- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-Portal命令
本章节下载: 08-Portal命令 (1.04 MB)
目 录
1.1.1 aaa-fail nobinding enable
1.1.5 app-id (Facebook authentication server view)
1.1.6 app-id (QQ authentication server view)
1.1.7 app-id (WeChat authentication server view)
1.1.8 app-key (Facebook authentication server view)
1.1.9 app-key (QQ authentication server view)
1.1.10 app-key (WeChat authentication server view)
1.1.20 display portal authentication-location
1.1.21 display portal ad-push statistics
1.1.22 display portal auth-error-record
1.1.23 display portal auth-fail-record
1.1.24 display portal captive-bypass statistics
1.1.25 display portal dns free-rule-host
1.1.26 display portal dns redirect-rule-host
1.1.27 display portal extend-auth-server
1.1.28 display portal local-ac-user
1.1.29 display portal local-binding mac-address
1.1.30 display portal logout-record
1.1.31 display portal mac-trigger user
1.1.32 display portal mac-trigger-server
1.1.33 display portal packet statistics
1.1.34 display portal permit-rule statistics
1.1.35 display portal redirect session
1.1.36 display portal redirect session-record
1.1.37 display portal redirect session-statistics
1.1.38 display portal redirect statistics
1.1.40 display portal safe-redirect statistics
1.1.43 display portal user-block
1.1.44 display portal user count
1.1.45 display portal user dhcp-lease
1.1.46 display portal user dhcpv6-lease
1.1.47 display portal web-server
1.1.48 display web-redirect rule
1.1.49 exclude-attribute (MAC binding server view)
1.1.50 exclude-attribute (portal authentication server view)
1.1.54 ip (MAC binding server view)
1.1.55 ip (portal authentication server view)
1.1.56 ipv6 (portal authentication server view)
1.1.57 local-binding aging-time
1.1.66 port (MAC binding server view)
1.1.67 port (portal authentication server view)
1.1.69 portal ad-push embedded
1.1.71 portal ad-push whitelist
1.1.73 portal apply mac-trigger-server
1.1.74 portal apply web-server
1.1.75 portal authentication-location switchto-central-ac
1.1.76 portal auth-error-record enable
1.1.77 portal auth-error-record export
1.1.78 portal auth-error-record max
1.1.79 portal auth-fail-record enable
1.1.80 portal auth-fail-record export
1.1.81 portal auth-fail-record max
1.1.82 portal authorization strict-checking
1.1.83 portal captive-bypass optimize delay
1.1.84 portal client-gateway interface
1.1.85 portal client-traffic-report interval
1.1.86 portal cloud report interval
1.1.91 portal dual-stack enable
1.1.92 portal dual-stack traffic-separate enable
1.1.93 portal enable (interface view)
1.1.94 portal enable (service template view)
1.1.95 portal extend-auth domain
1.1.96 portal extend-auth-server
1.1.97 portal fail-permit server
1.1.98 portal fail-permit web-server
1.1.100 portal free-all except destination
1.1.102 portal free-rule description
1.1.103 portal free-rule destination
1.1.104 portal free-rule source
1.1.105 portal host-check enable
1.1.106 portal idle-cut dhcp-capture enable
1.1.107 portal ipv6 free-all except destination
1.1.108 portal ipv6 layer3 source
1.1.109 portal ipv6 user-detect
1.1.111 portal local-web-server
1.1.112 portal logout-record enable
1.1.113 portal logout-record export
1.1.114 portal logout-record max
1.1.115 portal mac-trigger-server
1.1.118 portal nas-port-id format
1.1.120 portal oauth user-sync interval
1.1.121 portal outbound-filter enable
1.1.122 portal packet log enable
1.1.123 portal redirect log enable
1.1.124 portal redirect max-session per-user
1.1.125 portal redirect-rule destination
1.1.128 portal safe-redirect default-action
1.1.129 portal safe-redirect enable
1.1.130 portal safe-redirect forbidden-keyword
1.1.131 portal safe-redirect forbidden-url
1.1.132 portal safe-redirect method
1.1.133 portal safe-redirect permit-url
1.1.134 portal safe-redirect user-agent
1.1.136 portal temp-pass enable
1.1.137 portal traffic-accounting disable
1.1.138 portal traffic-backup threshold
1.1.139 portal traffic-rate statistics-interval
1.1.140 portal url-param source-address code-base64
1.1.141 portal url-unescape-chars
1.1.142 portal user log enable
1.1.143 portal user-block failed-times
1.1.144 portal user-block reactive
1.1.147 portal user-log traffic-separate
1.1.148 portal user-logoff after-client-offline enable
1.1.149 portal user-logoff ssid-switch enable
1.1.152 portal wifidog user-sync interval
1.1.153 portal { bas-ip | bas-ipv6 }
1.1.154 portal { ipv4-max-user | ipv6-max-user }
1.1.156 reset portal ad-push statistics
1.1.157 reset portal auth-error-record
1.1.158 reset portal auth-fail-record
1.1.159 reset portal captive-bypass statistics
1.1.160 reset portal local-binding mac-address
1.1.161 reset portal logout-record
1.1.162 reset portal packet statistics
1.1.163 reset portal redirect session-record
1.1.164 reset portal redirect session-statistics
1.1.165 reset portal redirect statistics
1.1.166 reset portal safe-redirect statistics
1.1.167 server-detect (portal authentication server view)
1.1.168 server-detect (portal web server view)
1.1.171 server-type (MAC binding server view)
1.1.172 server-type (portal authentication server view/portal web-server view)
1.1.174 subscribe-required enable
1.1.179 user-password modify enable
aaa-fail nobinding enable命令用来配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文触发正常的Portal认证。
undo aaa-fail nobinding enable命令用来恢复缺省情况。
【命令】
aaa-fail nobinding enable
undo aaa-fail nobinding enable
【缺省情况】
若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
用户进行基于MAC地址的快速认证且AAA认证失败后,设备收到认证失败信息会直接将MAC-Trigger表项状态设为未绑定状态,然后对“未绑定”状态的用户直接发起正常的Portal认证,不再到MAC绑定服务器上进行绑定状态查询。
【举例】
# 在MAC绑定服务器mts视图下,配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aaa-fail nobinding enable
【相关命令】
· display portal mac-trigger-server
ad-url命令用来配置广告网址。
undo ad-url命令用来删除广告网址。
【命令】
ad-url url-string [ time-range time-range-name ]
undo ad-url url-string
【缺省情况】
未配置广告网址。
【视图】
广告组视图
【缺省用户角色】
network-admin
【参数】
url-string:广告网址,为1~256个字符的字符串,区分大小写,网址必须以http://开头。
time-range time-range-name:推送广告的时间段名称,time-range-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,不能为all。仅当广告组推送方式为按时间段推送时,必须配置本参数。关于时间段的详细介绍请参见“安全”中的“时间段”。
【使用指导】
一个广告组视图下最多可配置16条广告网址。当广告组推送方式为time-range时,广告网址中必须配置time-range。
同一广告组下每个广告网址配置的time-range不能相同。
【举例】
# 配置广告组test中的广告URL。
<Sysname> system-view
[Sysname] portal ad-url-group test method interval
[Sysname-portal-ad-url-group-test] ad-url http://www.qq.com
[Sysname-portal-ad-url-group-test] ad-url http://www.sina.com
[Sysname-portal-ad-url-group-test] ad-url http://www.baidu.com
【相关命令】
· ad-url-group
ad-url-group命令用来配置广告组中广告网址推送的时间间隔或流量阈值。
undo ad-url-group命令用来恢复缺省情况。
【命令】
ad-url-group { interval interval | traffic-threshold traffic-threshold }
undo ad-url-group
【缺省情况】
广告网址推送的时间间隔为360分钟,广告网址推送的流量阈值为100MB。
【视图】
广告组视图
【缺省用户角色】
network-admin
【参数】
interval interval:推送广告的时间间隔,interval的取值范围为5~1440,单位为分钟,从用户上线开始计时。
traffic-threshold traffic-threshold:推送广告的流量间隔,traffic-threshold的取值范围为1~1024,单位为MB。
【使用指导】
