- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-Portal命令
本章节下载: 04-Portal命令 (1.21 MB)
目 录
1.1.1 aaa-fail nobinding enable
1.1.3 app-id (Facebook authentication server view)
1.1.4 app-id (QQ authentication server view)
1.1.5 app-key (Facebook authentication server view)
1.1.6 app-key (QQ authentication server view)
1.1.14 display portal auth-error-record
1.1.15 display portal auth-fail-record
1.1.16 display portal dns free-rule-host
1.1.17 display portal dns redirect-rule-host
1.1.18 display portal extend-auth-server
1.1.19 display portal local-binding mac-address
1.1.20 display portal logout-record
1.1.21 display portal mac-trigger user
1.1.22 display portal mac-trigger-server
1.1.23 display portal packet statistics
1.1.24 display portal permit-rule statistics
1.1.25 display portal redirect session
1.1.26 display portal redirect statistics
1.1.28 display portal safe-redirect statistics
1.1.30 display portal session user-type
1.1.32 display portal user count
1.1.33 display portal user-block
1.1.34 display portal web-server
1.1.35 display web-redirect rule
1.1.36 exclude-attribute (MAC binding server view)
1.1.37 exclude-attribute (portal authentication server view)
1.1.41 ip (MAC binding server view)
1.1.42 ip (portal authentication server view)
1.1.43 ip (portal roaming center view)
1.1.44 local-binding aging-time
1.1.52 port (MAC binding server view)
1.1.53 port (portal authentication server view)
1.1.54 portal access-info trust
1.1.55 portal apply mac-trigger-server
1.1.56 portal apply web-server
1.1.57 portal auth-error-record enable
1.1.58 portal auth-error-record export
1.1.59 portal auth-error-record max
1.1.60 portal auth-fail-record enable
1.1.61 portal auth-fail-record export
1.1.62 portal auth-fail-record max
1.1.63 portal authenticated-kick enable
1.1.64 portal authorization strict-checking
1.1.65 portal cloud report interval
1.1.69 portal enable (interface view)
1.1.70 portal extend-auth domain
1.1.71 portal extend-auth-server
1.1.72 portal fail-permit server
1.1.73 portal fail-permit web-server
1.1.74 portal free-all except destination
1.1.76 portal free-rule description
1.1.77 portal free-rule destination
1.1.78 portal free-rule source
1.1.80 portal local-web-server
1.1.81 portal logout-record enable
1.1.82 portal logout-record export
1.1.83 portal logout-record max
1.1.84 portal mac-trigger-server
1.1.87 portal nas-port-id format
1.1.88 portal oauth authorization-vlan
1.1.89 portal outbound-filter enable
1.1.90 portal packet log enable
1.1.91 portal redirect log enable
1.1.92 portal redirect max-session per-user
1.1.93 portal redirect-rule destination
1.1.97 portal safe-redirect default-action
1.1.98 portal safe-redirect enable
1.1.99 portal safe-redirect forbidden-file
1.1.100 portal safe-redirect forbidden-url
1.1.101 portal safe-redirect method
1.1.102 portal safe-redirect permit-url
1.1.103 portal safe-redirect user-agent
1.1.105 portal temp-pass enable
1.1.106 portal traffic-accounting disable
1.1.107 portal traffic-backup threshold
1.1.108 portal url-param source-address code-base64
1.1.109 portal url-unescape-chars
1.1.110 portal user log enable
1.1.111 portal user-block failed-times
1.1.112 portal user-block reactive
1.1.120 reset portal auth-error-record
1.1.121 reset portal auth-fail-record
1.1.122 reset portal local-binding mac-address
1.1.123 reset portal logout-record
1.1.124 reset portal packet statistics
1.1.125 reset portal redirect statistics
1.1.126 reset portal safe-redirect statistics
1.1.127 server-detect (portal authentication server view)
1.1.128 server-detect (portal web server view)
1.1.131 server-type (MAC binding server view)
1.1.132 server-type (portal authentication server view/portal web-server view)
1.1.136 user-password modify enable
aaa-fail nobinding enable命令用来配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文触发正常的Portal认证。
undo aaa-fail nobinding enable命令用来恢复缺省情况。
【命令】
aaa-fail nobinding enable
undo aaa-fail nobinding enable
【缺省情况】
若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
用户进行基于MAC地址的快速认证且AAA认证失败后,设备收到认证失败信息会直接将MAC-Trigger表项状态设为未绑定状态,然后对“未绑定”状态的用户直接发起正常的Portal认证,不再到MAC绑定服务器上进行绑定状态查询。
【举例】
# 在MAC绑定服务器mts视图下,配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aaa-fail nobinding enable
【相关命令】
· display portal mac-trigger-server
aging-time命令用来配置MAC-Trigger表项的老化时间。
undo aging-time命令用来恢复缺省情况。
【命令】
aging-time seconds
undo aging-time
【缺省情况】
MAC-Trigger表项老化时间为300秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。
【使用指导】
开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。
当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。
【举例】
# 指定MAC-Trigger表项老化时间为300秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aging-time 300
【相关命令】
· display portal mac-trigger-server
app-id命令用来配置Facebook认证服务时用户的唯一标识。
undo app-id命令用来恢复缺省情况。
【命令】
app-id app-id
undo app-id
【缺省情况】
未配置Facebook认证服务时用户的唯一标识。
【视图】
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
app-id:用户的唯一标识。
【使用指导】
用户采用Facebook认证服务时,Facebook认证服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。
【举例】
# 配置Facebook认证服务时用户的唯一标识为123456789。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] app-id 123456789
【相关命令】
· display portal extend-auth-server
app-id命令用来配置QQ认证服务时用户的唯一标识。
undo app-id命令用来恢复缺省情况。
【命令】
app-id app-id
undo app-id
【缺省情况】
存在一个预定义的唯一标识。
【视图】
QQ认证服务器视图
【缺省用户角色】
network-admin
【参数】
app-id:用户的唯一标识。
【使用指导】
终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。
【举例】
# 配置QQ认证服务时用户的唯一标识为101235509。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] app-id 101235509
【相关命令】
· display portal extend-auth-server
app-key命令用来配置app-id对应的密钥。
undo app-key命令用来恢复缺省情况。
【命令】
app-key { cipher | simple } app-key
undo app-key
【缺省情况】
未配置app-id对应的密钥。
【视图】
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥。
app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
用户采用Facebook认证服务时,Facebook服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。
【举例】
# 配置Facebook认证服务的授权登录密钥明文为123。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] app-key simple 123
【相关命令】
· display portal extend-auth-server
app-key命令用来配置app-id对应的密钥。
undo app-key命令用来恢复缺省情况。
【命令】
app-key { cipher | simple } app-key
undo app-key
【缺省情况】
存在app-id对应的密钥。
【视图】
QQ认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥。
app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。
【举例】
# 配置QQ认证服务的授权登录密钥为8a5428e6afdc3e2a2843087fe73f1507。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] app-key simple 8a5428e6afdc3e2a2843087fe73f1507
【相关命令】
· display portal extend-auth-server
authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。
undo authentication-timeout命令用来恢复缺省情况。
【命令】
authentication-timeout minutes
undo authentication-timeout
【缺省情况】
设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。
【使用指导】
设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC-Trigger表项。
【举例】
# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10
【相关命令】
· display portal mac-trigger-server
auth-url命令用来配置QQ或Facebook认证服务器的地址。
undo auth-url命令用来删除QQ或Facebook认证服务器的地址。
【命令】
auth-url url-string
undo auth-url
【缺省情况】
QQ认证服务器的地址为https://graph.qq.com。
Facebook认证服务器的地址为https://graph.facebook.com。
【视图】
QQ认证服务器视图
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:QQ或Facebook认证服务器的URL,为1~256个字符的字符串,区分大小写。请确保与QQ认证服务器或Facebook认证服务器的实际地址保持一致。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【举例】
# 配置QQ认证服务器的地址为http://oauth.qq.com。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] auth-url http://oauth.qq.com
# 配置Facebook认证服务器的地址为http://oauth.facebook.com。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] auth-url http://oauth.facebook.com
【相关命令】
· display portal extend-auth-server
binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。
undo binding-retry命令用来恢复缺省情况。
【命令】
binding-retry { retries | interval interval } *
undo binding-retry
【缺省情况】
设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
retries:最大尝试次数,取值范围为1~10。
interval interval:查询时间间隔,取值范围为1~60,单位为秒。
【使用指导】
如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60
【相关命令】
· display portal mac-trigger-server
cloud-binding enable命令用来开启Portal云端MAC-Trigger认证功能。
undo cloud-binding enable命令用来关闭Portal云端MAC-Trigger认证功能。
【命令】
cloud-binding enable
undo cloud-binding enable
【缺省情况】
Portal云端MAC-Trigger认证功能处于关闭状态。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行云端Portal认证时,只需要在第一次认证时输入用户名和密码,后面再进行认证时无需手工输入认证信息便可以自动完成Portal认证,此时,云端服务器作为Portal认证服务器、Portal Web服务器和MAC绑定服务器。
【举例】
# 在MAC绑定服务器mts视图下,开启Portal云端MAC-Trigger认证功能。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-binding enable
【相关命令】
· display portal mac-trigger-server
cloud-server url命令用来指定云端Portal认证服务器URL。
undo cloud-server url命令用来恢复缺省情况。
【命令】
cloud-server url url-string
undo cloud-server url
【缺省情况】
未指定云端Portal认证服务器URL,设备采用Portal Web服务器下配置的URL。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:云端Portal认证服务器URL,为1~256个字符的字符串,区分大小写,必须以http://或者https://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
在云端Portal认证中,Portal Web服务器下配置的URL通常为云端服务器的URL。当用户需要使用其它Portal Web服务器向用户推送Web页面时,建议配置本命令,从而使Portal Web服务器与云端Portal认证服务器分开。
【举例】
# 在MAC绑定服务器mts视图下,指定云端Portal认证服务器URL为http://lvzhou.h3c.com。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-server url http://lvzhou.h3c.com
【相关命令】
· display portal mac-trigger-server
default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。
undo default-logon-page命令用来恢复缺省情况。
【命令】
default-logon-page file-name
undo default-logon-page
【缺省情况】
不存在缺省认证页面文件。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。
指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。
【举例】
# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip
【相关命令】
· portal local-web-server
display portal命令用来显示Portal配置信息和Portal运行状态信息。
【命令】
display portal interface interface-type interface-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface-type interface-number:表示接口类型和接口编号。
【举例】
# 显示接口Vlan-interface2的Portal配置信息和Portal运行状态信息。
<Sysname> display portal interface vlan-interface 2
Portal information of Vlan-interface2
NAS-ID profile: aaa
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: wbs(active)
Secondary portal Web server: wbs sec
Portal mac-trigger-server: mts
Authentication domain: my-domain
Extend-auth domain: abc
User-dhcp-only: Enabled
Max portal users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Portal temp-pass: Enabled, Period: 30s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
IPv6:
portal status: Enabled
Portal authentication method: Direct
Portal Web server: wbsv6(active)
Secondary portal Web server: Not configured
Authentication domain: my-domain
Extend-auth domain: abc
User-dhcp-only: Enabled
Max portal users: Not configured
Bas-ipv6:Not configured
User detection: Type: ICMPv6 Interval: 300s Attempts: 5 Idle time: 180s
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
Web server wbsv6 fail-permit
Portal server ptsv6 fail-permit
Layer3 source network:
IP address Prefix length
11::5 64
Destination authentication subnet:
IP address Prefix length
表1-1 display portal interface命令显示信息描述表
|
字段 |
描述 |
|
Portal information of interface |
接口上的Portal信息 |
|
NAS-ID profile |
接口上引用的NAS-ID profile |
|
Authorization |
Portal用户的授权信息严格检查类型 |
|
ACL |
对授权ACL的严格检查,包括以下取值: · Disabled:未开启对授权ACL的严格检查 · Enabled:已开启对授权ACL的严格检查 |
|
User profile |
(暂不支持)对授权User Profile的严格检查,包括以下取值: · Disabled:未开启对授权User Profile的严格检查 · Enabled:已开启对授权User Profile的严格检查 |
|
Dual stack |
接口上Portal双栈模式的运行状态,包括以下取值: · Disabled:Portal双栈模式未开启 · Enabled:Portal双栈模式已开启 |
|
Dual traffic-separate |
接口上Portal双栈流量分开统计功能,包括以下取值: · Disabled:Portal双栈流量分开统计功能未开启 · Enabled:Portal双栈流量分开统计功能已开启 |
|
IPv4 |
IPv4 Portal的相关信息 |
|
IPv6 |
(暂不支持)IPv6 Portal的相关信息 |
|
Portal status |
接口上Portal认证的运行状态,包括以下取值: · Disabled:Portal认证未开启 · Enabled:Portal认证已开启 · Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放 |
|
Portal authentication method |
接口上配置的认证方式,包括以下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
|
Portal Web server |
接口上配置的主Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
|
Secondary portal Web server |
接口上配置的备份Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
|
Portal mac-trigger-server |
接口上配置MAC绑定服务器的名称 |
|
Authentication domain |
接口上的Portal强制认证域 |
|
Extend-auth domain |
接口上或无线服务模板上配置的第三方认证域 |
|
User-dhcp-only |
仅允许通过DHCP方式获取IP地址的客户端上线功能 · Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线 · Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线 |
|
Max portal users |
接口上配置的最大用户数 |
|
Bas-ip |
发送给Portal认证服务器的Portal报文的BAS-IP属性 |
|
Bas-ipv6 |
(暂不支持)发送给Portal认证服务器的Portal报文的BAS-IPv6属性 |
|
User detection |
接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间 |
|
Portal temp-pass |
临时放行功能状态 · Enabled:开启 · Disabled:关闭 · Period:临时放行时间。此字段仅在临时放行功能开启时显示 |
|
Action for server detection |
服务器可达性探测功能对应的端口控制配置: · Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器 · Server name:服务器名称 · Action:是否开启服务器不可达时的Portal用户逃生功能。fail-permit表示开启了服务器不可达时的Portal用户逃生功能 |
|
Layer3 source subnet |
Portal源认证网段信息 |
|
Destination authentication subnet |
Portal目的认证网段认证信息 |
|
IP address |
Portal认证网段的IP地址 |
|
Mask |
Portal认证网段的子网掩码 |
|
Prefix length |
(暂不支持)Portal IPv6认证网段的地址前缀长度 |
display portal auth-error-record命令用来显示用户Portal认证异常记录。
【命令】
display portal auth-error-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有的Portal认证异常记录。
ipv4 ipv4-address:显示指定IPv4地址的用户的Portal认证异常记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【举例】
# 显示所有的Portal认证异常记录。
<Sysname> display portal auth-error-record all
Total authentication error records: 2
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth error time : 2019-03-04 16:49:07
Auth error reason : The maximum number of users already reached.
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
Auth error time : 2019-03-04 16:51:07
Auth error reason : The maximum number of users already reached.
# 显示IP地址为192.168.0.188的用户的Portal认证异常记录。
<Sysname> display portal auth-error-record ip 192.168.0.188
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth error time : 2019-03-04 16:49:07
Auth error reason : The maximum number of users already reached.
# 显示从2019/3/4 14:20到2019/3/4 14:23内的Portal认证异常记录。
<Sysname> display portal auth-error-record start-time 2019/3/4 14:20 end-time 2019/3/4 14:23
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth error time : 2019-03-04 14:22:25
Auth error reason : The maximum number of users already reached.
表1-2 display portal auth-error-record命令显示信息描述表
|
字段 |
描述 |
|
Total authentication error records |
Portal认证异常记录总数 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
Auth error time |
用户Portal认证异常时间,格式为YYYY-MM-DD hh:mm:ss |
|
Auth error reason |
表1-3 用户Portal认证异常原因描述表
|
字段 |
描述 |
|
The maximum number of users already reached. |
设备上Poral在线用户数已达上限 |
|
Failed to obtain user physical information. |
获取用户的物理信息失败 |
|
Failed to receive the packet because packet length is 0. |
从Poral认证服务器收到的报文长度为0 |
|
Packet source unknown. |
报文源未知 |
|
Packet validity check failed because packet length and version don't match. |
设备收到的报文的版本和服务类型与认证服务器不匹配,导致报文长度不符合认证服务器发送报文的长度要求,报文有效性检查失败 |
|
Packet validity check failed because of invalid packet type. |
报文类型不合法导致报文有效性检查失败 |
|
Packet validity check failed because of invalid packet mode. |
PAP或EAD认证方式下,设备收到了Challenge报文,报文有效性检查失败 |
|
Packet validity check failed due to invalid authenticator. |
无效的验证字导致报文有效性检查失败 |
|
Insufficient memory for creating user. |
添加Portal用户表项时,内存不足 |
|
Portal is disabled on the interface. |
接口上未开启Portal功能 |
|
The maximum number of users on the interface already reached. |
接口上的Poral在线用户数已达上限 |
|
Failed to set PAM items for authentication. |
设备设置用户认证信息失败 |
|
NasPortType is wireless on wired access interface. |
在有线客户端接入接口上指定的NAS-Port-Type属性名称为Wireless-IEEE 802.11 |
|
Can't find physical info by IP. Ignored the new MAC event. |
MAC-trigger认证组网中,设备通过用户IP地址获取用户物理信息失败 |
|
Updated MAC-trigger rule of AAA failure unbinding. |
MAC-trigger认证组网中,AAA认证失败,将MAC-Trigger表项状态设为未绑定状态 |
|
Timed out searching MAC binding info from MAC binding server. |
MAC-trigger认证组网中,Portal认证信息绑定查询定时器超时 |
|
Received No matching MAC binding info from MAC binding server. |
MAC-trigger认证组网中,MAC绑定服务器通知接入设备该用户为“未绑定”状态 |
|
Failed to update MAC-trigger rule for ACK-MAC-BIND. |
MAC-trigger认证组网中,设备更新临时用户规则失败 |
|
Failed to receive auth request packet from portal server. |
CHAP认证方式下,接入设备等待Portal认证服务器发送认证请求报文的定时器超时 |
|
Failed to get the access token of the cloud user. |
云Portal用户上线时获取令牌失败 |
|
Failed to get the user information of the cloud user. |
云Portal用户上线时获取用户信息失败 |
|
Failed to get the access token of the QQ user. |
QQ用户上线时获取令牌失败 |
|
Failed to get the openID of the QQ user. |
QQ用户上线时获取openid失败 |
|
Failed to get the user information of the QQ user.QQ |
用户上线时获取用户信息失败 |
|
Email authentication failed. |
邮箱认证失败 |
|
Failed to get the access token of the Facebook user. |
Facebook用户上线时获取令牌失败 |
|
Failed to get the user information of the Facebook user. |
Facebook用户上线时获取用户信息失败 |
|
Invalid JSON format of the access token for the cloud user. |
云Portal用户令牌消息中的json数据格式错误 |
|
Invalid JSON format of the user information for the cloud user. |
云Portal用户用户信息消息中的json数据格式错误 |
|
Failed to get the user information of the local WeChat user. |
本地微信用户上线时获取用户信息失败 |
|
Invalid access token or App secret. |
非法的令牌或者APP密钥 |
|
Access token expired. |
令牌过期 |
|
Invalid App ID. |
非法的appid |
|
Invalid device IP. The IP is not in the whitelist of the WeChat platform. |
设备IP在微信平台上为非法IP |
|
API unauthorized. |
API接口未授权 |
|
The WeChat user does not follow the WeChat official account. |
本地微信用户未关注微信公众号 |
|
Failed to create the user because VSRP was down on the interface. |
VSRP接口down导致创建用户失败 |
|
Connection to the cloud server timed out. |
连接云端服务器超时 |
|
Failed to connect to the cloud server. |
连接云端服务器失败 |
|
Failed to get curl resource to request cloud access token. |
请求云端令牌时,获取curl资源失败 |
|
Failed to get curl resource to request cloud user information. |
请求云端用户信息时,获取curl资源失败 |
|
Other connection error. |
其它连接错误 |
|
No parameters found in the authentication request. |
认证请求中未找到认证参数 |
|
Missing authentication parameters such as code, auth-type, portal_server. |
缺少认证参数,例如code、auth-type、portal_server |
|
Cloud user information retrieval timed out. |
获取云端用户的用户信息超时 |
|
Local WeChat user information retrieval timed out. |
获取本地微信用户的用户信息超时 |
|
Failed to create the PAM handle. |
创建PAM句柄失败 |
|
Failed to set PAM items for authentication. |
认证时设置PAM属性失败 |
|
NasPortType is wireless. |
NasPortType类型为wireless |
|
Packet validity check failed because of invalid packet mode. |
无效的认证类型导致报文有效性检查失败 |
|
The user doesn't follow the WeChat official account. Returned 200 OK. |
用户未关注微信公众号,直接返回200ok |
|
User log on while the device is requesting the access token. |
设备在请求令牌时用户上线 |
|
No matching local MAC-trigger binding entry. |
未找到本地MAC-Trigger绑定表项 |
|
Failed to update the local MAC-trigger rule. |
本地MAC-Trigger表项更新失败 |
|
Failed to get physical info by IP. Ignored the new MAC event. |
通过IP地址获取不到用户物理信息,忽略未知源MAC事件 |
|
Updated the state of the MAC-trigger rule to no bind when authentication failed. |
认证失败时,更新MAC-Trigger表项为未绑定 |
|
Failed to get binding info for the user from the MAC-trigger server. |
在MAC-Trigger服务器上查找用户绑定信息失败 |
|
No matching binding info for the user from the MAC-trigger server. |
在MAC-Trigger服务器上未查找到用户绑定信息 |
|
Failed to update the MAC-trigger rule when processing ACK-MAC-BIND. |
处理ACK-MAC-BIND消息时,更新MAC-Trigger表项失败 |
|
Failed to receive a packet from the portal server. |
未收到Portal server的报文 |
|
Failed to create WLAN roaming center user for the user exists. |
创建WLAN漫游中心用户失败,因为该用户已存在 |
【相关命令】
· portal auth-error-record enable
· reset auth-error-record
display portal auth-fail-record命令用来显示用户Portal认证失败记录。
【命令】
display portal auth-fail-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有的Portal认证失败记录。
ipv4 ipv4-address:显示指定IPv4地址用户的Portal认证失败记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:显示指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 显示所有的Portal认证失败记录。
<Sysname> display portal auth-fail-record all
Total authentication fail records: 2
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth failure time : 2019-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
User name : coco
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
Auth failure time : 2019-03-04 16:50:07
Auth failure reason : Authorization information does not exist.
