• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

04-Portal命令

本章节下载 04-Portal命令  (272.93 KB)

04-Portal命令


1 Portal

说明

Portal功能中所指的“接口”为三层接口,包括VLAN接口等。

 

1.1  Portal配置命令

1.1.1  display portal interface

display portal interface命令用来显示指定接口上的Portal配置信息和Portal运行状态信息。

【命令】

display portal interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface-type interface-number:表示接口类型和接口编号。

【举例】

# 显示接口Vlan-interface2的Portal配置信息。

<Sysname> display portal interface vlan-interface 2

 Portal information of Vlan-interface2

 IPv4:

     Portal status: Enabled

     Authentication type: Direct

     Portal Web server  : wbs

     Authentication domain: my-domain

     Bas-ip: Not configured

     User detection : Type: ICMP  Interval: 300s  Attempts: 5   Idle time: 180s

     Action for server detection:

         Server type    Server name                        Action

         Web server     wbs                                fail-permit

         Portal server  pts                                fail-permit

     Layer3 source network:

         IP address               Mask

         1.1.1.1                  255.255.0.0

 

     Destination authentication subnet:

         IP address               Mask

         2.2.2.2                  255.255.255.0

 

IPv6:

     portal status: Enabled

     Authentication type: Direct

     Portal Web server: wbsv6

     Authentication domain: my-domain

     Bas-ipv6:Not configured

     User detection: Type: ICMPv6  Interval: 300s  Attempts: 5   Idle time: 180s

     Action for server detection:

         Server type    Server name                        Action

         Web server     wbsv6                              fail-permit

         Portal server  ptsv6                              fail-permit

     Layer3 source network:

         IP address                                        Prefix length

         11::5                                             64

 

     Destination authentication subnet:

         IP address                                        Prefix length

 

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·     Disabled:Portal认证未使能

·     Enabled:Portal认证已使能

·     Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放

Authentication type

接口上配置的认证方式,包括以下取值:

·     Direct:直接方式

·     Redhcp:二次地址方式

·     Layer3:可跨三层路由方式

Portal Web server

接口上配置的Portal Web服务器的名称

Authentication domain

接口上的Portal强制认证域

Bas-ip

发送给Portal认证服务器的Portal报文的BAS-IP属性

Bas-ipv6

发送给Portal认证服务器的Portal报文的BAS-IPv6属性

User detection

接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间

Action for server detection

服务器可达性探测功能对应的端口控制配置:

·     Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器

·     Server name:服务器名称

·     Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)

Layer3 source subnet

Portal源认证网段信息

Destination authentication subnet

Portal目的认证网段认证信息

IP address

Portal认证网段的IP地址

Mask

Portal认证网段的子网掩码

Prefix length

Portal IPv6认证网段的地址前缀长度

 

【相关命令】

·     portal domain

·     portal enable

·     portal free-all except destination

·     portal ipv6 free-all except destination

·     portal ipv6 layer3 source

·     portal layer3 source

·     portal web-server

1.1.2  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器的报文统计信息,包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息。

【命令】

display portal packet statistics [ server server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server,则依次显示所有Portal认证服务器的报文统计信息。

【举例】

# 显示名字为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

 Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

表1-2 display portal server statistics命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

Invalid packets

无效报文的数目

Pkt-Type

报文的名称

Total

报文的总数

Drops

丢弃报文数

Errors

错误报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

 

【相关命令】

·     reset portal packet statistics

1.1.3  display portal rule

display portal rule命令用来显示指定接口上用于报文匹配的Portal过滤规则信息。

【命令】

display portal rule { all | dynamic | static } interface interface-type interface-number [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。

dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。

static:显示静态Portal规则信息,即使能Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。

interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。

slot slot-number:显示指定成员设备上指定接口的Portal规则信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示显示主设备上指定接口的Portal规则信息。

【举例】

# 显示接口Vlan-interface10上所有Portal过滤规则的信息。

<Sysname> display portal rule all interface vlan-interface 10

IPv4 portal rules on Vlan-interface10:

Rule 1:

 Type                : Static

 Action              : Permit

 Protocol            : Any

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : Any

    MAC            : 0000-0000-0000

    Interface      : Vlan-interface10

    VLAN           : 10

 Destination:

    IP             : 5.1.0.6

    Mask           : 255.255.255.255

    Port           : Any

 

Rule 2:

 Type                : Static

 Action              : Redirect

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : Vlan-interface10

    VLAN           : 10

    Protocol       : TCP

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Port           : 80

 

Rule 3:

 Type                : Static

 Action              : Deny

 Status              : Active

 Source:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

    Interface      : Vlan-interface10

    VLAN           : 10

 Destination:

    IP             : 0.0.0.0

    Mask           : 0.0.0.0

表1-3 display portal rule命令显示信息描述表

字段

描述

Rule

Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号

Type

Portal过滤规则的类型,包括以下取值:

·     Static:静态类型

·     Dynamic:动态类型

Action

Portal过滤规则的匹配动作,包括以下取值:

·     Permit:允许报文通过

·     Redirect:重定向报文

·     Deny:拒绝报文通过

Protocol

Portal过滤规则的传输层协议,包括以下取值:

·     Any:不限制传输层协议类型

·     TCP:TCP传输类型

·     UDP:UDP传输类型

Status

Portal过滤规则下发的状态,包括以下取值:

·     Active:表示规则已生效

·     Unactuated:表示规则未生效

Source

Portal过滤规则的源信息

IP

源IP地址

Mask

源IPv4地址子网掩码

Prefix length

源IPv6地址前缀

Port

源传输层端口号

MAC

源MAC地址

Interface

Portal过滤规则应用的二层或三层接口

VLAN

源VLAN

Protocol

Portal规则的协议类型

Destination

Portal规则的目的信息

IP

目的IP地址

Port

目的传输层端口号

Mask

目的IPv4地址子网掩码

Prefix length

目的IPv6地址前缀

Author ACL

Portal过滤规则的授权ACL,该字段仅在Type为Dynamic时才显示

Number

授权ACL号,即AAA服务器下发给用户的ACL编号,None表示服务器未下发ACL

 

1.1.4  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  IP                    : 192.168.0.111

  VPN instance          : Not configured

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log, trap

  User synchronization  : Timeout 200s

  Status                : Up

表1-4 display portal server命令显示信息描述表

字段

描述

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)

User synchronization

Portal用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·     N/A:服务器可达性探测功能未开启,可达状态未知

·     Up:服务器可达性探测功能已开启,探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

 

【相关命令】

·     portal enable

·     portal server

·     server-detect (portal server view)

·     user-sync

1.1.5  display portal user

display portal user命令用来显示Portal用户的信息。

【命令】

display portal user { all | interface interface-type interface-number }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有Portal用户的信息。

interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。

【举例】

# 显示所有Portal用户的信息。

<Sysname> display portal user all

Total portal users: 2

Username: abc

  Portal server: pts

  State: Online

  Authorization ACL: None

  VPN instance: --

  MAC                IP                 VLAN   Interface

  000d-88f8-0eab     2.2.2.2            100    Vlan-interface100

Username: def

  Portal server: pts

  State: Online

  Authorization ACL: 3000

  VPN instance: --

  MAC                IP                 VLAN   Interface

  000d-88f8-0eac     3.3.3.3            200     Vlan-interface200

表1-5 display portal user命令显示信息描述表

字段

描述

Total portal users

总计的Portal用户数目

Username

用户名

State

Portal用户的当前状态,包括以下取值:

·     Initialized:初始化完成后的待认证状态

·     Authenticating:正在认证状态

·     Authorizing:正在授权状态

·     Online:在线状态

Portal server

用户认证所使用的Portal认证服务器的名称

Authorization ACL

Portal用户的授权ACL。若用户无授权ACL,则显示为“None”

MAC

Portal用户的MAC地址

IP

Portal用户的IP地址

VLAN

Portal用户所在的VLAN

Interface

Portal用户接入的接口

 

【相关命令】

·     portal enable

1.1.6  display portal web-server

display portal web-server命令用来显示Portal Web服务器信息。

【命令】

display portal web-server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal Web服务器信息。

