05-Web认证命令
本章节下载: 05-Web认证命令 (231.21 KB)
display web-auth命令用来显示接口上Web认证的配置信息和运行状态信息。
【命令】
display web-auth [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。
【举例】
# 显示接口Ten-GigabitEthernet1/0/1上Web认证的配置信息。
<Sysname> display web-auth interface ten-gigabitethernet 1/0/1
Global Web-auth parameters:
Proxy Port Numbers : Not configured
Total online web-auth users : 1
Ten-GigabitEthernet1/0/1 is link-up
Port role : Authenticator
Web-auth domain : my-domain
Auth-Fail VLAN : Not configured
Offline-detect : Not configured
Max online users : 1024
Web-auth enable : Enabled
Total online web-auth users: 1
表1-1 display web-auth命令显示信息描述表
字段 |
描述 |
Global Web-auth parameters |
全局Web认证参数 |
Proxy Port Numbers |
Web代理服务器端口 |
Total online web-auth users |
全局Web认证的在线用户数 |
Ten-GigabitEthernet1/0/1 is link-up |
接口Ten-GigabitEthernet1/0/1的状态,包括如下取值: · link-up:接口管理状态和物理状态均为开启 · link-down:接口处于关闭状态 |
Port role |
该端口担当认证端的作用,目前仅支持作为认证端 |
Web-auth domain |
Web认证用户使用的ISP域 |
Auth-fail VLAN |
Web认证的认证失败VLAN,如果没有配置,则显示Not configured |
Offline-detect |
Web认证用户在线检测的时间间隔,Not configured表示Web认证用户在线检测功能处于关闭状态 |
Max online users |
允许同时接入的Web认证最大用户数 |
Web-auth enable |
Web认证功能的开启状态,包括如下取值: · Enabled:开启 · Disabled:关闭 |
Total online web-auth users |
接口下Web认证的在线用户数 |
display web-auth free-ip命令用来显示所有Web认证用户免认证的目的IP地址。
【命令】
display web-auth free-ip
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有Web认证用户免认证的目的IP地址。
<Sysname> display web-auth free-ip
Free IP
: 1.1.0.0 255.255.0.0
: 1.2.0.0 255.255.0.0
【相关命令】
· web-auth free-ip
display web-auth server命令用来显示Web认证服务器信息。
【命令】
display web-auth server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:Web认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web认证服务器的信息。
【举例】
# 显示Web认证服务器aaa的信息。
<Sysname> display web-auth server aaa
Web-auth server: aaa
IP : 8.8.8.8
Port : 80
URL : http://8.8.8.8/portal/
Redirect-wait-time : 5
URL parameters : Not configured
表1-2 display web-auth server命令显示信息描述表
字段 |
描述 |
Web-auth server |
Web认证服务器名称 |
IP |
Web认证服务器的IP地址 |
Port |
Web认证服务器的端口号 |
URL |
Web认证服务器的重定向URL |
Redirect-wait-time |
Web认证成功后,认证页面跳转的时间间隔 |
URL parameters |
设备重定向给用户的URL中携带的参数信息 |
display web-auth user命令用来显示在线Web认证用户的信息。
【命令】
display web-auth user [ interface interface-type interface-number | slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。
slot slot-number:显示指定成员设备上所有接口在线Web认证用户的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上在线Web认证用户的信息。
【举例】
# 显示接口Ten-GigabitEthernet1/0/1上在线用户的信息。
<Sysname> display web-auth user interface ten-gigabitethernet 1/0/1
Total online web-auth users: 1
User name: user1
MAC address: 0000-2700-b076
Access interface: Ten-GigabitEthernet1/0/1
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
表1-3 display web-auth user命令显示信息描述表
字段 |
描述 |
Total online web-auth users |
在线用户总数 |
User name |
在线用户的用户名 |
MAC address |
在线用户的MAC地址 |
Access interface |
在线用户接入的接口 |
Initial VLAN |
初始的VLAN |
Authorization VLAN |
授权的VLAN |
Authorization ACL ID |
授权ACL编号 |
Authorization user profile |
Web认证用的授权User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下: · active: AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
ip命令用来配置Web认证服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address port port-number
undo ip
【缺省情况】
不存在Web认证服务器的IP地址。
【视图】
Web认证服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:表示Web认证服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。
port port-number:指定Web认证服务器的端口。port-number是端口号,取值范围为1~65535。
【使用指导】
配置Web认证服务器的IP地址,建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:
· 状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。
· 由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