# 显示IP地址为192.168.0.8的Portal用户认证失败记录。
<Sysname> display portal auth-fail-record ip 192.168.0.188
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth failure time : 2019-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
# 显示用户名为chap1的Portal用户认证失败记录。
<Sysname> display portal auth-fail-record username chap1
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth failure time : 2019-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
# 显示从2019/3/4 14:20到2019/3/4 14:23内的Portal认证失败记录。
<Sysname> display portal auth-fail-record start-time 2019/3/4 14:20 end-time 2019/3/4 14:23
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
Auth failure time : 2019-03-04 14:22:25
Auth failure reason : Authorization information does not exist.
表1-4 display portal auth-fail-record命令显示信息描述表
|
字段 |
描述 |
|
Total authentication fail records |
Portal认证失败记录总数 |
|
User name |
Portal用户的用户名 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
Auth failure time |
用户Portal认证失败时间,格式为YYYY/MM/DD hh:mm:ss |
|
Auth failure reason |
用户Portal认证失败原因,详细介绍请参见表1-5 |
表1-5 用户Portal认证失败原因描述表
|
字段 |
描述 |
|
Failed to get physical information. |
获取物理信息失败 |
|
ACL does not exist. |
设备开启Portal授权信息的严格检查模式后,AAA服务器下发的授权ACL在设备上不存在 |
|
User profile does not exist. |
(暂不支持)设备开启Portal授权信息的严格检查模式后,AAA服务器下发的授权User Profile在设备上不存在 |
|
Group profile does not exist. |
(暂不支持)设备开启Portal授权信息的严格检查模式后,AAA服务器下发的授权Session Group Profile在设备上不存在 |
|
ACL authorization failed. |
设备下发授权ACL失败 |
|
QoS deployment failed on LIP. |
设备下发QoS失败 |
|
User profile deployment failed on LIP. |
(暂不支持)设备下发授权User Profile失败 |
|
Group profile deployment failed on LIP. |
(暂不支持)设备下发授权Session Group Profile失败 |
|
User Car deployment failed on LIP. |
设备下发授权CAR失败 |
|
AAA authorization failed. |
AAA授权失败 |
|
Failed to get valid authorization information from AAA. |
设备从AAA获取用户授权信息失败 |
|
AAA accounting failed. |
AAA开始计费失败 |
|
AAA authentication failed. |
AAA认证失败 |
|
AAA returned an error. |
AAA返回错误 |
|
AAA server unreachable. |
AAA服务器不可达 |
|
Failed to set PAM items for authentication. |
认证时设置PAM属性失败 |
【相关命令】
· portal auth-fail-record enable
· reset portal auth-fail-record
display portal dns free-rule-host命令用来显示基于目的的Portal免认证规则中的主机名对应的IP地址。
【命令】
display portal dns free-rule-host [ host-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“ip”和“ipv6”。如果未指定本参数,则表示显示所有基于目的的Portal免认证规则中的主机名对应的IP地址。
【举例】
# 显示基于目的的Portal免认证规则中主机名www.baidu.com对应的IP地址。
<Sysname> display portal dns free-rule-host www.baidu.com
Host name IP
www.baidu.com 10.10.10.10
# 显示基于目的的Portal免认证规则中主机名*abc.com对应的IP地址。
<Sysname> display portal dns free-rule-host *abc.com
Host name IP
*abc.com 12.12.12.12
111.8.33.100
3.3.3.3
表1-6 display portal dns free-rule-host命令显示信息描述表
|
字段 |
描述 |
|
Host name |
基于目的的Portal免认证规则配置的主机名 |
|
IP |
根据主机名解析的IP地址 |
display portal dns redirect-rule-host命令用来显示基于目的的Portal强制重定向规则中的主机名对应的IP地址。
【命令】
display portal dns redirect-rule-host [ host-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”。如果未指定本参数,则表示显示所有基于目的的Portal强制重定向规则中的主机名对应的IP地址。
【使用指导】
如果配置了匹配主机名的强制重定向规则,设备会对主机名进行域名解析,通过本命令可以显示基于目的的Portal强制重定向规则中的主机名对应的IP地址。设备最多保存16个解析后的IPv4地址和16个解析后的IPv6地址。如果超过最大保存条数,则新解析的地址将覆盖旧地址。
【举例】
# 显示基于目的的Portal强制重定向规则中主机名www.baidu.com对应的IP地址。
<Sysname> display portal dns redirect-rule-host www.baidu.com
Host name IP
www.baidu.com 10.10.10.10
# 显示基于目的的Portal强制重定向规则中主机名www.abc.com对应的IP地址。
<Sysname> display portal dns redirect-rule-host www.abc.com
Host name IP
www.abc.com 12.12.12.12
111.8.33.100
3.3.3.3
# 显示所有基于目的的Portal强制重定向规则中的主机名对应的IP地址。
<Sysname> display portal dns redirect-rule-host
Host name IP
www.baidu.com 10.10.10.10
www.abc.com 12.12.12.12
111.8.33.100
3.3.3.3
表1-7 display portal dns redirect-rule-host命令显示信息描述表
|
字段 |
描述 |
|
Host name |
主机名 |
|
IP |
根据主机名解析的IP地址 |
【相关命令】
· portal redirect-rule destination
display portal extend-auth-server命令用来显示第三方认证服务器信息。
【命令】
display portal extend-auth-server { all | facebook | mail | qq }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有第三方认证服务器信息。
facebook:显示Facebook认证服务器信息。
mail:显示邮箱认证服务器信息。
qq:显示QQ认证服务器信息。
【举例】
# 显示所有第三方认证服务器信息。
<Sysname> display portal extend-auth-server all
Portal extend-auth-server: qq
Authentication URL : http://graph.qq.com
APP ID : 101235509
APP key : ******
Redirect URL : http://oauthindev.h3c.com/portal/qqlogin.html
Portal extend-auth-server: mail
Mail protocol : POP3
Mail domain name : @qq.com
Portal extend-auth-server: facebook
Authentication URL : https://graph.facebook.com
APP ID : 123456789
APP key : ******
Redirect URL : http://oauthindev.h3c.com/portal/fblogin.html
表1-8 display portal extend-auth-server命令显示信息描述表
|
字段 |
描述 |
|
Portal extend-auth-server |
第三方认证服务器的类型 |
|
Authentication URL |
第三方认证服务器的地址 |
|
APP ID |
第三方认证服务用户的唯一标识 |
|
APP key |
第三方认证服务app-id对应的密钥 |
|
Redirect URL |
第三方认证成功之后的重定向地址 |
|
Mail protocol |
邮箱认证服务支持的协议类型 |
|
Mail domain name |
邮箱认证服务支持的邮箱类型 |
【相关命令】
· portal extend-auth-server
display portal local-binding mac-address命令用来显示本地MAC-Trigger绑定表项信息。
【命令】
display portal local-binding mac-address { mac-address | all }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
mac-address:用户的MAC地址,格式为H-H-H。
all:显示本地MAC-Trigger绑定表项的所有信息。
【举例】
# 显示本地MAC-Trigger绑定表项中的所有信息。
<Sysname> display portal local-binding mac-address all
Total MAC addresses: 5
MAC address Username Aging(hh:mm:ss)
0015-e9a6-7cfe wlan_user1 00:41:38
0000-e27c-6e80 wlan_user2 00:41:38
000f-e212-ff01 wlan_user3 00:41:38
001c-f08f-f804 wlan_user4 00:41:38
000f-e233-9000 wlan_user5 00:41:38
# 显示本地MAC-Trigger表项中MAC地址为0015-e9a6-7cfe的信息。
<Sysname> display portal local-binding mac-address 0015-e9a6-7cfe
Total MAC addresses: 1
MAC address Username Aging(hh:mm:ss)
0015-e9a6-7cfe wlan_user1 00:41:38
表1-9 display portal local-binding mac-address命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
MAC地址,格式为H-H-H |
|
Username |
用户名 |
|
Aging |
剩余老化时间,显示格式为hh:mm:ss(小时:分钟:秒) |
【相关命令】
· local-binding enable
display portal logout-record命令用来显示Portal用户的下线记录。
【命令】
display portal logout-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有用户的下线记录。
ipv4 ipv4-address:显示指定IPv4地址用户的下线记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内用户的下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:显示指定用户名的用户下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 显示所有Portal用户的下线记录。
<Sysname> display portal logout-record all
Total logout records: 2
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
User login time : 2019-03-04 14:20:19
User logout time : 2019-03-04 14:22:05
Logout reason : Admin Reset
User name : coco
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
User login time : 2019-03-04 14:10:15
User offline time : 2019-03-04 14:22:05
Offline reason : Admin Reset
# 显示IP地址为192.168.0.8的用户下线记录。
<Sysname> display portal logout-record ip 192.168.0.8
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
User login time : 2019-03-04 14:26:12
User logout time : 2019-03-04 14:27:35
Logout reason : Admin Reset
# 显示用户名为chap1的用户下线记录。
<Sysname> display portal logout-record username chap1
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
User login time : 2019-03-04 17:20:19
User logout time : 2019-03-04 17:22:05
Logout reason : Admin Reset
# 显示从2019/3/4 14:20到2019/3/4 14:23内的Portal用户下线记录。
<Sysname> display portal logout-record start-time 2019/3/4 14:20 end-time 2019/3/4 14:23
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
User login time : 2019-03-04 14:20:19
User logout time : 2019-03-04 14:22:05
Logout reason : Admin Reset
表1-10 display portal logout-record命令显示信息描述表
|
字段 |
描述 |
|
Total logout records |
Portal用户下线记录总数 |
|
User name |
Portal用户的用户名 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
User login time |
用户上线时间,即用户授权成功的时间,格式为YYYY-MM-DD hh:mm:ss |
|
User logout time |
Portal用户的下线时间,格式为YYYY-MM-DD hh:mm:ss |
|
Logout reason |
Portal用户的下线原因,详细介绍请参见表1-11 |
表1-11 Portal用户下线原因描述表
|
字段 |
描述 |
|
User request. |
Portal用户请求下线 |
|
Failed to assign a user rule. |
设备下发用户规则失败 |
|
Session timeout. |
Portal用户会话超时 |
|
Idle timeout. |
闲置切断,即单位时间内Portal用户的流量小于指定值或设备未探测到用户在线 |
|
Accounting update failure. |
设备未收到AAA服务器发送的计费更新应答报文 |
|
DHCP entry deleted. |
DHCP表项被删除 |
|
Interface down. |
接口协议down或链路down |
|
Port was removed from VLAN. |
Portal用户接入端口退出所在VLAN |
|
Interface inactive. |
接口未激活 |
|
The device forcibly logged out the user. |
设备通过portal delete-user命令强制Portal用户下线 |
|
Authorization ACL for the online user was deleted. |
授权ACL中的规则被删除 |
|
Authentication failure. |
AAA认证失败 |
|
Authorization failure. |
AAA授权失败 |
|
Authorization ACL doesn't exist. |
服务器给Portal用户下发的授权ACL未通过严格授权检查 |
|
The RADIUS server forcibly logged out the user. |
RADIUS服务器发送DAE报文通知设备强制用户下线 |
|
User recovery failure. |
设备恢复用户信息失败 |
|
Failed to obtain physical information. |
设备获取用户物理信息失败 |
|
Authorization ACL for the online user changed. |
授权ACL中的规则变更 |
|
Authorization user profile for the online user changed. |
(暂不支持)授权User Profile中的QoS策略变更 |
|
Failed to update authorization. |
AAA服务器修改在线用户授权信息失败 |
|
Failed to add an ARP or ND entry for the user. |
添加用户的ARP或者ND表项失败 |
|
User detection failure. |
ARP或ND模块创建表项失败 |
|
Accounting start failed. |
AAA服务器开始计费失败 |
|
Accounting update failure. |
AAA服务器计费更新失败 |
|
Traffic threshold for the user was reached. |
AAA服务器分配给Portal用户的数据流量耗尽 |
|
User information does not match with user profile. |
(暂不支持)设备校验授权User Profile信息失败 |
|
Authorization user profile does not exist. |
(暂不支持)设备开启Portal授权信息的严格检查模式后,AAA服务器下发给Portal用户的授权User Profile在设备上不存在 |
|
Failed to issue the user rule to the AP. |
向AP下发用户规则失败 |
|
Deleted the user for SSID switchover. |
用户切换SSID时下线 |
|
Failed to issue an OpenFlow rule to the AP. |
向AP下发Openflow规则失败 |
|
Logged out the user after the wireless client disconnected. |
无线客户端断开无线连接后,Portal用户下线 |
|
Logged out the user when a new user with the same MAC address performed MAC-trigger authentication. |
用户进行无感知认证时,发现已经有相同MAC的用户在线,老用户下线 |
|
Logged out the user when a new dual-stack user with the same MAC address came online. |
双栈用户上线时,发现已经有相同MAC的用户在线,老用户下线 |
|
The portal server failed to instruct the device to change the user IP address. |
Portal服务器通知设备修改用户IP失败 |
|
User detection failure. |
通过用户在线探测功能,发现用户不在线 |
|
Authorization VPN instance doesn't exist. |
授权VPN实例不存在 |
|
Authorization VPN instance deleted. |
授权VPN实例被删除 |
|
Portal failed to cooperate with NAT444. |
Portal与NAT444联动失败 |
|
Portal-NAT444 cooperation not supported. |
设备不支持Portal与NAT444联动 |
|
Logged out the user after user synchronization through WiFiDog. |
Wifidog协议同步用户信息失败后下线 |
|
DHCP received a DHCP release packet. |
DHCP收到DHCP release通知,触发下线 |
|
DHCP lease expired. |
DHCP租约到期 |
|
DHCP received a DHCP release packet from the WLAN roaming center. |
DHCP收到WLAN漫游中心发送DHCP release通知,触发下线 |
|
WLAN roaming center instructed portal to log out the user. |
WLAN漫游中心通知下线 |
|
The cloud portal server instructed portal to log out the user. |
云端Portal认证服务器通知用户下线 |
|
Unknown reason. |
用户异常下线 |
【相关命令】
· portal logout-record enable
· reset portal logout-record
display portal mac-trigger user命令用来显示基于MAC地址的快速认证的用户信息。
【命令】
display portal mac-trigger user { all | ip ipv4-address | mac mac-address }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于MAC地址的快速认证的用户信息。
ip ipv4-address:显示指定IPv4地址的基于MAC地址快速认证的用户信息。
mac mac-address:显示指定MAC地址的基于MAC地址快速认证的用户信息。格式为H-H-H。
【举例】
# 显示所有基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user all
Total portal mac-trigger users: 8
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-732a 1.1.1.6 1 Vlan-interface1 0 NOBIND
0050-ba50-7328 1.1.1.4 1 Vlan-interface1 0 NOBIND
0050-ba50-7326 1.1.1.2 1 Vlan-interface1 0 NOBIND
0050-ba50-732c 1.1.1.8 1 Vlan-interface1 0 NOBIND
0050-ba50-7329 1.1.1.5 1 Vlan-interface1 0 NOBIND
0050-ba50-74c2 1::1 1 Vlan-interface1 0 NOBIND
# 显示MAC地址为0050-ba50-7777的基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user mac 0050-ba50-7777
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-777 1.1.5.83 1 Vlan-interface1 0 NOBIND
# 显示IPv4地址为1.1.2.126的基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user ip 1.1.2.126
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-74a2 1.1.2.126 1 Vlan-interface1 0 NOBIND
表1-12 display portal mac-trigger user命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
用户的MAC地址 |
|
IP address |
用户的IP地址 |
|
VLAN ID |
用户所在的VLAN |
|
Interface |
用户接入的接口 |
|
Traffic(Bytes) |
用户的当前流量,单位为字节 |
|
State |
用户的当前状态,包括以下取值: · DEFAULT:免认证流量状态 · WAIT:MAC地址和用户认证信息绑定查询等待状态 · NOBIND:MAC地址和用户认证信息未绑定状态 · BIND:MAC地址和用户认证信息已绑定状态 · DISABLE:接入设备上的MAC-Trigger表项处于删除状态 |
【相关命令】
· portal apply mac-trigger-server
· portal mac-trigger-server
display portal mac-trigger-server命令用来显示MAC绑定服务器信息。
【命令】
display portal mac-trigger-server { all | name server-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有MAC绑定服务器信息。
name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。
【举例】
# 显示全部MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server all
Portal mac-trigger server name: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Local-binding : Disabled
Local-binding aging time : 12 hours
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Portal mac-trigger server name: mts
Version : 1.0
Server type : IMC
IP : 4.4.4.2
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 0 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Local-binding : Disabled
Local-binding aging-time : 12 hours
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Cloud-binding : Disabled
Cloud server URL : Not configured
# 显示名字为ms1的MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server name ms1
Portal mac-trigger server name: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Local-binding : Disabled
Local-binding aging-time : 12 hours
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Cloud-binding : Disabled
Cloud server URL : Not configured
表1-13 display portal mac-trigger-server命令显示信息描述表
|
字段 |
描述 |
|
Portal mac-trigger-server |
MAC绑定服务器的名称 |
|
Version |
Portal协议报文的版本,取值包括: · 1.0:版本1 · 2.0:版本2 · 3.0:版本3 |
|
Server type |
MAC绑定服务器的服务类型,取值包括: · CMCC:CMCC Portal服务器 · iMC:iMC Portal服务器 |
|
IP |
MAC绑定服务器的IP地址 |
|
Port |
设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号 |
|
VPN instance |
MAC绑定服务器所属的VPN |
|
Aging time |
MAC-Trigger表项老化时间,单位为秒 |
|
Free-traffic threshold |
用户免认证流量阈值,单位为字节 |
|
NAS-Port-Type |
发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值 |
|
Binding retry times |
设备向MAC绑定服务器发起MAC查询的最大尝试次数 |
|
Binding retry interval |
设备向MAC绑定服务器发起MAC查询的时间间隔 |
|
Authentication timeout |
设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间 |
|
Excluded attribute list |
Portal协议报文中不携带的属性字段编号 |
|
Local-binding |
(暂不支持)Portal本地MAC-Trigger认证功能状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Local-binding aging-time |
(暂不支持)本地MAC-Trigger绑定表项老化时间,单位为小时 |
|
aaa-fail nobinding |
开启基于MAC地址的快速认证,AAA认证失败时,设备设置MAC-Trigger表项的状态 · Disabled:绑定状态 · Enabled:未绑定状态 |
|
Cloud-binding |
Portal云端MAC-Trigger认证功能状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Cloud server URL |
云端Portal认证服务器URL |
display portal packet statistics命令用来显示Portal认证服务器和MAC绑定服务器的报文统计信息。
【命令】
display portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq } | mac-trigger-server server-name | server server-name ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为云服务器。
facebook:第三方Portal认证服务器类型为Facebook服务器。
mail:第三方Portal认证服务器类型为邮箱服务器。
qq:第三方Portal认证服务器类型为QQ服务器。
mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。
server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若未指定任何参数,则依次显示所有普通Portal认证服务器和MAC绑定服务器的报文统计信息。
【举例】
# 显示名称为pts的Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
# 显示名字为newpt的MAC绑定服务器的报文统计信息。
<Sysname> display portal packet statistics mac-trigger-server newpt
MAC-trigger server: newpt
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_MACBIND 1 0 0
ACK_MACBIND 1 0 0
NTF_MTUSER_LOGON 1 0 0
NTF_MTUSER_LOGOUT 0 0 0
REQ_MTUSER_OFFLINE 0 0 0
# 显示类型为cloud的第三方Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics extend-auth-server cloud
Extend-auth server: cloud
Update interval: 60
Pkt-Type Success Error Timeout Conn-failure
REQ_ACCESSTOKEN 1 0 0 0
REQ_USERINFO 1 0 0 0
RESP_ACCESSTOKEN 1 0 0 0
RESP_USERINFO 1 0 0 0
POST_ONLINEDATA 0 0 0 0
RESP_ONLINEDATA 0 0 0 0
POST_OFFLINEUSER 1 0 0 0
REPORT_ONLINEUSER 1 0 0 0
REQ_CLOUDBIND 1 0 0 0
RESP_CLOUDBIND 1 0 0 0
REQ_BINDUSERINFO 0 0 0 0
RESP_BINDUSERINFO 0 0 0 0
AUTHENTICATION 0 1 0 0