【举例】

# 显示Portal Web服务器wbs的信息。

<Sysname> display portal web-server wbs

Portal Web server: wbs

    URL              : http://www.test.com/portal

    URL parameters   : userurl=http://www.test.com/welcome

                       userip=source-address

    VPN instance     : Not configured

    Server detection : Interval: 120s  Attempts: 5  Action: log, trap

    IPv4 Status      : Up

    IPv6 Status      : N/A

表1-6 display portal web-server命令显示信息描述表

字段

描述

Portal Web server

Portal Web服务器名称

URL

Portal Web服务器的URL地址以及携带的参数

URL parameters

Portal Web服务器的URL携带的参数信息

Server detection

Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)

IPv4/IPv6 Status

Portal web服务器当前状态,其取值如下:

·     N/A:服务器可达性探测功能未开启,可达状态未知

·     Up:服务器可达性探测功能已开启,且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达

 

【相关命令】

·     portal enable

·     portal web-server

·     server-detect (portal web-server view)

1.1.7  default-logon-page

default-logon-page命令用来配置本地Portal Web服务器提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page filename

undo default-logon-page

【缺省情况】

本地Portal Web服务器未提供缺省认证页面文件。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

filename:表示指定的缺省认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务器为用户进行Portal认证提供的缺省认证页面文件。如果没有配置default-logon-page命令,则设备中就不存在为用户进行Portal认证的缺省认证页面文件,进而,用户无法进行正常的本地Portal认证。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

1.1.8  ip

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来删除指定的Portal认证服务器的IPv4地址。

【命令】

ip ipv4-address [ key { cipher | simple } key-string ]

undo ip

【缺省情况】

没有指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:表示以密文方式设置共享密钥。

simple:表示以明文方式设置共享密钥。

key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。

【使用指导】

·     一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的。

·     不同的Portal认证服务器不允许IP地址的配置都相同。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·     portal server

·     display portal server

1.1.9  ipv6

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来删除指定的Portal认证服务器的IPv6地址。

【命令】

ipv6 ipv6-address [ key { cipher | simple } key-string ]

undo ipv6

【缺省情况】

没有指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:表示以密文方式设置共享密钥。

simple:表示以明文方式设置共享密钥。

key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。

【使用指导】

·     一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的。

·     不同的Portal认证服务器不允许IP地址的配置都相同。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·     portal server

·     display portal server

1.1.10  port

port命令用来配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-id

undo port

【缺省情况】

接入设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

port-id:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·     portal server

1.1.11  portal { bas-ip | bas-ipv6 }

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来删除接口下指定的BAS-IP或BAS-IPv6属性。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IP地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IP地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

·     设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。

·     配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址。

·     接口上使能了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则用户认证无法成功。

·     使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则使能了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。

【举例】

# 配置接口Vlan-interface100发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2

【相关命令】

·     display portal interface

1.1.12  portal apply web-server

portal [ ipv6 ] apply web-server命令用来在接口上引用Portal Web服务器,设备会将Portal用户的HTTP请求报文重定向到该Web服务器。

undo portal [ ipv6 ] apply web-server命令用来取消接口上引用的Portal Web服务器。

【命令】

portal [ ipv6 ] apply web-server server-name [ fail-permit ]

undo portal [ ipv6 ] apply web-server

【缺省情况】

接口上没有引用任何Portal Web服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。

server-name:被引用的Portal Web服务器的名字,为1~32个字符的字符串,区分大小写,且必须已经存在。

fail-permit:开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络。

【使用指导】

一个接口上可以同时使能IPv4 Portal认证和IPv6 Portal认证,因此也可以同时引用一个IPv4 Portal Web服务器和一个IPv6 Portal Web认证服务器。

如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即放开接口控制,当两个服务器均恢复可达性后,再重新启动Portal认证功能。

【举例】

# 在接口Vlan-interface100上引用名称为wbs的Portal Web服务器作为用户认证时使用的Web服务器。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal apply web-server wbs