当广告组推送方式为time-range时,本命令不生效;广告网址推送的时间间隔仅适用于按时间推送广告组方式,广告网址推送的流量阈值仅适用于按流量间隔推送广告组方式。
每次达到设置的时间间隔或流量阈值时,设备便向用户推送一次广告,每次按配置顺序推送一个广告页面。
【举例】
# 配置广告组中广告网址推送的时间间隔为100分钟。
<Sysname> system-view
[Sysname] portal ad-url-group test
[Sysname-portal-ad-url-group-test] ad-url-group interval 100
【相关命令】
· ad-url
· portal ad-url-group
aging-time命令用来配置MAC-Trigger表项的老化时间。
undo aging-time命令用来恢复缺省情况。
【命令】
aging-time seconds
undo aging-time
【缺省情况】
MAC-Trigger表项老化时间为300秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。
【使用指导】
开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。
当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。
【举例】
# 指定MAC-Trigger表项老化时间为300秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aging-time 300
【相关命令】
· display portal mac-trigger-server
app-id命令用来配置Facebook认证服务时用户的唯一标识。
undo app-id命令用来恢复缺省情况。
【命令】
app-id app-id
undo app-id
【缺省情况】
未配置Facebook认证服务时用户的唯一标识。
【视图】
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
app-id:用户的唯一标识。
【使用指导】
用户采用Facebook认证服务时,Facebook认证服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。
【举例】
# 配置Facebook认证服务时用户的唯一标识为123456789。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] app-id 123456789
【相关命令】
· display portal extend-auth-server
app-id命令用来配置QQ认证服务时用户的唯一标识。
undo app-id命令用来恢复缺省情况。
【命令】
app-id app-id
undo app-id
【缺省情况】
存在一个预定义的唯一标识。
【视图】
QQ认证服务器视图
【缺省用户角色】
network-admin
【参数】
app-id:用户的唯一标识。
【使用指导】
终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。
【举例】
# 配置QQ认证服务时用户的唯一标识为101235509。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] app-id 101235509
【相关命令】
· display portal extend-auth-server
app-id命令用来配置微信认证服务时用户的唯一标识。
undo app-id命令用来恢复缺省情况。
【命令】
app-id app-id
undo app-id
【缺省情况】
不存在用户的唯一标识。
【视图】
微信认证服务器视图
【缺省用户角色】
network-admin
【参数】
app-id:用户的唯一标识。
【使用指导】
该配置需要与微信公众号中配置的保持一致。
终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。
网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。
进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。
【举例】
# 配置微信认证服务时用户的唯一标识为wx23fb4aaf04b8491e。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat] app-id wx23fb4aaf04b8491e
【相关命令】
· display portal extend-auth-server
app-key命令用来配置app-id对应的密钥。
undo app-key命令用来恢复缺省情况。
【命令】
app-key { cipher | simple } app-key
undo app-key
【缺省情况】
未配置app-id对应的密钥。
【视图】
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥。
app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
用户采用Facebook认证服务时,Facebook服务器会先对用户进行认证和授权,通过后Facebook服务器会向设备发送授权码,然后设备会利用授权码、app-id、app-key在Facebook服务器上验证用户是否已通过认证和授权。
【举例】
# 配置Facebook认证服务的授权登录密钥明文为123。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] app-key simple 123
【相关命令】
· display portal extend-auth-server
app-key命令用来配置app-id对应的密钥。
undo app-key命令用来恢复缺省情况。
【命令】
app-key { cipher | simple } app-key
undo app-key
【缺省情况】
存在app-id对应的密钥。
【视图】
QQ认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥。
app-key:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。
【举例】
# 配置QQ认证服务的授权登录密钥为8a5428e6afdc3e2a2843087fe73f1507。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] app-key simple 8a5428e6afdc3e2a2843087fe73f1507
【相关命令】
· display portal extend-auth-server
app-key命令用来配置app-id对应的密钥。
undo app-key命令用来恢复缺省情况。
【命令】
app-key { cipher | simple } string
undo app-key
【缺省情况】
不存在app-id对应的密钥。
【视图】
微信认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥,该密码将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。
网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。
进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。
【举例】
# 配置app-id对应的密钥为nqduqg4816689geruhq3。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat] app-key simple nqduqg4816689geruhq3
【相关命令】
· display portal extend-auth-server
app-secret命令用来配置微信认证服务使用的APP密码。
undo app-secret命令用来恢复缺省情况。
【命令】
app-secret { cipher | simple } string
undo app-secret
【缺省情况】
未配置微信认证服务使用的APP密码。
【视图】
微信认证服务器视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥,该密码将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
对Portal用户应用本地微信认证强制关注功能时,设备需要将配置的app-id、app-secret发送到微信公众平台获取access-token。当设备收到用户的Portal认证请求时,会用获取的access-token和认证请求中的openId向微信服务器发送请求来获取用户信息,设备通过微信服务器返回的用户信息来判断用户是否关注微信公众号。
网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。进入微信公众号,在左侧导航栏下“微信公众平台->开发->基本配置”页获得access-token。
【举例】
# 配置微信认证服务使用的APP密码为明文的nqduqg4816689geruhq3。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat] app-secret simple nqduqg4816689geruhq3
authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。
undo authentication-timeout命令用来恢复缺省情况。
【命令】
authentication-timeout minutes
undo authentication-timeout
【缺省情况】
设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。
【使用指导】
设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC-Trigger表项。
【举例】
# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10
【相关命令】
· display portal mac-trigger-server
auth-url命令用来配置QQ或Facebook认证服务器的地址。
undo auth-url命令用来删除QQ或Facebook认证服务器的地址。
【命令】
auth-url url-string
undo auth-url
【缺省情况】
QQ认证服务器的地址为https://graph.qq.com。
Facebook认证服务器的地址为https://graph.facebook.com。
【视图】
QQ认证服务器视图
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:QQ或Facebook认证服务器的URL,为1~256个字符的字符串,区分大小写。请确保与QQ认证服务器或Facebook认证服务器的实际地址保持一致。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【举例】
# 配置QQ认证服务器的地址为http://oauth.qq.com。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] auth-url http://oauth.qq.com
# 配置Facebook认证服务器的地址为http://oauth.facebook.com。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] auth-url http://oauth.facebook.com
【相关命令】
· display portal extend-auth-server
binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。
undo binding-retry命令用来恢复缺省情况。
【命令】
binding-retry { retries | interval interval } *
undo binding-retry
【缺省情况】
设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
retries:最大尝试次数,取值范围为1~10。
interval interval:查询时间间隔,取值范围为1~60,单位为秒。
【使用指导】
如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60
【相关命令】
· display portal mac-trigger-server
captive-bypass enable命令用来开启Portal被动Web认证功能。
undo captive-bypass enable命令用来关闭Portal被动Web认证功能。
【命令】
captive-bypass [ android | ios [ optimize ] ] enable
undo captive-bypass [ android | ios [ optimize ] ] enable
【缺省情况】
Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
android:开启Android用户Portal被动Web认证功能。
ios:开启iOS用户Portal被动Web认证功能。
optimize:开启Portal被动Web认证的优化功能。
【使用指导】
iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。
Portal被动Web认证优化功能仅针对iOS移动终端有效,当iOS移动终端接入网络后会自动弹出Portal认证页面,在不认证的情况下,按home键返回桌面时Wi-Fi连接不会断开。
同一时间只能对一种用户开启Portal被动Web认证功能,新配置将覆盖已有配置。
若未指定任何参数,则表示对所有用户开启Portal被动Web认证功能。
【举例】
# 开启Portal被动Web认证功能。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] captive-bypass enable
# 开启iOS用户的Portal被动Web认证优化功能。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] captive-bypass ios optimize enable
# 开启Android用户的Portal被动Web认证功能。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] captive-bypass android enable
【相关命令】
· display portal captive-bypass statistics
· display portal web-server
cloud-binding enable命令用来开启Portal云端MAC-Trigger认证功能。
undo cloud-binding enable命令用来关闭Portal云端MAC-Trigger认证功能。
【命令】
cloud-binding enable