表1-14 display portal server statistics命令显示信息描述表
|
字段 |
描述 |
|
Portal server |
Portal认证服务器名称 |
|
Invalid packets |
无效报文的数目 |
|
Pkt-Type |
报文的类型 |
|
Total |
报文的总数 |
|
Drops |
丢弃报文数 |
|
Errors |
携带错误信息的报文数 |
|
REQ_CHALLENGE |
Portal认证服务器向接入设备发送的challenge请求报文 |
|
ACK_CHALLENGE |
接入设备对Portal认证服务器challenge请求的响应报文 |
|
REQ_AUTH |
Portal认证服务器向接入设备发送的请求认证报文 |
|
ACK_AUTH |
接入设备对Portal认证服务器认证请求的响应报文 |
|
REQ_LOGOUT |
Portal认证服务器向接入设备发送的下线请求报文 |
|
ACK_LOGOUT |
接入设备对Portal认证服务器下线请求的响应报文 |
|
AFF_ACK_AUTH |
Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文 |
|
NTF_LOGOUT |
接入设备发送给Portal认证服务器,用户被强制下线的通知报文 |
|
REQ_INFO |
信息询问报文 |
|
ACK_INFO |
信息询问的响应报文 |
|
NTF_USERDISCOVER |
Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文 |
|
NTF_USERIPCHANGE |
接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文 |
|
AFF_NTF_USERIPCHAN |
Portal认证服务器通知接入设备对用户表项的IP切换已成功报文 |
|
ACK_NTF_LOGOUT |
Portal认证服务器对强制下线通知的响应报文 |
|
NTF_HEARTBEAT |
Portal认证服务器周期性向接入设备发送的服务器心跳报文 |
|
NTF_USER_HEARTBEAT |
接入设备收到的从Portal认证服务器发送的用户同步报文 |
|
ACK_NTF_USER_HEARTBEAT |
接入设备向Portal认证服务器回应的用户同步响应报文 |
|
NTF_CHALLENGE |
接入设备向Portal认证服务器发送的challenge请求报文 |
|
NTF_USER_NOTIFY |
接入设备向Portal认证服务器发送的用户消息通知报文 |
|
AFF_NTF_USER_NOTIFY |
Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
|
MAC-trigger server |
MAC绑定服务器名称 |
|
REQ_MACBIND |
接入设备向MAC绑定服务器发起的MAC绑定查询报文 |
|
ACK_MACBIND |
MAC绑定服务器回应接入设备的MAC绑定查询应答报文 |
|
NTF_MTUSER_LOGON |
接入设备通知MAC绑定服务器通知用户上线报文 |
|
NTF_MTUSER_LOGOUT |
接入设备通知MAC绑定服务器通知用户下线报文 |
|
REQ_MTUSER_OFFLINE |
MAC绑定服务器向接入设备发送的要求用户强制下线报文 |
|
Extend-auth server |
第三方Portal认证服务器类型,取值如下: · qq:第三方Portal认证服务器类型为QQ服务器 · mail:第三方Portal认证服务器类型为邮箱服务器 · cloud:第三方Portal认证服务器类型为云服务器 · facebook:第三方Portal认证服务器类型为Facebook服务器 |
|
Update interval |
设备发送在线用户信息给云端的时间间隔,单位为秒,当第三方Portal认证服务器类型为cloud时显示 |
|
Success |
成功报文数 |
|
Timeout |
连接第三方Portal认证服务器超时报文数 |
|
Conn-failure |
无法连接第三方Portal认证服务器的报文数 |
|
Deny |
被服务器拒绝登录报文数。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
REQ_ACCESSTOKEN |
接入设备发送获取ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook和cloud 时显示 |
|
REQ_OPENID |
接入设备发送获取OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示 |
|
REQ_USERINFO |
接入设备发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook和cloud时显示 |
|
RESP_ACCESSTOKEN |
接入设备接收ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook和cloud 时显示 |
|
RESP_OPNEID |
接入设备接收OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示 |
|
RESP_USERINFO |
接入设备接收USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook和cloud时显示 |
|
REQ_POP3 |
接入设备发送邮箱POP3协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
REQ_IMAP |
接入设备发送邮箱IMAP协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
POST_ONLINEDATA |
接入设备发送获取云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_ONLINEDATA |
接入设备接收云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
POST_OFFLINEUSER |
接入设备发送下线用户信息给云端。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
REPORT_ONLINEUSER |
接入设备发送云端用户上线信息报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
REQ_CLOUDBIND |
接入设备发送查询云端用户绑定状态的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_CLOUDBIND |
接入设备接收云端用户绑定状态的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
REQ_BINDUSERINFO |
接入设备在收到RESP_CLOUDBIND报文且字段为BIND后发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_BINDUSERINFO |
接入设备接收REQ_BINDUSERINFO报文的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
AUTHENTICATION |
第三方认证结果 |
【相关命令】
· reset portal packet statistics
display portal permit-rule statistics命令用来显示Portal过滤规则的统计信息。
【命令】
display portal permit-rule statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
本命令仅显示Portal过滤规则中的第一类规则和第二类规则的统计信息。
【举例】
# 显示Portal过滤规则的统计信息。
<Sysname> display portal permit-rule statistics
Interface Free rules Fuzzy rules User rules
Vlan-interface30 2 5 10
Vlan-interface30 2 3 6
表1-15 display portal permit-rule statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
Portal过滤规则应用的接口 |
|
Free rules |
通过配置产生的免认证规则数量,不包括配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量 |
|
Fuzzy rules |
配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量 |
|
User rules |
用户通过认证后产生的规则数量 |
display portal redirect session命令用来显示Portal重定向的会话信息。
【命令】
display portal redirect session [ ip ipv4-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip ipv4-address:显示指定IP地址用户的Portal重定向会话信息。
slot slot-number:指定设备编号,取值只能为1。
【使用指导】
若未指定ip ipv4-address参数,则表示统计所有Portal重定向会话信息。
【举例】
# 显示Portal重定向会话统计信息。
<Sysname> display portal redirect session
Total HTTP sessions: 40
Total HTTP rejected: 2542
Total HTTPS sessions: 40
Total HTTPS rejected: 0
IP: 192.168.0.1
HTTP sessions: 20
HTTP rejected: 10
HTTPS sessions: 20
HTTPS rejected: 40
IP: 192.168.0.2
HTTP sessions: 20
HTTP rejected: 8
HTTPS sessions: 20
HTTPS rejected: 40
# 显示IP地址为192.168.0.2的用户Portal重定向的会话统计信息。
<Sysname> display portal redirect session ip 192.168.0.2
IP: 192.168.0.2
HTTP sessions: 128
HTTP rejected: 10
HTTPS sessions: 0
HTTPS rejected: 0
表1-16 display portal redirect session命令显示信息描述表
|
字段 |
描述 |
|
Total HTTP sessions |
产生HTTP重定向会话的IP地址数目 |
|
Total HTTP rejected |
所有用户HTTP重定向会话请求丢弃的总数 |
|
Total HTTPS sessions |
产生HTTPS重定向会话的IP地址数目 |
|
Total HTTPS rejected |
所有用户HTTPS重定向会话请求丢弃的总数 |
|
IP |
Portal重定向客户端IP地址 |
|
HTTP sessions |
单用户HTTP重定向会话的数量 |
|
HTTP rejected |
单用户HTTP重定向会话请求丢弃的数量 |
|
HTTPS sessions |
单用户HTTPS重定向会话的数量 |
|
HTTPS rejected |
单用户HTTPS重定向会话请求丢弃的数量 |
【相关命令】
· portal redirect max-session
· portal redirect max-session per-user
display portal redirect statistics命令用来显示Portal重定向报文统计信息。
【命令】
display portal redirect statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示指定slot上Portal重定向报文统计信息。
<Sysname> display portal redirect statistics slot 1
CPU 0 on slot 1:
HTTP requests HTTP responses HTTPS requests HTTPS responses
3 3 6 6
表1-17 display portal redirect statistics命令显示信息描述表
|
字段 |
描述 |
|
HTTP reqests |
HTTP重定向请求报文的数目 |
|
HTTP responses |
HTTP重定向回应报文的数目 |
|
HTTPS reqests |
HTTPS重定向请求报文的数目 |
|
HTTPS responses |
HTTPS重定向回应报文的数目 |
【相关命令】
· reset portal redirect statistics
display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。
【命令】
display portal rule { all | dynamic | static } { ap ap-name [ radio radio-id ] | interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。
dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。
static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。
interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示接口Vlan-interface100上所有Portal过滤规则的信息。
<Sysname> display portal rule all interface vlan-interface 100 slot 1
Slot 1:
IPv4 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Forbid
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
SSID : portal
Interface : WLAN-BSS1/0/1
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
Rule 2:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : Any
Rule 3:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 2.2.2.2
MAC : 000d-88f8-0eab
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 4:
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 5:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : Any
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
IPv6 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Forbid
Protocol : Any
Status : Active
Source:
IP : ::
Prefix length : 0
Port : Any
SSID : portal
Interface : Vlan-interface100
Destination:
IP : 3000::1
Prefix length : 64
Port : Any
Rule 2:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : ::
Prefix length : 0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 3000::1
Prefix length : 64
Port : Any
Rule 3:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : ::
MAC : 0015-e9a6-7cfe
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 4:
Type : Static
Action : Redirect
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : ::
Prefix length : 0
Port : 80
Rule 5:
Type : Static
Action : Deny
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : ::
Prefix length : 0
Author ACL:
Number : 3001
表1-18 display portal rule命令显示信息描述表
|
字段 |
描述 |
|
Rule |
Portal过滤规则编号 |
|
Type |
Portal过滤规则的类型,包括以下取值: · Static:静态类型 · Dynamic:动态类型 |
|
Action |
Portal过滤规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Forbid:禁止报文通过 · Redirect:重定向报文 · Deny:拒绝报文通过 |
|
Protocol |
Portal免认证规则中使用的传输层协议,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 · UDP:UDP传输类型 |
|
Status |
Portal过滤规则下发的状态,包括以下取值: · Active:表示规则已生效 · Unactuated:表示规则未生效 |
|
Source |
Portal过滤规则的源信息 |
|
IP |
源IP地址 |
|
Mask |
源IPv4地址子网掩码 |
|
Prefix length |
(暂不支持)源IPv6地址前缀 |
|
Port |
源传输层端口号 |
|
MAC |
源MAC地址 |
|
SSID |
源SSID名称,该字段仅在通过portal forbidden-rule命令配置了过滤某些SSID用户的黑名单规则时显示 |
|
Interface |
Portal过滤规则应用的二层或三层接口 |
|
VLAN |
源VLAN |
|
Protocol |
Portal重定向规则中使用的传输层协议类型,取值只能为TCP |
|
Destination |
Portal规则的目的信息 |
|
IP |
目的IP地址 |
|
Port |
目的传输层端口号 |
|
Mask |
目的IPv4地址子网掩码 |
|
Prefix length |
(暂不支持)目的IPv6地址前缀 |
|
Author ACL |
Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示 |
|
Number |
授权ACL编号,N/A表示AAA未授权ACL |
display portal safe-redirect statistics命令用来显示Portal安全重定向功能的报文统计信息。
【命令】
display portal safe-redirect statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示指定slot上Portal安全重定向功能的报文统计信息。
<Sysname> display portal safe-redirect statistics slot 1
Slot 1:
Redirect statistics:
Success: 7
Failure: 8
Total : 15
Method statistics:
Get : 11
Post : 1
Others : 3
User agent statistics:
Safari: 3
Chrome: 2
Forbidden User URL statistics:
www.qq.com: 4
Forbidden filename extension statistics:
.jpg: 0
表1-19 display portal safe-redirect statistics命令显示信息描述表
|
字段 |
描述 |
|
Success |
重定向成功报文的数目 |
|
Failure |
重定向失败报文的数目 |
|
Total |
报文的总数 |
|
Method statistics |
协议请求方法的报文统计 |
|
Get |
请求方法为get的报文数量 |
|
Post |
请求方法为post的报文数量 |
|
Other |
请求方法为其它类型的报文数量 |
|
User agent statistics |
匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型以及报文统计 |
|
Forbidden User URL statistics |
Portal安全重定向禁止的URL地址以及报文统计 |
|
Forbidden filename extension statistics |
Portal安全重定向禁止URL携带的扩展名及被丢弃报文统计 |
【相关命令】
· reset portal safe-redirect statistics
display portal server命令用来显示Portal认证服务器信息。
【命令】
display portal server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定参数server-name,则显示所有Portal认证服务器信息。
【举例】
# 显示Portal认证服务器pts的信息。
<Sysname> display portal server pts
Portal server: pts
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log, trap
User synchronization : Timeout 200s
Status : Up
Exclude-attribute : Not configured
Logout notification : Retry 3 interval 5s
表1-20 display portal server命令显示信息描述表
|
字段 |
描述 |
|
Type |
Portal认证服务器类型,其取值如下: · CMCC:符合中国移动标准规范的服务器 · iMC:符合iMC标准规范的服务器 |
|
Portal server |
Portal认证服务器名称 |
|
IP |
Portal认证服务器的IP地址 |
|
VPN instance |
Portal认证服务器所属的MPLS L3VPN实例 |
|
Port |
Portal认证服务器的监听端口 |
|
Server detection |
Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap) |
|
User synchronization |
Portal用户信息同步功能的参数,包括超时时间(单位:秒) |
|
Status |
Portal认证服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达 |
|
Exclude-attribute |
向Portal认证服务器发送的Portal协议报文中不携带的属性字段 |
|
Logout notification |
设备强制用户下线通知报文的最大重传次数和重传时间间隔(单位:秒) |
【相关命令】
· portal enable
· portal server
· server-detect (portal authentication server view)
· user-sync
display portal session user-type命令用来显示基于Portal协议的指定用户类型的会话信息。
【命令】
display portal session user-type portal
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
portal:显示Portal用户会话信息。
【举例】
# 显示Portal用户会话信息。
<Sysname> display portal session user-type portal
Total Portal sessions: 1
IP address MAC address Interface User type
1:2::3:5 1212-1212-1211 Vlan-interface200 Portal
表1-21 display portal session user-type命令显示信息描述表
|
字段 |
描述 |
|
Total Web-auth sessions |
基于Portal协议的Web认证用户会话总数 |
|
Total Portal sessions |
Portal用户会话总数 |
|
IP address |
用户IP地址 |
|
MAC address |
用户MAC地址 |
|
Interface |
用户接入的接口 |
|
User type |
用户类型:Portal用户 |
display portal user命令用来显示Portal用户的信息。
【命令】
display portal user { all | auth-type { cloud | email | facebook | local | mac-trigger | normal | qq } | interface interface-type interface-number | ip ipv4-address | mac mac-address | username username } [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有Portal用户的信息。
auth-type:显示指定认证类型的Portal用户信息。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
email:Portal认证类型为邮箱认证。
facebook:Portal认证类型为Facebook认证。
local:Portal认证类型为本地认证。
mac-trigger:Portal认证类型为MAC-Trigger认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
qq:Portal认证类型为QQ认证。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
ip ipv4-address:显示指定IPv4地址的Portal用户信息。
mac mac-address:显示指定MAC地址的Portal用户信息。mac-address的格式为H-H-H。
username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。
brief:显示指定Portal用户的简要信息。
verbose:显示指定Portal用户的详细信息。
【使用指导】
若不指定brief和verbose参数,则表示显示Portal用户的Portal认证相关信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Total portal users: 2
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: bcd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Username: def
Portal server: pts
State: Online
VPN instance: vpn1
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 200 Vlan-interface200
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: 3001
Inbound CAR: CIR 9000 bps PIR 20500 bps
CBS 20500 bit (active)
Outbound CAR: CIR 9000 bps PIR 20400 bps
CBS 20400 bit (active)
# 显示Portal认证类型为普通认证的用户信息。
<Sysname> display portal user auth-type normal
Total remote users: 1
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
# 显示MAC地址为000d-88f8-0eab的Portal用户的信息。
<Sysname> display portal user mac 000d-88f8-0eab
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
# 显示用户名为abc的Portal用户的信息。
<Sysname> display portal user username abc
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
表1-22 display portal user命令显示信息描述表
|
字段 |
描述 |
|
Total portal users |
总计的Portal用户数目 |
|
Total normal users |
Portal认证类型为普通认证的用户总数 |
|
Total local users |
Portal认证类型为本地认证的用户总数 |
|
Total email users |
Portal认证类型为邮箱认证的用户总数 |
|
Total cloud users |
Portal认证类型为云端认证的用户总数 |
|
Total QQ users |
Portal认证类型为QQ认证的用户总数 |
|
Total facebook users |
Portal认证类型为Facebook认证的用户总数 |
|
Total MAC-trigger users |
Portal认证类型为MAC-Trigger认证的用户总数 |
|
Username |
用户名 |
|
Portal server |
用户认证所使用的Portal认证服务器的名称 |
|
State |
Portal用户的当前状态,包括以下取值: · Initialized:初始化完成后的待认证状态 · Authenticating:正在认证状态 · Waiting_SetRule:等待下发用户授权信息 · Authorizing:正在授权状态 · Online:在线状态 · Waiting_Traffic:等待获取用户最后一次流量 · Stop Accounting:停止计费 · Done:下线结束 |
|
VPN instance |
授权VPN实例名称。若未授权VPN实例,则显示的是Portal用户所属的MPLS L3VPN。若用户属于公网,则显示为N/A |
|
MAC |
Portal用户的MAC地址 |
|
IP |
Portal用户的IP地址 |
|
VLAN |
Portal用户所在的VLAN |
|
Interface |
Portal用户接入的接口 |
|
Authorization information |
Portal用户的授权信息 |
|
DHCP IP pool |
Portal用户的授权地址池名称。若无授权地址池,则显示为N/A |
|
User profile |
(暂不支持)Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
|
Session group profile |
(暂不支持)Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
|
ACL number/name |
Portal用户的授权ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
|
Inbound CAR |
授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Outbound CAR |
授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
# 显示IP地址为50.50.50.3的Portal用户的详细信息。
<Sysname> display portal user ip 50.50.50.3 verbose
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x18000002
Access interface: eth3/2/2
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Authentication type: Normal
Domain: hrss
VPN instance: 123
Status: Online
Portal server: test
Vendor: Apple
Portal authentication method: Direct
AAA:
Realtime accounting interval: 60s, retry times: 3
Idle-cut:180 sec, 10240 bytes
Session duration: 500 sec, remaining: 300 sec
Remaining traffic: 10240000 bytes
Login time: 2019-01-19 2:42:3 UTC
ITA policy name: test
DHCP IP pool: abc
ACL&QoS&Multicast:
Inbound CAR: CIR 9000 bps PIR 20500 bps
CBS 20500 bit (active)
Outbound CAR: CIR 9000 bps PIR 20400 bps
CBS 20400 bit (active)
ACL number/name: 3000(inactive)
User profile: portal (active)
Session group profile: N/A
Max multicast addresses: 4
Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7
2.2.2.2, 3.3.3.3, 4.4.4.4
NAT444:
Global IP address: 111.8.0.234
Port block: 1024-1033
Traffic statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
Dual-stack traffic statistics:
IPv4 address: 50.50.50.3
Uplink packets/bytes: 3/200
Downlink packets/bytes: 0/0
IPv6 address: 2001::2
Uplink packets/bytes: 4/346
Downlink packets/bytes: 0/0
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
ITA:
level-1 uplink packets/bytes: 4/32
