding enable

【相关命令】

·            display mac-trigger-server

1.1.2  aging-time

aging-time命令用来配置MAC-Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC-Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。

【举例】

# 指定MAC-Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·            display mac-trigger-server

1.1.3  app-id

app-id命令用来配置QQ认证服务时用户的唯一标识。

undo app-id命令用来恢复缺省情况。

【命令】

app-id app-id

undo app-id

【缺省情况】

存在一个预定义的唯一标识。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-id:用户的唯一标识。

【使用指导】

终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。

【举例】

# 配置QQ认证服务时用户的唯一标识为101235509。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] app-id 101235509

【相关命令】

·            display portal extend-auth-server

1.1.4  app-key

app-key命令用来配置app-id对应的密钥。

undo app-key命令用来恢复缺省情况

【命令】

app-key { cipher | simple } app-key

undo app-key

【缺省情况】

存在一个预定义的密钥。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥。

app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。

【举例】

 # 配置QQ认证服务的授权登录密钥为8a5428e6afdc3e2a2843087fe73f1507。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] app-key simple 8a5428e6afdc3e2a2843087fe73f1507

【相关命令】

·            display portal extend-auth-server

1.1.5  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。

如果在定时器超时前用户成功完成Portal认证,或定时器超时后用户仍未完成Portal认证,设备都将立即删除该用户的MAC-Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·            display mac-trigger-server

1.1.6  auth-url

auth-url命令用来配置QQ认证服务器的地址。

undo auth-url命令用来删除QQ认证服务器的地址。

【命令】

auth-url url-string

undo auth-url

【缺省情况】

QQ认证服务器的地址为https://graph.qq.com。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-string:QQ认证服务器的URL,为1~256个字符的字符串,区分大小写。

【举例】

# 配置QQ认证服务器的地址为http://oauth.qq.com。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] auth-url http://oauth.qq.com

【相关命令】

·            display portal extend-auth-server

1.1.7  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置失败向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·            display mac-trigger-server

1.1.8  cloud-binding enable

cloud-binding enable命令用来开启Portal云端MAC-trigger认证功能。

undo cloud-binding enable命令用来关闭Portal云端MAC-trigger认证功能。

【命令】

cloud-binding enable

undo cloud-binding enable

【缺省情况】

Portal云端MAC-trigger认证功能处于关闭状态。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,当用户进行云端Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时,云端服务器作为MAC绑定服务器。

【举例】

# 在MAC绑定服务器mts视图下,开启Portal云端MAC-trigger认证功能。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] cloud-binding enable

【相关命令】

·            display mac-trigger-server

1.1.9  cloud-server url

cloud-server url命令用来指定云端Portal认证服务器URL。

undo cloud-server url命令用来恢复缺省情况。

【命令】

cloud-server url url-string

undo cloud-server url

【缺省情况】

未指定云端Portal认证服务器URL。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-string:云端Portal认证服务器URL,为1~256个字符的字符串,区分大小写,必须以http://或者https://开头。

【使用指导】

若配置了本命令,则设备会采用本命令配置的Portal认证服务器URL;若未配置本命令,则设备采用Portal Web服务器下配置的URL。

在云端Portal认证中,Portal Web服务器下配置的URL通常为云端服务器的URL。当用户需要使用其它Portal Web服务器向用户推送Web页面时,建议配置本命令,从而使Portal Web服务器与云端Portal认证服务器分开。

【举例】

# 在MAC绑定服务器mts视图下,指定云端Portal认证服务器URL为http://lvzhou.h3c.com。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] cloud-server url http://lvzhou.h3c.com

【相关命令】

·            display mac-trigger-server

1.1.10  default-logon-page

default-logon-page命令用来配置本地Portal Web服务器提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务器提供缺省认证页面文件。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务器为用户进行Portal认证提供的缺省认证页面文件。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·            portal local-web-server

1.1.11  display portal

display portal命令用来显示Portal配置信息和Portal运行状态信息。

【命令】

display portal interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示接口GigabitEthernet1/0/1的Portal配置信息和Portal运行状态信息。

<Sysname> display portal interface gigabitEthernet1/0/1

 Portal information of GigabitEthernet1/0/1

     NAS-ID profile: aaa

     Authorization : Strict checking

     ACL           : Enabled

     Dual stack    : Disabled

     Dual traffic-separate: Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Layer3

     Portal Web server: wbs(active)

     Secondary portal Web server: wbs sec

     Portal mac-trigger-server: mts

     Authentication domain: my-domain

     Pre-auth domain: abc

     Extend-auth domain: abc

     User-dhcp-only: Enabled

     Pre-auth IP pool: ab

     Max portal users: Not configured

     Bas-ip: Not configured

     User detection: Type: ICMP  Interval: 300s  Attempts: 5  Idle time: 180s

     Portal temp-pass: Enabled       Period: 30s

     Action for sever detection:

         Server type    Server name                        Action

         Web server     wbs                                fail-permit

         Portal server  pts                                fail-permit

     Layer3 source network:

         IP address               Mask

         1.1.1.1                  255.255.0.0

 

     Destination authentication subnet:

         IP address               Mask

         2.2.2.2                  255.255.255.0

 

IPv6:

     Portal status: enabled

     Portal authentication method: Layer3

     Portal Web server: wbsv6(active)

     Secondary portal Web server: Not configured

     Authentication domain: my-domain

     Pre-auth domain: abc

     Extend-auth domain: Not configured

     User-dhcp-only: Enabled

     Pre-auth IP pool: ab

     Max portal users: Not configured

     Bas-ipv6: Not configured

     User detection: Type: ICMPv6  Interval: 300s   Attempts: 5   Idle time: 180s

     Portal temp-pass: Disabled

     Action for sever detection:

         Server type    Server name                        Action

         Web server     wbsv6                              fail-permit

         Portal server  ptsv6                              fail-permit

     Layer3 source network:

         IP address                                        Prefix length

         11::5                                             64

 

     Destination authentication subnet:

         IP address                                        Prefix length

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

Authorization

服务器下发给Portal用户的授权信息类型

Strict checking

Portal授权信息的严格检查模式是否开启

Dual stack

接口上Portal双栈模式的运行状态,包括以下取值:

·         Disabled:Portal双栈模式未开启

·         Enabled:Portal双栈模式已开启

Dual traffic-separate

接口上Portal双栈流量分开统计功能,包括以下取值:

·         Disabled:Portal双栈流量分开统计功能未开启

·         Enabled:Portal双栈流量分开统计功能已开启

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·         Disabled:Portal认证未开启

·         Enabled:Portal认证已开启

·         Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放

Portal authentication method

接口上配置的认证方式,包括以下取值:

·         Direct:直接认证方式

·         Redhcp:二次地址分配认证方式

·         Layer3:可跨三层认证方式

Portal Web server

接口上配置的主Portal Web服务器的名称。active表示正在使用此Portal Web服务器

Secondary portal Web server

接口上配置的备份Portal Web服务器的名称。active表示正在使用此Portal Web服务器

Portal mac-trigger-server

接口上配置MAC绑定服务器的名称

Authentication domain

接口上的Portal强制认证域

Pre-auth domain

接口上的Portal认证前域,即Portal认证前用户使用的认证域

Extend-auth domain

接口上配置的第三方认证域

User-dhcp-only

仅允许通过DHCP方式获取IP地址的客户端上线功能

·         Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线

·         Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线

Pre-auth ip-pool

为认证前的Portal用户指定的IP地址池名称

Max portal users

接口上配置的最大用户数

Bas-ip

发送给Portal认证服务器的Portal报文的BAS-IP属性

Bas-ipv6

发送给Portal认证服务器的Portal报文的BAS-IPv6属性

User detection

接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间

Portal temp-pass

临时放行功能状态

·         Enabled:开启

·         Disabled:关闭

·         Period:临时放行时间。此字段仅在临时放行功能开启时显示

Action for server detection

服务器可达性探测功能对应的端口控制配置:

·         Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器

·         Server name:服务器名称

·         Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)

Layer3 source subnet

Portal源认证网段信息

Destination authentication subnet

Portal目的认证网段认证信息

IP address

Portal认证网段的IP地址

Mask

Portal认证网段的子网掩码

Prefix length

Portal IPv6认证网段的地址前缀长度

 

1.1.12  display portal auth-error-record

display portal auth-error-record命令用来显示用户Portal认证异常记录。

【命令】

display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有的Portal认证异常记录。

ipv4 ipv4-address:显示指定IPv4地址的用户的Portal认证异常记录。

ipv6 ipv6-address:显示指定IPv6地址的用户的Portal认证异常记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为HH:MM,取值范围为00:00~23:59。

【举例】

# 显示所有的Portal认证异常记录。

<Sysname> display portal auth-error-record all

Total authentication error records: 2

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

 

User MAC               : 0016-ecb7-a235

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.10

Auth error time        : 2016-03-04 16:51:07

Auth error reason      : The maximum number of users already reached.

# 显示IP地址为192.168.0.188的用户的Portal认证异常记录。

<Sysname> display portal auth-error-record ip 192.168.0.188

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

# 显示IPv6地址为2000::2的用户的Portal认证异常记录。

<Sysname> display portal auth-error-record ipv6 2000::2

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 2000::2

Auth error time        : 2016-03-04 16:49:07

Auth error reason      : The maximum number of users already reached.

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证异常记录。

<Sysname> display portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

Auth error time        : 2016-03-04 14:22:25

Auth error reason      : The maximum number of users already reached.

表1-2 display portal auth-error-record命令显示信息描述表

字段

描述

Total authentication error records

Portal认证异常记录总数

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

Auth error time

用户Portal认证异常时间,格式为YYYY-MM-DD hh:mm:ss

Auth error reason

用户Portal认证异常原因,取值包括:

·         The maximum number of users already reached.:用户数达上限

·         Failed to obtain user physical information.:获取物理信息失败

·         Failed to receive the packet because packet length is 0.:接收报文失败,报文长度为0

·         Packet source unknown. Server IP:X.X.X.X, VRF index:0:报文源未知。服务器IP地址:X.X.X.X,VRF索引:0

·         Packet validity check failed because packet length and version don't match.:报文长度和版本不匹配导致报文有效性检查失败

·         Packet type invalid.:报文类型不合法

·         Packet validity check failed due to invalid authenticator.:无效的验证字导致报文有效性检查失败

·         Memory insufficient.:内存不足

·         Portal is disabled on the interface.:接口上未开启Portal功能

·         The maximum number of users on the interface already reached.接口上用户数已达上限

·         Failed to get the access token of the cloud user.云Portal用户上线时获取令牌失败

·         Failed to get the user information of the cloud user.云Portal用户上线时获取用户信息失败

·         Failed to get the access token of the QQ user.QQ用户上线时获取令牌失败

·         Failed to get the openID of the QQ user.QQ用户上线时获取openid失败

·         Failed to get the user information of the QQ user.QQ用户上线时.获取用户信息失败

·         Email authentication failed.邮箱认证失败

 

【相关命令】

·            portal auth-error-record enable

·            reset auth-error-record

1.1.13  display portal auth-fail-record

display portal auth-fail-record命令用来显示用户Portal认证失败记录。

【命令】

display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有的Portal认证失败记录。

ipv4 ipv4-address:显示指定IPv4地址用户的Portal认证失败记录。

ipv6 ipv6-address:显示指定IPv6地址用户的Portal认证失败记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:显示指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 显示所有的Portal认证失败记录。

<Sysname> display portal auth-fail-record all

Total authentication fail records: 2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

 

User name              : coco

User MAC               : 0016-ecb7-a235

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.10

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:50:07

Auth failure reason    : Authorization information does not exist.

# 显示IP地址为192.168.0.8的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record ip 192.168.0.188

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS0/1

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示IPv6地址为2000::2的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record ipv6 2000::2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 2000::2

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示用户名为chap1的Portal用户认证失败记录。

<Sysname> display portal auth-fail-record username chap1

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 16:49:07

Auth failure reason    : Authorization information does not exist.

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证失败记录。

<Sysname> display portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.188

AP                     : ap1

SSID                   : byod

Auth failure time      : 2016-03-04 14:22:25

Auth failure reason    : Authorization information does not exist.