【相关命令】

·     display portal interface

·     portal fail-permit server

·     portal web-server

1.1.13  portal delete-user

portal delete-user命令用来强制Portal用户下线。

【命令】

portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address }

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:Portal用户的IPv4地址。

all:所有接口下的IPv4 Portal用户和IPv6 Portal用户。

interface interface-type interface-number:指定接口下的所有Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address:指定IPv6 Portal用户的地址。

【举例】

# 强制IP地址为1.1.1.1的Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

【相关命令】

·     display portal user

1.1.14  portal domain

portal [ ipv6 ] domain命令用于指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。

undo portal [ ipv6 ] domain命令用来删除指定的Portal用户使用的认证域。

【命令】

portal [ ipv6 ] domain domain-name

undo portal [ ipv6 ] domain

【缺省情况】

未指定Portal用户使用的认证域。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。

domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写。

【使用指导】

·     接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

·     如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。

【举例】

# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal domain my-domain

【相关命令】

·     display portal interface

1.1.15  portal enable method

portal [ ipv6 ] enable method命令用来在接口上使能Portal认证,并指定认证方式。

undo portal [ ipv6 ] enable method命令用来在指定接口上取消指定的Portal认证。

【命令】

portal enable method { direct | layer3 | redhcp }

portal ipv6 enable method { direct | layer3 }

undo portal [ ipv6 ] enable

【缺省情况】

接口上没有使能Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。

method:认证方式。

·     direct:直接认证方式。

·     layer3:可跨三层认证方式。

·     redhcp:二次地址分配认证方式。

【使用指导】

·     使能IPv6 Portal功能之前,需要保证设备支持IPv6 ACLIPv6转发功能。

·     IPv6 Portal认证不支持二次地址分配方式。

·     允许在接口上同时使能IPv4 Portal认证和IPv6 Portal认证。

【举例】

# 在接口Vlan-interface100上使能IPv4 Portal认证,且指定为直接认证方式。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal enable method direct

【相关命令】

·     display portal interface

1.1.16  portal fail-permit server

portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络。

undo portal [ ipv6] fail-permit server命令用来关闭指定的Portal认证服务器逃生功能。

【命令】

portal [ ipv6 ] fail-permit server server-name

undo portal [ ipv6] fail-permit server

【缺省情况】

设备探测到Portal认证服务器不可达时,不允许Portal用户逃生。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,立即放开接口控制;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。

一个接口上,最多同时可以开启一个Portal认证服务器逃生功能和一个Portal Web服务器逃生功能。

【举例】

# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal fail-permit server pts1

【相关命令】

·     display portal interface

1.1.17  portal free-all except destination

portal free-all except destination命令用来配置IPv4 Portal目的认证网段。

undo portal free-all except destination命令用来删除配置的IPv4 Portal目的认证网段。

【命令】

portal free-all except destination ipv4-network-address { mask-length | mask }

undo portal free-all except destination [ ipv4-network-address ]

【缺省情况】

没有配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

·     接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

·     可以通过多次执行本命令,配置多条目的认证网段。

·     如果undo命令中不携带IP地址参数,则表示删除所有制定的IPv4 Portal目的认证网段。

·     目的网段认证对二次地址分配认证方式的Portal认证不生效。

·     如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24

【相关命令】

·     display portal interface

1.1.18  portal free-rule

portal free-rule命令用来配置基于IP地址的Portal免认证规则。

undo portal free-rule命令用来删除指定的或所有Portal免认证规则。

【命令】

portal free-rule rule-number { destination ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } *

portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } *

undo portal free-rule { rule-number | all }

【缺省情况】

不存在基于IP地址的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

destination:指定源信息。

source:指定目的信息。

ip ip-address:免认证规则的IPv4地址。

{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。

ipv6 ipv6-address:免认证规则的IPv6地址。

prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。

ip any:任意IPv4地址。

ipv6 any:任意IPv6地址。

tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。

udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。

all:所有免认证规则。

【使用指导】

·     可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。

·     如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。

·     相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

【举例】

# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23。该规则表示10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24

# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23。该规则表示2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。