此命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。有关本地Portal Web服务的详细介绍请参见“安全配置指导”中的“Portal”。
同一个Web认证服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 进入Web认证服务器视图。
<Sysname> system-view
[Sysname] web-auth server wbs
# 配置Web认证服务器wbs的IP地址为192.168.1.1,端口为8080。
[Sysname-web-auth-server-wbs] ip 192.168.1.1 port 8080
【相关命令】
· url
· tcp-port(安全命令参考/Portal)
redirect-wait-time命令用来配置认证页面跳转的时间间隔。
undo redirect-wait-time命令用来恢复缺省情况。
【命令】
redirect-wait-time period
undo redirect-wait-time
【缺省情况】
Web认证用户认证成功后认证页面跳转的时间间隔为5秒。
【视图】
Web认证服务器视图
【缺省用户角色】
network-admin
【参数】
period:表示自Web认证用户认证成功后,当前认证页面开始跳转到其他页面的时间间隔,取值范围为1~90,单位为秒。
【使用指导】
在某些应用环境中,客户端在Web认证成功后需要更新IP地址,为了避免客户端IP地址还未完成更新而无法打开跳转的网站页面,需要适当增加页面跳转的时间间隔,保证认证页面跳转的时间间隔大于客户端更新IP地址的时间。
【举例】
# 配置Web认证用户认证成功后认证页面跳转的时间间隔10秒。
<Sysname> system-view
[Sysname] web-auth server wbs
[Sysname-web-auth-server-wbs] redirect-wait-time 10
url命令用来配置Web认证服务器的重定向URL。
undo url命令用来恢复缺省情况。
【命令】
url url-string
undo url
【缺省情况】
不存在Web认证服务器的重定向URL。
【视图】
Web认证服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:表示Web认证服务器的重定向URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
本命令配置的Web认证服务器重定向URL是可以用标准HTTP或者HTTPS协议访问的URL,它必须以http://或者https://开头。如果该URL未以http://或者https://开头,则系统默认其以http://开头。
该URL中的IP地址和端口号必须与Web认证服务器中的IP地址和端口号保持一致。
【举例】
# 配置Web认证服务器wbs的重定向URL为http://192.168.1.1:80/portal/。
<Sysname> system-view
[Sysname] web-auth server wbs
[Sysname-web-auth-server-wbs] url http://192.168.1.1:80/portal/
【相关命令】
· ip
· tcp-port(安全命令参考/Portal)
url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。
undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。
【命令】
url-parameter parameter-name { original-url | source-address | source-mac | value expression }
undo url-parameter parameter-name
【缺省情况】
未配置设备重定向给用户的URL中携带的参数信息。
【视图】
Web认证服务器视图
【缺省用户角色】
network-admin
【参数】
parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
可以通过多次执行本命令配置多条参数信息。
多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效
该命令用于配置用户访问Web认证服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Web认证服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-address和url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
param-name这个URL参数名必须与PC浏览器所接受的参数名保持一致,请根据具体情况配置URL参数名。
【举例】
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] web-auth server wbs
[Sysname-web-auth-server-wbs] url-parameter userip source-address
[Sysname-web-auth-server-wbs] url-parameter userurl value http://www.abc.com/welcome
web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。
undo web-auth auth-fail vlan命令用来恢复缺省情况。
【命令】
web-auth auth-fail vlan authfail-vlan-id
undo web-auth auth-fail vlan
【缺省情况】
不存在Web认证的Auth-Fail VLAN。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。
【使用指导】
接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。
为使此功能生效,必须开启二层以太网接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为Web认证用户免认证的目的IP地址。
因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。
当用户认证失败后,设备将Web认证用户的MAC地址与Auth-fail VLAN进行绑定。
禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
【举例】
# 配置接口Ten-GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname–Ten-GigabitEthernet1/0/1] port link-type hybrid
[Sysname–Ten-GigabitEthernet1/0/1] mac-vlan enable
[Sysname–Ten-GigabitEthernet1/0/1] web-auth auth-fail vlan 5
【相关命令】
· display web-auth
web-auth domain命令用来指定Web认证用户使用的认证域。
undo web-auth domain命令用来恢复缺省情况。
【命令】
web-auth domain domain-name
undo web-auth domain
【缺省情况】
未指定Web认证用户认证使用的认证域。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。
【举例】
# 指定从接口Ten-GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname–Ten-GigabitEthernet1/0/1] web-auth domain my-domain
web-auth enable命令用来开启Web认证功能。