表1-3 display portal auth-fail-record命令显示信息描述表

字段

描述

Total authentication fail records

Portal认证失败记录总数

User name

Portal用户的用户名

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

AP

AP名称

SSID

客户端关联的SSID

Auth failure time

用户Portal认证失败时间,格式为YYYY/MM/DD hh:mm:ss

Auth failure reason

用户Portal认证失败原因

 

【相关命令】

·            portal auth-fail-record enable

·            reset portal auth-fail-record

【相关命令】

·            captive-bypass enable

1.1.14  display portal extend-auth-server

display portal extend-auth-server命令用来显示第三方认证服务器信息

【命令】

display portal extend-auth-server { all | qq | mail }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有第三方认证服务器信息。

qq:显示QQ认证服务器信息。

mail:显示邮箱认证服务器信息。

【举例】

# 显示所有第三方认证服务器信息。

<Sysname> display portal extend-auth-server all

Portal extend-auth-server: qq

   Authentication URL : http://graph.qq.com

   APP ID            : 101235509

   APP key           : ******

   Redirect URL      : http://h3crd-lvzhou3.chinacloudapp.cn/portal/qqlogin.html

Portal extend-auth-server: mail

   Mail protocol      : POP3

   Mail domain name   : @qq.com

表1-4 display portal extend-auth-server命令显示信息描述表

字段

描述

Portal extend-auth-server

第三方认证服务器的类型

Authentication URL

第三方认证服务器的地址

APP ID

QQ认证服务时用户的唯一标识

APP key

QQ认证服务授权登录的密钥

Redirect URL

QQ认证成功之后的重定向地址

Mail protocol

邮箱认证服务支持的协议类型

Mail domain name

邮箱认证服务支持的邮箱类型

 

【相关命令】

·            portal extend-auth-server

1.1.15  display portal local-binding mac-address

display portal local-binding mac-address命令用来显示本地MAC-trigger绑定表项信息。

【命令】

display portal local-binding mac-address { mac-address | all }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

mac-address:用户的MAC地址,格式为H-H-H

all:显示本地MAC-trigger绑定表项的所有信息。

【举例】

# 显示本地MAC-trigger绑定表项中的所有信息。

<Sysname> display portal local-binding mac-address all

Total MAC addresses:       5

MAC address                Username

0015-e9a6-7cfe             wlan_user1

0000-e27c-6e80             wlan_user2

000f-e212-ff01             wlan_user3

001c-f08f-f804             wlan_user4

000f-e233-9000             wlan_user5

# 显示本地MAC-trigger表项中MAC地址为0015-e9a6-7cfe的信息。

<Sysname> display portal local-binding mac-address 0015-e9a6-7cfe

Total MAC addresses:      1

Mac-address                User-name

0015-e9a6-7cfe             wlan_user1

表1-5 display portal local-binding mac-address命令显示信息描述表

字段

描述

Mac-address

MAC地址,格式为H-H-H

User-name

用户名

 

【相关命令】

·            local-binding enable

1.1.16  display portal logout-record

display portal logout-record命令用来显示Portal用户的下线记录。

【命令】

display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time username username }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有用户的下线记录。

ipv4 ipv4-address:显示指定IPv4地址用户的下线记录。

ipv6 ipv6-address:显示指定IPv6地址用户的下线记录。

start-time start-date start-time end-time end-date end-time:显示指定时间段内用户的下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:显示指定用户名的用户下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 显示所有Portal用户的下线记录。

<Sysname> display portal logout-record all

Total logout records: 2

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:20:19

User logout time       : 2016-03-04 14:22:05

Logout reason          : Admin Reset

 

User name              : coco

User MAC               : 0016-ecb7-a235

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.10

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:10:15

User offline time      : 2016-03-04 14:22:05

Offline reason         : Admin Reset

# 显示IP地址为192.168.0.8的用户下线记录。

<Sysname> display portal logout-record ip 192.168.0.8

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:26:12

User logout time       : 2016-03-04 14:27:35

Logout reason          : Admin Reset

# 显示用户名为chap1的用户下线记录。

<Sysname> display portal logout-record username chap1

User name              : chap1

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 17:20:19

User logout time       : 2016-03-04 17:22:05

Logout reason          : Admin Reset

# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal用户下线记录。

<Sysname> display portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23

User name              : test@abc

User MAC               : 0016-ecb7-a879

Interface              : WLAN-BSS1/0/1

User IP address        : 192.168.0.8

AP                     : ap1

SSID                   : byod

User login time        : 2016-03-04 14:20:19

User logout time       : 2016-03-04 14:22:05

Logout reason          : Admin Reset

表1-6 display portal logout-record命令显示信息描述表

字段

描述

Total logout records

Portal用户下线记录总数

User name

Portal用户的用户名

User MAC

Portal用户的MAC地址

Interface

Portal用户接入的接口

User IP address

Portal用户的IP地址

AP

AP名称

SSID

客户端关联的SSID

User login time

用户上线时间,即用户授权成功的时间,格式为YYYY-MM-DD hh:mm:ss

User logout time

Portal用户的下线时间,格式为YYYY/MM/DD hh:mm:ss

Logout reason

Portal用户的下线原因,取值包括:

·         User Request:用户请求下线

·         Carrier Lost:接口下线

·         Service Lost:服务不再提供

·         Admin Reset:强制下线

·         NAS Request:NAS终止会话

·         Idle Timeout:闲置超时

·         Port Suspended:端口不可用

·         Port Error:端口错误

·         Admin Reboot:管理员终止NAS上的服务

·         Session Timeout:会话超时

·         User Error:用户错误

·         Service Unavailable:服务不可用

·         NAS Error:NAS 错误

·         Other Errors:其他错误

 

【相关命令】

·            portal logout-record enable

·            reset portal logout-record

1.1.17  display portal mac-trigger-server

display portal mac-trigger-server命令用来显示MAC绑定服务器信息。

【命令】

display portal mac-trigger-server { all | name server-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有MAC绑定服务器信息

name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。

【举例】

# 显示全部MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server all

Portal mac-trigger server: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : vpn1

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

  Excluded attribute list    : 1

  Local-binding              : Disabled

  Local-binding aging time   : 12 hours

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

  AAA-fail nobinding         : Disabled

Portal mac-trigger server: mts

  Version                    : 1.0

  Server type                : IMC

  IP                         : 4.4.4.2

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  Free-traffic threshold     : 0 bytes

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

  Excluded attribute list    : 1

  Local-binding              : Disabled

  Local-binding aging-time   : 12 hours

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

  AAA-fail nobinding         : Disabled

# 显示名字为ms1的MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server name ms1

Portal mac-trigger server: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : vpn1

  Aging time                 : 120 seconds

  Free-traffic threshold     : 1000 bytes

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

  Excluded attribute list    : 1

  Local-binding              : Disabled

  Local-binding aging-time   : 12 hours

  Cloud-binding              : Disabled

  Cloud server URL           : Not configured

  AAA-fail nobinding         : Disabled

表1-7 display portal mac-trigger-server命令显示信息描述表

字段

描述

Portal mac-trigger-server

MAC绑定服务器的名称

Version

Portal协议报文的版本,取值包括:

·         1.0:版本1

·         2.0:版本2

·         3.0:版本3

Server type

MAC绑定服务器的服务类型,取值包括:

·         CMCC:CMCC Portal服务器

·         iMC:H3C iMC Portal服务器或H3C CAMS Portal服务器

IP

MAC绑定服务器的IP地址

Port

设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号

VPN instance

MAC绑定服务器所属的VPN(暂不支持)

Aging time

MAC-trigger表项老化时间,单位为秒

Free-traffic threshold

用户免认证流量阈值,单位为字节

NAS-Port-Type

发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值

Binding retry times

设备向MAC绑定服务器发起MAC查询的最大尝试次数

Binding retry interval

设备向MAC绑定服务器发起MAC查询的时间间隔

Authentication timeout

设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间

Excluded attribute list

Portal协议报文中不携带的属性字段编号

Local-binding

Portal本地MAC-trigger认证功能状态

·         Disabled:关闭状态

·         Enabled:开启状态

Local-binding aging-time

本地MAC-trigger绑定表项老化时间,单位为小时

Cloud-binding

Portal云端MAC-trigger认证功能状态

·         Disabled:关闭状态

·         Enabled:开启状态

Cloud server URL

云端Portal认证服务器URL

AAA-fail nobinding

开启基于MAC地址的快速认证,AAA认证失败时,设备设置MAC-trigger表项的状态

·         Disabled:绑定状态

·         Enabled:未绑定状态

 

1.1.18  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器和MAC绑定服务器的报文统计信息。

【命令】

display portal packet statistics [ extend-auth-server { cloud | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] *

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

extend-auth-server:第三方Portal认证服务器类型。

cloud:第三方Portal认证服务器类型为绿洲云服务器。

mail:第三方Portal认证服务器类型为邮箱服务器。

qq:第三方Portal认证服务器类型为QQ服务器。

wechat:第三方Portal认证服务器类型为微信服务器。

mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。

server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若未指定任何参数,则依次显示所有第三方Portal认证服务器、普通Portal认证服务器和MAC绑定服务器的报文统计信息。

【举例】

# 显示名称为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

 Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_HEARTBEAT                       0        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

# 显示名字为newpt的MAC绑定服务器的报文统计信息。

<Sysname> display portal packet statistics mac-trigger-server newpt

 MAC-trigger server: newpt

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_MACBIND                         1        0        0

 ACK_MACBIND                         1        0        0

 NTF_MTUSER_LOGON                    1        0        0

 NTF_MTUSER_LOGOUT                   0        0        0

 REQ_MTUSER_OFFLINE                  0        0        0

# 显示类型为cloud的第三方Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics extend-auth-server cloud

Extend-auth server:  cloud

 Update interval:  60s

  Pkt-Type               Success    Error      Timeout    Conn-failure

  REQ_ACCESSTOKEN        1          0          0          0

  REQ_USERINFO           1          0          0          0

  RESP_ACCESSTOKEN       1          0          0          0

  RESP_USERINFO          1          0          0          0

  POST_ONLINEDATA        0          0          0          0

  RESP_ONLINEDATA        0          0          0          0

  POST_OFFLINEUSER       1          0          0          0

  REPORT_ONLINEUSER      1          0          0          0

  REQ_CLOUDBIND          1          0          0          0

  RESP_CLOUDBIND         1          0          0          0

  REQ_BINDUSERINFO       0          0          0          0

  RESP_BINDUSERINFO      0          0          0          0

  AUTHENTICATION         0          1          0          0

表1-8 display portal server statistics命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

Invalid packets

无效报文的数目

Pkt-Type

报文的类型

Total

报文的总数

Drops

丢弃报文数

Errors

携带错误信息的报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

MAC-trigger server

MAC绑定服务器名称

REQ_MACBIND

接入设备向MAC绑定服务器发起的MAC绑定查询报文

ACK_MACBIND

MAC绑定服务器回应接入设备的MAC绑定查询应答报文

NTF_MTUSER_LOGON

接入设备通知MAC绑定服务器通知用户上线报文

NTF_MTUSER_LOGOUT

接入设备通知MAC绑定服务器通知用户下线报文

REQ_MTUSER_OFFLINE

MAC绑定服务器向接入设备发送的要求用户强制下线报文

Extend-auth server

第三方Portal认证服务器类型,取值如下:

·         qq:第三方Portal认证服务器类型为QQ服务器

·         mail:第三方Portal认证服务器类型为邮箱服务器

·         wechat:第三方Portal认证服务器类型为微信服务器

·         cloud:第三方Portal认证服务器类型为绿洲云服务器

Update interval

设备发送在线用户信息给云端的时间间隔,单位为秒,当第三方Portal认证服务器类型为cloud时显示

Success

成功报文数

Timeout

连接第三方Portal认证服务器超时报文数

Conn-failure

无法连接第三方Portal认证服务器的报文数

Deny

被服务器拒绝登录报文数。该字段仅当第三方Portal认证服务器类型为mail时显示

REQ_ACCESSTOKEN

接入设备发送获取ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、cloud和wechat时显示

REQ_OPENID

接入设备发送获取OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示

REQ_USERINFO

接入设备发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、cloud和wechat时显示

RESP_ACCESSTOKEN

接入设备接收ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、cloud和wechat时显示

RESP_OPNEID

接入设备接收OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示

RESP_USERINFO

接入设备接收USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、cloud和wechat时显示

REQ_POP3

接入设备发送邮箱POP3协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示

REQ_IMAP

接入设备发送邮箱IMAP协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示

POST_ONLINEDATA

接入设备发送获取云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_ONLINEDATA

接入设备接收云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

POST_OFFLINEUSER

接入设备发送下线用户信息给云端。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示

REPORT_ONLINEUSER

接入设备发送云端用户上线信息报文。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示

REQ_CLOUDBIND

接入设备发送查询云端用户绑定状态的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_CLOUDBIND

接入设备接收云端用户绑定状态的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

REQ_BINDUSERINFO

接入设备在收到RESP_CLOUDBIND报文且字段为BIND后发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

RESP_BINDUSERINFO

接入设备接收REQ_BINDUSERINFO报文的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示

AUTHENTICATION

第三方认证结果

 

【相关命令】

·            reset portal packet statistics

1.1.19  display portal redirect statistics

display portal redirect statistics命令用来显示Portal重定向报文统计信息。

【命令】

display portal redirect statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示指定slot上Portal重定向报文统计信息。

<Sysname> display portal redirect statistics slot 1

Slot 1:

HttpReq: 3

HttpResp: 3

HttpsReq: 6

HttpsResp: 6

表1-9 display portal redirect statistics命令显示信息描述表

字段

描述

HttpReq

HTTP重定向请求报文的数目

HttpResp

HTTP重定向回应报文的数目

HttpsReq

HTTPS重定向请求报文的数目

HttpsResp

HTTPS重定向回应报文的数目

 

【相关命令】

·            reset portal redirect statistics

1.1.20  display portal rule

display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。

【命令】

display portal rule { all | dynamic | static } interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。

dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。

static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。

interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。

【举例】

# 显示接口GigabitEthernet1/0/1上所有Portal过滤规则的信息。

<Sysname> display portal rule all interface gigabitethernet 1/0/1

IPv4 portal rules on GigabitEthernet1/0/1:

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 192.168.0.111

    Mask           : 255.255.255.255

    Port           : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 2.2.2.2

    MAC            : 000d-88f8-0eab

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Author ACL:

    Number         : 3001

 

Rule 3

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

    Protocol       : TCP

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

 

IPv6 portal rules on GigabitEthernet1/0/1:

Rule 1

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP             : ::

    Prefix length  : 0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : 3000::1

    Prefix length  : 64

    Port           : Any

 

Rule 2

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP              : 3000::1

    MAC             : 0015-e9a6-7cfe

    Interface       : GigabitEthernet1/0/1

    VLAN            : Any

 Author ACL:

    Number          : 3001

 

Rule 3

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP              : ::

    Prefix length   : 0

    Interface       : GigabitEthernet1/0/1

    VLAN            : Any

    Protocol        : TCP

 Destination:

    IP              : ::

    Prefix length   : 0

    Port            : 80

 