downlink packets/bytes: 2/12
level-2 uplink packets/bytes: 0/0
downlink packets/bytes: 0/0
表1-23 display portal user verbose命令显示信息描述表
|
字段 |
描述 |
|
Current IP address |
Portal用户当前的IP地址 |
|
Original IP address |
Portal用户认证时的IP地址 |
|
Username |
Portal用户上线时使用的用户名 |
|
User ID |
Portal用户ID |
|
Access interface |
Portal用户接入的接口 |
|
Service-VLAN/Customer-VLAN |
Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息) |
|
MAC address |
用户的MAC地址 |
|
Authentication type |
Portal认证类型,取值包括: · Normal:普通认证 · Local:本地认证 · Email:邮箱认证 · Cloud:云端认证 · QQ:QQ认证 · Facebook:Facebook认证 · MAC-trigger:MAC-Trigger认证 |
|
Domain |
用户认证时使用的ISP域名 |
|
VPN instance |
授权VPN实例名称。若未授权VPN实例,则显示的是用户所属的MPLS L3VPN实例,若用户属于公网,则显示为N/A |
|
Status |
Portal用户的当前状态,包括以下取值: · Authenticating:正在认证状态 · Authorizing:正在授权状态 · Waiting_SetRule:正在下发Portal规则状态 · Online:在线状态 · Waiting_Traffic:正在等待用户流量状态 · Stop Accounting:正在停止计费状态 · Done:用户下线完成状态 |
|
Portal server |
Portal服务器名称 |
|
Vendor |
设备生产厂商 |
|
Portal authentication method |
接入接口上的Portal认证方式,包括如下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
|
AAA |
Portal用户的AAA授权信息 |
|
Realtime accounting interval |
授权的实时计费间隔和重传次数。若未授权,则显示为N/A |
|
Idle-cut |
授权的闲置切断时长和流量。若未授权,则显示为N/A |
|
Session duration |
授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A |
|
Remaining traffic |
授权的剩余流量。若未授权,则显示为N/A |
|
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19 2:42:30 UTC |
|
ITA policy name |
授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称 |
|
Online duration (hh:mm:ss) |
用户在线时长(时:分:秒) |
|
DHCP IP pool |
授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A |
|
Inbound CAR |
授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Outbound CAR |
授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
ACL number/name |
授权的ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
|
User profile |
(暂不支持)授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
|
Session group profile |
(暂不支持)授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
|
Max multicast addresses |
授权Portal用户可加入的组播组的最大数目 |
|
Multicast address list |
授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A |
|
NAT444 |
Portal用户的NAT444地址映射信息。未与NAT444联动时不显示该字段 |
|
Global IP address |
公网IP地址 |
|
Port block |
端口块:起始端口-结束端口 |
|
Traffic statistic |
Portal用户流量统计信息 |
|
Uplink packets/bytes |
上行流量报文数/字节数 |
|
Downlink packets/bytes |
下行流量报文数/字节数 |
|
Dual-stack traffic statistic |
双栈用户流量统计信息 |
|
IPv4 address |
用户IPv4地址 |
|
IPv6 address |
(暂不支持)用户IPv6地址 |
|
Uplink packets/bytes |
上行流量报文数/字节数 |
|
Downlink packets/bytes |
下行流量报文数/字节数 |
|
ITA |
Portal用户的ITA业务流量统计信息 |
|
Accounting merge |
统一计费功能的开启状态,包括以下取值: · Enabled:开启了统一计费功能,即系统将ITA业务策略下所有级别的流量进行合并,并以该ITA业务策略中配置的最低的流量计费级别上报给计费服务器 · Disabled:未开启统一计费功能,即系统将各个级别的流量分别上报给计费服务器 |
|
Traffic separate |
ITA业务流量与用户总计费流量分离功能的开启状态,包括以下取值: · Enabled:设备上报给计费服务器的用户总计费流量中不包含ITA流量 · Disabled:设备上报给计费服务器的用户主计费流量中包含ITA流量 |
|
Quota-out offline |
ITA业务流量配额耗尽策略,包括以下取值: · Enabled:当用户的指定级别的流量配额耗尽后,用户不能访问授权的目的IP地址段 · Disabled:当用户的指定级别的流量配额耗尽后,用户仍能访问授权的目的IP地址段 |
|
level-n Session duration |
AAA授权计费级别为n的ITA业务流量的会话超时时间以及剩余的在线时长。若未授权,则显示为N/A,n的取值范围为1~8 |
|
Remaining traffic |
AAA授权ITA业务流量的剩余流量 |
|
Traffic action |
ITA业务流量配额耗尽策略规则的匹配动作,包括以下取值: · Permit:当用户的指定级别的流量配额耗尽后,允许用户访问授权的目的IP地址段 · Deny:当用户的指定级别的流量配额耗尽后,禁止用户访问授权的目的IP地址段 |
|
Inbound CAR |
AAA为ITA业务流量授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Outbound CAR |
AAA为ITA业务流量授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Uplink packets/bytes |
ITA业务流量上行流量报文数/字节数 |
|
Downlink packets/bytes |
ITA业务流量下行流量报文数/字节数 |
# 显示所有Portal用户的简要信息。
<Sysname> display portal user all brief
IP address MAC address Online duration Username
2.2.2.2 000d-88f8-0eab 1:53:7 abc
3.3.3.3 000d-88f8-0eac 1:53:7 def
表1-24 display portal user brief命令显示信息描述表
|
字段 |
描述 |
|
IP address |
Portal用户的IP地址 |
|
MAC address |
Portal用户的MAC地址 |
|
Online duration |
用户在线时长(时:分:秒) |
|
Username |
Portal用户的用户名 |
【相关命令】
· portal enable
display portal user count命令用来显示Portal用户数量。
【命令】
display portal user count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示Portal用户数量。
<Sysname> display portal user count
Total number of users: 1
【相关命令】
· portal enable
· portal delete-user
display portal user-block命令用来显示Portal认证失败后当前阻塞用户的信息。
【命令】
display portal user-block [ ip ipv4-address | mac mac-address | username username ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip ipv4-address:表示阻塞用户的IPv4地址。
mac mac-address:表示阻塞用户的MAC地址。mac-address格式为H-H-H。
username username:表示阻塞用户的用户名。username为1~253个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则表示按IP方式显示Portal认证失败后所有当前阻塞用户的信息。
【举例】
# 显示Portal认证失败后所有当前阻塞用户的信息。
<Sysname> display portal user-block
Total blocked users: 2
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
IP address: 19.19.0.4
MAC address: B577-CDCB-D49C
Remaining block time: 01h:26m:44s
Username: school
# 显示Portal认证失败后IP地址为10.2.33.2的阻塞用户的信息。
<Sysname> display portal user-block ip 10.2.33.2
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
# 显示Portal认证失败后MAC地址为E0A5-66BB-B2AA的阻塞用户的信息。
<Sysname> display portal user-block mac E0A5-66BB-B2AA
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
# 显示Portal认证失败后用户名为test的阻塞用户的信息。
<Sysname> display portal user-block username test
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
表1-25 display portal user-block命令显示信息描述表
|
字段 |
描述 |
|
IP address |
阻塞用户的IP地址 |
|
MAC address |
阻塞用户的MAC地址 |
|
Remaining block time(hh:mm:ss) |
剩余被阻塞时长,格式为时:分:秒 |
|
Username |
阻塞用户的用户名 |
【相关命令】
· portal user-block failed-times
· portal user-block reactive
display portal web-server命令用来显示Portal Web服务器信息。
【命令】
display portal web-server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。若不指定本参数,则显示所有Portal Web服务器信息。
【举例】
# 显示Portal Web服务器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
Type: IMC
URL: http://www.test.com/portal
URL parameters:
userurl=http://www.test.com/welcome
userip=source-address
VPN instance: Not configured
Server detection:
Interval: 120s
Attempts: 5
Action: log, trap
Detection URL:http://www.test.com/portal
Detection type: TCP
IPv4 status: Up
IPv6 status: Up
Captive-bypass: Disabled
If-match: original-url: http://2.2.2.2, redirect-url: http://192.168.56.2
original-url: http://1.1.1.1, temp-pass redirect-url:
http://192.168.1.1
表1-26 display portal web-server命令显示信息描述表
|
字段 |
描述 |
|
Type |
Portal Web服务器类型,其取值如下: · CMCC:符合中国移动标准规范的服务器 · iMC:符合iMC标准规范的服务器 |
|
Portal Web server |
Portal Web服务器名称 |
|
URL |
Portal Web服务器的URL地址以及携带的参数 |
|
URL parameters |
Portal Web服务器的URL携带的参数信息 |
|
VPN instance |
Portal Web服务器所属的MPLS L3VPN实例名称 |
|
Server detection |
Portal Web服务器可达性探测功能的参数 |
|
Interval |
探测间隔时间(单位:秒) |
|
Attempts |
探测尝试次数 |
|
Action |
探测到服务器状态变化后的动作(log、trap) |
|
Detection URL |
Portal Web服务器探测URL地址 |
|
Detection type |
Portal Web服务器探测类型,取值包括: · TCP:探测类型为TCP · HTTP:探测类型为HTTP |
|
IPv4 status |
IPv4 Portal web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
|
IPv6 status |
(暂不支持)IPv6 Portal web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
|
Captive-bypass |
(暂不支持)Portal被动Web认证功能状态,其取值如下: · Disabled:未开启 · Enabled:已开启 · Optimize Enabled:优化功能已开启 |
|
If-match |
配置的URL重定向匹配规则,未配置时,显示Not configured |
【相关命令】
· portal enable
· portal web-server
· server-detect (portal web-server view)
· server-detect url
display web-redirect rule命令用来显示Web重定向过滤规则信息。
【命令】
display web-redirect rule interface interface-type interface-number [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示接口Vlan-interface100上的所有Web重定向过滤规则。
<Sysname> display web-redirect rule interface vlan-interface 100
IPv4 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
IPv6 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
表1-27 display web-redirect rule命令显示信息描述表
|
字段 |
描述 |
|
Rule |
Web重定向规则编号 |
|
Type |
Web重定向规则的类型,包括以下取值: · Static:静态类型。该类型的规则在Web重定向功能生效时生成 · Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成 |
|
Action |
Web重定向规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Redirect:重定向报文 |
|
Status |
Web重定向规则下发的状态,包括以下取值: · Active:表示规则已生效 · Inactive:表示规则未生效 |
|
Source |
Web重定向规则的源信息 |
|
IP |
源IP地址 |
|
Mask |
源IPv4地址子网掩码 |
|
Prefix length |
(暂不支持)源IPv6地址前缀 |
|
VLAN |
源VLAN,如果未指定,显示为Any |
|
Protocol |
Web重定向规则的传输层协议类型,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 |
|
Destination |
Web重定向规则的目的信息 |
|
Port |
目的传输层端口号,默认为80 |
exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。
undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。
【命令】
exclude-attribute attribute-number
undo exclude-attribute attribute-number
【缺省情况】
未配置Portal协议报文中不携带的属性字段。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
attribute-number:属性类型编号,取值范围为1~255。
【使用指导】
不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同。在进行MAC-Trigger认证时,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,则会导致设备和Portal认证服务器不能通信。
在进行MAC-Trigger认证时,可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。
通过多次执行本命令,可以配置多个Portal协议报文中不携带的属性字段。
Portal协议所有属性的详细描述如表1-28所示。
表1-28 Portal协议所有属性详细描述
|
属性名称 |
属性编号 |
属性含义 |
|
UserName |
1 |
用户名 |
|
PassWord |
2 |
用户提交的明文密码 |
|
Challenge |
3 |
用于CHAP方式加密的随机数 |
|
ChapPassWord |
4 |
通过MD5算法加密后的密码 |
|
TextInfo |
5 |
该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个 |
|
UpLinkFlux |
6 |
表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB |
|
DownLinkFlux |
7 |
表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB |
|
Port |
8 |
端口信息,内容为一个字符串(无 '\0' 结束符) |
|
IP-Config |
9 |
在不同报文类型中含义不同: · 在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配 · 在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址 |
|
BAS-IP |
10 |
用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址 |
|
Session-ID |
11 |
用户标识,通常使用用户的MAC地址作为标识 |
|
Delay-Time |
12 |
报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中 |
|
User-List |
13 |
用户IP地址列表 |
|
EAP-Message |
14 |
需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个 |
|
User-Notify |
15 |
需要透传的RADIUS计费回应报文中的hw_User_Notify内容 |
|
BAS-IPv6 |
100 |
(暂不支持)标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性 |
|
UserIPv6-List |
101 |
(暂不支持)用户IPv6地址列表 |
【举例】
# 在MAC-Trigger认证时,若Portal认证服务器不支持10号BAS-IP属性,则配置Portal协议报文中不携带属性字段BAS-IP。
<Sysname> system-view
[Sysname] portal mac-trigger-server 123
[Sysname-portal-mac-trigger-server-123] exclude-attribute 10
exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。
undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。
【命令】
exclude-attribute number { ack-auth | ack-logout | ntf-logout }
undo exclude-attribute number { ack-auth | ack-logout | ntf-logout }
【缺省情况】
未配置Portal协议报文中不携带的属性字段。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
number:Portal协议报文属性字段中属性类型编号,取值范围1~255。
ack-auth:Portal协议报文类型为ACK_AUTH。
ack-logout:Portal协议报文类型为ACK_LOGOUT。
ntf-logout:Portal协议报文类型为NTF_LOGOUT。
【使用指导】
由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。
可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。
Portal协议所有属性的详细描述如表1-29所示。
表1-29 Portal协议所有属性详细描述
|
属性名称 |
属性编号 |
属性含义 |
|
UserName |
1 |
用户名 |
|
PassWord |
2 |
用户提交的明文密码 |
|
Challenge |
3 |
用于CHAP方式加密的随机数 |
|
ChapPassWord |
4 |
通过MD5算法加密后的密码 |
|
TextInfo |
5 |
该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个 |
|
UpLinkFlux |
6 |
表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB |
|
DownLinkFlux |
7 |
表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB |
|
Port |
8 |
端口信息,内容为一个字符串(无 '\0' 结束符) |
|
IP-Config |
9 |
在不同报文类型中含义不同: · 在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配 · 在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址 |
|
BAS-IP |
10 |
用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址 |
|
Session-ID |
11 |
用户标识,通常使用用户的MAC地址作为标识 |
|
Delay-Time |
12 |
报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中 |
|
User-List |
13 |
用户IP地址列表 |
|
EAP-Message |
14 |
需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个 |
|
User-Notify |
15 |
需要透传的RADIUS计费回应报文中的hw_User_Notify内容 |
|
BAS-IPv6 |
100 |
(暂不支持)标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性 |
|
UserIPv6-List |
101 |
(暂不支持)用户IPv6地址列表 |
【举例】
# 在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] exclude-attribute 6 ack-auth
【相关命令】
· display portal server
free-traffic threshold命令用来配置用户免认证流量的阈值。
undo free-traffic threshold命令用来恢复缺省情况。
【命令】
free-traffic threshold value
undo free-traffic threshold
【缺省情况】
用户免认证流量的阈值为0字节。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。
【使用指导】
设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。
用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。
【举例】
# 为MAC绑定服务器mts配置用户免认证流量的阈值为10240字节。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240
【相关命令】
· display portal mac-trigger-server
if-match命令用来配置重定向URL的匹配规则。
undo if-match命令用来删除配置的重定向URL匹配规则。
【命令】
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
undo if-match { original-url url-string | user-agent user-agent }
【缺省情况】
不存在重定向URL的匹配规则。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。
aes:加密算法为AES算法。
des:加密算法为DES算法。
key:设置密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。
· 对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
【使用指导】
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。
当同时配置了Portal安全重定向功能和重定向URL的匹配规则时,重定向URL匹配规则优先进行地址的重定向。
如果配置了对URL中携带的参数信息进行加密,则通过redirect-url url-string参数指定重定向地址时,需要在域名之后增加加密提示字段。例如要将Web访问请求重定向到10.1.1.1,并配置了对URL参数信息进行加密,则重定向URL的格式为:http://10.1.1.1?yyyy=,其中yyyy的值与Portal Web服务器的配置有关,具体请参见服务器的配置指导。
用户Web访问请求的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
· 相同的Web访问请求的URL地址不能重复配置。
【举例】
# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1
# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1
【相关命令】
· display portal web-server
· portal free-rule
· url
· url-parameter
if-match temp-pass命令用来配置Portal临时放行功能的匹配规则。
undo if-match temp-pass命令用来恢复缺省情况。
【命令】
if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]
undo if-match { original-url url-string | user-agent user-agent } * temp-pass
【缺省情况】
未配置Portal临时放行功能的匹配规则。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
original-url url-string:用户HTTP/HTTPS请求报文中的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
user-agent user-agent:用户HTTP/HTTPS请求报文中的User Agent信息,为1~255个字符的字符串,区分大小写。HTTP User Agent信息可包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
original:Web访问请求被重定向到原来的URL。
【使用指导】
接口上开启Portal临时放行功能(通过portal temp-pass enable命令配置)后,本命令可以控制Portal临时放行报文,只有匹配用户的Web请求地址或者用户HTTP/HTTPS请求报文中的User Agent信息的报文才能被临时放行。临时放行后的报文可以被重定向到指定URL,也可以被重定向到原来的URL。
如果配置的匹配条件相同,重定向URL不同,则新配置会覆盖原配置,不会重定向到不同的URL。
如果未指定参数redirect-url和original,则表示只对匹配的流量放行,不进行重定向。
如果同时配置Portal安全重定向功能和Portal临时放行功能的匹配规则,Portal临时放行功能的匹配规则优先级更高。
【举例】
# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass
# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行,并重定向到原来的URL。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass original
# 配置Portal临时放行功能的匹配规则,对用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的用户报文临时放行,并重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1
# 配置Portal临时放行功能的匹配规则,对访问http://www.123.com.cn和用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36同时匹配的用户报文临时放行,并重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.123.com.cn user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1
【相关命令】
· display portal web-server
· portal free-rule
· portal temp-pass enable
· url
· url-parameter
ip命令用来配置MAC绑定服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未配置MAC绑定服务器的IP地址。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:MAC绑定服务器的IPv4地址。
vpn-instance vpn-instance-name:MAC绑定服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。
key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。
cipher:以密文方式设置共享密钥。
simple:以明文方式设置共享密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal
【相关命令】
· display portal mac-trigger-server
ip命令用来指定Portal认证服务器的IPv4地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未指定Portal认证服务器的IPv4地址。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:Portal认证服务器的IPv4地址。
vpn-instance vpn-instance-name:Portal认证服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。
key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。
【使用指导】
一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。
不同的Portal认证服务器不允许IPv4地址和VPN实例的配置都相同。
【举例】
# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
【相关命令】
· display portal server
· portal server
ip命令用来指定WLAN漫游中心的IP地址。
undo ip用来恢复缺省情况。
【命令】
ip ip-address
undo ip
【缺省情况】
未指定WLAN漫游中心的IP地址。
【视图】
Portal漫游中心视图
【缺省用户角色】
network-admin
【参数】
ip-address:WLAN漫游中心的IP地址。
【使用指导】