undo cloud-binding enable
【缺省情况】
Portal云端MAC-Trigger认证功能处于关闭状态。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行云端Portal认证时,只需要在第一次认证时输入用户名和密码,后面再进行认证时无需手工输入认证信息便可以自动完成Portal认证,此时,云端服务器作为Portal认证服务器、Portal Web服务器和MAC绑定服务器。
【举例】
# 在MAC绑定服务器mts视图下,开启Portal云端MAC-Trigger认证功能。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-binding enable
【相关命令】
· display portal mac-trigger-server
cloud-server url命令用来指定云端Portal认证服务器URL。
undo cloud-server url命令用来恢复缺省情况。
【命令】
cloud-server url url-string
undo cloud-server url
【缺省情况】
未指定云端Portal认证服务器URL,设备采用Portal Web服务器下配置的URL。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:云端Portal认证服务器URL,为1~256个字符的字符串,区分大小写,必须以http://或者https://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
在云端Portal认证中,Portal Web服务器下配置的URL通常为云端服务器的URL。当用户需要使用其它Portal Web服务器向用户推送Web页面时,建议配置本命令,从而使Portal Web服务器与云端Portal认证服务器分开。
【举例】
# 在MAC绑定服务器mts视图下,指定云端Portal认证服务器URL为http://lvzhou.h3c.com。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-server url http://lvzhou.h3c.com
【相关命令】
· display portal mac-trigger-server
default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。
undo default-logon-page命令用来恢复缺省情况。
【命令】
default-logon-page file-name
undo default-logon-page
【缺省情况】
本地Portal Web服务提供缺省的认证页面文件defaultfile.zip。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。
指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。
【举例】
# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip
【相关命令】
· portal local-web-server
display portal命令用来显示Portal配置信息和Portal运行状态信息。
【命令】
display portal { ap ap-name [ radio radio-id ] | interface interface-type interface-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有Portal配置信息和运行状态信息。ap-name表示AP的名称,为1~64个字符的字符串,区分大小写,可以包含字母、数字、下划线、[、]、/及-。
radio radio-id:显示接入指定射频的Portal配置信息和运行状态信息。radio-id表示射频编号,取值范围与AP型号有关。若不指定本参数,则表示显示接入该AP下所有射频的Portal配置信息和运行状态信息。
interface-type interface-number:表示接口类型和接口编号。
【举例】
# 显示ap1下的Portal配置信息。
<Sysname> display portal ap ap1
Portal information of ap1
Radio ID: 1
SSID: portal
Authorization : Strict checking
ACL : Disable
User profile : Disable
Dual stack : Disabled
Dual IP : Disabled
Dual traffic-separate: Disabled
Advertisement push: Enabled
Embedded advertisement: Enabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: wbs(active)
Secondary portal Web server: wbs sec
Portal mac-trigger-server: mts
Authentication domain: my-domain
Extend-auth domain: def
User-dhcp-only: Enabled
Max portal users: 1024
Bas-ip: 2.2.2.2
Portal temp-pass: Disabled
Action for sever detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.0.0
Advertisement push url-group: test
IPv6:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: wbsv6(active)
Secondary portal Web server: Not configured
Authentication domain: my-domain
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Max portal users: 512
Bas-ipv6: 2000::1
Portal temp-pass: Disabled
Action for sever detection:
Server type Server name Action
Web server wbsv6 fail-permit
Portal server ptsv6 fail-permit
Destination authentication subnet:
IP address Prefix length
3000::1 64
Advertisement push url-group: test
# 显示VLAN接口下的Portal配置信息。
<Sysname> display portal interface Vlan-interface 30
Portal information of Vlan-interface30
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disable
User profile : Disable
Dual stack : Disabled
Dual IP : Disabled
Dual traffic-separate: Disabled
Advertisement push: Enabled
Embedded advertisement: Enabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: pt(active)
Secondary portal Web server: wbs sec
Authentication domain: test
Extend-auth domain: def
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: Not configured
User detection: Not configured
Portal temp-pass: Enabled, Period: 30s
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authentication subnet:
IP address Mask
Advertisement push URL: http://192.168.56.3/welcome Traffic:10MB
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Advertisement push URL: http://[2000::1]/welcome Traffic:10MB
表1-1 display portal interface命令显示信息描述表
|
字段 |
描述 |
|
Portal information of interface |
接口上的Portal信息 |
|
Radio ID |
射频ID |
|
SSID |
服务集标识符 |
|
NAS-ID profile |
接口上引用的NAS-ID profile |
|
Authorization |
服务器下发给Portal用户的授权信息类型,包括ACL和User profile |
|
Strict checking |
Portal授权信息的严格检查模式是否开启 |
|
Dual stack |
接口上Portal双栈模式的运行状态,包括以下取值: · Disabled:Portal双栈模式未开启 · Enabled:Portal双栈模式已开启 |
|
Dual IP |
单栈用户远程Portal认证时同时携带IPv4和IPv6地址功能,包括以下取值: · Disabled:单栈用户远程Portal认证时同时携带IPv4和IPv6地址功能未开启 · Enabled:单栈用户远程Portal认证时同时携带IPv4及IPv6地址功能已开启 |
|
Dual traffic-separate |
接口上Portal双栈流量分开统计功能,包括以下取值: · Disabled:Portal双栈流量分开统计功能未开启 · Enabled:Portal双栈流量分开统计功能已开启 |
|
Advertisement-push |
Portal推送广告功能状态,取值包括: · Disabled:关闭推送广告功能 · Enabled:开启推送广告功能 |
|
Embedded advertisement |
内嵌广告模式状态,取值包括: · Disabled:关闭内嵌广告模式 · Enabled:开启内嵌广告模式 |
|
IPv4 |
IPv4 Portal的相关信息 |
|
IPv6 |
IPv6 Portal的相关信息 |
|
Portal status |
接口上Portal认证的运行状态,包括以下取值: · Disabled:Portal认证未开启 · Enabled:Portal认证已开启 · Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放 |
|
Portal authentication method |
接口上配置的认证方式,包括以下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
|
Portal Web server |
接口上配置的主Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
|
Secondary portal Web server |
接口上配置的备份Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
|
Portal mac-trigger-server |
接口上配置MAC绑定服务器的名称 |
|
Authentication domain |
接口上的Portal强制认证域 |
|
Extend-auth domain |
接口上或无线服务模板上配置的第三方认证域 |
|
User-dhcp-only |
仅允许通过DHCP方式获取IP地址的客户端上线功能 · Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线 · Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线 |
|
Max portal users |
接口上配置的最大用户数 |
|
Bas-ip |
发送给Portal认证服务器的Portal报文的BAS-IP属性 |
|
Bas-ipv6 |
发送给Portal认证服务器的Portal报文的BAS-IPv6属性 |
|
User detection |
接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间 |
|
Portal temp-pass |
临时放行功能状态 · Enabled:开启 · Disabled:关闭 · Period:临时放行时间。此字段仅在临时放行功能开启时显示 |
|
Action for server detection |
服务器可达性探测功能对应的端口控制配置: · Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器 · Server name:服务器名称 · Action:是否开启服务器不可达时的Portal用户逃生功能。fail-permit表示开启了服务器不可达时的Portal用户逃生功能 |
|
Layer3 source network |
Portal源认证网段信息 |
|
Destination authentication subnet |
Portal目的认证网段认证信息 |
|
IP address |
Portal认证网段的IP地址 |
|
Mask |
Portal认证网段的子网掩码 |
|
Prefix length |
Portal IPv6认证网段的地址前缀长度 |
|
Advertisement push URL |
推送给Portal用户的广告网址以及推送方式: · Interval:基于时间间隔推送广告,单位为分钟 · Traffic:基于流量推送广告,单位为MB · Time-range:基于时间段推送广告 |
|
Advertisement push url-group |
推送给Portal用户的广告组名称 |
display portal authentication-location命令用来显示Portal认证位置。
【命令】
display portal authentication-location
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
本命令仅在Local AC上生效。
【举例】
# 显示Portal认证位置。
<Sysname> display portal authentication-location
Portal authentication-location: Local
表1-2 display portal authentication-location命令显示信息描述表
|
字段 |
描述 |
|
Portal authentication-location |
Portal认证位置: · Local:Portal认证位置为本机 · Remote:Portal认证位置为其它设备 |
【相关命令】
· portal authentication-location switchto-central-ac