Rule 4:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : ::

    Prefix length  : 0

    Interface      : GigabitEthernet1/0/1

    VLAN           : Any

 Destination:

    IP             : ::

    Prefix length  : 0

 

Rule 5:

 Type                : Static

 Action              : Match pre-auth ACL

 Status              : Active

 Source:

    Interface      : GigabitEthernet1/0/1

Pre-auth ACL:

    Number          : 3002

表1-10 display portal rule命令显示信息描述表

字段

描述

Rule

Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号

Type

Portal过滤规则的类型,包括以下取值:

·         Static:静态类型

·         Dynamic:动态类型

Action

Portal过滤规则的匹配动作,包括以下取值:

·         Permit:允许报文通过

·         Redirect:重定向报文

·         Deny:拒绝报文通过

·         Match pre-auth ACL:匹配认证前域中的授权ACL规则

Protocol

Portal免认证规则中的传输层协议,包括以下取值:

·         Any:不限制传输层协议类型

·         TCP:TCP传输类型

·         UDP:UDP传输类型

Status

Portal过滤规则下发的状态,包括以下取值:

·         Active:表示规则已生效

·         Unactuated:表示规则未生效

Source

Portal过滤规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

Port

源传输层端口号

MAC

源MAC地址

Interface

Portal过滤规则应用的二层或三层接口

VLAN

源VLAN

Protocol

Portal重定向规则中的传输层协议类型

Destination

Portal规则的目的信息

IP

目的IP地址

Port

目的传输层端口号

Mask

目的IPv4地址子网掩码

Prefix length

目的IPv6地址前缀

Author ACL

Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示

Pre-auth ACL

Portal用户认证前的授权ACL,该字段仅在Action为Match pre-auth ACL时显示

Number

授权ACL编号,N/A表示AAA未授权ACL

 

1.1.21  display portal safe-redirect statistics

display portal safe-redirect statistics命令用来显示Portal安全重定向功能的报文统计信息。

【命令】

display portal safe-redirect statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示Portal安全重定向功能的报文统计信息。

<Sysname> display portal safe-redirect statistics

Redirect statistics:

  Success: 5

  Failure: 6

  Total: 11

 

Method statistics:

  Get: 6

  Post: 2

  Others: 3

 

User agent statistics:

  Safari: 3

  Chrome: 2

 

Forbidden User URL statistics:

  http://www.abc.com: 0

 

Forbidden filename extension statistics:

.jpg: 0

.jpg: 1

表1-11 display portal safe-redirect statistics命令显示信息描述表

字段

描述

Success

重定向成功报文的数目

Failure

重定向失败报文的数目

Total

报文的总数

Method statistics

协议请求方法的报文统计

Get

请求方法为get的报文数量

Post

请求方法为post的报文数量

Other

请求方法为其它类型的报文数量

User agent statistics

匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型以及报文统计

User URL statistics

Portal安全重定向禁止的URL地址以及报文统计

Forbidden filename extension statistics

Portal安全重定向禁止URL携带的扩展名及被丢弃报文统计

 

【相关命令】

reset portal safe-redirect statistics

1.1.22  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  Type                  : IMC

  IP                    : 192.168.0.111

  VPN instance          : vpn1

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log, trap

  User synchronization  : Timeout 200s

  Status                : Up

  Exclude-attribute     : Not configured

  Logout notification   : Retry 3 interval 5s

表1-12 display portal server命令显示信息描述表

字段

描述

Type

Portal认证服务器类型,其取值如下:

·         CMCC:符合中国移动标准规范的服务器

·         iMC:符合iMC标准规范的服务器

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

VPN instance

Portal认证服务器所属的VPN

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)

User synchronization

Portal用户用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·         Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·         Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

Exclude-attribute

向Portal认证服务器发送的Portal协议报文中不携带的属性字段

Logout-notification

设备强制用户下线通知报文的最大重传次数和重传时间间隔(单位:秒)

 

【相关命令】

·            portal enable

·            portal server

·            server-detect (portal authentication server view)

·            user-sync

1.1.23  display portal user

display portal user命令用来显示Portal用户的信息。

【命令】

display portal user { all | auth-type { cloud | email | local | normal | qq | wechat } | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] | username username } [ brief | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示所有Portal用户的信息。

auth-type:显示指定认证类型的Portal用户信息。

cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。

email:Portal认证类型为邮箱认证。

local:Portal认证类型为本地认证。

normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。

qq:Portal认证类型为QQ认证。

wechat:Portal认证类型为微信认证

interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。

ip ipv4-address:显示指定IPv4地址的Portal用户信息。

ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。

mac mac-address:显示指定MAC地址的Portal用户信息。mac-address的格式为H-H-H。

username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。

pre-auth:显示Portal认证前用户信息。若不指定该参数,则显示Portal用户的信息。

brief:显示指定Portal用户的简要信息。

verbose:显示指定Portal用户的详细信息。

【使用指导】

若不指定briefverbose参数,则表示显示Portal用户的Portal认证相关信息。

【举例】

# 显示Portal认证类型为普通认证的用户信息。

<Sysname> display portal user auth-type normal

Total normal users: 1

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            --     GigabitEthernet1/0/1

  Authorization information:

    DHCP IP pool: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

# 显示MAC地址为000d-88f8-0eab的Portal用户信息。

<Sysname> display portal user mac 000d-88f8-0eab

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            --     GigabitEthernet1/0/1

  Authorization information:

    DHCP IP pool: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

# 显示用户名为abc的Portal用户信息。

<Sysname> display portal user username abc

Username: abc

  Portal server: pts

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            --     GigabitEthernet1/0/1

  Authorization information:

    DHCP IP pool: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

# 显示IP地址为50.50.50.3的Portal用户的详细信息。

<Sysname> display portal user ip 50.50.50.3 verbose

Basic:

  Current IP address: 50.50.50.3

  Original IP address: 30.30.30.2

  Username: user1@hrss

  User ID: 0x28000002

  Service-VLAN/Customer-VLAN: -/-

  MAC address: 0000-0000-0001

  Authentication type: Normal

  Domain: hrss

  VPN instance: 123

  Status: Online

  Portal server: test

  Vendor: Apple

  Portal authentication method: Direct

AAA:

 Realtime accounting interval: 60s, retry times: 3

  Idle-cut:180 sec, 10240 bytes

  Session duration: 500 sec, remaining: 300 sec

  Remaining traffic: 10240000 bytes

  Login time: 2014-01-19  2:42:3 UTC

  DHCP IP pool: abc

ACL&QoS&Multicast:

  Inbound CAR: CIR 64000bps PIR 640000bps

  Outbound CAR: CIR 64000bps PIR 640000bps

  ACL number:3000(inactive)

  Max multicast addresses: 4

  Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7

2.2.2.2, 3.3.3.3, 4.4.4.4

Traffic statistic:

  Uplink   packets/bytes: 7/546

  Downlink packets/bytes: 0/0

Dual-stack traffic statistics:

  IPv4 address: 50.50.50.3

            Uplink   packets/bytes: 3/200

            Downlink packets/bytes: 0/0

  IPv6 address: 2001::2

            Uplink   packets/bytes: 4/346

            Downlink packets/bytes: 0/0

# 显示所有Portal用户的简要信息。

<Sysname> display portal user all brief

IP address       MAC address       Online duration       Username

2.2.2.2          000d-88f8-0eab    1:53:7                abc

3.3.3.3          000d-88f8-0eac    1:53:7                def

表1-13 display portal user命令显示信息描述表

字段

描述

Total portal users

总计的Portal用户数目

Total normal users

Portal认证类型为普通认证的用户总数

Total local users

Portal认证类型为本地认证的用户总数

Total email users

Portal认证类型为邮箱认证的用户总数

Total cloud users

Portal认证类型为云端认证的用户总数

Total QQ users

Portal认证类型为QQ认证的用户总数

Total WeChat users

Portal认证类型为微信认证的用户总数

Username

用户名

Portal server

用户认证所使用的Portal认证服务器的名称

State

Portal用户的当前状态,包括以下取值:

·         Initialized:初始化完成后的待认证状态

·         Authenticating:正在认证状态

·         Waiting_SetRule:等待下发用户授权信息

·         Authorizing:正在授权状态

·         Online:在线状态

·         Waiting_Traffic:等待获取用户最后一次流量

·         Stop Accounting:停止计费

·         Done:下线结束

VPN instance

Portal用户所属的VPN。若用户属于公网,则显示为N/A

MAC

Portal用户的MAC地址

IP

Portal用户的IP地址

VLAN

Portal用户所在的VLAN

Interface

Portal用户接入的接口

Authorization information

Portal用户的授权信息

DHCP IP pool

Portal用户的授权地址池名称。若无授权地址池,则显示为N/A

ACL number

Portal用户的授权ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·         active:AAA授权ACL成功

·         inactive:AAA授权ACL失败或者设备上不存在该ACL

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A

 

表1-14 display portal user verbose命令显示信息描述表

字段

描述

Current IP address

Portal用户当前的IP地址

Original IP address

Portal用户认证时的IP地址

Username

Portal用户上线时使用的用户名

User ID

Portal用户ID

Access interface

Portal用户接入的接口

Access group name

Portal用户上线的接口所属的接入组名称

Service-VLAN/Customer-VLAN

Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息)

MAC address

用户的MAC地址

Authentication type

Portal认证类型,取值包括:

·         Normal:普通认证

·         Local:本地认证

·         Email:邮箱认证

·         Cloud:云端认证

·         QQ:QQ认证

·         WeChat:微信认证

Domain

用户认证时使用的ISP域名

Status

Portal用户的当前状态,包括以下取值:

·         Authenticating:正在认证状态

·         Authorizing:正在授权状态

·         Waiting_SetRule:正在下发Portal规则状态

·         Online:在线状态

·         Waiting_Traffic:正在等待用户流量状态

·         Stop Accounting:正在停止计费状态

·         Done:用户下线完成状态

Portal server

Portal服务器名称

Vendor

设备生产厂商

Portal authentication method

接入接口上的Portal认证方式,包括如下取值:

·         Direct:直接认证方式

·         Redhcp:二次地址分配认证方式

·         Layer3:可跨三层认证方式

AAA

Portal用户的AAA授权信息

Realtime accounting interval

授权的实时计费间隔和重传次数。若未授权,则显示为N/A

Idle-cut

授权的闲置切断时长和流量。若未授权,则显示为N/A

Session duration

授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A

Remaining traffic

授权的剩余流量。若未授权,则显示为N/A

Login time

用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19  2:42:30 UTC

Online duration (hh:mm:ss)

用户在线时长(时:分:秒)

DHCP IP pool

授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A

Inbound CAR

授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A

Outbound CAR

授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A

ACL number

授权的ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下:

·         active:AAA授权ACL成功

·         inactive:AAA授权ACL失败或者设备上不存在该ACL

Max multicast addresses

授权Portal用户可加入的组播组的最大数目

Multicast address list

授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A

Traffic statistic

Portal用户流量统计信息

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

Dual-stack traffic statistic

双栈用户流量统计信息

IPv4 address

用户IPv4地址

IPv6 address

用户IPv6地址

Uplink packets/bytes

上行流量报文数/字节数

Downlink packets/bytes

下行流量报文数/字节数

 

表1-15 display portal user brief命令显示信息描述表

字段

描述

IP address

Portal用户的IP地址

MAC address

Portal用户的MAC地址

Online duration

用户在线时长(时:分:秒)

Username

Portal用户的用户名

 

【相关命令】

·            portal enable

1.1.24  display portal user count

display portal user count命令用来显示Portal用户数量。

【命令】

display portal user count

【视图】

任意视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 显示Portal用户数量。

<Sysname> display portal user count

Total number of users:: 1

【相关命令】

·            portal enable

·            portal delete-user

1.1.25  display portal web-server

display portal web-server命令用来显示Portal Web服务器信息。

【命令】

display portal web-server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal Web服务器信息。

【举例】

# 显示Portal Web服务器wbs的信息。

<Sysname> display portal web-server wbs

Portal Web server: wbs

    Type             : IMC

    URL              : http://www.test.com/portal

    URL parameters   : userurl=http://www.test.com/welcome

                       userip=source-address

    VPN instance     : Not configured

    Server detection : Interval: 120s  Attempts: 5  Action: log, trap

    IPv4 status      : Up

    IPv6 status      : Up

    Captive-bypass   : Enabled

    If-match         : original-url:  http://2.2.2.2, redirect-url:  http://192.168.56.2

                       original-url:   http://1.1.1.1, temp-pass redirect-url:   

                       http://192.168.1.1

表1-16 display portal web-server命令显示信息描述表

字段

描述

Type

Portal Web服务器类型,其取值如下:

·         CMCC:符合中国移动标准规范的服务器

·         iMC:符合iMC标准规范的服务器

Portal Web server

Portal Web服务器名称

URL

Portal Web服务器的URL地址以及携带的参数

URL parameters

Portal Web服务器的URL携带的参数信息

VPN instance

Portal Web服务器所属的VPN实例名称

Server detection

Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)

IPv4/IPv6 status

Portal web服务器当前状态,其取值如下:

·         Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·         Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

Captive-bypass

Portal被动Web认证功能状态,其取值如下:

·         Disabled:未开启

·         Enabled:已开启

·         Optimize Enabled:优化功能已开启

If-match

配置的URL重定向匹配规则和Portal临时放行功能的匹配规则

 

【相关命令】

·            portal enable

·            portal web-server

·            server-detect (portal web-server view)

1.1.26  display web-redirect rule

display web-redirect rule命令用来显示Web重定向过滤规则信息。

【命令】

display web-redirect rule interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示接口GigabitEthernet1/0/1上的所有Web重定向过滤规则。