此IP地址用于Portal漫游中心与WLAN漫游中心进行报文交互,可以为WLAN漫游中心上配置的与Portal漫游中心通信的任意IP地址。
WLAN漫游中心的IP地址只能配置一个,新配置将覆盖已有配置。
设备上有Portal在线用户时,不建议修改WLAN漫游中心的IP地址,否则可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。
【举例】
# 配置WLAN漫游中心的IP地址为192.168.0.111。
<Sysname> system-view
[Sysname] portal roaming-center
[Sysname-portal-roaming-center] ip 192.168.0.111
local-binding aging-time命令用来配置本地MAC-Trigger绑定表项的老化时间。
undo local-binding aging-time命令用来恢复缺省情况。
【命令】
local-binding aging-time minutes
undo local-binding aging-time
【缺省情况】
本地MAC-Trigger绑定表项的老化时间为720分钟。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
minutes:本地MAC-Trigger绑定表项的老化时间,取值范围为1~129600,单位为分钟。
【使用指导】
当某条本地MAC-Trigger绑定表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立本地MAC-Trigger绑定表项。
关闭本地MAC-Trigger功能后,设备上已有的本地MAC-Trigger表项不会立即删除,一直到设定的老化时间后才会删除。
【举例】
# 在MAC绑定服务器mts视图下,指定本地MAC-Trigger绑定表项老化时间为240分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] local-binding aging-time 240
【相关命令】
· display portal mac-trigger-server
· local-binding enable
local-binding enable命令用来开启Portal本地MAC-Trigger认证功能。
undo local-binding enable命令用来关闭Portal本地MAC-Trigger认证功能。
【命令】
local-binding enable
undo local-binding enable
【缺省情况】
Portal本地MAC-Trigger认证功能处于关闭状态。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行本地Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时接入设备作为MAC绑定服务器,接入设备在检测到用户首次上线的流量后,会生成本地MAC-Trigger绑定表项,用于记录用户的MAC地址、用户名、密码。
【举例】
# 在MAC绑定服务器mts视图下,开启Portal本地MAC-Trigger认证功能。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] local-binding enable
【相关命令】
· display portal mac-trigger-server
· local-binding aging-time
login failed-url命令用来配置Portal用户认证失败时的重定向URL地址。
undo login failed-url命令用来恢复缺省情况。
【命令】
login failed-url url-string
undo login failed-url
【缺省情况】
未配置Portal用户认证失败时的重定向URL地址。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal用户认证失败时的重定向地址,为1~256个字符的字符串,区分大小写。
【使用指导】
如果配置了本命令,则Portal用户认证失败后,会将该用户重定向到指定的URL地址。
【举例】
# 配置Portal用户认证失败时的重定向地址为https://1.1.1.1/portal/iselogin.html。
<Sysname> system-view
[Sysname] portal local-web-server https
[Sysname-portal-local-websvr-https] login failed-url https://1.1.1.1/portal/iselogin.html
login success-url命令用来配置Portal用户认证成功时的重定向URL地址。
undo login success-url命令用来恢复缺省情况。
【命令】
login success-url url-string
undo login success-url
【缺省情况】
未配置Portal用户认证成功时的重定向URL地址。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal用户认证成功时重定向的地址,为1~256个字符的字符串,区分大小写。
【使用指导】
如果配置了本命令,则Portal用户认证成功后,会将该用户重定向到指定的URL地址。
【举例】
# 配置Portal用户认证成功时的重定向地址为https://1.1.1.1/portal/iselogin.html。
<Sysname> system-view
[Sysname] portal local-web-server https
[Sysname-portal-local-websvr-https] login success-url https://1.1.1.1/portal/iselogin.html
logout-notify命令用来配置强制用户下线通知报文的最大重传次数和重传时间间隔。
undo logout-notify命令用来恢复缺省情况。
【命令】
logout-notify retry retries interval interval
undo logout-notify
【缺省情况】
未配置强制用户下线通知报文的最大重传次数和重传时间间隔。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
retry retries:最大重传次数,取值范围为1~5。
interval interval:重传时间间隔,取值范围为1~10,单位为秒。
【使用指导】
由于Portal协议采用UDP报文来承载数据,因此其通信过程是不可靠的。为防止Portal认证服务器收不到强制用户下线通知报文,可以配置重传次数和重传间隔。
当设备发送强制用户下线通知报文后,无论设备在指定的时间内(重传次数乘以重传时间间隔)是否收到Portal认证服务器的响应,都会强制用户下线并删除用户信息。
【举例】
# 配置强制用户下线报文的最大重传次数为3次,时间间隔为5秒。
<Sysname> system-view
[Sysname] portal server pt
[Sysname-portal-server-pt] logout-notify retry 3 interval 5
【相关命令】
· display portal server
mail-domain-name命令用来配置邮箱认证服务支持的邮箱类型。
undo mail-address命令用来删除配置的邮箱认证服务支持的邮箱类型。
【命令】
mail-domain-name string
undo mail-domain-name [ string ]
【缺省情况】
未配置邮箱认证服务支持的邮箱类型。
【视图】
邮箱认证服务器视图
【缺省用户角色】
network-admin
【参数】
string:表示邮箱类型,为1~255个字符的字符串,区分大小写,格式为@XXX.XXX。
【使用指导】
在undo命令中不指定string参数表示删除所有配置的邮箱认证服务支持的邮箱类型。
用户输入的邮箱地址需要符合所配置的邮箱类型才能进行邮箱认证。
可以重复执行本命令配置多个邮箱类型,最多可以配置16个。
【举例】
# 配置邮箱认证服务支持的邮箱类型为@qq.com和@sina.com。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail] mail-domain-name @qq.com
[Sysname-portal-extend-auth-server-mail] mail-domain-name @sina.com
【相关命令】
· display portal extend-auth-server
mail-protocol命令用来配置邮箱认证服务支持的协议类型。
undo mail-protocol命令用来恢复缺省情况。
【命令】
mail-protocol { imap | pop3 } *
undo mail-protocol
【缺省情况】
未配置邮箱认证服务支持的协议类型。
【视图】
邮箱认证服务器视图
【缺省用户角色】
network-admin
【参数】
imap:互联网信息访问协议(IMAP)。
pop3:POP3协议。
【使用指导】
终端用户采用邮箱方式进行第三方认证时,终端用户输入邮箱地址和密码,提交给设备,设备再和邮件服务器进行认证和授权交互,设备和服务器之间采取POP3或IMAP邮箱协议。
【举例】
# 配置邮箱认证服务支持的协议类型为POP3。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail] mail-protocol pop3
【相关命令】
· display portal extend-auth-server
nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。
undo nas-port-type命令用来恢复缺省情况。
【命令】
nas-port-type value
undo nas-port-type
【缺省情况】
设备发送的RADIUS请求报文中的NAS-Port-Type属性值为15。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
value:NAS-Port-Type属性值,取值范围为1~255。
【使用指导】
设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。
请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。
【举例】
# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] nas-port-type 30
【相关命令】
· display portal mac-trigger-server
port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
MAC绑定服务器监听查询报文的UDP端口号是50100。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
port-number:UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。
【举例】
# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。
<sysname> system-view
[sysname] portal mac-trigger-server mts
[sysname-portal-mac-trigger-server-mts] port 1000
【相关命令】
· display portal mac-trigger-server
port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
设备主动发送Portal报文时使用的UDP端口号为50100。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。
【举例】
# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
【相关命令】
· portal server
portal access-info trust命令用来指定通过查询ARP表项来获取Portal用户信息。
undo portal access-info trust命令用来恢复缺省情况。
【命令】
portal access-info trust { arp }
undo portal access-info trust { arp }
【缺省情况】
设备通过查询FIB表项来获取Portal用户信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
arp:表示通过查询ARP表项来获取IPv4 Portal用户信息。
【使用指导】
在远程Web认证组网中,设备收到Portal认证服务器发送的Portal协议报文时,通过查询FIB表项无法获取用户的MAC地址和二层接入接口等信息,从而导致用户无法通过Web认证。
为了解决这个问题,需要指定设备通过查询ARP表项来获取用户的接入信息,从而保证用户正常上线。
【举例】
# 指定通过查询ARP表项来获取Portal用户信息。
<Sysname> system-view
[Sysname] portal access-info trust arp
portal apply mac-trigger-server命令用来应用MAC绑定服务器。
undo portal apply mac-trigger-server命令用来恢复缺省情况。
【命令】
portal apply mac-trigger-server server-name
undo portal apply mac-trigger-server
【缺省情况】
未应用MAC绑定服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
仅直接认证方式支持基于MAC地址的快速认证。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通三层Portal认证的相关配置;
· 配置MAC绑定服务器的IP地址和端口号;
· 在VLAN接口上应用MAC绑定服务器。
【举例】
# 在VLAN接口2上应用MAC绑定服务器mts。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal apply mac-trigger-server mts
【相关命令】
· portal mac-trigger-server
portal apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。
undo portal apply web-server命令用来删除指定的Portal Web服务器。
【命令】
portal apply web-server server-name [ secondary ]
undo portal apply web-server [ server-name ]
【缺省情况】
未引用Portal Web服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
secondary:表示备份Portal Web服务器。若不指定该参数,则表示主Portal Web服务器。
server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。取消接口上引用的Portal Web服务器时,若不指定该参数,则表示取消该接口上所有引用的Portal Web服务器。
【使用指导】
Portal认证开启后,可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。
设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。
要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。
【举例】
# 在接口Vlan-interface100上引用名称为wbs的Portal Web服务器作为用户认证时使用的备份Web服务器。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal apply web-server wbs secondary
【相关命令】
· display portal
· portal fail-permit server
· portal web-server
· server-detect (portal web-server view)
portal auth-error-record enable命令用来开启Portal认证异常信息记录功能。
undo portal auth-error-record enable命令用来关闭Portal认证异常信息记录功能。
【命令】
portal auth-error-record enable
undo portal auth-error-record enable
【缺省情况】
Portal认证异常信息记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal认证异常信息记录会保存在设备中,然后由设备定期自动发送给云或其它服务器。
【举例】
# 开启Portal认证异常信息记录功能。
<Sysname> system-view
[Sysname] portal auth-error-record enable
【相关命令】
· display portal auth-error-record
portal auth-error-record export命令用来导出Portal认证异常记录。
【命令】
portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal认证异常记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证异常记录到服务器。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:[email protected]/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/ autherror/,表示地址为1.1.1.1的TFTP服务器的autherror目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:[email protected]/autherror/,表示 地址为1.1.1.1的HTTP服务器的autherror目录,其中登录用户名为a,密码为1;如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/autherror/。
【举例】
# 导出所有Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。
<Sysname> system-view
[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/
# 导出从2019/3/4 14:20到2019/3/4 15:00时间段内的Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。
<Sysname> system-view
[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/ start-time 2019/3/4 14:20 end-time 2019/3/4 15:00
【相关命令】
· display portal auth-error-record
· portal auth-error-record enable
· reset portal auth-error-record
portal auth-error-record max命令用来配置设备保存Portal认证异常记录的最大条数。
undo portal auth-error-record max命令用来恢复缺省情况。
【命令】
portal auth-error-record max number
undo portal auth-error-record max
【缺省情况】
设备保存Portal认证异常记录的最大条数为60000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal认证异常记录的最大条数,取值范围1~60000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal认证异常记录的最大条数为50。
<Sysname> system-view
[Sysname] portal auth-error-record max 50
【相关命令】
· display portal auth-error-record
portal auth-fail-record enable命令用来开启Portal认证失败信息记录功能。
undo portal auth-fail-record enable命令用来关闭Portal认证失败信息记录功能。
【命令】
portal auth-fail-record enable
undo portal auth-fail-record enable
【缺省情况】
Portal认证失败信息记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal认证失败信息记录会保存在设备中,然后由设备定期自动发送给云或其它服务器。
【举例】
# 开启Portal认证失败信息记录功能。
<Sysname> system-view
[Sysname] portal auth-fail-record enable
【相关命令】
· display portal auth-fail-record
portal auth-fail-record export命令用来导出Portal认证失败记录。
【命令】
portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal认证失败记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:[email protected]/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/authfail/,表示地址为1.1.1.1的TFTP服务器的authfail目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:[email protected]/authfail/,表示地址为1.1.1.1的HTTP服务器的authfail目录,其中用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/authfail/。
【举例】
# 导出所有Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。
<Sysname> system-view
[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/
# 导出从2019/3/4 14:20到2019/3/4 15:00时间段内的Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。
<Sysname> system-view
[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/ start-time 2019/3/4 14:20 end-time 2019/3/4 15:00
【相关命令】
· display portal auth-fail-record
· portal auth-fail-record enable
· reset portal auth-fail-record
portal auth-fail-record max命令用来配置设备保存Portal认证失败记录的最大条数。
undo portal auth-fail-record max命令用来恢复缺省情况。
【命令】
portal auth-fail-record max number
undo portal auth-fail-record max
【缺省情况】
设备保存Portal认证失败记录的最大条数为60000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal认证失败记录的最大条数,取值范围为1~60000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal认证失败记录的最大条数为50。
<Sysname> system-view
[Sysname] portal auth-fail-record max 50
【相关命令】
· display portal auth-fail-record
portal authenticated-kick enable命令用来开启Portal认证成功后强制用户下线功能。
undo portal authenticated-kick enable命令用来恢复缺省情况。
【命令】
portal authenticated-kick enable [ delay delay ]
undo portal authenticated-kick enable
【缺省情况】
Portal认证成功后强制用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay delay:Portal认证成功后强制用户下线的延迟时间,取值范围为0~300,单位为秒,缺省值为0。取值为0和不指定本参数,均表示Portal认证成功后立即强制用户下线。
【使用指导】
在一些网络环境中,必须对上线用户下发授权VLAN,例如AD Campus(Application Driven Campus,应用驱动园区网)组网方案。由于Portal认证不支持下发授权VLAN,所以需要在设备上配置本命令强制通过MAC地址+Portal无感知认证方式(通过配置忽略802.1X或MAC地址认证结果功能实现)上线的Portal用户下线。该用户再次上线时会进行MAC地址认证,并获取授权VLAN。有关MAC+Portal无感知认证方式的详细介绍,请参见“用户接入与认证”中的“WLAN用户接入认证”。
该命令仅对配置本命令后通过无线接入上线的Portal用户生效,对于已上线的Portal用户,可以手动使其下线。
通过配置延迟时间可以避免RADIUS服务器上还未记录用户和客户端MAC地址的对应信息,就已经强制Portal用户下线了,导致该用户再次上线时由于RADIUS服务器上查询不到对应的用户信息导致MAC地址认证失败。
【举例】
# 在无线服务模板service1上开启Portal认证成功后强制IPv4 Portal用户下线功能,并配置延迟时间为25秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal authenticated-kick enable delay 25
【相关命令】
· client-security ignore-authentication(WLAN命令参考/WLAN用户接入认证)
portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。
undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。
【命令】
portal authorization acl strict-checking
undo portal authorization acl strict-checking
【缺省情况】
缺省为非严格检查授权信息模式,当服务器下发的授权ACL在设备上不存在或者设备下发ACL失败时,用户保持在线。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
acl:表示开启对授权ACL的严格检查。
【使用指导】
· 接口上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL在设备上不存在或者设备下发ACL失败时,设备将强制该用户下线。
【举例】
# 在接口Vlan-interface100上开启对授权ACL的严格检查模式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] portal authorization acl strict-checking
【相关命令】
· display portal
portal cloud report interval命令用来配置Portal认证信息上报云平台的时间间隔。
undo portal cloud report interval命令用来恢复缺省情况。
【命令】
portal cloud report interval minutes
undo portal cloud report interval
【缺省情况】
Portal认证信息上报云平台的时间间隔为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:Portal认证信息上报云平台的时间间隔,取值范围为0~60,单位为分钟,0表示不将认证信息上报云平台。
【使用指导】
配置本命令后,设备会将Portal认证失败和认证错误信息上报给云平台。
首次上报Portal认证失败和认证错误信息是在设备与云平台建立连接之后的30秒时发生,之后将按照本命令配置的间隔定期上报Portal认证失败和认证错误信息。修改上报时间间隔将在下一个上报周期生效。
【举例】
# 配置Portal认证失败和认证错误信息上报云平台的时间间隔为60分钟。
<Sysname> system-view
[Sysname] portal cloud report interval 60
portal delete-user命令用来强制在线Portal用户下线。
【命令】
portal delete-user { ipv4-address | all | auth-type { cloud | email | facebook | local | normal | qq } | interface interface-type interface-number | mac mac-address | username username }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:在线Portal用户的IPv4地址。
all:所有接口下的在线IPv4 Portal用户。
auth-type:在线Portal用户的认证类型。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
email:Portal认证类型为邮箱认证。
facebook:Portal认证类型为Facebook认证。
local:Portal认证类型为本地认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
qq:Portal认证类型为QQ认证。
interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户。interface-type interface-number为接口类型和接口编号。
mac mac-address:在线Portal用户的MAC地址。mac-address格式为H-H-H。
username username:在线Portal用户的用户名。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 强制IP地址为1.1.1.1的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
# 强制MAC地址为000d-88f8-0eab的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user mac 000d-88f8-0eab
# 强制用户名为abc的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user username abc
【相关命令】
· display portal user
portal device-id命令用来配置设备ID。
undo portal device-id命令用来恢复缺省情况。
【命令】
portal device-id device-id
undo portal device-id
【缺省情况】
未配置任何设备ID。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
device-id:设备ID,为1~63个字符的字符串,区分大小写。
【使用指导】
通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。
不同设备的设备ID不能相同。
【举例】
# 配置设备的ID名为0002.0010.100.00。
<Sysname> system-view
[Sysname] portal device-id 0002.0010.100.00
portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。
undo portal domain命令用来删除Portal用户使用的认证域。
【命令】
portal domain domain-name
undo portal domain
【缺省情况】
未指定Portal用户使用的认证域。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。
【举例】
# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
【相关命令】
· display portal
portal enable命令用来开启Portal认证功能,并指定认证方式。
undo portal enable命令用来关闭Portal认证功能。
【命令】
portal enable method { direct | layer3 | redhcp }
undo portal enable
【缺省情况】
Portal认证功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
method:认证方式。
· direct:直接认证方式。
· layer3:可跨三层认证方式。
· redhcp:二次地址分配认证方式。
【使用指导】
不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal enable命令取消Portal认证功能,再执行portal enable命令。
为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。
不允许在接口上同时开启Portal认证和Web重定向功能。
【举例】
# 在接口Vlan-interface100上开启IPv4 Portal认证,且指定为直接认证方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct
【相关命令】
· display portal
· web-redirect url
portal extend-auth domain命令用来配置第三方认证用户使用的认证域。
undo portal extend-auth domain命令用来删除第三方认证用户使用的认证域。
【命令】
portal extend-auth domain domain-name
undo portal extend-auth domain
【缺省情况】
未配置第三方认证用户使用认证域。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
只支持IPv4的第三方认证用户。
请确保ISP域的AAA认证方法、授权方法和计费方法均配置为none。
【举例】