display portal ad-push statistics命令用来显示Portal推送广告统计信息。
【命令】
display portal ad-push statistics { ad-url-group | url }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ad-url-group:表示基于广告组显示广告推送统计信息。
url:表示基于URL地址显示广告推送统计信息。
【举例】
# 显示按URL推送广告的统计信息。
<Sysname> display portal ad-push statistics url
PV = Page View IP = IP UV = Unique Visitor
URL PV IP UV
www.sina.com.cn 10 5 5
www.baidu.com.cn 1 1 1
# 显示按广告组推送广告的统计信息。
<Sysname> display portal ad-push statistics ad-url-group
PV = Page View IP = IP UV = Unique Visitor
URL-group name: group1
URL PV IP UV
www.sina.com.cn 1 1 1
www.dianying.com 2 1 1
URL-group name: group2
URL PV IP UV
www.sina.com.cn 1 1 1
www.qq.com 2 1 1
表1-3 display portal ad-push statistics命令显示信息描述表
|
字段 |
描述 |
|
Url-group name |
广告组名 |
|
URL |
广告地址 |
|
PV |
页面浏览量,即用户访问页面的次数,页面每刷新一次便计一次PV值 |
|
IP |
独立IP,即访问某个网页的不同IP地址的人数 |
|
UV |
独立访客,即访问某个网页的实际用户数 |
【相关命令】
· reset portal ad-push statistic
display portal auth-error-record命令用来显示用户Portal认证异常记录。
【命令】
display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有的Portal认证异常记录。
ipv4 ipv4-address:显示指定IPv4地址的用户的Portal认证异常记录。
ipv6 ipv6-address:显示指定IPv6地址的用户的Portal认证异常记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为HH:MM,取值范围为00:00~23:59。
【举例】
# 显示所有的Portal认证异常记录。
<Sysname> display portal auth-error-record all
Total authentication error records: 2
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth error time : 2016-03-04 16:49:07
Auth error reason : The maximum number of users already reached.
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
AP : ap1
SSID : byod
Auth error time : 2016-03-04 16:51:07
Auth error reason : The maximum number of users already reached.
# 显示IP地址为192.168.0.188的用户的Portal认证异常记录。
<Sysname> display portal auth-error-record ip 192.168.0.188
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth error time : 2016-03-04 16:49:07
Auth error reason : The maximum number of users already reached.
# 显示IPv6地址为2000::2的用户的Portal认证异常记录。
<Sysname> display portal auth-error-record ipv6 2000::2
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 2000::2
AP : ap1
SSID : byod
Auth error time : 2016-03-04 16:49:07
Auth error reason : The maximum number of users already reached.
# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证异常记录。
<Sysname> display portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth error time : 2016-03-04 14:22:25
Auth error reason : The maximum number of users already reached.
表1-4 display portal auth-error-record命令显示信息描述表
|
字段 |
描述 |
|
Total authentication error records |
Portal认证异常记录总数 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
AP |
AP名称 |
|
SSID |
客户端关联的SSID |
|
Auth error time |
用户Portal认证异常时间,格式为YYYY-MM-DD hh:mm:ss |
|
Auth error reason |
用户Portal认证异常原因,取值包括: · The maximum number of users already reached.:用户数达上限 · Failed to obtain user physical information.:获取物理信息失败 · Failed to receive the packet because packet length is 0.:接收报文失败,报文长度为0 · Packet source unknown. Server IP:X.X.X.X, VRF index:0:报文源未知。服务器IP地址:X.X.X.X,VRF索引:0 · Packet validity check failed because packet length and version don't match.:报文长度和版本不匹配导致报文有效性检查失败 · Packet type invalid.:报文类型不合法 · Packet validity check failed due to invalid authenticator.:无效的验证字导致报文有效性检查失败 · Memory insufficient.:内存不足 · Portal is disabled on the interface.:接口上未开启Portal功能 · The maximum number of users on the interface already reached.接口上用户数已达上限 · Failed to get the access token of the cloud user.云Portal用户上线时获取令牌失败 · Failed to get the user information of the cloud user.云Portal用户上线时获取用户信息失败 · Failed to get the access token of the QQ user.QQ用户上线时获取令牌失败 · Failed to get the openID of the QQ user.QQ用户上线时获取openid失败 · Failed to get the user information of the QQ user.QQ用户上线时.获取用户信息失败 · Email authentication failed.邮箱认证失败 · Failed to get the access token of the Facebook user:Facebook用户上线时获取令牌失败 · Failed to get the user information of the Facebook user:Facebook用户上线时获取用户信息失败 · Invalid JSON format of the access token for the cloud user:云Portal用户令牌消息中的json数据格式错误 · Invalid JSON format of the user information for the cloud user:云Portal用户用户信息消息中的json数据格式错误 · Failed to get the user information of the local WeChat user:本地微信用户上线时获取用户信息失败 · Invalid access token or App secret:非法的令牌或者APP密钥 · Access token expired:令牌过期 · Invalid App ID:非法的appid · Invalid device IP. The IP is not in the whitelist of the WeChat platform:设备IP在微信平台上为非法IP · API unauthorized:API接口未授权 · The WeChat user does not follow the WeChat official account:本地微信用户未关注微信公众号 · Failed to create the user because VSRP was down on the interface:VSRP接口down导致创建用户失败 · Connection to the cloud server timed out:连接云端服务器超时 · Failed to connect to the cloud server:连接云端服务器失败 · Failed to get curl resource to request cloud access token:请求云端令牌时,获取curl资源失败 · Failed to get curl resource to request cloud user information:请求云端用户信息时,获取curl资源失败 · Other connection error:其它连接错误 · No parameters found in the authentication request:认证请求中未找到认证参数 · Missing authentication parameters such as code, auth-type, portal_server:缺少认证参数,例如code、auth-type、portal_server · Cloud user information retrieval timed out:获取云端用户的用户信息超时 · Local WeChat user information retrieval timed out:获取本地微信用户的用户信息超时 · Failed to create the PAM handle:创建PAM句柄失败 · Failed to set PAM items for authentication:认证时设置PAM属性失败 · NasPortType is wireless:NasPortType类型为wireless · Packet validity check failed because of invalid packet mode:无效的认证类型导致报文有效性检查失败 · The user doesn't follow the WeChat official account. Returned 200 OK.:用户未关注微信公众号,直接返回200ok · User log on while the device is requesting the access token:设备在请求令牌时用户上线 · No matching local MAC-trigger binding entry:未找到本地MAC-Trigger绑定表项 · Failed to update the local MAC-trigger rule:本地MAC-Trigger表项更新失败 · Failed to get physical info by IP. Ignored the new MAC event:通过IP地址获取不到用户物理信息,忽略未知源MAC事件 · Updated the state of the MAC-trigger rule to no bind when authentication failed:认证失败时,更新MAC-Trigger表项为未绑定 · Failed to get binding info for the user from the MAC-trigger server:在MAC-Trigger服务器上查找用户绑定信息失败 · No matching binding info for the user from the MAC-trigger server:在MAC-Trigger服务器上未查找到用户绑定信息 · Failed to update the MAC-trigger rule when processing ACK-MAC-BIND:处理ACK-MAC-BIND消息时,更新MAC-Trigger表项失败 · Failed to receive a packet from the portal server:未收到Portal server的报文 |
【相关命令】
· portal auth-error-record enable
· reset auth-error-record
display portal auth-fail-record命令用来显示用户Portal认证失败记录。
【命令】
display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有的Portal认证失败记录。
ipv4 ipv4-address:显示指定IPv4地址用户的Portal认证失败记录。
ipv6 ipv6-address:显示指定IPv6地址用户的Portal认证失败记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:显示指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 显示所有的Portal认证失败记录。
<Sysname> display portal auth-fail-record all
Total authentication fail records: 2
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
User name : coco
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 16:50:07
Auth failure reason : Authorization information does not exist.