<Sysname> display web-redirect rule interface gigabitethernet 1/0/1

IPv4 web-redirect rules on GigabitEthernet1/0/1:

Rule 1:

 Type                : Dynamic

 Action              : Permit

 Status              : Active

 Source:

    IP             : 192.168.2.114

    VLAN           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

 

IPv6 web-redirect rules on GigabitEthernet1/0/1:

Rule 1:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    VLAN           : Any

    Protocol       : TCP

 Destination:

    Port           : 80

 

表1-17 display web-redirect rule命令显示信息描述表

字段

描述

Rule

Web重定向规则编号

Type

Web重定向规则的类型,包括以下取值:

·         Static:静态类型。该类型的规则在Web重定向功能生效时生成

·         Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成

Action

Web重定向规则的匹配动作,包括以下取值:

·         Permit:允许报文通过

·         Redirect:重定向报文

Status

Web重定向规则下发的状态,包括以下取值:

·         Active:表示规则已生效

·         Inactive:表示规则未生效

Source

Web重定向规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

VLAN

源VLAN,如果未指定,显示为Any

Protocol

Web重定向规则的传输层协议类型,包括以下取值:

·         Any:不限制传输层协议类型

·         TCP:TCP传输类型

Destination

Web重定向规则的目的信息

Port

目的传输层端口号,默认为80

 

1.1.27  exclude-attribute (MAC binding server view)

exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。

undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。

【命令】

exclude-attribute attribute-number

undo exclude-attribute attribute-number

【缺省情况】

未配置Portal协议报文中不携带的属性字段。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

attribute-number:属性类型编号,取值范围为1~255。

【使用指导】

不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同。在进行MAC-trigger认证时,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,则会导致设备和Portal认证服务器不能通信。

在进行MAC-trigger认证时,可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。

通过多次执行本命令,可以配置多个Portal协议报文中不携带的属性字段。

Portal协议所有属性的详细描述如表1-18所示。

表1-18 Portal协议所有属性详细描述

属性名称

属性编号

属性含义

UserName

1

用户名

PassWord

2

用户提交的明文密码

Challenge

3

用于CHAP方式加密的随机数

ChapPassWord

4

通过MD5算法加密后的密码

TextInfo

5

该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个

UpLinkFlux

6

表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB

DownLinkFlux

7

表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB

Port

8

端口信息,内容为一个字符串(无 '\0' 结束符)

IP-Config

9

在不同报文类型中含义不同:

·         在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配

·         在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址

BAS-IP

10

用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址

Session-ID

11

用户标识,通常使用用户的MAC地址作为标识

Delay-Time

12

报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中

User-List

13

用户IP地址列表

EAP-Message

14

需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个

User-Notify

15

需要透传的RADIUS计费回应报文中的hw_User_Notify内容

BAS-IPv6

100

标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性

UserIPv6-List

101

用户IPv6地址列表

 

【举例】

# 在MAC-trigger认证时,若Portal认证服务器不支持10号BAS-IP属性,则配置Portal协议报文中不携带属性字段BAS-IP。

<Sysname> system-view

[Sysname] portal mac-trigger-server 123

[Sysname-portal-mac-trigger-server-123] exclude-attribute 10

1.1.28  exclude-attribute (portal authentication server view)

exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。

undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。

【命令】

exclude-attribute number { ack-auth | ack-logout | ntf-logout }

undo exclude-attribute number { ack-auth | ack-logout | ntf-logout }

【缺省情况】

未配置Portal协议报文中不携带的属性字段。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:Portal协议报文属性字段中属性类型编号,取值范围1~255。

ack-auth:Portal协议报文类型为ACK_AUTH。

ack-logout:Portal协议报文类型为ACK_LOGOUT。

ntf-logout:Portal协议报文类型为NTF_LOGOUT。

【使用指导】

由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。

可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。

Portal协议所有属性的详细描述如表1-19所示。

表1-19 Portal协议所有属性详细描述

属性名称

属性编号

属性含义

UserName

1

用户名

PassWord

2

用户提交的明文密码

Challenge

3

用于CHAP方式加密的随机数

ChapPassWord

4

通过MD5算法加密后的密码

TextInfo

5

该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个

UpLinkFlux

6

表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB

DownLinkFlux

7

表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB

Port

8

端口信息,内容为一个字符串(无 '\0' 结束符)

IP-Config

9

在不同报文类型中含义不同:

·         在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配

·         在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址

BAS-IP

10

用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址

Session-ID

11

用户标识,通常使用用户的MAC地址作为标识

Delay-Time

12

报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中

User-List

13

用户IP地址列表

EAP-Message

14

需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个

User-Notify

15

需要透传的RADIUS计费回应报文中的hw_User_Notify内容

BAS-IPv6

100

标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性

UserIPv6-List

101

用户IPv6地址列表

 

【举例】

# 在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] exclude-attribute 6 ack-auth

【相关命令】

·            display portal server

1.1.29  free-traffic threshold

free-traffic threshold命令用来配置用户免认证流量的阈值。

undo free-traffic threshold命令用来恢复缺省情况。

【命令】

free-traffic threshold value

undo free-traffic threshold

【缺省情况】

用户免认证流量的阈值为0字节。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。

【使用指导】

设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-trigger表项老化后,将该用户的流量统计清零。如果在MAC-trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-trigger表项,重复以上过程。

【举例】

# 为MAC绑定服务器mts配置用户免认证流量的阈值为10240字节。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240

【相关命令】

·            display mac-trigger-server

1.1.30  if-match

if-match命令用来配置重定向URL的匹配规则。

undo if-match命令用来删除配置的重定向URL匹配规则。

【命令】

if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }

undo if-match { original-url url-string | user-agent user-agent }

【缺省情况】

不存在重定向URL的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。

aes:加密算法为AES算法。

des:加密算法为DES算法。

key:设置密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·            对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。

·            对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。

user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

【使用指导】

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。

如果配置了对URL中携带的参数信息进行加密,则通过redirect-url url-string参数指定重定向地址时,需要在域名之后增加加密提示字段。例如要将Web访问请求重定向到10.1.1.1,并配置了对URL参数信息进行加密,则重定向URL的格式为:http://10.1.1.1?yyyy=,其中yyyy的值与Portal Web服务器的配置有关,具体请参见服务器的配置指导。

【举例】

# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1

# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1

【相关命令】

·            display portal web-server

·            portal free-rule

·            url

·            url-parameter

1.1.31  if-match temp-pass

if-match temp-pass命令用来配置Portal临时放行功能的匹配规则。

undo if-match temp-pass命令用来恢复缺省情况。

【命令】

if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]

undo if-match { original-url url-string | user-agent user-agent } * temp-pass

【缺省情况】

未配置Portal临时放行功能的匹配规则。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

original-url url-string:用户HTTP/HTTPS请求报文中的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

user-agent user-agent:用户HTTP/HTTPS请求报文中的User Agent信息,为1~255个字符的字符串,区分大小写。HTTP User Agent信息可包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

original:Web访问请求被重定向到原来的URL。

【使用指导】

接口上开启Portal临时放行功能(通过portal temp-pass enable命令配置)后,本命令可以控制Portal临时放行报文,只有匹配用户的Web请求地址或者用户HTTP/HTTPS请求报文中的User Agent信息的报文才能被临时放行。临时放行后的报文可以被重定向到指定URL,也可以被重定向到原来的URL。

如果配置的匹配条件相同,重定向URL不同,则新配置会覆盖原配置,不会重定向到不同的URL。

如果未指定参数redirect-urloriginal,则表示只对匹配的流量放行,不进行重定向。

【举例】

# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass

# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行,并重定向到原来的URL。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass original

# 配置Portal临时放行功能的匹配规则,对用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的用户报文临时放行,并重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1

# 配置Portal临时放行功能的匹配规则,对访问http://www.123.com.cn和用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36同时匹配的用户报文临时放行,并重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] if-match original-url http://www.123.com.cn user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1

【相关命令】

·            display portal web-server

·            portal free-rule

·            portal temp-pass enable

·            url

·            url-parameter

1.1.32  ip (MAC binding server view)

ip命令用来配置MAC绑定服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未配置MAC绑定服务器的IP地址。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:MAC绑定服务器的IPv4地址。

vpn-instance ipv4-vpn-instance-name:MAC绑定服务器所属的VPN。ipv4-vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。

key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。

cipher:以密文方式设置共享密钥。

simple:以明文方式设置共享密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。

【使用指导】

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal

【相关命令】

·            display mac-trigger-server

1.1.33  ip (portal authentication server view)

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

vpn-instance vpn-instance-name:Portal认证服务器所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·            portal server

·            display portal server

1.1.34  ipv6 (portal authentication server view)

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ key { cipher | simple } string ]

undo ipv6

【缺省情况】

未指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

vpn-instance vpn-instance-name:Portal认证服务器所属的VPN。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv6地址和VPN的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·            portal server

·            display portal server

1.1.35  local-binding aging-time

local-binding aging-time命令用来配置本地MAC-trigger绑定表项的老化时间。

undo local-binding aging-time命令用来恢复缺省情况。

【命令】

local-binding aging-time hours

undo local-binding aging-time

【缺省情况】

本地MAC-trigger绑定表项的老化时间为12小时。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

hours:本地MAC-trigger绑定表项的老化时间,取值范围为1~2160,单位为小时。

【使用指导】

当某条本地MAC-trigger绑定表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立本地MAC-trigger绑定表项。

关闭本地MAC-trigger功能后,设备上已有的本地MAC-trigger表项不会立即删除,一直到设定的老化时间后才会删除。

【举例】

# 在MAC绑定服务器mts视图下,指定本地MAC-trigger绑定表项老化时间为24小时。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] local-binding aging-time 24

【相关命令】

·            display mac-trigger-server

·            local-binding enable

1.1.36  local-binding enable

local-binding enable命令用来开启Portal本地MAC-trigger认证功能。

undo local-binding enable命令用来关闭Portal本地MAC-trigger认证功能。

【命令】

local-binding enable

undo local-binding enable

【缺省情况】

Portal本地MAC-trigger认证功能处于关闭状态。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,当用户进行本地Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时接入设备作为MAC绑定服务器,接入设备在检测到用户首次上线的流量后,会生成本地MAC-trigger绑定表项,用于记录用户的MAC地址、用户名、密码。

【举例】

# 在MAC绑定服务器mts视图下,开启Portal本地MAC-trigger认证功能。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] local-binding enable

【相关命令】

·            display mac-trigger-server

·            local-binding aging-time

1.1.37  logon-page bind

logon-page bind命令用来配置终端设备名称或终端设备类型与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能。

undo logon-page bind命令用来取消指定终端设备名称或终端设备类型与认证页面的绑定关系。

【命令】

logon-page bind { device-type { computer | pad | phone } | device-name device-name } * file file-name

undo logon-page bind { all | device-type { computer | pad | phone } | device-name device-name } *

【缺省情况】

未配置终端设备名称或终端设备类型与任何认证页面文件的绑定关系。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:表示所有绑定的终端设备类型和终端设备名称。

device-type:表示绑定的终端设备类型。

computer:设备终端类型为计算机。

pad:设备终端类型为平板电脑。

phone:设备终端类型为手机。

device-name device-name:终端设备名称。其中,device-name为1~127个字符的字符串,区分大小写。指定的终端设备名称必须为设备指纹库中已定义的设备名称,否则绑定的认证页面不生效。

file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。

【使用指导】

未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-page bind命令,则会根据Portal用户所属的终端设备名称或终端设备类型查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面。

当设备根据Portal用户所属的终端设备名称和终端设备类型信息同时匹配到多条绑定关系时,则设备将按照以下优先级进行选择所使用的绑定关系:

(1)       选择同时指定了终端设备名称和终端设备类型的绑定关系。

(2)       选择同时指定终端设备名称和终端设备类型的绑定关系。

(3)       选择仅指定终端设备名称的绑定关系。

(4)       选择仅指定终端设备类型的绑定关系。

当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。

对于相同的终端设备类型或终端设备名称,多次执行本命令,最后一次执行的命令生效。

设备上允许同时存在多条绑定条目。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

# 配置终端设备类型为phone的设备与定制认证页面文件file2.zip进行绑定。

[Sysname-portal-local-websvr-http] logon-page bind device-type phone file file2.zip

【相关命令】

·            default-logon-page

·            portal local-web-server

1.1.38  logout-notify

logout-notify命令用来配置强制用户下线通知报文的最大重传次数和重传时间间隔。

undo logout-notify命令用来恢复缺省情况。

【命令】

logout-notify retry retries interval interval

undo logout-notify

【缺省情况】

未配置强制用户下线通知报文的最大重传次数和重传时间间隔。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

retry retries:最大重传次数,取值范围为1~5。

interval interval:重传时间间隔,取值范围为1~10,单位为秒。

【使用指导】

由于Portal协议采用UDP报文来承载数据,因此其通信过程是不可靠的。为防止Portal认证服务器收不到强制用户下线通知报文,可以配置重传次数和重传间隔。

当设备发送强制用户下线通知报文后,无论设备在指定的时间内(重传次数乘以重传时间间隔)是否收到Portal认证服务器的响应,都会强制用户下线并删除用户信息。

【举例】

# 配置强制用户下线报文的最大重传次数为3次,时间间隔为5秒。

<Sysname> system-view

[Sysname] portal server pt

[Sysname-portal-server-pt] logout-notify retry 3 interval 5

【相关命令】

·            display portal server

1.1.39  mail-domain-name

mail-domain-name命令用来配置邮箱认证服务支持的邮箱类型。

undo mail-address命令用来删除配置的邮箱认证服务支持的邮箱类型。

【命令】

mail-domain-name string

undo mail-domain-name [ string ]