# 指定从接口Vlan-interface100上接入第三方认证用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal extend-auth domain my-domain
【相关命令】
· display portal
portal extend-auth-server命令用来创建第三方认证服务器,并进入第三方认证服务器视图。如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图。
undo portal extend-auth-server命令用来删除第三方认证服务器。
【命令】
portal extend-auth-server { facebook | mail | qq }
undo portal extend-auth-server { facebook | mail | qq }
【缺省情况】
不存在第三方认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
facebook:表示Facebook认证服务器。
mail:表示邮箱认证服务器。
qq:表示QQ认证服务器。
【使用指导】
第三方认证是指使用第三方帐号在第三方服务器上完成第三方的认证授权后,通知设备使用第三方认证的账号和密码进行本地Portal Web服务的直接Portal认证。此过程中不需要用户使用额外的Portal认证账号,方便用户上网。
只有使用本地Portal web服务器的直接Portal认证支持第三方认证。
【举例】
# 创建QQ认证服务器,并进入QQ认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq]
# 创建邮箱认证服务器,并进入邮箱认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail]
# 创建Facebook认证服务器,并进入Facebook认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb]
【相关命令】
· display portal extend-auth-server
portal fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
undo portal fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。
【命令】
portal fail-permit server server-name
undo portal fail-permit server
【缺省情况】
Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。
如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit server pts1
【相关命令】
· display portal
portal fail-permit web-server命令用来开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时暂停接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
undo portal fail-permit web-server命令用来关闭Portal Web服务器不可达时的Portal用户逃生功能。
【命令】
portal fail-permit web-server
undo portal fail-permit web-server
【缺省情况】
Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
同一个接口上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。
【举例】
# 在接口Vlan-interface100上启用Portal Web服务器不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit web-server
【相关命令】
· display portal
portal free-all except destination命令用来配置IPv4 Portal目的认证网段。
undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。
【命令】
portal free-all except destination ipv4-network-address { mask-length | mask }
undo portal free-all except destination [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。
目的网段认证对二次地址分配认证方式的Portal认证不生效。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
可以通过多次执行本命令,配置多条目的认证网段。
【举例】
# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24
【相关命令】
· display portal
portal free-rule命令用来配置基于IP地址的Portal免认证规则。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于IP地址的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
source:指定源信息。
ip ipv4-address:免认证规则的IPv4地址。
{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ip any:任意IPv4地址。
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535,取值为0表示对所有的TCP端口号上提供的服务进行免认证。
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535,取值为0表示对所有的UDP端口号上提供的服务进行免认证。
all:所有免认证规则。
interface interface-type interface-number:免认证规则生效的三层接口。
【使用指导】
可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。
如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
【举例】
# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface2。该规则表示在Vlan-interface2接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 2
【相关命令】
· display portal rule
portal free-rule description命令用来配置Portal免认证规则的描述信息。
undo portal free-rule description命令用来删除指定Portal免认证规则的描述信息。
【命令】
portal free-rule rule-number description text
undo portal free-rule rule-number description
【缺省情况】
Portal免认证规则不存在描述信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
text:表示Portal免认证规则的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
执行undo portal free-rule all命令时,不仅会将所有Portal免认证规则删除,也会将已有的所有免认证规则的描述信息删除。
【举例】
# 配置rule-number为2的Portal免认证规则的描述信息为“This is IT department”。
<Sysname> system-view
[Sysname] portal free-rule 2 description This is IT department
portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number destination host-name
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于目的的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。
all:所有免认证规则。
【使用指导】
基于目的Portal免认证规则支持如下两种配置方式:
· 精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。
· 模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。
配置基于目的Portal免认证规则时,需要注意的是:
· 配置本功能前,请确保组网中已部署DNS服务器。
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的主机名不能只有通配符。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 目前,只有用户浏览器发起的HTTP/HTTPS请求报文,支持模糊匹配的免认证规则。
【举例】
# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.h3c.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 4 destination www.h3c.com
【相关命令】
· display portal rule
portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo portal free-rule { rule-number | all }
【缺省情况】
未配置基于源的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。配置该关键字仅对通过VLAN接口接入的用户生效。
all:所有免认证规则。
【使用指导】
如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。
在创建基于源对象组的免认证规则之前,指定的源对象组必须已经存在,否则不能创建基于源对象组的Portal免认证规则。目前,设备仅支持IPv4地址对象组。
【举例】
# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10
# 配置一条Portal免认证规则:编号为4,源AP名称为ap10。该规则表示AP名称为ap10上的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 4 source ap ap10
【相关命令】
· display portal rule
portal layer3 source命令用来配置IPv4 Portal源认证网段。
undo portal layer3 source命令用来删除IPv4 Portal源认证网段。
【命令】
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
配置此功能后,接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24
【相关命令】
· display portal
· portal free-all except destination
portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。
undo portal local-web-server命令用来关闭本地Portal Web服务功能。
【命令】
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
undo portal local-web-server { http | https }
【缺省情况】
本地Portal服务功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。
https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。
ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。
【使用指导】
本地Portal Web服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。
只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:
· 该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。
· 该URL以/portal/结尾,例如:http://1.1.1.1/portal/。
配置本地Portal Web服务功能时,需要注意的是:
· 已经被HTTPS服务关联的SSL服务器端策略不能被删除。
· 不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。
配置本地Portal Web服务参数时,需要注意的是:
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。
· 除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,否则会造成本地Portal Web 服务无法向Portal用户推送认证页面。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,否则会导致本地Web服务无法正常使用。
【举例】
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] quit
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1
[Sysname-portal-local-websvr-https] quit
# 更改引用的SSL服务器端策略为policy2。
[Sysname] undo portal local-web-server https
[Sysname] portal local-web-server https ssl-server-policy policy2
[Sysname-portal-local-websvr-https] quit
# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442
[Sysname-portal-local-websvr-https] quit
【相关命令】
· default-logon-page
· portal local-web-server
· ssl server-policy(安全命令参考/SSL)
portal logout-record enable命令用来开启Portal用户下线信息记录功能。
undo portal logout-record enable命令用来关闭Portal用户下线信息记录功能。
【命令】
portal logout-record enable
undo portal logout-record enable
【缺省情况】
Portal用户下线信息记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal用户的下线信息记录会保存在设备中,然后由设备定期自动发送给云或其它服务器。
【举例】
# 开启Portal用户下线信息记录功能。
<Sysname> system-view
[Sysname] portal logout-record enable
【相关命令】
· display portal logout-record
portal logout-record export命令用来导出Portal用户下线记录。
【命令】
portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal用户下线记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:[email protected]/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/logout/,表示地址为1.1.1.1的TFTP服务器的logout目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:[email protected]/logout/,表示地址为1.1.1.1的HTTP服务器的logout目录,其中登录用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/logout/。
【举例】
# 导出所有用户下线记录到tftp://1.1.1.1/record/logout/路径下。
<Sysname> system-view
[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/
# 导出从2019/3/4 14:20到2019/3/4 15:00时间段内的用户下线记录到tftp://1.1.1.1/record/logout/路径下。
<Sysname> system-view
[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/ start-time 2019/3/4 14:20 end-time 2019/3/4 15:00
【相关命令】
· display portal logout-record
· portal logout-record enable
· reset portal logout-record
portal logout-record max命令用来配置设备保存Portal用户下线记录的最大条数。
undo portal logout-record max命令用来恢复缺省情况。
【命令】
portal logout-record max number
undo portal logout-record max
【缺省情况】
设备保存Portal用户下线记录的最大条数为60000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal用户下线记录的最大条数,取值范围为1~60000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal用户下线记录的最大条数为50。
<Sysname> system-view
[Sysname] portal logout-record max 50
【相关命令】
· display portal logout-record
portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。
undo portal mac-trigger-server命令用来删除MAC绑定服务器。
【命令】
portal mac-trigger-server server-name
undo portal mac-trigger-server server-name
【缺省情况】
不存在MAC绑定服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号以及设备和服务器间通信的预共享密钥等。
【举例】
# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts]
【相关命令】
· display portal mac-trigger-server
· portal apply mac-trigger-server
portal max-user命令用来配置全局Portal最大用户数。
undo portal max-user命令用来恢复缺省情况。
【命令】
portal max-user max-number
undo portal max-user
【缺省情况】
全局Portal最大用户数不受限制。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:系统中允许同时在线的最大Portal用户数。取值范围为1~4294967295。
【使用指导】
如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
建议所有开启Portal的接口上的最大IPv4 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
【举例】
# 配置全局Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【相关命令】
· display portal user
· portal ipv4-max-user
portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。
undo portal nas-id-profile命令用来恢复缺省情况。
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【缺省情况】
未指定引用的NAS-ID Profile。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“用户接入与认证命令参考”中的“AAA”。
对于QinQ报文,Portal接入只能匹配内层VLAN。有关QinQ的详细介绍,请参见“二层技术-以太网交换配置指导”中的“QinQ”。
如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。
【举例】
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【相关命令】
· aaa nas-id profile(用户接入与认证命令参考/AAA)
portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。
undo portal nas-port-id format命令用来恢复缺省情况。
【命令】
portal nas-port-id format { 1 | 2 | 3 | 4 }
undo portal nas-port-id format
【缺省情况】
NAS-Port-ID的消息格式为格式2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
1:表示格式1,具体为{eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。
2:表示格式2,具体为SlotID00IfNOVlanID。
3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。
4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。
【使用指导】
可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。
不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。
{eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]
各项含义如下:
· {eth|trunk}:BRAS端口类型,包括以太接口或trunk类型的以太网接口。
· NAS_slot:BRAS槽号,取值为0~31。
· NAS_subslot:BRAS子槽号,取值为0~31。
· NAS_Port:BRAS端口号,取值为0~63。
· XPI:如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。
· XCI:如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。
· AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。
· ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。
· ANI_frame:接入节点机框号,取值为0~31。
· ANI_slot:接入节点槽号,取值为0~127。
· ANI_subslot:接入节点子槽号,取值为0~31。
· ANI_port:接入节点端口号,取值为0~255。
· ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。
字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。
如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。
如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。
对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”
其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。
对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth 31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。
格式1的解释示例如下:
· 例1:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。
· 例2:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。
· 例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 guangzhou001/1/31/63/31/127”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。
SlotID00IfNOVlanID
各项含义如下:
· SlotID:用户接入的槽位号,为两个字符的字符串。
· IfNO:用户接入的接口编号,为3个字符的字符串。
· VlanID:用户接入的VLAN ID,为9个字符的字符串。
其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。
其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:
· 对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。
· 对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**。
【举例】
# 配置NAS-Port-ID属性的格式为format 1。
<Sysname> system-view
[Sysname] portal nas-port-id format 1
portal oauth authorization-vlan enable命令用来开启Portal云平台认证支持授权VLAN功能。
undo portal oauth authorization-vlan enable命令用来关闭Portal云平台认证支持授权VLAN功能。
【命令】
portal oauth authorization-vlan enable
undo portal oauth authorization-vlan enable
【缺省情况】
Portal云平台认证支持授权VLAN功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
无线客户端上线后,会自动加入指定的无线服务模板绑定的VLAN中,不利于管理员对客户端加入的VLAN进行规划管理。通过本命令配置开启Portal云平台认证支持授权VLAN的功能后,无线客户端上线后所加入的VLAN将由云平台服务器进行授权,进而Portal用户上线后加入的VLAN也受此授权控制。此时,可以达到管理员需要统一管理规划VLAN的目的。
本功能必须配合Portal云平台认证功能使用,否则配置不生效。也就是说,如果客户端上的Portal用户不进行云平台认证,本功能将无法生效。
若通过本命令配置的授权VLAN和客户端所在初始VLAN不一致,设备会强制客户端和Portal用户下线。因此建议本功能配合云平台服务器的免认证功能以及Portal无感知认证功能使用,避免客户端和Portal用户在重新上线时,均被要求重新输入用户名和密码,影响用户体验。
【举例】
# 开启Portal云平台认证支持授权VLAN功能。
<Sysname> system-view
[Sysname] portal oauth authorization-vlan enable
【相关命令】
· portal apply mac-trigger-server
portal outbound-filter enable命令用来开启Portal出方向的报文过滤功能。
undo portal outbound-filter enable命令用来关闭Portal出方向的报文过滤功能。
【命令】
portal outbound-filter enable
undo portal outbound-filter enable
【缺省情况】
Portal出方向的报文过滤功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,开启了Portal认证的接口,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口发送的报文进行严格控制时,可以在接口上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的接口上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。
【举例】
# 在接口Vlan-interface20上开启出方向报文过滤功能。
<Sysname> system-view
[Sysname] interface vlan-interface 20
[Sysname–Vlan-interface20] portal outbound-filter enable
portal packet log enable命令用来开启Portal协议报文的日志功能。
undo portal packet log enable命令用来关闭Portal协议报文的日志功能。
【命令】
portal packet log enable
undo portal packet log enable
【缺省情况】
Portal协议报文的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会对Portal协议报文信息进行记录,包括用户名、IP地址、认证类型、报文类型等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal协议报文的日志功能。
<Sysname> system-view
[Sysname] portal packet log enable
【相关命令】
· portal redirect log enable
· portal user log enable
portal redirect log enable命令用来开启Portal重定向日志功能。
undo portal redirect log enable命令用来关闭Portal重定向日志功能。
【命令】
portal redirect log enable
undo portal redirect log enable
【缺省情况】
Portal重定向日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,会对Portal重定向报文信息进行记录,包括用户IP地址、MAC地址、BAS IP、Web服务器IP地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal重定向日志功能。
<Sysname> system-view
[Sysname] portal redirect log enable
【相关命令】
· portal packet log enable
· portal user log enable
portal redirect max-session per-user命令用来配置单用户Portal重定向的最大会话数。
undo portal redirect max-session per-user命令用来恢复缺省情况。
【命令】
portal redirect max-session per-user number
undo redirect max-session per-user
【缺省情况】
未配置单用户Portal重定向的最大会话数。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:单用户Portal重定向的最大会话数,取值范围为1~128。
【使用指导】
当用户客户端装了恶意软件或遭到病毒攻击时,会发起大量Portal重定向会话。本命令用来同时配置设备上单个Portal用户的HTTP和HTTPS重定向的最大会话数,即单个Portal用户的HTTP重定向的最大会话数和HTTPS重定向会话数均为设置值,Portal重定向的总最大会话数为二者之和。
【举例】
# 配置单用户Portal重定向的最大会话数为128。
<Sysname> system-view
[Sysname] portal redirect max-session per-user 128
【相关命令】
· portal redirect max-session
· display portal redirect
portal redirect-rule destination命令用来配置基于目的的Portal强制重定向规则。
undo portal redirect-rule destination命令用来删除指定的Portal强制重定向规则。
【命令】
portal redirect-rule destination host { host-name | ip-address } [ redirect-url url ]
undo portal redirect-rule destination { host { host-name | ip-address } | all }
【缺省情况】
设备存在两条基于目的地址10.1.0.6和10.168.168.1的Portal强制重定向规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
host host-name:指定匹配的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
host ip-address:指定匹配的IPv4地址。
redirect-url url:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。若未配置本参数,则Web访问请求将被重定向到Portal Web服务器视图下由if-match命令指定的地址。若Portal Web服务器视图下未配置if-match命令,则Web访问请求将被重定向到Portal Web服务器视图下url命令配置的地址。
all:所有基于目的的强制重定向规则。
【使用指导】
配置portal redirect-rule destination命令后,当Portal用户访问指定地址时,Portal服务器会将用户Web请求重定向到指定URL。
若同时配置了portal redirect-rule destination和if-match命令,则仅portal redirect-rule destination命令生效。