undo web-auth enable命令用来关闭Web认证功能。
【命令】
web-auth enable apply server server-name
undo web-auth enable
【缺省情况】
Web认证功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
server-name:表示引用的Web认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
此命令用来开启Web认证功能,并指定引用的Web认证服务器。
为使Web认证功正常运行,在接入设备的二层以太网接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上开启Web认证功能,并指定引用的Web认证服务器为wbs。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth enable apply server wbs
【相关命令】
· web-auth server
web-auth free-ip命令用来配置Web认证用户免认证目的IP地址。
undo web-auth free-ip命令用来恢复缺省情况。
【命令】
web-auth free-ip ip-address { mask-length | mask }
undo web-auth free-ip { ip-address { mask-length | mask } | all }
【缺省情况】
不存在Web认证用户免认证的目的IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:Web认证用户免认证目的网段的IP地址。
mask-length:Web认证用户免认证目的网段IP地址的掩码长度,取值范围为1~32。
mask:Web认证用户免认证目的网段IP地址的子网掩码,点分十进制格式。
all:Web认证用户可免认证访问的所有网段。
【使用指导】
在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。
可通过重复执行此命令来配置多个Web认证用户免认证的目的IP地址。
【举例】
# 配置Web认证用户免认证的目的IP地址为192.168.0.0/24。
<Sysname> system-view
[Sysname] web-auth free-ip 192.168.0.0 24
web-auth max-user命令用来配置Web认证最大用户数。
undo web-auth max-user命令用来恢复缺省情况。
【命令】
web-auth max-user max-number
undo web-auth max-user
【缺省情况】
接口上同时可接入的Web认证最大用户数为1024。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
max-number:表示接口上同时可接入的Web认证最大用户数,取值范围为1~2048。
【使用指导】
若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。
该命令指定的最大用户数仅为IPv4 Web认证用户数。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上配置Web认证最大用户数为32。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth max-user 32
【相关命令】
· display web-auth
web-auth offline-detect命令用来开启Web认证用户的在线检测功能。
undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。
【命令】
web-auth offline-detect interval interval
undo web-auth offline-detect interval
【缺省情况】
Web认证用户在线检测功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。
【使用指导】
开启端口的Web认证用户的在线检测功能后,若设备在一个在线检测时间间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。配置用户在线检测时间间隔时,需要与MAC地址老化时间配成相同时间,否则会导致用户异常下线。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth offline-detect interval 3600
web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。
undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。
【命令】
web-auth proxy port port-number
undo web-auth proxy port { port-number | all }
【缺省情况】
不存在Web认证的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。
all:指定所有Web认证的Web代理服务器的TCP端口号。
【使用指导】
设备默认只允许未配置Web代理服务器的浏览器发起的HTTP请求才能触发Portal认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP请求也可以触发Web认证。
多次配置本命令可以添加多个Web认证的Web代理服务器的TCP端口号。
配置Web认证的Web代理服务器的TCP端口号,需要注意的是:
· 如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要将WPAD主机的IP地址配置为Web认证用户免认证的目的IP地址。
· 除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将接入设备上Web认证服务器的IP地址加入到Web代理服务器的例外情况中,使Web认证服务器的IP地址不使用Web代理服务器,避免Web认证用户发送给Web认证页面的HTTP报文被发送到Web代理服务器上,从而影响正常的Web认证。
【举例】
# 配置Web认证的Web代理服务器的TCP端口号为7777。
<Sysname> system-view
[Sysname] web-auth proxy port 7777
web-auth server命令用来创建Web认证服务器,并进入Web认证服务器视图。如果指定的Web认证服务器已经存在,则直接进入Web认证服务器视图。
undo web-auth server命令用来删除指定的Web认证服务器。
【命令】
web-auth server server-name
undo web-auth server server-name
【缺省情况】
不存在Web认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:表示Web认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
在Web认证服务器视图下可以配置Web认证服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。
【举例】
# 创建名称为wbs的Web认证服务器,并进入Web认证服务器视图。
<Sysname> system-view
[Sysname] web-auth server wbs
[Sysname-web-auth-server-wbs]
【相关命令】
· web-auth enable apply server
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!