【缺省情况】

未配置邮箱认证服务支持的邮箱类型。

【视图】

邮箱认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:表示邮箱类型,为1~255个字符的字符串,区分大小写,格式为@XXX.XXX。

undo命令中不指定该参数表示删除所有配置的邮箱认证服务支持的邮箱类型。

【使用指导】

用户输入的邮箱地址需要符合所配置的邮箱类型才能进行邮箱认证。

可以重复执行本命令配置多个邮箱类型,最多可以配置16个。

【举例】

# 配置邮箱认证服务支持的邮箱类型为@qq.com和@sina.com。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail] mail-domain-name @qq.com

[Sysname-portal-extend-auth-server-mail] mail-domain-name @sina.com

【相关命令】

·            display portal extend-auth-server

1.1.40  mail-protocol

mail-protocol命令用来配置邮箱认证服务支持的协议类型。

undo mail-protocol命令用来恢复缺省情况。

【命令】

mail-protocol { imap | pop3 } *

undo mail-protocol

【缺省情况】

未配置邮箱认证服务支持的协议类型。

【视图】

邮箱认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

imap:互联网信息访问协议(IMAP)。

pop3:POP3协议。

【使用指导】

终端用户采用邮箱方式进行第三方认证时,终端用户输入邮箱地址和密码,提交给设备,设备再和邮件服务器进行认证和授权交互,设备和服务器之间采取POP3或IMAP邮箱协议。

【举例】

# 配置邮箱认证服务支持的协议类型为POP3。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail] mail-protocol pop3

【相关命令】

·            display portal extend-auth-server

1.1.41  nas-port-type

nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

undo nas-port-type命令用来恢复缺省情况。

【命令】

nas-port-type value

undo nas-port-type

【缺省情况】

设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

value:NAS-Port-Type属性值,取值范围为1~255。

【使用指导】

设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。

请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。

【举例】

# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] nas-port-type 30

【相关命令】

·            display mac-trigger-server

1.1.42  port (MAC binding server view)

port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

MAC绑定服务器监听查询报文的UDP端口号是50100。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-number:UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。

【举例】

# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。

<sysname> system-view

[sysname] portal mac-trigger-server mts

[sysname-portal-mac-trigger-server-mts] port 1000

【相关命令】

·            display mac-trigger-server

1.1.43  port (portal authentication server view)

port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·            portal server

1.1.44  portal { bas-ip | bas-ipv6 }

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来删除接口上指定的BAS-IP或BAS-IPv6属性。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

bas-ip ipv4-address:接口发送Portal报文的BAS-IP属性值。其中,ipv4-address为本机的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

bas-ipv6 ipv6-address:接口发送Portal报文的BAS-IPv6属性值。其中,ipv6-address为本机的IPv6地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。

配置此命令后,设备主动发送的通知类Portal报文,其源IPv4地址为配置的BAS-IP,其源IPv6地址为配置的BAS-IPv6,否则为Portal报文出接口IP地址。

接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。

使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。

【举例】

# 配置接口GigabitEthernet1/0/1发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal bas-ip 2.2.2.2

【相关命令】

·            display portal

1.1.45  portal { ipv4-max-user | ipv6-max-user }

portal { ipv4-max-user | ipv6-max-user }命令用来配置接口上的Portal最大用户数。

undo portal { ipv4-max-user | ipv6-max-user }命令用来恢复缺省情况。

【命令】

portal { ipv4-max-user | ipv6-max-user } max-number

undo portal { ipv4-max-user | ipv6-max-user }

【缺省情况】

接口上的Portal最大用户数不受限制。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-number:接口上允许的最大IPv4或IPv6 Portal用户数,取值范围为1~4294967295。

【使用指导】

如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv4 Portal最大用户数为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal ipv4-max-user 100

【相关命令】

·            display portal

·            portal max-user

1.1.46  portal apply mac-trigger-server

portal apply mac-trigger-server命令用来应用MAC绑定服务器。

undo portal apply mac-trigger-server命令用来恢复缺省情况。

【命令】

portal apply mac-trigger-server server-name

undo portal apply mac-trigger-server

【缺省情况】

未应用MAC绑定服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

基于MAC地址的快速认证仅支持直接认证方式。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·            完成普通三层Portal认证的相关配置;

·            配置MAC绑定服务器的IP地址和端口号;

·            在接口上应用MAC绑定服务器;

【举例】

# 在接口GigabitEthernet1/0/1上应用MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal apply mac-trigger-server mts

【相关命令】

·            portal mac-trigger-server

1.1.47  portal apply web-server

portal [ ipv6 ] apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。

undo portal [ ipv6 ] apply web-server命令用来删除指定的Portal Web服务器。

【命令】

portal [ ipv6 ] apply web-server server-name [ secondary ]

undo portal [ ipv6 ] apply web-server [ server-name ]

【缺省情况】

未引用Portal Web服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

secondary:表示备份Portal Web服务器。若不指定该参数,则表示主Portal Web服务器。

server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。取消接口上引用的Portal Web服务器时,若不指定该参数,则表示取消该接口上所有引用的Portal Web服务器。

【使用指导】

一个接口上可以同时开启IPv4 Portal认证和IPv6 Portal认证,每种类型的Portal认证开启后,均可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。

设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。

要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。

【举例】

# 在接口GigabitEthernet1/0/1上引用名称为wbs的Portal Web服务器作为用户认证时使用的备份Web服务器。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal apply web-server wbs secondary

【相关命令】

·            display portal

·            portal fail-permit server

·            portal web-server

·            server-detect (portal web-server view)

1.1.48  portal auth-error-record enable

portal auth-error-record enable命令用来开启Portal认证异常信息记录功能。

undo portal auth-error-record enable命令用来关闭Portal认证异常信息记录功能。

【命令】

portal auth-error-record enable

undo portal auth-error-record enable

【缺省情况】

Portal认证异常信息记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

Portal认证异常信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal认证异常信息记录功能。

<Sysname> system-view

[Sysname] portal auth-error-record enable

【相关命令】

·            display portal auth-error-record

1.1.49  portal auth-error-record export

portal auth-error-record export命令用来导出Portal认证异常记录。

【命令】

portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

url url-string:表示储存Portal认证异常记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证异常记录到服务器。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·            FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·            TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/ autherror/,表示地址为1.1.1.1的TFTP服务器的autherror目录。

·            HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/autherror/,表示 地址为1.1.1.1的HTTP服务器的autherror目录,其中登录用户名为a,密码为1;如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/autherror/。

·            服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。

<Sysname> system-view

[Sysname] portal auth-error-record export tftp://1.1.1.1/record/autherror/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。

<Sysname> system-view

[Sysname] portal auth-error-record export tftp://1.1.1.1/record/autherror/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·            display portal auth-error-record

·            portal auth-error-record enable

·            reset portal auth-error-record

1.1.50  portal auth-error-record max

portal auth-error-record max命令用来配置设备保存Portal认证异常记录的最大条数。

undo portal auth-error-record max命令用来恢复缺省情况。

【命令】

portal auth-error-record max number

undo portal auth-error-record max

【缺省情况】

设备保存Portal认证异常记录的最大条数为32000。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:Portal认证异常记录的最大条数,取值范围为1~4294967295。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal认证异常记录的最大条数为50。

<Sysname> system-view

[Sysname] portal auth-error-record max 50

【相关命令】

·            display portal auth-error-record

1.1.51  portal auth-fail-record enable

portal auth-fail-record enable命令用来开启Portal认证失败信息记录功能。

undo portal auth-fail-record enable命令用来关闭Portal认证失败信息记录功能。

【命令】

portal auth-fail-record enable

undo portal auth-fail-record enable

【缺省情况】

Portal认证失败信息记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

Portal认证失败信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal认证失败信息记录功能。

<Sysname> system-view

[Sysname] portal auth-fail-record enable

【相关命令】

·            display portal auth-fail-record

1.1.52  portal auth-fail-record export

portal auth-fail-record export命令用来导出Portal认证失败记录。

【命令】

portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

url url-string:表示储存Portal认证失败记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·            FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·            TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/authfail/,表示地址为1.1.1.1的TFTP服务器的authfail目录。

·            HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的HTTP服务器的authfail目录,其中用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/authfail/。

·            服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。

<Sysname> system-view

[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。

<Sysname> system-view

[Sysname] portal auth-fail-record export tftp://1.1.1.1/record/authfail/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·            display portal auth-fail-record

·            portal auth-fail-record enable

·            reset portal auth-fail-record

1.1.53  portal auth-fail-record max

portal auth-fail-record max命令用来配置设备保存Portal认证失败记录的最大条数。

undo portal auth-fail-record max命令用来恢复缺省情况。

【命令】

portal auth-fail-record max number

undo portal auth-fail-record max

【缺省情况】

设备保存Portal认证失败记录的最大条数为32000。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:Portal认证失败记录的最大条数,取值范围为1~4294967295。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal认证失败记录的最大条数为50。

<Sysname> system-view

[Sysname] portal auth-fail-record max 50

【相关命令】

·            display portal auth-fail-record

1.1.54  portal authorization strict-checking

portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。

undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。

【命令】

portal authorization acl strict-checking

undo portal authorization acl strict-checking

【缺省情况】

缺省为非严格检查授权信息模式,当服务器下发的授权ACL在设备上不存在或者设备下发ACL失败时,用户保持在线。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

接口上开启Portal授权信息的严格检查模式后当服务器给用户下发的授权ACL在设备上不存在或者设备下发ACL失败时,设备将强制该用户下线。

【举例】

# 在接口GigabitEthernet1/0/1上开启对授权ACL的严格检查模式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal authorization acl strict-checking

【相关命令】

·            display portal

1.1.55  portal delete-user

portal delete-user命令用来强制在线Portal用户下线。

【命令】

portal delete-user { ipv4-address | all | auth-type { cloud | email | local | normal | qq | wechat } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address | username username }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:在线Portal用户的IPv4地址。

all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。

auth-type:在线Portal用户的认证类型。

cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。

email:Portal认证类型为邮箱认证。

local:Portal认证类型为本地认证。

normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。

qq:Portal认证类型为QQ认证。

wechat:Portal认证类型为微信认证。

interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。

mac mac-address:在线Portal用户的MAC地址。mac-address格式为H-H-H。

username username:在线Portal用户的用户名。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 强制IP地址为1.1.1.1的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

# 强制MAC地址为000d-88f8-0eab的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user mac 000d-88f8-0eab

# 强制所有通过邮箱认证的用户下线。

<Sysname> system-view

[Sysname] portal delete-user auth-type email

# 强制用户名为abc的在线Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user username abc

【相关命令】

·            display portal user

1.1.56  portal device-id

portal device-id命令用来配置设备ID。

undo portal device-id命令用来恢复缺省情况。

【命令】

portal device-id device-id

undo portal device-id

【缺省情况】

未配置任何设备ID。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

device-id:设备ID,为1~63个字符的字符串,区分大小写。

【使用指导】

通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。

不同设备的设备ID不能相同。

【举例】

# 配置设备的编码名为0002.0010.100.00。

<Sysname> system-view

[Sysname] portal device-id 0002.0010.100.00

1.1.57  portal domain

portal [ ipv6 ] domain命令用来指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。

undo portal [ ipv6 ] domain命令用来删除指定的Portal用户使用的认证域。

【命令】

portal [ ipv6 ] domain domain-name

undo portal [ ipv6 ] domain

【缺省情况】

未指定Portal用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的IPv4 Portal用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal domain my-domain

【相关命令】

·            display portal

1.1.58  portal dual-stack enable

portal dual-stack enable命令用来开启Portal支持双协议栈功能。

undo portal dual-stack enable命令用来关闭Portal支持双协议栈功能。

【命令】

portal dual-stack enable

undo portal dual-stack enable

【缺省情况】

Portal支持双协议栈功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在接口下开启了Portal支持双协议栈功能后,用户在直接认证方式的Portal认证过程中,当通过了IPv4或IPv6 Portal认证后,再访问IPv6或IPv4网络时,不再需要重新进行Portal认证,达到一次认证通过,可以同时访问IPv4和IPv6网络的目的。

【举例】

# 在接口GigabitEthernet1/0/1上开启Portal支持双栈功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal dual-stack enable

【相关命令】

·            portal dual-stack traffic-separate enable

1.1.59  portal dual-stack traffic-separate enable

portal dual-stack traffic-separate enable命令用来开启Portal双协议栈流量计费分离功能。

undo portal dual-stack traffic-separate enable命令用来关闭Portal双协议栈流量计费分离功能。

【命令】

portal dual-stack traffic-separate enable

undo portal dual-stack traffic-separate enable

【缺省情况】

Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启Portal双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发送给AAA服务器,否则,设备会将用户访问IPv4网络和IPv6网络的总流量发送给AAA服务器。

开启Portal支持双栈协议功能后,本命令才生效。

如果接口上配置了本命令,且Portal用户使用的认证域下配置了accounting dual-stack命令,则Portal双协议栈流量是否分离计费由本命令决定。关于accounting dual-stack命令的相关介绍,请参见“安全命令参考”中的“AAA”。

【举例】

# 在接口GigabitEthernet1/0/1上开启Portal双协议栈流量计费分离功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal dual-stack traffic-separate enable