<Sysname> system-view

[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64

【相关命令】

·     display portal rule

1.1.19  portal free-rule source

portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。

undo portal free-rule命令用来删除免认证规则。

【命令】

portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo portal free-rule { rule-number | all }

【缺省情况】

没有配置基于源的Portal免认证规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-number:免认证规则编号。取值范围为0~4294967295。

interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。

mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。

vlan vlan-id:免认证规则的源VLAN编号。

all:所有免认证规则。

【使用指导】

如果免认证规则中同时指定了源VLAN和二层源接口则要求该接口属于对应的VLAN,否则该规则无效。

【举例】

# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。

<Sysname> system-view

[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10

【相关命令】

·     display portal rule

1.1.20  portal ipv6 free-all except destination

portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。

undo portal ipv6 free-all except destination命令用来删除配置的IPv6 Portal目的认证网段。

【命令】

portal ipv6 free-all except destination ipv6-network-address prefix-length

undo portal ipv6 free-all except destination [ ipv6-network-address ]

【缺省情况】

没有配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-network-address:IPv6 Portal认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

·     接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。

·     可以通过多次执行本命令,配置多条目的认证网段。

·     如果undo命令中不携带IP地址参数,则表示删除所有制定的IPv6 Portal目的认证网段。

·     目的网段认证对二次地址分配认证方式的Portal认证不生效。

·     如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16

【相关命令】

·     display portal interface

1.1.21  portal ipv6 layer3 source

portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。

undo portal ipv6 layer3 source命令用来删除配置的IPv6 Portal源认证网段。

【命令】

portal ipv6 layer3 source ipv6-network-address prefix-length

undo portal ipv6 layer3 source [ ipv6-network-address ]

【缺省情况】

没有配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-network-address:IPv6 Portal源认证网段地址。

prefix-length:IPv6地址前缀长度,取值范围为0~128。

【使用指导】

·     如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv6 Portal源认证网段。

·     源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

·     如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16

【相关命令】

·     display portal interface

·     portal ipv6 free-all except destination

1.1.22  portal ipv6 user-detect

portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。

undo portal user-detect命令用来恢复缺省情况。

【命令】

portal ipv6 user-detect type { nd | icmpv6 } [ retry retries] [ interval interval ] [ idle time ]

undo portal ipv6 user-detect

【缺省情况】

接口上的IPv6 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测报文的类型。

·     nd:表示探测报文的类型为ND。

·     icmpv6:表示探测报文的类型为ICMPv6。

retry retries:探测报文发送的次数,即允许探测无响应的次数,取值范围为1~10,缺省3次。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。

interval interval:探测报文发送的间隔,取值范围为1~1200,单位为秒,缺省3秒。

idle time:用户在线探测闲置时长,即闲置多长时间后再发起探测,取值范围为60~3600,单位为秒,缺省180秒。

【使用指导】

·     接口上开启了该功能后,设备会主动向Portal在线用户定期发送指定类型的探测报文(见user-detect type参数配置)来确认该用户是否在线。具体的探测过程为:若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则向该用户发送探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,重复这个过程。

·     请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。

·     如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文。

【举例】

# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300

【相关命令】

·     display portal interface

1.1.23  portal layer3 source

portal layer3 source命令用来配置IPv4 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。

undo portal layer3 source命令用来删除配置的IPv4 Portal源认证网段。

【命令】

portal layer3 source ipv4-network-address { mask-length | mask }

undo portal layer3 source [ ipv4-network-address ]

【缺省情况】

没有配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-network-address:IPv4 Portal认证网段地址。

mask-length:子网掩码长度,取值范围为0~32。

mask:子网掩码,点分十进制格式。

【使用指导】

·     如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv4 Portal源认证网段。

·     源认证网段仅对Portal的可跨三层认证方式(layer3)生效。

·     如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。

【举例】

# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24

【相关命令】

·     display portal interface

·     portal free-all except destination

1.1.24  portal local-web-server

portal local-web-server命令用来创建本地Portal Web服务器,并进入本地Portal Web服务器视图。

undo portal local-web-server命令用来删除本地Portal Web服务器。

【命令】

portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }

undo portal local-web-server { http | https }

【缺省情况】

没有配置本地Protal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

http:指定本地Portal Web服务器使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务器使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略名,为1~31个字符的字符串,不区分大小写,且必须已经存在。

tcp-port port-number:指定本地Portal Web服务器的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。