如果配置了redirect-url参数,则参数中的URL地址不能与host配置的地址位置互换,避免造成循环重定向。
系统中最多允许同时存在10条Portal强制重定向规则,访问同一主机名或IP地址的Portal强制重定向规则只能配置一条。
【举例】
# 配置目的主机名为http://www.abc.com.cn的Portal强制重定向规则,访问此主机的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal redirect-rule destination host www.abc.com.cn redirect-url http://192.168.0.1
【相关命令】
· display portal dns redirect-rule-host
portal refresh enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。
undo portal refresh enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。
【命令】
portal refresh { arp | nd } enable
undo portal refresh { arp | nd } enable
【缺省情况】
Portal客户端Rule ARP表项、ND表项生成功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
arp:表示ARP表项。
nd:表示ND表项。
【使用指导】
Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后会被立即删除,导致Portal客户端在短时间内再上线时会因ARP/ND表项还未学习到而认证失败。此情况下,需要关闭本功能,使得Portal客户端上线后其ARP/ND表项仍为动态表项,在Portal客户端下线后按老化时间正常老化。
此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。
当Portal客户端和Portal服务器属于不同的VPN实例时,请通过undo portal refresh arp enable命令关闭Portal客户端的Rule ARP表项生成功能,否则会导致Portal客户端异常下线。
【举例】
# 关闭Portal客户端Rule ARP表项生成功能。
<Sysname> system-view
[Sysname] undo portal refresh arp enable
portal roaming-center命令用来创建Portal漫游中心,并进入Portal漫游中心视图。如果Portal漫游中心已经存在,则直接进入Portal漫游中心视图。
undo portal roaming-center命令用来删除Portal漫游中心。
【命令】
portal roaming-center
undo portal roaming-center
【缺省情况】
不存在Portal漫游中心。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal用户AC间漫游是指Portal用户在一台AC上Portal认证成功后漫游到另一台AC时不需要再进行Portal认证,可直接访问相关网络。Portal漫游中心是实现Portal用户AC间漫游功能相关属性的集合。
漫出和漫入的AC设备上均需要创建Portal漫游中心才能实现Portal用户AC间漫游功能。
当Portal用户在线时删除Portal漫游中心,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。
【举例】
# 创建Portal漫游中心,并进入Portal漫游中心视图。
<Sysname> system-view
[Sysname] portal roaming-center
[Sysname-portal-roaming-center]
【相关命令】
· display portal roaming-center statistics packet
portal roaming enable命令用来开启Portal用户VLAN内漫游功能。
undo portal roaming enable命令用来关闭Portal用户VLAN内漫游功能。
【命令】
portal roaming enable
undo portal roaming enable
【缺省情况】
Portal用户VLAN内漫游功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了Portal用户VLAN内漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。
Portal用户VLAN内漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。
Portal用户VLAN内漫游功能只对通过VLAN接口上线的Portal用户有效。
设备上有用户在线的情况下,不能配置此命令。
【举例】
# 开启Portal用户VLAN内漫游功能。
<Sysname> system-view
[Sysname] portal roaming enable
· portal refresh enable
portal safe-redirect default-action命令用来配置Portal安全重定向URL地址匹配的缺省动作。
undo portal safe-redirect default-action命令用来恢复缺省情况。
【命令】
portal safe-redirect default-action { forbidden | permit }
undo portal safe-redirect default-action
【缺省情况】
未配置Portal安全重定向URL地址匹配的缺省动作。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
forbidden:表示丢弃报文。
permit:表示放行报文。
【使用指导】
Portal安全重定向URL地址匹配的缺省动作是指对不属于Portal安全重定向允许或禁止的URL地址所要执行的动作。
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
Portal安全重定向的匹配顺序为:
(1) 与配置的HTTP协议的请求方法进行匹配。如果不匹配,则丢弃报文,如果未配置或匹配,则进行下一步。
(2) 与配置的Portal安全重定向允许的HTTP User Agent中的浏览器类型进行匹配。如果不匹配,则丢弃报文,如果未配置或匹配,则进行下一步。
(3) 与配置的Portal安全重定向禁止的URL地址进行匹配。如果匹配,则丢弃报文,如果未配置或不匹配,则进行下一步。
(4) 与配置的Portal安全重定向禁止URL携带指定扩展名的文件进行匹配。如果匹配,则丢弃报文,如果未配置或不匹配,则进行下一步。
(5) 与配置的Portal安全重定向允许的URL地址进行匹配。如果匹配,则放行报文,如果未配置或不匹配,则进行下一步。
(6) 与HTTP协议的请求方法缺省情况进行匹配,如果不匹配,则丢弃报文,如果匹配,则进行下一步。
(7) 判断Portal安全重定向允许的HTTP User Agent中的浏览器类型是否配置,如果配置,则放行报文,如果未配置,则进行下一步。
(8) 与配置的Portal安全重定向URL地址匹配的缺省动作进行匹配。如果匹配,则按配置执行,如果未配置或不匹配,则进行下一步。
(9) 与Portal安全重定向允许的HTTP User Agent中的浏览器类型的缺省配置进行匹配。如果匹配,则放行报文,如果不匹配,则丢弃报文。
【举例】
# 配置Portal安全重定向URL地址匹配的缺省动作为放行报文。
<Sysname> system-view
[Sysname] portal safe-redirect default-action permit
【相关命令】
· portal safe-redirect enable
· portal safe-redirect forbidden-file
· portal safe-redirect forbidden-url
· portal safe-redirect method
· portal safe-redirect permit-url
· portal safe-redirect user-agent
portal safe-redirect enable命令用来开启Portal安全重定向功能。
undo portal safe-redirect enable命令用来关闭Portal安全重定向功能。
【命令】
portal safe-redirect enable
undo portal safe-redirect enable
【缺省情况】
Portal安全重定向功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,除了免认证地址的HTTP请求,系统会将用户访问任意80端口的HTTP请求报文进行重定向,这可能会带来服务器负载过大的问题。开启Portal安全重定向功能后,系统将仅仅针对请求方法为GET的HTTP请求报文以及特定浏览器发送的报文进行重定向。在服务器负载过大的情况下,建议开启Portal安全重定向功能。
【举例】
# 开启Portal安全重定向功能。
<Sysname> system-view
[Sysname] portal safe-redirect enable
【相关命令】
· portal safe-redirect forbidden-url
· portal safe-redirect method
· portal safe-redirect user-agent
portal safe-redirect forbidden-file命令用来配置Portal安全重定向禁止URL携带指定扩展名的文件。
undo portal safe-redirect forbidden-file命令用来删除Portal安全重定向禁止URL携带指定扩展名的文件。
【命令】
portal safe-redirect forbidden-file filename-extension
undo portal safe-redirect forbidden-file filename-extension
【缺省情况】
Portal安全重定向允许URL携带任意扩展名的文件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filename-extension:文件扩展名,为1~16个字符的字符串,区分大小写。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个Portal安全重定向禁止URL携带指定扩展名的文件。
【举例】
# 配置Portal安全重定向禁止URL携带扩展名为.jpg的文件。
<Sysname> system-view
[Sysname] portal safe-redirect forbidden-file .jpg
【相关命令】
· display portal safe-redirect statistics
· portal safe-redirect enable
portal safe-redirect forbidden-url命令用来配置Portal安全重定向禁止的URL地址。
undo portal safe-redirect forbidden-url命令用来删除配置的Portal安全重定向禁止的URL地址。
【命令】
portal safe-redirect forbidden-url user-url-string
undo portal safe-redirect forbidden-url user-url-string
【缺省情况】
Portal可以对任意URL地址的HTTP请求报文进行重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-url-string:Portal安全重定向禁止的URL地址,为1~256个字符的字符串,不区分大小写,可以包含字母、数字、“-”、“_”、“.”和通配符“*”。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个Portal安全重定向禁止的URL地址。
Portal安全重定向禁止的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
【举例】
# 配置Portal安全重定向禁止的URL地址为http://www.abc.com。
<Sysname> system-view
[Sysname] portal safe-redirect forbidden-url http://www.abc.com
【相关命令】
· portal safe-redirect enable
portal safe-redirect method命令用来配置Portal安全重定向允许的HTTP协议的请求方法。
undo portal safe-redirect method用来删除配置的Portal安全重定向允许的HTTP协议的请求方法。
【命令】
portal safe-redirect method { get | post }*
undo portal safe-redirect method { get | post }*
【缺省情况】
未配置HTTP协议的请求方法,Portal安全重定向功能开启后,HTTP协议的默认请求方法为GET。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
get:指定HTTP协议的请求方法为GET。
post:指定HTTP协议的请求方法为POST。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,才能执行portal safe-redirect method命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置Portal安全重定向允许的HTTP协议的请求方法为GET。
<Sysname> system-view
[Sysname] portal safe-redirect method get
【相关命令】
· portal safe-redirect enable
portal safe-redirect permit-url命令用来配置Portal安全重定向允许的URL地址。
undo portal safe-redirect permit-url命令用来删除Portal安全重定向允许的URL地址。
【命令】
portal safe-redirect permit-url user-url-string
undo portal safe-redirect permit-url user-url-string
【缺省情况】
设备允许对任意URL地址进行Portal安全重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-url-string:Portal安全重定向允许的URL地址,为1~256个字符的字符串,不区分大小写,可以包含字母、数字、“-”、“_”、“.”和通配符“*”。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个Portal安全重定向允许的URL地址。
Portal安全重定向允许的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
【举例】
# 配置Portal安全重定向允许的URL地址为http://www.abc.com。
<Sysname> system-view
[Sysname] portal safe-redirect permit-url http://www.abc.com
【相关命令】
· portal safe-redirect enable
· portal safe-redirect action
portal safe-redirect user-agent命令用来匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。
undo portal safe-redirect user-agent命令用来删除匹配的Portal安全重定向允许的HTTP User Agent中的浏览器类型。
【命令】
portal safe-redirect user-agent user-agent-string
undo portal safe-redirect user-agent user-agent-string
【缺省情况】
未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。Portal安全重定向功能开启后,默认与表1-30中的所有浏览器类型匹配的HTTP报文都能被Portal重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-agent-string:Portal安全重定向允许的HTTP User Agent中的浏览器类型,为1~255个字符的字符串,区分大小写。可配置的浏览器类型及描述如表1-30所示。
|
浏览器类型 |
描述 |
|
Safari |
苹果浏览器 |
|
Chrome |
谷歌浏览器 |
|
Firefox |
火狐浏览器 |
|
UC |
UC浏览器 |
|
QQBrowser |
QQ浏览器 |
|
LBBROWSER |
猎豹浏览器 |
|
TaoBrowser |
淘宝浏览器 |
|
Maxthon |
傲游浏览器 |
|
BIDUBrowser |
百度浏览器 |
|
MSIE 10.0 |
微软IE 10.0浏览器 |
|
MSIE 9.0 |
微软IE 9.0浏览器 |
|
MSIE 8.0 |
微软IE 8.0浏览器 |
|
MSIE 7.0 |
微软IE 7.0浏览器 |
|
MSIE 6.0 |
微软IE 6.0浏览器 |
|
MetaSr |
搜狗浏览器 |
【使用指导】
配置本命令后,只有与Portal安全重定向允许的HTTP User Agent中的浏览器类型匹配的HTTP报文才能够被Portal重定向。可通过重复执行本命令匹配多个浏览器类型。
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
【举例】
# 配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型为Chrome和Safari。
<Sysname> system-view
[Sysname] portal safe-redirect user-agent Chrome
[Sysname] portal safe-redirect user-agent Safari
【相关命令】
· portal safe-redirect enable
portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。
undo portal server命令用来删除指定的Portal认证服务器。
【命令】
portal server server-name
undo portal server server-name
【缺省情况】
不存在Portal认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,设备和服务器间通信的预共享密钥,服务器探测功能等。
可以配置多个Portal认证服务器。
【举例】
# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts]
【相关命令】
· display portal server
portal temp-pass enable命令用来开启Portal临时放行功能并设置临时放行时间。
undo portal temp-pass enable命令用来关闭Portal临时放行功能。
【命令】
portal temp-pass [ period period-value ] enable
undo portal temp-pass enable
【缺省情况】
Portal临时放行功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
period period-value:临时放行时间,取值范围为10~3600,单位为秒,缺省值为30秒。
【使用指导】
当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换。
一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。
本命令仅在直接认证方式下配置生效。
【举例】
# 在接口Vlan-interface100下开启Portal临时放行功能,并设置临时放行时间为25秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal temp-pass period 25 enable
【相关命令】
· display portal
portal traffic-accounting disable命令用来关闭Portal用户流量计费功能。
undo portal traffic-accounting disable命令用来恢复缺省情况。
【命令】
portal traffic-accounting disable
undo portal traffic-accounting disable
【缺省情况】
Portal用户的流量计费功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费。当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对用户流量不做精确统计。当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量。
【举例】
# 关闭Portal用户流量计费功能。
<Sysname> system-view
[Sysname] portal traffic-accounting disable
portal traffic-backup threshold命令用来配置对Portal用户流量进行备份的阈值。
undo portal traffic-backup threshold命令用来恢复缺省情况。
【命令】
portal traffic-backup threshold value
undo portal traffic-backup threshold
【缺省情况】
Portal用户流量备份阈值为10兆字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:对Portal用户流量进行备份的阈值,取值范围为0~100000,单位为兆字节。取值为0时,表示对Portal用户流量进行实时备份。
【使用指导】
缺省情况下,流量备份的阈值为10M字节,即用户流量达到10M字节时设备会对该Portal用户的会话数据以及流量等信息进行备份。流量备份的阈值越小备份越频繁,流量备份越精确。当设备上有大量Portal用户在线时,对Portal用户信息进行频繁备份会影响到用户的上下线以及计费等流程的处理性能。因此,需综合考虑对各业务的处理性能和流量备份的精确度合理配置流量备份阈值。
【举例】
# 配置对Portal用户流量进行备份的阈值为10240兆字节。
<Sysname> system-view
[Sysname] portal traffic-backup threshold 10240
portal url-param source-address code-base64命令用来配置对重定向给用户的URL中的userip参数进行base64编码。
undo url-param source-address code-base64命令用来恢复缺省情况。
【命令】
portal url-param source-address code-base64
undo portal url-param source-address code-base64
【缺省情况】
未配置对重定向给用户的URL中的userip参数进行base64编码。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
手机用户采用OAuth协议进行Portal本地微信认证时,如果URL中携带了userip,则微信认证服务器可能对部分手机用户的userip无法识别,从而无法向用户推送Portal认证页面。
配置本命令后,设备会对重定向URL中的userip参数进行base64编码,编码后微信认证服务器即可正常推送Portal认证页面。
如果采用非OAuth协议的Portal认证或非Portal本地微信认证,则不需要配置本命令。
如果url-parameter命令中未携带source-address参数,则不需要配置本命令。
【举例】
# 在无线服务模板service1下,配置对重定向给用户的URL中的userip参数进行base64编码。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal url-param source-address code-base64
【相关命令】
· url-parameter
portal url-unescape-chars命令用来配置重定向给用户的Portal Web服务器URL中不转义的特殊字符。
undo portal url-unescape-chars命令用来删除已配置的URL中不转义的特殊字符。
【命令】
portal url-unescape-chars character-string
undo portal url-unescape-chars character-string
【缺省情况】
对重定向给用户的Portal Web服务器URL中所有的特殊字符进行转义。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
character-string:URL中的特殊字符,取值为“$-_.+!*'();,/?:@”中任意字符的组合。URL的特殊字符中可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
为了防止客户端将特殊符号当作语法符号或指令,更改原本预期的语义。缺省情况下,设备重定向给用户的Portal Web服务器的URL中的特殊字符,均会被转换成安全的形式(即转义字符)。
在实际应用中,一些Portal Web服务器无法识别URL中的某些特殊字符的转义字符,会导致Portal Web服务器向客户端提供Web认证页面失败。此时,可以通过配置本命令对某些特殊字符不进行转义处理。
配置特殊字符时,请先确认Portal Web服务器是否能够识别这些特殊字符的转义字符。
【举例】
# 配置重定向给用户的Portal Web服务器URL中不转义的特殊字符为“;()”。
<Sysname> system-view
[Sysname] portal url-unescape-chars ;()
portal user log enable命令用来开启Portal用户上/下线日志功能。
undo portal user log enable命令用来关闭Portal用户上/下线日志功能。
【命令】
portal user log enable
undo portal user log enable
【缺省情况】
Portal用户上/下线日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal用户上/下线日志功能。
<Sysname> system-view
[Sysname] portal user log enable
【相关命令】
· portal packet log enable
· portal redirect log enable
portal user-block failed-times命令用来开启Portal认证失败后的用户阻塞功能。
undo portal user-block failed-times命令用来关闭Portal认证失败后的用户阻塞功能。
【命令】
portal user-block failed-times failed-times period period [ method { ip | mac | username } ]
undo portal user-block failed-times
【缺省情况】
Portal认证失败后的用户阻塞功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
failed-times:表示允许用户进行Portal认证失败的最大次数,取值范围为0~10。取值为0时表示Portal认证的次数不受限制。
period period:表示用户连续认证失败的检测时长。period的取值范围为1~120,单位为分钟。
method:阻塞用户的方法。若未指定本参数,则按IP方式阻塞用户。
ip:表示基于IP地址进行阻塞,即在指定时间内同一IP地址的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
mac:表示基于MAC地址进行阻塞,即在指定时间内同一MAC地址的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
username:表示基于用户名进行阻塞,即在指定时间内同一用户名的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
【使用指导】
如果在指定时间内用户进行Portal认证失败达到限定次数,该用户将被阻塞,即来自该用户的认证请求报文将被丢弃。阻塞时长由命令portal user-block reactive配置。通过配置该功能,可防止非法用户使用穷举法试探合法用户的密码。
【举例】
# 配置在100分钟内同一MAC地址用户进行Portal认证失败次数达到2次时被阻塞。
<Sysname> system-view
[Sysname] portal user-block failed-times 2 period 100 method mac
【相关命令】
· portal user-block reactive
portal user-block reactive命令用来配置Portal用户被阻塞的时长。
undo portal user-block reactive命令用来恢复缺省情况。
【命令】
portal user-block reactive period
undo portal user-block reactive
【缺省情况】
被阻塞的用户重新进行Portal认证的时间间隔为30分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
period:表示被阻塞的用户重新进行Portal认证的时间间隔,取值范围为0~1000,单位为分钟。取值为0时表示被阻塞的用户不能重新进行Portal认证。
【使用指导】
配置用户进行Portal认证的最大失败次数后(通过命令portal user-block failed-times),如果在指定时间内用户连续认证失败,用户会被阻塞。用户可以通过配置该命令改变被阻塞用户重新进行Portal认证的时间间隔。
【举例】
# 配置被阻塞用户重新进行Portal认证的时间间隔为20分钟。
<Sysname> system-view
[Sysname] portal user-block reactive 20
【相关命令】
· portal user-block failed-times
portal user-detect命令用来开启IPv4 Portal用户在线探测功能。
undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。
【命令】
portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]
undo portal user-detect
【缺省情况】
IPv4 Portal用户在线探测功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
type:指定探测类型。
· arp:表示探测类型为ARP。
· icmp:表示探测类型为ICMP。
retry retries:探测次数,取值范围为1~10,缺省值为3。
interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。
idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。
【使用指导】
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。
若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文,否则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。
【举例】
# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测类型为ARP,检测用户ARP表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300
【相关命令】
· display portal
portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。
undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。
【命令】
portal user-dhcp-only
undo portal user-dhcp-only
【缺省情况】
仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
· 配置本命令后,配置静态IP地址的Portal认证用户不能上线。
【举例】
# 在接口Vlan-interface100上配置仅允许通过DHCP获取IP地址的客户端上线功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-dhcp-only
【相关命令】
· display portal
portal web-proxy port命令用来配置允许触发Portal认证的Web代理服务器端口。
undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
【命令】
portal web-proxy { http | https } port port-number
undo portal web-proxy { { http | https } port port-number | all-port }
【缺省情况】
未配置允许触发Portal认证的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
http:表示HTTP请求触发Portal认证。
https:表示HTTPS请求触发Portal认证。
port-number:Portal认证的Web代理服务器的TCP端口号,取值范围为1~65535。80和443端口是Portal预留端口号,Portal认证的Web代理服务器的TCP端口号不能配置为80和443。
all-port:指定所有Portal认证的Web代理服务器的TCP端口号。
【使用指导】
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP/HTTPS请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发Portal认证。
配置允许触发Portal认证的Web代理服务器端口,需要注意的是:
· 通过多次执行本命令,最多可以添加64个允许触发Portal认证的Web代理服务器端口。
· HTTP和HTTPS请求允许触发Portal认证的Web代理服务器端口不能相同。
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,还需要注意以下几点:
· 配置允许触发Portal认证的Web代理服务器端口的同时,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Portal认证。