【相关命令】

·            portal dual-stack enable

1.1.60  portal enable

portal [ ipv6 ] enable命令用来开启Portal认证功能,并指定认证方式。

undo portal [ ipv6 ] enable命令用来关闭Portal认证功能。

【命令】

portal enable method { direct | layer3 | redhcp }

portal ipv6 enable method { direct | layer3 }

undo portal [ ipv6 ] enable

【缺省情况】

Portal认证功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。

method:认证方式。

·            direct:直接认证方式。

·            layer3:可跨三层认证方式。

·            redhcp:二次地址分配认证方式。

【使用指导】

不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal [ ipv6 ] enable命令取消Portal认证功能,再执行portal [ ipv6 ] enable命令。

开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。

IPv6 Portal认证不支持二次地址分配方式。

为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。

允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。

【举例】

# 在接口GigabitEthernet1/0/1上开启IPv4 Portal认证功能,且指定为直接认证方式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal enable method direct

【相关命令】

·            display portal

1.1.61  portal extend-auth domain

portal extend-auth domain命令用来配置第三方认证用户使用的认证域。

undo portal extend-auth domain命令用来删除第三方认证用户使用的认证域。

【命令】

portal extend-auth domain domain-name

undo portal extend-auth domain

【缺省情况】

未配置第三方认证用户使用认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

只支持IPv4的第三方认证用户。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入第三方认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal extend-auth domain my-domain

【相关命令】

·            display portal

1.1.62  portal extend-auth-server

portal extend-auth-server命令用来创建第三方认证服务器,并进入第三方认证服务器视图。如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图。

undo portal extend-auth-server命令用来删除第三方认证服务器。

【命令】

portal extend-auth-server { qq | mail }

undo portal extend-auth-server { qq | mail }

【缺省情况】

不存在第三方认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

qq:表示QQ认证服务器。

mail:表示邮箱认证服务器。

【使用指导】

第三方认证是指使用QQ帐号在QQ服务器上或是使用邮箱帐号在邮件服务器完成第三方的认证授权后,通知设备使用第三方认证的账号和密码进行本地Portal Web服务器的直接Portal认证。此过程中不需要用户使用额外的Portal认证账号,方便用户上网。

【举例】

# 创建QQ认证服务器,并进入QQ认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq]

# 创建邮箱认证服务器,并进入邮箱认证服务器视图。

<Sysname> system-view

[Sysname] portal extend-auth-server mail

[Sysname-portal-extend-auth-server-mail]

【相关命令】

·            display portal extend-auth-server

1.1.63  portal fail-permit server

portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

undo portal [ ipv6] fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit server server-name

undo portal [ ipv6] fail-permit server

【缺省情况】

Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,再重新启动接口上的Portal认证功能。Portal认证功能重新启动之后,未通过认证的用户以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口GigabitEthernet1/0/1上启用Portal认证服务器pts1不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal fail-permit server pts1

【相关命令】

·            display portal

1.1.64  portal fail-permit web-server

portal [ ipv6 ] fail-permit web-server命令用来开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时暂停接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。

undo portal [ ipv6 ] fail-permit web-server命令用来关闭Portal Web服务器不可达时的Portal用户逃生功能。

【命令】

portal [ ipv6 ] fail-permit web-server

undo portal [ ipv6] fail-permit web-server

【缺省情况】

Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

【使用指导】

如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。

同一个接口上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。

【相关命令】

·            display portal

1.1.65  portal free-all except destination

portal free-all except destination命令用来配置IPv4 Portal目的认证网段。

undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。

【命令】

portal free-all except destination ipv4-network-address { mask-length | mask }

undo portal free-all except destination [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

可以通过多次执行本命令,配置多条目的认证网段。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。

目的网段认证对二次地址分配认证方式的Portal认证不生效。

如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal free-all except destination 11.11.11.0 24

【相关命令】

·            display portal

1.1.66  portal free-rule

portal free-rule命令用来配置基于IP地址的Portal免认证规则。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number { destination ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于IP地址的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

source:指定源信息。

ip ip-address:免认证规则的IPv4地址。

{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ipv6 ipv6-address:免认证规则的IPv6地址。

prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。

ip any:任意IPv4地址。

ipv6 any:任意IPv6地址。

tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。

udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。

all:所有免认证规则。

interface interface-type interface-number:免认证规则生效的三层接口。

【使用指导】

可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。

如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。

【举例】

# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1。该规则表示在GigabitEthernet1/0/1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface gigabitethernet 1/0/1

# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1。该规则表示在GigabitEthernet1/0/1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64 interface gigabitethernet 1/0/1

【相关命令】

·            display portal rule

1.1.67  portal free-rule description

portal free-rule description命令用来配置Portal免认证规则的描述信息。

undo portal free-rule description命令用来删除指定Portal免认证规则的描述信息。

【命令】

portal free-rule rule-number description text

undo portal free-rule rule-number description

【缺省情况】

Portal免认证规则不存在描述信息。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

text:表示Portal免认证规则的描述信息,为1~255个字符的字符串,区分大小写。

【举例】

# 配置rule-number为2的Portal免认证规则的描述信息为“This is IT department”。

<Sysname> system-view

[Sysname] portal free-rule 2 description This is IT department

1.1.68  portal free-rule destination

portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number destination host-name

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于目的的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定目的信息。

host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。

all:所有免认证规则。

【使用指导】

基于目的Portal免认证规则支持如下两种配置方式:

·            精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。

·            模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。

配置基于目的Portal免认证规则时,需要注意的是:

·            通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。

·            配置的主机名不能只有通配符。

·            相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

·            目前,只有用户浏览器发起的HTTP/HTTPS报文,支持模糊匹配的免认证规则。

【举例】

# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.h3c.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 4 destination www.h3c.com

【相关命令】

·            display portal rule

1.1.69  portal free-rule source

portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number source { { interface interface-type interface-number | mac mac-address | object-group object-group-name | vlan vlan-id } * }

undo portal free-rule { rule-number | all }

【缺省情况】

未配置基于源的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。

mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。

object-group object-group-name:免认证规则的源对象组的名称,为1~31个字符的字符串,不区分大小写。

vlan vlan-id:免认证规则的源VLAN编号。配置该关键字仅对通过VLAN接口接入的用户生效。

all:所有免认证规则。

【使用指导】

如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。

在创建基于源对象组的免认证规则之前,指定的源对象组必须已经存在,否则不能创建基于源对象组的Portal免认证规则。目前,设备仅支持IPv4/IPv6地址对象组。

【举例】

# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10

【相关命令】

·            display portal rule

1.1.70  portal ipv6 free-all except destination

portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。

undo portal ipv6 free-all except destination命令用来删除IPv6 Portal目的认证网段。

【命令】

portal ipv6 free-all except destination ipv6-network-address prefix-length

undo portal ipv6 free-all except destination [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-network-address:IPv6 Portal认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

可以通过多次执行本命令,配置多条目的认证网段。

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal目的认证网段。

目的网段认证对二次地址分配认证方式的Portal认证不生效。

如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal ipv6 free-all except destination 1::2 16

【相关命令】

·            display portal

1.1.71  portal ipv6 layer3 source

portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。

undo portal ipv6 layer3 source命令用来删除IPv6 Portal源认证网段。

【命令】

portal ipv6 layer3 source ipv6-network-address prefix-length

undo portal ipv6 layer3 source [ ipv6-network-address ]

【缺省情况】

未配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-network-address:IPv6 Portal源认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal ipv6 layer3 source 1::1 16

【相关命令】

·            display portal

·            portal ipv6 free-all except destination

1.1.72  portal ipv6 user-detect

portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv6 Portal用户在线探测功能。

【命令】

portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]

undo portal ipv6 user-detect

【缺省情况】

IPv6 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

type:指定探测类型。

·            icmpv6:表示探测类型为ICMPv6。

·            nd:表示探测类型为ND。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·            当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·            当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。

如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文。

【举例】

# 在接口GigabitEthernet1/0/1上开启IPv6 Portal用户在线探测功能:探测类型为ICMPv6,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal ipv6 user-detect type icmpv6 retry 5 interval 10 idle 300

【相关命令】

·            display portal

1.1.73  portal layer3 source

portal layer3 source命令用来配置IPv4 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。

undo portal layer3 source命令用来删除IPv4 Portal源认证网段。

【命令】

portal layer3 source ipv4-network-address { mask-length | mask }

undo portal layer3 source [ ipv4-network-address ]

【缺省情况】

未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。

源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal layer3 source 10.10.10.0 24

【相关命令】

·            display portal

·            portal free-all except destination

1.1.74  portal local-web-server

portal local-web-server命令用来创建本地Portal Web服务器,并进入本地Portal Web服务器视图。如果指定的本地Portal Web服务器已经存在,则直接进入本地Portal Web服务器视图。

undo portal local-web-server命令用来删除本地Portal Web服务器。

【命令】

portal local-web-server { http | https [ ssl-server-policy policy-name ] }

undo portal local-web-server { http | https }

【缺省情况】

不存在本地Protal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

http:指定本地Portal Web服务器使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务器使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。若不指定本参数,HTTPS服务将关联自签名证书对应的SSL服务器端策略,该SSL服务器端策略支持所有加密套件。

【使用指导】

本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务器功能。条件如下:

·            该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。

·            该URL以/portal/结尾,例如:http://1.1.1.1/portal/。

配置本地Portal Web服务器功能时,需要注意的是:

·            已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·            不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务器,再执行portal local-web-server https ssl-server-policy命令。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图。指定使用HTTPS协议和客户端交互认证信息,且引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

[Sysname-portal-local-websvr-https] quit

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

[Sysname-portal-local-websvr-https] quit

【相关命令】

·            default-logon-page

·            portal local-web-server

·            ssl server-policy(安全命令参考/SSL)

1.1.75  portal logout-record enable

portal logout-record enable命令用来开启Portal用户下线信息记录功能。

undo portal logout-record enable命令用来关闭Portal用户下线信息记录功能。

【命令】

portal logout-record enable

undo portal logout-record enable

【缺省情况】

Portal用户下线信息记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

Portal用户的下线信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。

【举例】

# 开启Portal用户下线信息记录功能。

<Sysname> system-view

[Sysname] portal logout-record enable

【相关命令】

·            display portal logout-record

1.1.76  portal logout-record export

portal logout-record export命令用来导出Portal用户下线记录。

【命令】

portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

url url-string:表示储存Portal用户下线记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。

start-time start-date start-time end-time end-date end-time:导出指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:

·            FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。

·            TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/logout/,表示地址为1.1.1.1的TFTP服务器的logout目录。

·            HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/logout/,表示地址为1.1.1.1的HTTP服务器的logout目录,其中登录用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/logout/。

·            服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。

【举例】

# 导出所有用户下线记录到tftp://1.1.1.1/record/logout/路径下。

<Sysname> system-view

[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/

# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的用户下线记录到tftp://1.1.1.1/record/logout/路径下。

<Sysname> system-view

[Sysname] portal logout-record export tftp://1.1.1.1/record/logout/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00

【相关命令】

·            display portal logout-record

·            portal logout-record enable

·            reset portal logout-record

1.1.77  portal logout-record max

portal logout-record max命令用来配置设备保存Portal用户下线记录的最大条数。

undo portal logout-record max命令用来恢复缺省情况。

【命令】

portal logout-record max number

undo portal logout-record max

【缺省情况】

设备保存Portal用户下线记录的最大条数为32000。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:Portal用户下线记录的最大条数,取值范围为1~4294967295。

【使用指导】

当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。

【举例】

# 配置设备保存Portal用户下线记录的最大条数为50。

<Sysname> system-view

[Sysname] portal logout-record max 50

【相关命令】

·            display portal logout-record

1.1.78  portal mac-trigger-server

portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。

undo portal mac-trigger-server命令用来删除MAC绑定服务器。

【命令】

portal mac-trigger-server server-name

undo portal mac-trigger-server server-name

【缺省情况】

不存在MAC绑定服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等。

【举例】

# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts]

【相关命令】

·            portal apply mac-trigger-server

·            display mac-trigger-server

1.1.79  portal max-user

portal max-user命令用来配置全局Portal最大用户数。

undo portal max-user命令用来恢复缺省情况。

【命令】

portal max-user max-number

undo portal max-user

【缺省情况】

全局Portal最大用户数不受限制。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-number:系统中允许同时在线的最大Portal用户数。取值范围为1~4294967295。

【使用指导】

如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。

建议所有开启Portal的接口上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。

【举例】

# 配置全局Portal最大用户数为100。

<Sysname> system-view

[Sysname] portal max-user 100

【相关命令】

·            display portal user

·            portal { ipv4-max-user | ipv6-max-user }

1.1.80  portal nas-id-profile

portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo portal nas-id-profile命令用来恢复缺省情况。

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。

如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。

【举例】

# 在接口GigabitEthernet1/0/1上指定名为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal nas-id-profile aaa

【相关命令】

·            aaa nas-id profile(安全命令参考/AAA)

1.1.81  portal nas-port-id format

portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。

undo portal nas-port-id format命令用来恢复缺省情况。

【命令】

portal nas-port-id format { 1 | 2 | 3 | 4 }

undo portal nas-port-id format

【缺省情况】

NAS-Port-ID的消息格式为格式2。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

1:表示格式1,具体为{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。

2:表示格式2,具体为SlotID00IfNOVlanID。

3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。

4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。

【使用指导】

可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。

不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。

1. 格式1

{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]

各项含义如下:

·            {atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口。

·            NAS_slot:BRAS槽号,取值为0~31。

·            NAS_subslot:BRAS子槽号,取值为0~31。

·            NAS_Port:BRAS端口号,取值为0~63。

·            XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。

·            XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。

·            AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。

·            ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。

·            ANI_frame:接入节点机框号,取值为0~31。

·            ANI_slot:接入节点槽号,取值为0~127。

·            ANI_subslot:接入节点子槽号,取值为0~31。

·            ANI_port:接入节点端口号,取值为0~255。

·            ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。

字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。

如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0。

如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。

如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。

对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”