【使用指导】

本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL满足以下两个条件时,接口上才会使用本地Portal Web服务器功能。条件如下:

·     该URL中的IP地址是设备本机上的IP地址。

·     该URL以/portal/结尾,例如:http://1.1.1.1/portal/

配置本地Portal Web服务器功能时,需要注意的是:

·     已经被HTTPS服务关联的SSL服务器端策略不能使用undo ssl server-policy命令删除。

·     更改HTTPS服务关联的SSL服务器端策略时,必须先使用undo portal local-web-server https命令删除创建的本地Portal Web服务器,然后再重新创建本地Portal Web服务器并指定引用的SSL服务器端策略。

配置本地Portal Web服务器的HTTPS服务侦听的端口号时,需要注意的是:

·     如果本地Portal Web服务器引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务器使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则不能使用相同的TCP端口号。

·     除了HTTPS协议默认的端口号,本地Portal Web服务器的TCP端口号不能与知名协议使用的端口号或设备上其他服务已使用的端口号配置一致,如HTTP的端口号80;Telnet的端口号23,否则会造成本地Portal Web 服务器无法向Portal用户推送认证页面。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务器侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图。指定使用HTTPS协议和客户端交互认证信息,且引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

[Sysname-portal-local-websvr-https] quit

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

[Sysname-portal-local-websvr-https] quit

# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务器,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442

[Sysname-portal-local-websvr-https] quit

1.1.25  portal nas-id-profile

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【视图】

VLAN接口视图

【缺省情况】

未指定NAS-ID Profile

【参数】

profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,131个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。

【描述】

portal nas-id-profile命令用来指定接口的NAS-ID Profile。undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。

需要注意的是,如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,则使用设备名作为NAS-ID。

【举例】

# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile 。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal nas-id-profile aaa

1.1.26  portal max-user

portal max-user命令用来配置Portal最大用户数。

undo portal max-user命令用来恢复缺省情况。

【命令】

portal max-user max-number

undo portal max-user

【缺省情况】

Portal最大用户数不受限制。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-number:允许同时在线的最大Portal用户数。取值范围为1~4294967295。

【使用指导】

·     如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

·     该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。

【举例】

# 配置Portal最大用户数为100。

<Sysname> system-view

[Sysname] portal max-user 100

【相关命令】

·     display portal user

1.1.27  portal outbound-filter enable

portal [ ipv6 ] outbound-filter enable命令用来在接口上开启Portal出方向报文过滤功能。

undo portal [ ipv6 ] outbound-filter enable命令用来在指定接口上关闭Portal出方向报文过滤功能。

【命令】

portal [ ipv6 ] outbound-filter enable

undo portal [ ipv6 ] outbound-filter enable

【缺省情况】

Portal出方向报文的过滤功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6:表示对于接口出方向的IPv6报文过滤。若不指定该参数,则表示对于接口出方向的IPv4报文过滤。

【使用指导】

缺省情况下,开启了Portal认证的接口,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口发送的报文进行严格控制时,可以在接口上开启Portal出方向报文过滤功能。开启该功能后,在使能了Portal认证的接口上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。

【举例】

# 在接口Vlan-interface100上开启Portal出方向报文过滤功能。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal outbound-filter enable

【相关命令】

·     portal enable method

1.1.28  portal roaming enable

portal roaming enable命令用来使能Portal用户漫游功能。

undo portal roaming enable命令用来关闭Portal用户漫游功能。

【命令】

portal roaming enable

undo portal roaming enable

【缺省情况】

Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

·     该命令只对通过VLAN接口上线的Portal用户有效。

·     如果使能了Portal用户漫游功能,则Portal用户上线后可以在使能Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。

·     有用户在线的情况下,不能配置此命令。

【举例】

# 使能Portal用户漫游功能。

<Sysname> system-view

[Sysname] portal roaming enable

1.1.29  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

没有配置任何Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·     display portal server