【举例】
# 配置HTTP请求允许触发Portal认证的Web代理服务器端口号为8080。
<Sysname> system-view
[Sysname] portal web-proxy http port 8080
【相关命令】
· portal enable method
portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。
undo portal web-server命令用来删除Portal Web服务器。
【命令】
portal web-server server-name
undo portal web-server server-name
【缺省情况】
不存在Portal Web服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。
【举例】
# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs]
【相关命令】
· display portal web-server
· portal apply web-server
portal bas-ip命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP属性。
undo portal bas-ip命令用来删除接口上指定的BAS-IP属性。
【命令】
portal bas-ip ipv4-address
undo portal bas-ip
【缺省情况】
对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址。
对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
bas-ip ipv4-address:接口发送Portal报文的BAS-IP属性值。其中,ipv4-address为本机的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
【使用指导】
设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP属性。
配置此命令后,设备主动发送的通知类Portal报文,其源IPv4地址为配置的BAS-IP,否则为Portal报文出接口IP地址。
接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。
使用iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP属性。
【举例】
# 配置接口Vlan-interface100发送Portal报文的BAS-IP属性值为2.2.2.2。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2
【相关命令】
· display portal
portal ipv4-max-user命令用来配置接口上的Portal最大用户数。
undo portal ipv4-max-user命令用来恢复缺省情况。
【命令】
portal ipv4-max-user max-number
undo portal ipv4-max-user
【缺省情况】
接口上的Portal最大用户数不受限制。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
max-number:接口上允许的最大IPv4 Portal用户数,取值范围为1~4294967295。
【使用指导】
如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。
建议所有开启Portal的接口上的最大IPv4 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
【举例】
# 在接口Vlan-interface100上配置IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv4-max-user 100
【相关命令】
· display portal
· portal max-user
redirect-url命令用来配置QQ或Facebook认证成功之后的重定向地址。
undo redirect-url命令用来恢复缺省情况。
【命令】
redirect-url url-string
undo redirect-url
【缺省情况】
QQ认证成功之后的重定向地址为http://oauthindev.h3c.com/portal/qqlogin.html。
Facebook认证成功之后的重定向地址为http://oauthindev.h3c.com/portal/fblogin.html。
【视图】
QQ认证服务器视图
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:QQ或Facebook认证成功后的重定向URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
用户采用QQ或Facebook作为第三方认证平台时,当客户端与第三方认证平台完成了认证、授权交互后,客户端会被强制重定向到本命令配置的地址上。用户需要在设备上配置DNS代理,将此地址指向设备端,从而使客户端对设备端发起本地Portal认证。
【举例】
# 配置QQ认证服务器的重定向地址。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] redirect-url http://www.abc.com/portal/qqlogin.html
# 配置Facebook认证服务器的重定向地址。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] redirect-url http://h3c.com/portal/fblogin.html
【相关命令】
· display portal extend-auth-server
reset portal auth-error-record命令用来清除Portal认证异常记录。
【命令】
reset portal auth-error-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的Portal认证异常记录。
ipv4 ipv4-address:清除指定IPv4地址的用户Portal认证异常记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【举例】
# 清除所有的Portal认证异常记录。
<Sysname> reset portal auth-error-record all
# 清除IP地址为11.1.0.1的用户Portal认证异常记录。
<Sysname> reset portal auth-error-record ipv4 11.1.0.1
# 清除从2019/3/4 14:20到2019/3/4 16:23内的Portal认证异常记录。
<Sysname> reset portal auth-error-record start-time 2019/3/4 14:20 end-time 2019/3/4 16:23
【相关命令】
· display portal auth-error-record
reset portal auth-fail-record命令用来清除Portal认证失败记录。
【命令】
reset portal auth-fail-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的Portal认证失败记录。
ipv4 ipv4-address:清除指定IPv4地址用户的Portal认证失败记录。
记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:清除指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 清除所有的认证失败记录。
<Sysname> reset portal auth-fail-record all
# 清除IP地址为11.1.0.1的用户的Portal认证失败记录。
<Sysname> reset portal auth-fail-record ipv4 11.1.0.1
# 清除用户名为abc的用户的Portal认证失败记录。
<Sysname> reset portal auth-fail-record username abc
# 清除从2019/3/4 14:20到2019/3/4 16:23内的Portal认证失败记录。
<Sysname> reset portal auth-fail-record start-time 2019/3/4 14:20 end-time 2019/3/4 16:23
【相关命令】
· display portal auth-fail-record
reset portal local-binding mac-address命令用来清除本地MAC-Trigger绑定表项信息。
【命令】
reset portal local-binding mac-address { mac-address | all }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
mac-address:用户的MAC地址,格式为H-H-H。
all:清除本地MAC-Trigger绑定表项的所有信息。
【使用指导】
当管理员不允许指定用户通过本地无感知认证上线时,可以不必等待该用户已生成的本地MAC-Trigger绑定表项老化(老化时间可以通过local-binding aging-time命令配置),通过执行本命令可将表项立即删除。
执行reset portal local-binding mac-address all命令,会将所有本地MAC-Trigger绑定表项删除,会导致原先所有的用户无法再通过本地无感知认证上线,请谨慎执行。
【举例】
# 清除本地MAC-Trigger绑定表项的所有信息。
<Sysname> reset portal local-binding mac-address all
【相关命令】
· display portal local-binding mac-address
· local-binding aging-time
reset portal logout-record命令用来清除用户下线记录。
【命令】
reset portal logout-record { all | ipv4 ipv4-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的用户下线记录。
ipv4 ipv4-address:清除指定IPv4地址用户的下线记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:清除指定用户名用户的下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 清除所有的用户下线记录。
<Sysname> reset portal logout-record all
# 清除指定IP地址为11.1.0.1的用户下线记录。
<Sysname> reset portal logout-record ipv4 11.1.0.1
# 清除指定用户名为abc的用户下线记录。
<Sysname> reset portal logout-record username abc
# 清除从2019/3/4 14:20到2019/3/4 16:23内的Portal用户下线记录。
<Sysname> reset portal logout-record start-time 2019/3/4 14:20 end-time 2019/3/4 16:23
【相关命令】
· display portal logout-record
reset portal packet statistics命令用来清除Portal报文的统计信息。
【命令】
reset portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq } | mac-trigger-server server-name | server server-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为云服务器。
facebook:第三方Portal认证服务器类型为Facebook服务器。
mail:第三方Portal认证服务器类型为邮箱服务器。
qq:第三方Portal认证服务器类型为QQ服务器。
mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。若未指定本参数,则表示清除指定的Portal认证服务器的名称。
server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若未指定任何参数,则表示清除所有Portal认证服务器和MAC绑定服务器的报文统计信息。
【举例】
# 清除名称为st上的Portal认证服务器的统计信息。
<Sysname> reset portal packet statistics server pts
# 清除名称为newpt的MAC绑定服务器的报文统计信息。
<Sysname> reset portal packet statistics mac-trigger-server newpt
【相关命令】
· display portal packet statistics
reset portal redirect statistics命令用来清除Portal重定向报文统计信息。
【命令】
reset portal redirect statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 清除指定slot上Portal重定向报文统计信息。
<Sysname> reset portal redirect statistics slot 0
【相关命令】
· display portal redirect statistics
reset portal safe-redirect statistics命令用来清除Portal安全重定向功能的报文统计信息。
【命令】
reset portal safe-redirect statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 清除指定slot上Portal安全重定向功能的报文统计信息。
<Sysname> reset portal safe-redirect statistics slot 0
【相关命令】
· display portal safe-redirect statistics
server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。
undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。
【命令】
server-detect [ timeout timeout ] { log | trap } *
undo server-detect
【缺省情况】
Portal认证服务器的可达性探测功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。
log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
【使用指导】
只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。
只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。
若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。
设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。
【举例】
# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log
【相关命令】
· portal server
server-detect命令用来开启Portal Web服务器的可达性探测功能。
undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。
【命令】
server-detect [ interval interval ] [ retry retries ] { log | trap } *
undo server-detect
【缺省情况】
Portal Web服务器的可达性探测功能处于关闭状态。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
interval interval:进行探测尝试的时间间隔,取值范围为1~1200,单位为秒,缺省值为5。建议配置时间不低于5秒。
retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
【使用指导】
该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。
只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。
【举例】
# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log
【相关命令】
· portal web-server
server-detect url命令用来配置Portal web服务器的探测URL及探测类型。
undo server-detect url命令用来恢复缺省情况。
【命令】
server-detect url string [ detect-type { http | tcp } ]
undo server-detect url
【缺省情况】
Portal Web服务器可达性探测的URL为Portal web服务器视图下url命令配置的URL地址,探测类型为TCP。
【视图】
Portal web服务器视图
【缺省用户角色】
network-admin
【参数】
string:探测Portal web服务器的URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
detect-type:探测类型。若未指定本参数,则探测类型为TCP。
tcp:Portal web服务器的探测类型为TCP。
http:Portal web服务器的探测类型为HTTP。
【使用指导】
若未开启Portal Web服务器的可达性探测功能,本命令不生效。
【举例】
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是TCP。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type tcp
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是HTTP。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type http
【相关命令】
· server-detect (portal web-server view)
server-register命令用来配置设备定期向Portal认证服务器发送注册报文。
undo server-register命令用来恢复缺省情况。
【命令】
server-register [ interval interval-value ]
undo server-register
【缺省情况】
设备不会定期向Portal认证服务器发送注册报文。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。
【使用指导】
Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。
需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。
【举例】
# 配置设备每隔120秒向Portal认证服务器发送注册报文。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-register interval 120
【相关命令】
· server-type (portal authentication server view/portal web-server view)
server-type命令用来配置MAC绑定服务器的服务类型。
undo server-type用来恢复缺省情况。
【命令】
server-type { cmcc | imc }
undo server-type
【缺省情况】
MAC绑定服务器的服务类型为imc。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。
imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。
【举例】
# 指定MAC绑定服务器的服务类型为cmcc。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] server-type cmcc
server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。
undo server-type命令用来恢复缺省情况。
【命令】
server-type { cmcc | imc | oauth }
undo server-type
【缺省情况】
Portal认证服务器或Portal Web服务器的类型为iMC服务器。
【视图】
Portal认证服务器视图
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。
imc:表示Portal服务器类型为符合iMC标准规范的服务器。
oauth:表示Portal Web服务器类型为符合云平台平台标准规范的服务器。本参数仅支持在Portal Web服务器视图下配置。
【使用指导】
设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。
【举例】
# 配置Portal认证服务器类型为CMCC。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-type cmcc
# 配置Portal Web服务器类型为CMCC。
<Sysname> system-view
[Sysname] portal web-server pts
[Sysname-portal-websvr-pts] server-type cmcc
【相关命令】
· display portal server
tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。
undo tcp-port命令用来恢复缺省情况。
【命令】
tcp-port port-number
undo tcp-port
【缺省情况】
HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-server命令指定的TCP端口号。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
port-number:表示侦听的TCP端口号,取值范围为1~65535。
【使用指导】
接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。
配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:
· 除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。
· 不能把使用HTTP协议的本地Portal Web服务侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则使用的TCP端口号不能相同。
【举例】
# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] tcp-port 2331
【相关命令】
· portal local-web-server
url命令用来指定Portal Web服务器的URL。
undo url命令用来恢复缺省情况。
【命令】
url url-string
undo url
【缺省情况】
未指定Portal Web服务器的URL。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。
【举例】
# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url http://www.test.com/portal
【相关命令】
· display portal web-server
url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。
【命令】
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }
undo url-parameter param-name
【缺省情况】
未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。
nas-id:网络接入服务器标识。
nas-port-id:网络接入服务器端口标识。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
format:指定MAC地址格式。
section:指定MAC地址分段数。
1:MAC地址被分为1段,如XXXXXXXXXXXX。
3:MAC地址被分为3段,如XXXX-XXXX-XXXX。
6:MAC地址被分为6段,如XX-XX-XX-XX-XX-XX。
lowercase:MAC地址格式为小写。
uppercase:MAC地址格式为大写。
encryption:表示以密文的方式携带用户的MAC地址。
aes:指定加密算法为AES算法。
des:指定加密算法为DES算法。
cipher:以密文方式设置密钥。
key:指定加密密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des cipher,密钥为41个字符的字符串。
· 对于des simple,密钥为8个字符的字符串。
· 对于aes cipher,密钥为1~73个字符的字符串。
· 对于aes simple,密钥为1~31个字符的字符串。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
vlan:用户VLAN。
【使用指导】
可以通过多次执行本命令配置多条参数信息。
配置url-parameter命令会导致Portal Web服务器的URL长度增加,当URL总长度超过2048字节时,设备会将超过的字节丢弃,从而造成重定向失败。
对于同一个参数名param-name后的参数设置,最后配置的生效。
该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address和
url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:
· userurl:表示original-url
· userip:表示source-address
· usermac:表示source-mac
在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。
如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678,则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:
http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl=http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。
【举例】
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数vlan,其值为用户VLAN。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter uservlan vlan
【相关命令】
· display portal web-server
· url
user-password modify enable命令用来在Portal的Web认证页面上开启Portal本地用户密码修改功能。
undo user-password modify enable命令用来在Portal的Web认证页面上关闭Portal本地用户密码修改功能。
【命令】
user-password modify enable
undo user-password modify enable
缺省情况】
Portal本地用户密码修改功能处于关闭状态。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行本地Portal认证时,在设备提供的Web认证页面上会显示密码修改按钮,本地用户可以通过此按钮进行密码修改操作。当关闭本功能时,Web认证页面上不会显示密码修改按钮。
如果设备上已开启网络接入类本地用户全局密码管理功能(通过password-control enable network-class命令),Portal本地用户在Web认证页面修改后的密码必须符合Password Control密码设置控制要求,若Portal本地用户修改的密码不符合Password Control密码设置控制要求,Web认证页面上将会出现错误提示信息提醒Portal本地用户按照要求重新修改。关于密码设置控制的详细介绍,请参见“用户接入与认证配置指导”中的“Password Control”。
【举例】
# 在本地Portal Web服务视图下,开启Portal本地用户密码修改功能。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] user-password modify enable
【相关命令】
· password-control enable network-class
· portal local-web-server
user-sync命令用来配置开启Portal用户信息同步功能。
undo user-sync命令用来关闭Portal用户信息同步功能。
【命令】
user-sync timeout timeout
undo user-sync
【缺省情况】
Portal认证服务器的Portal用户信息同步功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。
【使用指导】
配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。
· 对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。
· 如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。
开启Portal用户信息同步功能时,需要注意的是:
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
· 在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。
· 对同一服务器多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
【相关命令】
· portal server
version命令用来配置Portal协议报文的版本号。
undo version命令用来恢复缺省情况。
【命令】
version version-number
undo version
【缺省情况】
Portal协议报文的版本号为1。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
version-number:Portal协议报文的版本号,取值范围为1~3。
【使用指导】
配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。
【举例】
# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] version 2
【相关命令】
· display portal mac-trigger-server
· portal mac-trigger-server
vpn-instance命令用来配置Portal Web服务器所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
Portal Web服务器位于公网中。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
vpn-instance-name:Portal Web服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
一个Portal Web服务器只能属于一个VPN实例。
【举例】
# 配置Portal Web服务器wbs所属的VPN实例为abc。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] vpn-instance abc
web-redirect url命令用来配置Web重定向功能。
undo web-redirect命令用来关闭Web重定向功能。
【命令】
web-redirect url url-string [ interval interval ]
undo web-redirect
【缺省情况】
Web重定功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串。Web重定向的地址必须存在,必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。
【使用指导】
接口上配置了Web重定向功能后,当该接口上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。
Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。
如果设备支持以太网通道接口(Eth-channel),则该设备所有支持Web重定向和Portal功能的接口下可以同时开启Web重定向功能和Portal功能,否则当接口下同时开启Web重定向功能和Portal功能时,Web重定向功能失效。
Web重定向功能指定的URL地址或用户访问的地址为本设备地址时,本设备必须保证HTTP服务处于开启状态。
当用户想根据不同参数推送不同的广告页面时,url-string的格式必须为http://XXXX/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o。其中,userip=%c表示用户IP地址、usermac=%m表示用户MAC地址、nasid=%n表示设备标识、ssid=%E表示用户接入的SSID、originalurl=%o表示用户在浏览器中输入的原始页面地址。url-string中可携带哪些参数字段请根据实际情况进行选择。
【举例】
# 在接口Vlan-interface100上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] web-redirect url http://192.0.0.1/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o interval 3600
【相关命令】
· display web-redirect rule
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