# 显示IP地址为192.168.0.8的Portal用户认证失败记录。
<Sysname> display portal auth-fail-record ip 192.168.0.188
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
# 显示IPv6地址为2000::2的Portal用户认证失败记录。
<Sysname> display portal auth-fail-record ipv6 2000::2
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 2000::2
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
# 显示用户名为chap1的Portal用户认证失败记录。
<Sysname> display portal auth-fail-record username chap1
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 16:49:07
Auth failure reason : Authorization information does not exist.
# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal认证失败记录。
<Sysname> display portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.188
AP : ap1
SSID : byod
Auth failure time : 2016-03-04 14:22:25
Auth failure reason : Authorization information does not exist.
表1-5 display portal auth-fail-record命令显示信息描述表
|
字段 |
描述 |
|
Total authentication fail records |
Portal认证失败记录总数 |
|
User name |
Portal用户的用户名 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
AP |
AP名称 |
|
SSID |
客户端关联的SSID |
|
Auth failure time |
用户Portal认证失败时间,格式为YYYY/MM/DD hh:mm:ss |
|
Auth failure reason |
用户Portal认证失败原因,取值包括: · Failed to get physical information:获取物理信息失败 · ACL does not exist:ACL不存在 · User profile does not exist:User Profile不存在 · Group profile does not exist:Session Group Profile不存在 · ACL authorization failed:ACL授权失败 · QoS deployment failed on LIP:QoS下发失败 · User profile deployment failed on LIP:User Profile下发失败 · Group profile deployment failed on LIP:Session Group Profile下发失败 · User car deployment failed on LIP:CAR下发失败 · AAA authorization failed:AAA授权失败 · Failed to get valid authorization information from AAA:从AAA获取授权信息失败 · AAA accounting failed:AAA计费失败 · AAA authentication failed:AAA认证失败 · AAA returned an error:AAA返回错误 · Failed to set PAM items for authentication:认证时设置PAM属性失败 · AAA server unreachable:AAA服务器不可达 |
【相关命令】
· portal auth-fail-record enable
· reset portal auth-fail-record
display portal captive-bypass statistics命令用来显示Portal被动Web认证功能的报文统计信息。
【命令】
display portal captive-bypass statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示Portal被动Web认证功能的报文统计信息。
<Sysname> display portal captive-bypass statistics
User type Packets
iOS: 1
Android: 0
表1-6 display portal captive-bypass statistics命令显示信息描述表
|
字段 |
描述 |
|
User type |
用户类型,取值为: · iOS · Android |
|
Packets |
向用户发送Portal被动Web认证功能报文的数目 |
【相关命令】
· captive-bypass enable
display portal dns free-rule-host命令用来显示基于目的的Portal免认证规则中的主机名对应的IP地址。
【命令】
display portal dns free-rule-host [ host-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“ip”和“ipv6”。如果未指定本参数,则表示显示所有基于目的的Portal免认证规则中的主机名对应的IP地址。
【举例】
# 显示基于目的的Portal免认证规则中主机名www.baidu.com对应的IP地址。
<Sysname> display portal dns free-rule-host www.baidu.com
Host name IP
www.baidu.com 10.10.10.10
# 显示基于目的的Portal免认证规则中主机名*abc.com对应的IP地址。
<Sysname> display portal dns free-rule-host *abc.com
Host name IP
*abc.com 12.12.12.12
111.8.33.100
3.3.3.3
表1-7 display portal dns free-rule-host命令显示信息描述表
|
字段 |
描述 |
|
Host name |
基于目的的Portal免认证规则配置的主机名 |
|
IP |
根据主机名解析的IP地址 |
display portal dns redirect-rule-host命令用来显示基于目的的Portal强制重定向规则中的主机名对应的IP地址。
【命令】
display portal dns redirect-rule-host [ host-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”。如果未指定本参数,则表示显示所有基于目的的Portal强制重定向规则中的主机名对应的IP地址。
【使用指导】
如果配置了匹配主机名的强制重定向规则,设备会对主机名进行域名解析,通过本命令可以显示基于目的的Portal强制重定向规则中的主机名对应的IP地址。设备最多保存16个解析后的IPv4地址和16个解析后的IPv6地址。如果超过最大保存条数,则新解析的地址将覆盖旧地址。
【举例】
# 显示基于目的的Portal强制重定向规则中主机名www.baidu.com对应的IP地址。
<Sysname> display portal dns redirect-rule-host www.baidu.com
Host name IP
www.baidu.com 10.10.10.10
# 显示基于目的的Portal强制重定向规则中主机名www.abc.com对应的IP地址。
<Sysname> display portal dns redirect-rule-host www.abc.com
Host name IP
www.abc.com 12.12.12.12
111.8.33.100
3.3.3.3
# 显示所有基于目的的Portal强制重定向规则中的主机名对应的IP地址。
<Sysname> display portal dns redirect-rule-host
Host name IP
www.baidu.com 10.10.10.10
www.abc.com 12.12.12.12
111.8.33.100
3.3.3.3
表1-8 display portal dns redirect-rule-host命令显示信息描述表
|
字段 |
描述 |
|
Host name |
主机名 |
|
IP |
根据主机名解析的IP地址 |
【相关命令】
· portal redirect-rule destination
display portal extend-auth-server命令用来显示第三方认证服务器信息。
【命令】
display portal extend-auth-server { all | facebook | mail | qq | wechat }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有第三方认证服务器信息。
facebook:显示Facebook认证服务器信息。
mail:显示邮箱认证服务器信息。
qq:显示QQ认证服务器信息。
wechat:显示微信认证服务器信息。
【举例】
# 显示所有第三方认证服务器信息。
<Sysname> display portal extend-auth-server all
Portal extend-auth-server: qq
Authentication URL : http://graph.qq.com
APP ID : 101235509
APP key : ******
Redirect URL : http://oauthindev.h3c.com/portal/qqlogin.html
Portal extend-auth-server: mail
Mail protocol : POP3
Mail domain name : @qq.com
Portal extend-auth-server: wechat
App ID : wx23fb4aaf04b8491e
App key : ******
App secret : ******
Subscribe-required : Enabled
Shop ID : 6747662
Portal extend-auth-server: facebook
Authentication URL : https://graph.facebook.com
APP ID : 123456789
APP key : ******
Redirect URL : http://oauthindev.h3c.com/portal/fblogin.html
表1-9 display portal extend-auth-server命令显示信息描述表
|
字段 |
描述 |
|
Portal extend-auth-server |
第三方认证服务器的类型 |
|
Authentication URL |
第三方认证服务器的地址 |
|
APP ID |
第三方认证服务用户的唯一标识 |
|
APP key |
第三方认证服务app-id对应的密钥 |
|
APP secret |
微信本地认证获取access-token时需要的密钥 |
|
Subscribe-required |
微信本地认证强制关注功能状态: · Enabled:开启 · Disabled:关闭 |
|
Redirect URL |
第三方认证成功之后的重定向地址 |
|
Mail protocol |
邮箱认证服务支持的协议类型 |
|
Mail domain name |
邮箱认证服务支持的邮箱类型 |
|
Shop ID |
微信认证服务时设备所在门店的唯一标识 |
【相关命令】
· portal extend-auth-server
display portal local-ac-user命令用来在Central AC上显示通过Local AC的Portal认证上线用户的信息。
【命令】
display portal local-ac-user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address | local-ac local-ac-name | username username }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有通过Local AC认证上线的Portal用户信息。
ip ipv4-address:显示指定IPv4地址的Portal用户信息。
ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。
mac mac-address:显示指定MAC地址的Portal用户信息,mac-address的格式为H-H-H。