1.1.30  portal user-detect

portal user-detect命令用来开启IPv4 Portal用户在线探测功能。

undo portal user-detect命令用来恢复缺省情况。

【命令】

portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]

undo portal user-detect

【缺省情况】

接口上的IPv4 Portal用户在线探测功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

type:指定探测报文的类型。

·     arp:表示探测报文的类型为ARP请求。

·     icmp:表示探测报文的类型为ICMP。

retry retries:探测报文发送的次数,即允许探测无响应的次数,取值范围为1~10,缺省3次。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。

interval interval:探测报文发送的间隔,取值范围为1~1200,单位为秒,缺省3秒。

idle time:用户在线探测闲置时长,即闲置多长时间后再发起探测,取值范围为60~3600,单位为秒,缺省180秒。

【使用指导】

·     配置了该功能的设备,通过主动向Portal在线用户定期发送指定类型的探测报文(见user-detect type参数配置)来确认该用户是否在线。具体的探测过程为:若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则向该用户发送探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,重复这个过程。

·     请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。

·     如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文。

【举例】

# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300

【相关命令】

·     display portal interface

1.1.31  portal web-server

portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。

undo portal web-server命令用来删除Portal Web服务器。

【命令】

portal web-server server-name

undo portal web-server server-name

【缺省情况】

没有配置任何Portal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。

【举例】

# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。

<Sysname> system-view

[Sysname] portal web-server wbs

New portal web-server added.

[Sysname-portal-websvr-wbs]

【相关命令】

·     display portal web-server

·     portal apply web-server

1.1.32  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ server server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server,则清除所有Portal认证服务器的报文统计信息。

【举例】

# 清除名字为st上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

【相关命令】

·     display portal packet statistics

1.1.33  server-detect (portal server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来恢复缺省情况。

【命令】

server-detect [ timeout timeout ] log

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:探测超时时间,取值范围10~3600,单位为秒,缺省值为60。

log:设备探测到Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

【使用指导】

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log

【相关命令】

·     portal server

1.1.34  server-detect (portal web-server view)

server-detect命令用来开启Portal Web服务器的可达性探测功能。

undo server-detect命令用来恢复缺省情况。

【命令】

server-detect [ interval interval ] [ retry retries ] log

undo server-detect

【缺省情况】

当前Portal Web服务器的可达性探测功能处于关闭状态。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20。

retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。

log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

【使用指导】

该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。

【举例】

# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送日志信息。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log

【相关命令】

·     portal web-server

1.1.35  tcp-port

tcp-port命令用来配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-serve命令指定的TCP端口号。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指定】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务器视图下指定的侦听端口号保持一致。

配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·     除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务器的TCP端口号不能与知名协议使用的端口号配置一致,如FTP所使用的21;Telnet使用的23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·     不能把使用HTTP协议的本地Portal Web服务器下的TCP端口配置成HTTPS的默认端口号443,反之亦然。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务器侦听的TCP端口不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

·     如果本地Portal Web服务器引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务器使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则使用TCP端口号不能相同。

【举例】

# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

1.1.36  url

url命令用来指定Portal Web服务器的URL。

undo url命令用来删除指定的Portal Web服务器的URL。

【命令】

url url-string

undo url

【缺省情况】

没有指定Portal Web服务器的URL。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。

【举例】

# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url http://www.test.com/portal

【相关命令】

·     display portal web-server

1.1.37  url-parameter

url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。

【命令】

url-parameter param-name { original-url | source-address | source-mac | value expression }

undo url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置,最后配置的生效。

该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.test.com/welcome,则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl= http://www.test.com/welcome。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.test.com/welcome。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] url-parameter userip source-address

[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.test.com/welcome

【相关命令】

·     display portal web-server

·     url

1.1.38  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

undo user-sync命令用来恢复缺省情况。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

当前Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒,缺省值为1200。

【使用指导】

·     只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

·     在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

·     对同一服务器多次执行用户信息同步功能的配置时,新的配置将覆盖原有的配置。

·     对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

·     如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·     portal server

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们