其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。

对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth  31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。

格式1的解释示例如下:

·            例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535。

·            例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。

·            例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。

·            例4:NAS_PORT_ID =“eth  31/31/7:4096.2345 guangzhou001/1/31/63/31/127”

含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31, BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。

2. 格式2

SlotID00IfNOVlanID

各项含义如下:

·            SlotID:用户接入的槽位号,为两个字符的字符串。

·            IfNO:用户接入的接口编号,为3个字符的字符串。

·            VlanID:用户接入的VLAN ID,为9个字符的字符串。

3. 格式3

其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:

·            对于IPv4用户,此处添加的是DHCP Option82的内容。

·            对于IPv6用户,此处添加的是DHCP Option18的内容。

4. 格式4

其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:

·            对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。

·            对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**。

【举例】

# 配置NAS-Port-ID属性的格式为format 1。

<Sysname> system-view

[Sysname] portal nas-port-id format 1

1.1.82  portal outbound-filter enable

portal [ ipv6 ] outbound-filter enable命令用来开启Portal出方向的报文过滤功能。

undo portal [ ipv6 ] outbound-filter enable命令用来关闭Portal出方向的报文过滤功能。

【命令】

portal [ ipv6 ] outbound-filter enable

undo portal [ ipv6 ] outbound-filter enable

【缺省情况】

Portal出方向的报文过滤功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示对接口出方向的IPv6报文过滤。若不指定该参数,则表示对于接口出方向的IPv4报文过滤。

【使用指导】

缺省情况下,开启了Portal认证的接口,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口发送的报文进行严格控制时,可以在接口上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的接口上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。

【举例】

# 在接口GigabitEthernet1/0/1上开启出方向报文过滤功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal outbound-filter enable

1.1.83  portal packet log enable

portal packet log enable命令用来开启Portal协议报文的日志功能。

undo portal packet log enable命令用来关闭Portal协议报文的日志功能。

【命令】

portal packet log enable

undo portal packet log enable

【缺省情况】

Portal协议报文的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,设备会对Portal协议报文信息进行记录,包括用户名、IP地址、认证类型、报文类型等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Portal协议报文的日志功能。

<Sysname> system-view

[Sysname] portal packet log enable

【相关命令】

·            portal redirect log enable

·            portal user log enable

1.1.84  portal pre-auth domain

portal [ ipv6 ] pre-auth domain命令用来配置Portal认证前用户使用的认证域。

undo portal [ ipv6 ] pre-auth domain命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth domain domain-name

undo portal [ ipv6 ] pre-auth domain

【缺省情况】

未配置Portal认证前用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定IPv6用户使用的认证域。若不指定该参数,则表示指定IPv4用户使用的认证域。

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

开启Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL和CAR),并根据授权信息获得相应的网络访问权限。若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息。用户下线之后,将被重新授予该认证前域中的授权属性。

认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效。

如果认证前域的域名发生变化,新的域名对所有认证前用户生效。

如果当前认证前域中的ACL和CAR授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。

配置Portal认证前用户使用的认证域时,需要注意的是:

·            若认证前域中指定的授权ACL不存在,或者ACL中无任何规则,或者配置的规则中允许访问的目的IP地址为“any”,则表示不对用户的访问进行限制。

·            认证前域中指定的授权ACL中不要配置源地址信息,如果该授权ACL中配置了源地址信息,则该授权ACL下发后将会导致用户不能正常上线。

·            配置Portal认证前域时,请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undo portal [ ipv6 ] pre-auth domain命令)后重新配置。

·            该配置与MAC-trigger认证同时配置时,不能配置用户免认证流量的阈值。

【举例】

# 在接口GigabitEthernet1/0/1上配置Portal认证前用户使用的认证域为abc。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal pre-auth domain abc

【相关命令】

·            display portal

1.1.85  portal pre-auth ip-pool

portal [ ipv6 ] pre-auth ip-pool命令用来配置Portal认证前用户使用的地址池。

undo portal [ ipv6 ] pre-auth ip-pool命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] pre-auth ip-pool pool-name

undo portal [ ipv6 ] pre-auth ip-pool

【缺省情况】

未配置Portal认证前用户使用的地址池。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Portal用户。若不指定该参数,则表示IPv4 Portal用户。

pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。

仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效。

当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。

【举例】

# 在接口GigabitEthernet1/0/1上为认证前的Portal用户指定IPv4地址池为abc。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal pre-auth ip-pool abc

【相关命令】

·            dhcp server ip-pool(三层技术-IP业务/DHCP)

·            ipv6 dhcp pool(三层技术-IP业务/DHCP)

·            display portal

1.1.86  portal redirect log enable

portal redirect log enable命令用来开启Portal重定向日志功能。

undo portal redirect log enable命令用来关闭Portal重定向日志功能。

【命令】

portal redirect log enable

undo portal redirect log enable

【缺省情况】

Portal重定向日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,会对Portal重定向报文信息进行记录,包括用户IP地址、MAC地址、BAS IP、Web服务器IP地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Portal重定向日志功能。

<Sysname> system-view

[Sysname] portal redirect log enable

【相关命令】

·            portal packet log enable

·            portal user log enable

1.1.87  portal refresh enable

portal refresh { arp | nd } enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。

undo portal refresh { arp | nd } enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。

【命令】

portal refresh { arp | nd } enable

undo portal refresh { arp | nd } enable

【缺省情况】

Portal客户端Rule ARP表项、ND表项生成功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

arp:表示ARP表项。

nd:表示ND表项。

【使用指导】

Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后会被立即删除,导致Portal客户端在短时间内再上线时会因ARP/ND表项还未学习到而认证失败。此情况下,需要关闭本功能,使得Portal客户端上线后其ARP/ND表项仍为动态表项,在Portal客户端下线后按老化时间正常老化。

此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。

【举例】

# 关闭Portal客户端Rule ARP表项生成功能。

<Sysname> system-view

[Sysname] undo portal refresh arp enable

1.1.88  portal roaming enable

portal roaming enable命令用来开启Portal用户漫游功能。

undo portal roaming enable命令用来关闭Portal用户漫游功能。

【命令】

portal roaming enable

undo portal roaming enable

【缺省情况】

Portal用户漫游功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效。

设备上有用户在线或认证前域用户的情况下,不能配置此命令。

Portal用户漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。

如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。

【举例】

# 开启Portal用户漫游功能。

<Sysname> system-view

[Sysname] portal roaming enable

1.1.89  portal safe-redirect enable

portal safe-redirect enable命令用来开启Portal安全重定向功能。

undo portal safe-redirect enable命令用来关闭Portal安全重定向功能。

【命令】

portal safe-redirect enable

undo portal safe-redirect enable

【缺省情况】

Portal安全重定向功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

缺省情况下,除了免认证地址的HTTP请求,系统会将用户访问任意80端口的HTTP请求报文进行重定向,这可能会带来服务器负载过大的问题。开启Portal安全重定向功能后,系统将仅仅针对请求方法为GET的HTTP请求报文以及特定浏览器发送的报文进行重定向。在服务器负载过大的情况下,建议开启Portal安全重定向功能。

【举例】

# 开启Portal安全重定向功能。

<Sysname> system-view

[Sysname] portal safe-redirect enable

【相关命令】

·            portal safe-redirect forbidden-url

·            portal safe-redirect method

·            portal safe-redirect user-agent

1.1.90  portal safe-redirect forbidden-file

portal safe-redirect forbidden-file命令用来配置Portal安全重定向禁止URL携带指定扩展名的文件。

undo portal safe-redirect forbidden-file命令用来删除Portal安全重定向禁止URL携带指定扩展名的文件。

【命令】

portal safe-redirect forbidden-file filename-extension

undo portal safe-redirect forbidden-file filename-extension

【缺省情况】

Portal安全重定向允许URL携带任意扩展名的文件。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

filename-extension:文件扩展名,为1~16个字符的字符串,区分大小写。

【使用指导】

只有在Portal安全重定向功能处于开启的状态下,才能执行本命令。

可以通过多次执行本命令,配置多个Portal安全重定向禁止URL携带指定扩展名的文件。

【举例】

# 配置Portal安全重定向禁止URL携带扩展名为.jpg的文件。

<Sysname> system-view

[Sysname] portal safe-redirect forbidden-file .jpg

【相关命令】

·            display portal safe-redirect statistics

·            portal safe-redirect enable

1.1.91  portal safe-redirect forbidden-url

portal safe-redirect forbidden-url命令用来配置Portal安全重定向禁止的URL地址。

undo portal safe-redirect forbidden-url命令用来删除配置的Portal安全重定向禁止的URL地址。

【命令】

portal safe-redirect forbidden-url user-url-string

undo portal safe-redirect forbidden-url user-url-string

【缺省情况】

Portal可以对任意URL地址的HTTP请求报文进行重定向。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-url-string:Portal安全重定向禁止的URL地址,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令,配置多个Portal安全重定向禁止的URL地址。

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect forbidden-url命令。

【举例】

# 配置Portal安全重定向禁止的URL地址为http://www.abc.com。

<Sysname> system-view

[Sysname] portal safe-redirect forbidden-url  http://www.abc.com

【相关命令】

·            portal safe-redirect enable

1.1.92  portal safe-redirect method

portal safe-redirect method命令用来配置Portal安全重定向允许的HTTP协议的请求方法。

undo portal safe-redirect method用来删除配置的Portal安全重定向允许的HTTP协议的请求方法。

【命令】

portal safe-redirect method { get | post }*

undo portal safe-redirect method { get | post }*

【缺省情况】

未配置HTTP协议的请求方法,Portal安全重定向功能开启后,HTTP协议的默认请求方法为GET。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

get:指定HTTP协议的请求方法为GET。

post:指定HTTP协议的请求方法为POST。

【使用指导】

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect method命令。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置Portal安全重定向允许的HTTP协议的请求方法为GET。

<Sysname> system-view

[Sysname] portal safe-redirect method get

【相关命令】

·            portal safe-redirect enable

1.1.93  portal safe-redirect user-agent

portal safe-redirect user-agent命令用来匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。

undo portal safe-redirect user-agent命令用来删除匹配的Portal安全重定向允许的HTTP User Agent中的浏览器类型。

【命令】

portal safe-redirect user-agent user-agent-string

undo portal safe-redirect user-agent user-agent-string

【缺省情况】

未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。Portal安全重定向功能开启后,默认与表1-20中的所有浏览器类型匹配的HTTP报文都能被Portal重定向。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-agent-string:Portal安全重定向允许的HTTP User Agent中的浏览器类型,为1~255个字符的字符串,区分大小写。可配置的浏览器类型及描述如表1-20所示。

表1-20 浏览器类型及描述

浏览器类型

描述

Safari

苹果浏览器

Chrome

谷歌浏览器

Firefox

火狐浏览器

UC

UC浏览器

QQBrowser

QQ浏览器

LBBROWSER

猎豹浏览器

TaoBrowser

淘宝浏览器

Maxthon

傲游浏览器

BIDUBrowser

百度浏览器

MSIE 10.0

微软IE 10.0浏览器

MSIE 9.0

微软IE 9.0浏览器

MSIE 8.0

微软IE 8.0浏览器

MSIE 7.0

微软IE 7.0浏览器

MSIE 6.0

微软IE 6.0浏览器

MetaSr

搜狗浏览器

 

【使用指导】

配置本命令后,只有与Portal安全重定向允许的HTTP User Agent中的浏览器类型匹配的HTTP报文才能够被Portal重定向。可通过重复执行本命令匹配多个浏览器类型。

只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect user-agent命令。

【举例】

# 配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型为Chrome和Safari。

<Sysname> system-view

[Sysname] portal safe-redirect user-agent Chrome

[Sysname] portal safe-redirect user-agent Safari

【相关命令】

·            portal safe-redirect enable

1.1.94  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

不存在Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·            display portal server

1.1.95  portal temp-pass enable

portal temp-pass enable命令用来开启Portal临时放行功能并设置临时放行时间。

undo portal temp-pass enable命令用来关闭Portal临时放行功能。

【命令】

portal temp-pass [ period period-value ] enable

undo portal temp-pass enable

【缺省情况】

Portal临时放行功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

period period-value:临时放行时间,取值范围为10~3600,单位为秒,缺省值为30秒。

【使用指导】

除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证。当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换。

一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。

【举例】

# 在接口GigabitEthernet1/0/1下开启Portal临时放行功能,并设置临时放行时间为25秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal temp-pass period 25 enable

【相关命令】

·            display portal

1.1.96  portal traffic-accounting disable

portal traffic-accounting disable命令用来关闭Portal用户流量计费功能。

undo portal traffic-accounting disable命令用来恢复缺省情况。

【命令】

portal traffic-accounting disable

undo portal traffic-accounting disable

【缺省情况】

Portal用户的流量计费功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费。当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对用户流量不做精确统计。当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量。

【举例】

# 关闭Portal用户流量计费功能。

<Sysname> system-view

[Sysname] portal traffic-accounting disable

1.1.97  portal user log enable

portal user log enable命令用来开启Portal用户上/下线日志功能。

undo portal user log enable命令用来关闭Portal用户上/下线日志功能。

【命令】

portal user log enable

undo portal user log enable

【缺省情况】

Portal用户上/下线日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Portal用户上/下线日志功能。