local-ac local-ac-name:显示从指定名字的Local AC认证上线的所有Portal用户信息。local-ac-name为1~64个字符的字符串,不区分大小写。
username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。
【使用指导】
在分层AC组网环境中,本命令用来在Central AC上查看所管理的Local AC上的通过Portal认证上线的用户信息。请先配置portal host-check enable命令在Central AC上开启Portal功能,再使用本命令进行查看。
本命令可以在Local AC上执行,但不会显示任何用户信息,可通过display portal user命令在Local AC上查看Portal用户的相关信息。关于display portal user的详细介绍,请参见“用户接入与认证命令参考”中的“Portal”。
【举例】
# 显示所有通过Local AC认证上线的Portal用户信息。
<Sysname> display portal local-ac-user all
Total portal users: 3
Username: abc
IP address: 1.1.1.1
MAC address: 000d-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
Username: abd
IP address: 1.1.1.2
MAC address: 00fd-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
Username: def
IP address: 1.1.1.3
MAC address: 000d-88f8-0ecd
Interface: GigabitEthernet1/0/1
Local AC name: local2
Local AC IP address: 2.2.2.3
# 显示IP地址为1.1.1.1的Portal用户信息。
<Sysname> display portal local-ac-user ip 1.1.1.1
Username: abc
IP address: 1.1.1.1
MAC address: 000d-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
# 显示IPv6地址为200::2的Portal用户信息。
<Sysname> display portal local-ac-user ipv6 200::2
Username: af
IPv6 address: 200::2
MAC address: 000d-88f5-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
# 显示MAC地址为000d-88f8-0eab的Portal用户信息。
<Sysname> display portal local-ac-user mac 000d-88f8-0eab
Username: abc
IP address: 1.1.1.1
MAC address: 000d-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
# 显示通过名称为local1的Local AC认证的Portal用户信息。
<Sysname> display portal local-ac-user local-ac local1
Total portal users: 2
Username: abc
IP address: 1.1.1.1
MAC address: 000d-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
Username: def
IP address: 1.1.1.2
MAC address: 000d-88f8-0ecd
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
# 显示用户名为abc的Portal用户信息。
<Sysname> display portal local-ac-user username abc
Username: abc
IP address: 1.1.1.1
MAC address: 000d-88f8-0eab
Interface: GigabitEthernet1/0/1
Local AC name: local1
Local AC IP address: 2.2.2.2
表1-10 display portal local-ac-user命令显示信息描述表
|
字段 |
描述 |
|
Total portal users |
Local AC上的Portal用户总数 |
|
Username |
Portal认证用户的用户名 |
|
IP address |
Portal认证用户的IP地址 |
|
MAC address |
Portal认证用户的MAC地址 |
|
Interface |
Local AC上用于Portal认证的接口名称 |
|
Local AC name |
Local AC名称 |
|
Local AC IP address |
Local AC的IP地址 |
【相关命令】
· display portal user
display portal local-binding mac-address命令用来显示本地MAC-Trigger绑定表项信息。
【命令】
display portal local-binding mac-address { mac-address | all }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
mac-address:用户的MAC地址,格式为H-H-H。
all:显示本地MAC-Trigger绑定表项的所有信息。
【举例】
# 显示本地MAC-Trigger绑定表项中的所有信息。
<Sysname> display portal local-binding mac-address all
Total MAC addresses: 5
MAC address Username Aging(hh:mm:ss)
0015-e9a6-7cfe wlan_user1 00:41:38
0000-e27c-6e80 wlan_user2 00:41:38
000f-e212-ff01 wlan_user3 00:41:38
001c-f08f-f804 wlan_user4 00:41:38
000f-e233-9000 wlan_user5 00:41:38
# 显示本地MAC-Trigger表项中MAC地址为0015-e9a6-7cfe的信息。
<Sysname> display portal local-binding mac-address 0015-e9a6-7cfe
Total MAC addresses: 1
MAC address Username Aging(hh:mm:ss)
0015-e9a6-7cfe wlan_user1 00:41:38
表1-11 display portal local-binding mac-address命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
MAC地址,格式为H-H-H |
|
Username |
用户名 |
|
Aging |
剩余老化时间 |
【相关命令】
· local-binding enable
display portal logout-record命令用来显示Portal用户的下线记录。
【命令】
display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有用户的下线记录。
ipv4 ipv4-address:显示指定IPv4地址用户的下线记录。
ipv6 ipv6-address:显示指定IPv6地址用户的下线记录。
start-time start-date start-time end-time end-date end-time:显示指定时间段内用户的下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:显示指定用户名的用户下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 显示所有Portal用户的下线记录。
<Sysname> display portal logout-record all
Total logout records: 2
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
AP : ap1
SSID : byod
User login time : 2016-03-04 14:20:19
User logout time : 2016-03-04 14:22:05
Logout reason : Admin Reset
User name : coco
User MAC : 0016-ecb7-a235
Interface : Vlan-interface100
User IP address : 192.168.0.10
AP : ap1
SSID : byod
User login time : 2016-03-04 14:10:15
User offline time : 2016-03-04 14:22:05
Offline reason : Admin Reset
# 显示IP地址为192.168.0.8的用户下线记录。
<Sysname> display portal logout-record ip 192.168.0.8
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
AP : ap1
SSID : byod
User login time : 2016-03-04 14:26:12
User logout time : 2016-03-04 14:27:35
Logout reason : Admin Reset
# 显示用户名为chap1的用户下线记录。
<Sysname> display portal logout-record username chap1
User name : chap1
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
AP : ap1
SSID : byod
User login time : 2016-03-04 17:20:19
User logout time : 2016-03-04 17:22:05
Logout reason : Admin Reset
# 显示从2016/3/4 14:20到2016/3/4 14:23内的Portal用户下线记录。
<Sysname> display portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 14:23
User name : test@abc
User MAC : 0016-ecb7-a879
Interface : Vlan-interface100
User IP address : 192.168.0.8
AP : ap1
SSID : byod
User login time : 2016-03-04 14:20:19
User logout time : 2016-03-04 14:22:05
Logout reason : Admin Reset
表1-12 display portal logout-record命令显示信息描述表
|
字段 |
描述 |
|
Total logout records |
Portal用户下线记录总数 |
|
User name |
Portal用户的用户名 |
|
User MAC |
Portal用户的MAC地址 |
|
Interface |
Portal用户接入的接口 |
|
User IP address |
Portal用户的IP地址 |
|
AP |
AP名称 |
|
SSID |
客户端关联的SSID |
|
User login time |
用户上线时间,即用户授权成功的时间,格式为YYYY-MM-DD hh:mm:ss |
|
User logout time |
Portal用户的下线时间,格式为YYYY-MM-DD hh:mm:ss |
|
Logout reason |