<Sysname> system-view

[Sysname] portal user log enable

【相关命令】

·            portal packet log enable

·            portal redirect log enable

1.1.98  portal user-detect

portal user-detect命令用来开启IPv4 Portal用户在线探测功能。

undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。

【命令】

portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]

undo portal user-detect

【缺省情况】

IPv4 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

type:指定探测类型。

·            arp:表示探测类型为ARP。

·            icmp:表示探测类型为ICMP。

retry retries:探测次数,取值范围为1~10,缺省值为3。

interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。

idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。

【使用指导】

根据探测类型的不同,设备有以下两种探测机制:

·            当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。

·            当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。

请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。

如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文。

【举例】

# 在接口GigabitEthernet1/0/1上开启Portal用户在线探测功能:探测类型为ICMP,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] portal user-detect type icmp retry 5 interval 10 idle 300

【相关命令】

·            display portal

1.1.99  portal user-dhcp-only

portal user-dhcp-only命令用来配置仅允许通过DHCP方式获取IP地址的客户端上线。

undo portal user-dhcp-only命令用来恢复缺省情况。

【命令】

portal [ ipv6 ] user-dhcp-only

undo portal [ ipv6 ] user-dhcp-only

【缺省情况】

仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。

【使用指导】

配置本命令后,配置静态IP地址的Portal认证用户不能上线。

【举例】

# 在接口GigabitEthernet1/0/1上配置仅允许通过DHCP获取IP地址的客户端上线功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] portal user-dhcp-only

【相关命令】

·            display portal

1.1.100  portal web-server

portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。

undo portal web-server命令用来删除Portal Web服务器。

【命令】

portal web-server server-name

undo portal web-server server-name

【缺省情况】

不存在Portal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。

【举例】

# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs]

【相关命令】

·            display portal web-server

·            portal apply web-server

1.1.101  redirect-url

redirect-url命令用来配置QQ认证成功之后的重定向地址。

undo redirect-url命令用来恢复缺省情况。

【命令】

redirect-url url-string

undo redirect-url

【缺省情况】

QQ认证成功之后的重定向地址为http://lvzhou.h3c.com/portal/qqlogin.html。

【视图】

QQ认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-string:QQ认证成功后的重定向URL,为1~256个字符的字符串,区分大小写。

【使用指导】

用户采用QQ作为第三方认证平台时,当客户端与QQ第三方认证平台完成了认证、授权交互后,客户端会被强制重定向到本命令配置的地址上。用户需要在设备上配置DNS代理,将此地址指向设备端,从而对设备端发起本地Portal Web服务器的直接Portal认证。

【举例】

# 配置QQ认证服务器的重定向地址。

<Sysname> system-view

[Sysname] portal extend-auth-server qq

[Sysname-portal-extend-auth-server-qq] redirect-url http://www.abc.com/portal/qqlogin.html

【相关命令】

·            display portal extend-auth-server

1.1.102  reset portal auth-error-record

reset portal auth-error-record命令用来清除Portal认证异常记录。

【命令】

reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:清除所有的Portal认证异常记录。

ipv4 ipv4-address:清除指定IPv4地址的用户Portal认证异常记录。

ipv6 ipv6-address:清除指定IPv6地址的用户Portal认证异常记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

【举例】

# 清除所有的Portal认证异常记录。

<Sysname> reset portal auth-error-record all

# 清除IP地址为11.1.0.1的用户Portal认证异常记录。

<Sysname> reset portal auth-error-record ipv4 11.1.0.1

# 清除IPv6地址为2000::2的用户Portal认证异常记录。

<Sysname> reset portal auth-error-record ipv6 2000::2

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证异常记录。

<Sysname> reset portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·            display portal auth-error-record

1.1.103  reset portal auth-fail-record

reset portal auth-fail-record命令用来清除Portal认证失败记录。

【命令】

reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:清除所有的Portal认证失败记录。

ipv4 ipv4-address:清除指定IPv4地址用户的Portal认证失败记录。

ipv6 ipv6-address:清除指定IPv6地址用户的Portal认证失败记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:清除指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 清除所有的认证失败记录。

<Sysname> reset portal auth-fail-record all

# 清除IP地址为11.1.0.1的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record ipv4 11.1.0.1

# 清除IPv6地址为2000::2的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record ipv6 2000::2

# 清除用户名为abc的用户的Portal认证失败记录。

<Sysname> reset portal auth-fail-record username abc

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证失败记录。

<Sysname> reset portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·            display portal auth-fail-record

1.1.104  reset portal captive-bypass statistics

reset portal captive-bypass statistics命令用来清除Portal被动Web认证功能的报文统计信息。

【命令】

reset portal captive-bypass statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除Portal被动Web认证功能的报文统计信息。

<Sysname> reset portal captive-bypass statistics

【相关命令】

·            display portal captive-bypass statistics

1.1.105  reset portal logout-record

reset portal logout-record命令用来清除用户下线记录。

【命令】

reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:清除所有的用户下线记录。

ipv4 ipv4-address:清除指定IPv4地址用户的下线记录。

ipv6 ipv6-address:清除指定IPv6地址用户的下线记录。

start-time start-date start-time end-time end-date end-time:清除指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-dateend-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2100。start-timeend-time的格式为hh:mm,取值范围为00:00~23:59。

username username:清除指定用户名用户的下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。

【举例】

# 清除所有的用户下线记录。

<Sysname> reset portal logout-record all

# 清除指定IP地址为11.1.0.1的用户下线记录。

<Sysname> reset portal logout-record ipv4 11.1.0.1

# 清除指定IPv6地址为2000::2的用户下线记录。

<Sysname> reset portal logout-record ipv6 2000::2

# 清除指定用户名为abc的用户下线记录。

<Sysname> reset portal logout-record username abc

# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal用户下线记录。

<Sysname> reset portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23

【相关命令】

·            display portal logout-record

1.1.106  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ extend-auth-server { cloud | mail | qq | wechat } | mac-trigger-server server-name server server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

extend-auth-server:第三方Portal认证服务器类型。

cloud:第三方Portal认证服务器类型为绿洲云服务器。

mail:第三方Portal认证服务器类型为邮箱服务器。

qq:第三方Portal认证服务器类型为QQ服务器。

wechat:第三方Portal认证服务器类型为微信服务器。

mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。若未指定本参数,则表示清除指定的Portal认证服务器的名称。

server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若未指定任何参数,则表示清除所有Portal认证服务器和MAC绑定服务器的报文统计信息。

【举例】

# 清除名称为st上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

# 清除名称为newpt的MAC绑定服务器的报文统计信息。

<Sysname> reset portal packet statistics mac-trigger-server newpt

# 清除类型为cloud的第三方Portal认证服务器的报文统计信息。

<Sysname> reset portal packet statistics extend-auth-server cloud

【相关命令】

·            display portal packet statistics

1.1.107  reset portal redirect statistics

reset portal redirect statistics命令用来清除Portal重定向报文统计信息。

【命令】

reset portal redirect statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除Portal重定向报文统计信息。

<Sysname> reset portal redirect statistics

【相关命令】

·            display portal redirect statistics

1.1.108  reset portal safe-redirect statistics

reset portal safe-redirect statistics命令用来清除Portal安全重定向功能的报文统计信息。

【命令】

reset portal safe-redirect statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除指定slot上Portal安全重定向功能的报文统计信息。

<Sysname> reset portal safe-redirect statistics slot 0

【相关命令】

·            display portal safe-redirect statistics

1.1.109  server-detect (portal authentication server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。

【命令】

server-detect [ timeout timeout ] { log | trap } *

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。

{ log | trap } *:设备探测到Portal认证服务器可达状态变化时,触发执行的操作。包括以下两种,且可同时选择多种。

·            log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

·            trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

【使用指导】

只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log trap

【相关命令】

·            portal server

1.1.110  server-detect (portal web-server view)

server-detect命令用来开启Portal Web服务器的可达性探测功能。

undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。

【命令】

server-detect [ interval interval ] [ retry retries ] { log | trap } *

undo server-detect

【缺省情况】

Portal Web服务器的可达性探测功能处于关闭状态。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval interval:进行探测尝试的时间间隔,取值范围为1~1200,单位为秒,缺省值为5。

retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。

{ log | trap } *:Portal Web服务器可达状态的变化时,可触发执行的操作。包括以下两种,且可同时选择多种。

·            log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

·            trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。

【使用指导】

该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。

只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。

【举例】

# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log trap

【相关命令】

·            portal web-server

1.1.111  server-register

server-register命令用来配置设备定期向Portal认证服务器发送注册报文。

undo server-register命令用来恢复缺省情况。

【命令】

server-register [ interval interval-value ]

undo server-register

【缺省情况】

设备不会定期向Portal认证服务器发送注册报文。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。

【使用指导】

Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。

需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。

【举例】

# 配置设备每隔120秒向Portal认证服务器发送注册报文。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-register interval 120

【相关命令】

·            server-type (portal authentication server view/portal web-server view)

1.1.112  server-type (MAC binding server view)

server-type命令用来配置MAC绑定服务器的服务类型。

undo server-type用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

MAC绑定服务器的服务类型为imc

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。

imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。

【举例】

# 指定MAC绑定服务器的服务类型为cmcc。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] server-type cmcc

1.1.113  server-type (portal authentication server view/portal web-server view)

server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。

undo server-type命令用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

Portal认证服务器或Portal Web服务器的类型为iMC服务器。

【视图】

Portal认证服务器视图/Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。

imc:表示Portal服务器类型为符合iMC标准规范的服务器。

【使用指导】

设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。

【举例】

# 配置Portal认证服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-type cmcc

# 配置Portal Web服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal web-server pts

[Sysname-portal-websvr-pts] server-type cmcc

【相关命令】

·            display portal server

1.1.114  tcp-port

tcp-port命令用来配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为443。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指定】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务器视图下指定的侦听端口号保持一致。

配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·            除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务器的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·            不能把使用HTTP协议的本地Portal Web服务器下的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·            使用HTTP和HTTPS的本地Portal Web服务器下TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·            portal local-web-server

1.1.115  url

url命令用来指定Portal Web服务器的URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

未指定Portal Web服务器的URL。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。

【举例】

# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url http://www.test.com/portal

【相关命令】

·            display portal web-server

1.1.116  url-parameter

url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。

【命令】

url-parameter param-name { nas-id | nas-port-id | original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }

undo url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

nas-id:网络接入服务器标识。

nas-port-id:网络接入服务器端口标识。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

format:指定MAC地址格式。

section:指定MAC地址分段数。

1:MAC地址被分为1段,如XXXXXXXXXXXX。

3:MAC地址被分为3段,如XXXX-XXXX-XXXX。

6:MAC地址被分为6段,如XX-XX-XX-XX-XX-XX。

lowercase:MAC地址格式为小写。

uppercase:MAC地址格式为大写。

encryption:表示以密文的方式携带用户的MAC地址。

aes指定加密算法为AES算法。

des指定加密算法为DES算法。

cipher:以密文方式设置密钥。

key:指定加密密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·            对于des cipher,密钥为41个字符的字符串。

·            对于des simple,密钥为8个字符的字符串。

·            对于aes cipher,密钥为1~73个字符的字符串。

·            对于aes simple,密钥为1~31个字符的字符串。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

vlan:用户VLAN。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置,最后配置的生效。

该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address

url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:

·            userurl:表示original-url

·            userip:表示source-address

·            usermac:表示source-mac

在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。

如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:

http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl=http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter userip source-address

[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数vlan,其值为用户VLAN。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter uservlan vlan

【相关命令】

·            display portal web-server

·            url

1.1.117  user-password modify enable

user-password modify enable命令用来在Portal的Web认证页面上开启Portal本地用户密码修改功能。

undo user-password modify enable命令用来在Portal的Web认证页面上关闭Portal本地用户密码修改功能。

【命令】

user-password modify enable

undo user-password modify enable

缺省情况】

Portal本地用户密码修改功能处于关闭状态。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后,当用户进行本地Portal认证时,在Web认证页面上会显示密码修改按钮,本地用户可以通过此按钮进行密码修改操作,当关闭本功能时,Web认证页面上不会显示密码修改按钮。

【举例】

# 在本地Portal Web服务器视图下,开启Portal本地用户密码修改功能。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] user-password modify enable

【相关命令】

·            portal local-web-server

1.1.118  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

undo user-sync命令用来关闭Portal用户信息同步功能。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

当前Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒,缺省值为1200。

【使用指导】

只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

对同一服务器多次执行用户信息同步功能的配置时,新的配置将覆盖原有的配置。

对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·            portal server

1.1.119  version

version命令用来配置Portal协议报文的版本号。

undo version命令用来恢复缺省情况。

【命令】

version version-number

undo version

【缺省情况】

Portal协议报文的版本号为1。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

context-admin

【参数】

version-number:Portal协议报文的版本号,取值范围为1~3。

【使用指导】

配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。

【举例】

# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] version 2

【相关命令】

·            portal mac-trigger-server

·            display mac-trigger-server

1.1.120  web-redirect url

web-redirect url命令用来配置Web重定向功能。

undo web-redirect命令用来关闭Web重定向功能。

【命令】

web-redirect [ ipv6 ] url url-string [ interval interval ]

undo web-redirect [ ipv6 ]

【缺省情况】

Web重定功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。

url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串,必须是以http://或者https://开头的完整URL路径。当用户想根据不同参数推送不同的广告页面时,url-string的格式必须为http://XXXX/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o。其中,userip=%c表示用户IP地址、usermac=%m表示用户MAC地址、nasid=%n表示设备标识、ssid=%E表示用户接入的SSID、originalurl=%o表示用户在浏览器中输入的原始页面地址。url-string中可携带哪些参数字段请根据实际情况进行选择。

interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。

【使用指导】

接口上配置了Web重定向功能后,当该接口上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。

Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-redirect url http://192.0.0.1/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o interval 3600

【相关命令】

·            display web-redirect rule

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们