Portal用户的下线原因,取值包括: · User request:用户正常请求下线 · DHCP entry deleted:DHCP表项被删除 · Idle timeout:闲置超时 · Session timeout:会话超时 · User detection failure:用户在线探测失败 · Force logout by RADIUS server:RADIUS服务器强制用户下线 · Interface down:接入接口状态为Down · Failed to assign a user rule:用户规则下发失败 · Authorization info changed:在线用户授权信息变更,例如授权ACL、授权User Profile被删除 · Force logout by access device:设备强制用户下线 · User info synchronization failure:设备和服务器同步用户信息失败 · User recovery failure:恢复用户信息失败 · Authorization ACL for the online user changed:在线用户的授权ACL内容更改 · Authorization user profile for the online user changed:在线用户的授权User Profile内容更改 · Accounting update failure:用户计费更新失败 · Failed to start accounting:用户计费开始失败 · User traffic reached threshold:用户的流量达到了服务器上设置的流量阈值 · Authorization VPN instance deleted:授权VPN实例被删除 · Authorization ACL does not exist:授权ACL不存在 · Failed to get physical info:获取用户的物理信息失败 · Failed to add an ARP or ND entry for the user:添加用户的ARP或者ND表项失败 · User information does not match user profile:用户与授权User Profile不匹配 · Authorization user profile does not exist:授权User Profile不存在 · Failed to issue the user rule to the AP:下发用户规则到AP失败 · Deleted the user for SSID switchover:用户切换SSID时下线 · Failed to issue an OpenFlow rule to the AP:向AP下发Openflow规则失败 · Logged out the user after the wireless client disconnected:无线客户端断开无线连接后,Portal用户下线 · Logged out the user when a new user with the same MAC address performed MAC-trigger authentication:用户进行无感知认证时,发现已经有相同MAC的用户在线,老用户下线 · Logged out the user when a new dual-stack user with the same MAC address came online:双栈用户上线时,发现已经有相同MAC的用户在线,老用户下线 · The portal server failed to instruct the device to change the user IP address:Portal服务器通知设备修改用户IP失败 · Authorization VPN instance does not exist:授权VPN实例不存在 · Portal failed to cooperate with NAT444:为Portal用户分配NAT444资源失败 · Portal-NAT444 cooperation not supported:设备不支持NAT444用户上线 · DHCP received a DHCP release packet:DHCP release触发下线 · DHCP lease expired:DHCP租期超时 · DHCP received a DHCP release packet from the WLAN roaming center:WLAN漫游中心通知DHCP release触发下线 · WLAN roaming center instructed portal to log out the user:WLAN漫游中心通知下线 · Logged out the user after user synchronization through WiFiDog:Wifidog协议用户信息同步后下线 · The cloud portal server instructed portal to log out the user:云端通知用户下线 |
【相关命令】
· portal logout-record enable
· reset portal logout-record
display portal mac-trigger user命令用来显示基于MAC地址的快速认证的用户信息。
【命令】
display portal mac-trigger user { all | ip ipv4-address | mac mac-address }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于MAC地址的快速认证的用户信息。
ip ipv4-address:显示指定IP地址的基于MAC地址快速认证的用户信息。
mac mac-address:显示指定MAC地址的基于MAC地址快速认证的用户信息。格式为H-H-H。
【举例】
# 显示所有基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user all
Total portal mac-trigger users: 8
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-732a 1.1.1.6 1 Vlan-interface1 0 NOBIND
0050-ba50-7328 1.1.1.4 1 Vlan-interface1 0 NOBIND
0050-ba50-7326 1.1.1.2 1 Vlan-interface1 0 NOBIND
0050-ba50-732c 1.1.1.8 1 Vlan-interface1 0 NOBIND
0050-ba50-7329 1.1.1.5 1 Vlan-interface1 0 NOBIND
# 显示MAC地址为0050-ba50-7777的基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user mac 0050-ba50-7777
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-777 1.1.5.83 1 Vlan-interface1 0 NOBIND
# 显示IP地址为1.1.2.126的基于MAC地址快速认证的用户信息。
<Sysname> display portal mac-trigger user ip 1.1.2.126
MAC address IP address VLAN ID Interface Traffic(Bytes) State
0050-ba50-74a2 1.1.2.126 1 Vlan-interface1 0 NOBIND
表1-13 display portal mac-trigger user命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
用户的MAC地址 |
|
IP address |
用户的IP地址 |
|
VLAN ID |
用户所在的VLAN |
|
Interface |
用户接入的接口 |
|
Traffic(Bytes) |
用户的当前流量,单位为字节 |
|
State |
用户的当前状态,包括以下取值: · DEFAULT:免认证流量状态 · WAIT:MAC地址和用户认证信息绑定查询等待状态 · NOBIND:MAC地址和用户认证信息未绑定状态 · BIND:MAC地址和用户认证信息已绑定状态 · DISABLE:接入设备上的MAC-Trigger表项处于删除状态 |
【相关命令】
· portal apply mac-trigger-server
· portal mac-trigger-server
display portal mac-trigger-server命令用来显示MAC绑定服务器信息。
【命令】
display portal mac-trigger-server { all | name server-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有MAC绑定服务器信息。
name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。
【举例】
# 显示全部MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server all
Portal mac-trigger server name: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Local-binding : Disabled
Local-binding aging time : 12 minutes
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Cloud-binding : Disabled
Cloud server URL : Not configured
Portal mac-trigger server name: mts
Version : 1.0
Server type : IMC
IP : 4.4.4.2
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 0 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Local-binding : Disabled
Local-binding aging-time : 12 minutes
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Cloud-binding : Disabled
Cloud server URL : Not configured
# 显示名字为ms1的MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server name ms1
Portal mac-trigger server name: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Local-binding : Disabled
Local-binding aging-time : 12 minutes
aaa-fail nobinding : Disabled
Excluded attribute list : 1
Cloud-binding : Disabled
Cloud server URL : Not configured
表1-14 display portal mac-trigger-server命令显示信息描述表
|
字段 |
描述 |
|
Portal mac-trigger-server |
MAC绑定服务器的名称 |
|
Version |
Portal协议报文的版本,取值包括: · 1.0:版本1 · 2.0:版本2 · 3.0:版本3 |
|
Server type |
MAC绑定服务器的服务类型,取值包括: · CMCC:CMCC Portal服务器 · iMC:iMC Portal服务器 |
|
IP |
MAC绑定服务器的IP地址 |
|
Port |
设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号 |
|
VPN instance |
(暂不支持)MAC绑定服务器所属的VPN |
|
Aging time |
MAC-Trigger表项老化时间,单位为秒 |
|
Free-traffic threshold |
用户免认证流量阈值,单位为字节 |
|
NAS-Port-Type |
发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值 |
|
Binding retry times |
设备向MAC绑定服务器发起MAC查询的最大尝试次数 |
|
Binding retry interval |
设备向MAC绑定服务器发起MAC查询的时间间隔 |
|
Authentication timeout |
设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间 |
|
Excluded attribute list |
Portal协议报文中不携带的属性字段编号 |
|
Local-binding |
Portal本地MAC-Trigger认证功能状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Local-binding aging-time |
本地MAC-Trigger绑定表项老化时间,单位为分钟 |
|
Cloud-binding |
Portal云端MAC-Trigger认证功能状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Cloud server URL |
云端Portal认证服务器URL |
|
aaa-fail nobinding |
开启基于MAC地址的快速认证,AAA认证失败时,设备设置MAC-Trigger表项的状态 · Disabled:绑定状态 · Enabled:未绑定状态 |
display portal packet statistics命令用来显示Portal认证服务器和MAC绑定服务器的报文统计信息。
【命令】
display portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] *
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为绿洲云服务器。
facebook:第三方Portal认证服务器类型为Facebook服务器。
mail:第三方Portal认证服务器类型为邮箱服务器。
qq:第三方Portal认证服务器类型为QQ服务器。
wechat:第三方Portal认证服务器类型为微信服务器。
mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。
server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若未指定任何参数,则依次显示所有第三方Portal认证服务器、普通Portal认证服务器和MAC绑定服务器的报文统计信息。
【举例】
# 显示名称为pts的Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
# 显示名字为newpt的MAC绑定服务器的报文统计信息。
<Sysname> display portal packet statistics mac-trigger-server newpt
MAC-trigger server: newpt
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_MACBIND 1 0 0
ACK_MACBIND 1 0 0
NTF_MTUSER_LOGON 1 0 0
NTF_MTUSER_LOGOUT 0 0 0
REQ_MTUSER_OFFLINE 0 0 0
# 显示类型为cloud的第三方Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics extend-auth-server cloud
Extend-auth server: cloud
Update interval: 60
Pkt-Type Success Error Timeout Conn-failure
REQ_ACCESSTOKEN 1 0 0 0
REQ_USERINFO 1 0 0 0
RESP_ACCESSTOKEN 1 0 0 0
RESP_USERINFO 1 0 0 0
POST_ONLINEDATA 0 0 0 0
RESP_ONLINEDATA 0 0 0 0
POST_OFFLINEUSER 1 0 0 0
REPORT_ONLINEUSER 1 0 0 0
REQ_CLOUDBIND 1 0 0 0
RESP_CLOUDBIND 1 0 0 0
REQ_BINDUSERINFO 0 0 0 0
RESP_BINDUSERINFO 0 0 0 0
AUTHENTICATION 0 1 0 0
表1-15 display portal server statistics命令显示信息描述表
|
字段 |
描述 |
|
Portal server |
Portal认证服务器名称 |
|
Invalid packets |
无效报文的数目 |
|
Pkt-Type |
报文的类型 |
|
Total |
报文的总数 |
|
Drops |
丢弃报文数 |
|
Errors |
携带错误信息的报文数 |
|
REQ_CHALLENGE |
Portal认证服务器向接入设备发送的challenge请求报文 |
|
ACK_CHALLENGE |
接入设备对Portal认证服务器challenge请求的响应报文 |
|
REQ_AUTH |
Portal认证服务器向接入设备发送的请求认证报文 |
|
ACK_AUTH |
接入设备对Portal认证服务器认证请求的响应报文 |
|
REQ_LOGOUT |
Portal认证服务器向接入设备发送的下线请求报文 |
|
ACK_LOGOUT |
接入设备对Portal认证服务器下线请求的响应报文 |
|
AFF_ACK_AUTH |
Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文 |
|
NTF_LOGOUT |
接入设备发送给Portal认证服务器,用户被强制下线的通知报文 |
|
REQ_INFO |
信息询问报文 |
|
ACK_INFO |
信息询问的响应报文 |
|
NTF_USERDISCOVER |
Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文 |
|
NTF_USERIPCHANGE |
接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文 |
|
AFF_NTF_USERIPCHAN |
Portal认证服务器通知接入设备对用户表项的IP切换已成功报文 |
|
ACK_NTF_LOGOUT |
Portal认证服务器对强制下线通知的响应报文 |
|
NTF_HEARTBEAT |
Portal认证服务器周期性向接入设备发送的服务器心跳报文 |
|
NTF_USER_HEARTBEAT |
接入设备收到的从Portal认证服务器发送的用户同步报文 |
|
ACK_NTF_USER_HEARTBEAT |
接入设备向Portal认证服务器回应的用户同步响应报文 |
|
NTF_CHALLENGE |
接入设备向Portal认证服务器发送的challenge请求报文 |
|
NTF_USER_NOTIFY |
接入设备向Portal认证服务器发送的用户消息通知报文 |
|
AFF_NTF_USER_NOTIFY |
Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
|
MAC-trigger server |
MAC绑定服务器名称 |
|
REQ_MACBIND |
接入设备向MAC绑定服务器发起的MAC绑定查询报文 |
|
ACK_MACBIND |
MAC绑定服务器回应接入设备的MAC绑定查询应答报文 |
|
NTF_MTUSER_LOGON |
接入设备通知MAC绑定服务器通知用户上线报文 |
|
NTF_MTUSER_LOGOUT |
接入设备通知MAC绑定服务器通知用户下线报文 |
|
REQ_MTUSER_OFFLINE |
MAC绑定服务器向接入设备发送的要求用户强制下线报文 |
|
Extend-auth server |
第三方Portal认证服务器类型,取值如下: · qq:第三方Portal认证服务器类型为QQ服务器 · mail:第三方Portal认证服务器类型为邮箱服务器 · wechat:第三方Portal认证服务器类型为微信服务器 · cloud:第三方Portal认证服务器类型为绿洲云服务器 · facebook:第三方Portal认证服务器类型为Facebook服务器 |
|
Update interval |
设备发送在线用户信息给云端的时间间隔,单位为秒,当第三方Portal认证服务器类型为cloud时显示 |
|
Success |
成功报文数 |
|
Timeout |
连接第三方Portal认证服务器超时报文数 |
|
Conn-failure |
无法连接第三方Portal认证服务器的报文数 |
|
Deny |
被服务器拒绝登录报文数。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
REQ_ACCESSTOKEN |
接入设备发送获取ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示 |
|
REQ_OPENID |
接入设备发送获取OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示 |
|
REQ_USERINFO |
接入设备发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示 |
|
RESP_ACCESSTOKEN |
接入设备接收ACCESSTOKEN的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示 |
|
RESP_OPNEID |
接入设备接收OPENID的报文。该字段仅当第三方Portal认证服务器类型为qq时显示 |
|
RESP_USERINFO |
接入设备接收USERINFO的报文。该字段仅当第三方Portal认证服务器类型为qq、facebook、cloud和wechat时显示 |
|
REQ_POP3 |
接入设备发送邮箱POP3协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
REQ_IMAP |
接入设备发送邮箱IMAP协议认证的报文。该字段仅当第三方Portal认证服务器类型为mail时显示 |
|
POST_ONLINEDATA |
接入设备发送获取云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_ONLINEDATA |
接入设备接收云端用户信息的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
POST_OFFLINEUSER |
接入设备发送下线用户信息给云端。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示 |
|
REPORT_ONLINEUSER |
接入设备发送云端用户上线信息报文。该字段仅当第三方Portal认证服务器类型为cloud和wechat时显示 |
|
REQ_CLOUDBIND |
接入设备发送查询云端用户绑定状态的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_CLOUDBIND |
接入设备接收云端用户绑定状态的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
REQ_BINDUSERINFO |
接入设备在收到RESP_CLOUDBIND报文且字段为BIND后发送获取USERINFO的报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
RESP_BINDUSERINFO |
接入设备接收REQ_BINDUSERINFO报文的响应报文。该字段仅当第三方Portal认证服务器类型为cloud时显示 |
|
AUTHENTICATION |
第三方认证结果 |
【相关命令】
· reset portal packet statistics
display portal permit-rule statistics命令用来显示Portal过滤规则的统计信息。
【命令】
display portal permit-rule statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
本命令仅显示Portal过滤规则中的第一类规则和第二类规则的统计信息。
【举例】
# 显示Portal过滤规则的统计信息。
<Sysname> display portal permit-rule statistics
Interface Free rules Fuzzy rules User rules
Vlan-interface30 2 5 10
Vlan-interface30 2 3 6
表1-16 display portal permit-rule statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
Portal过滤规则应用的接口 |
|
Free rules |
通过配置产生的免认证规则数量,不包括配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量 |
|
Fuzzy rules |
配置基于目的Portal免认证规则中模糊匹配方式产生的规则数量 |
|
User rules |
用户通过认证后产生的规则数量 |
display portal redirect session命令用来显示当前Portal重定向的会话信息。
【命令】
display portal redirect session [ ip ipv4-address | ipv6 ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip ipv4-address:显示指定IP地址用户当前的Portal重定向会话信息。
ipv6 ipv6-address:显示指定IPv6地址用户当前的Portal重定向会话信息。
【使用指导】
若未指定[ ip ipv4-address | ipv6 ipv6-address ]参数,则表示统计当前所有Portal重定向会话信息。
【举例】
# 显示当前Portal重定向会话信息。
<Sysname> display portal redirect session
Total HTTP sessions: 40
Total HTTP rejected: 2542
Total HTTPS sessions: 40
Total HTTPS rejected: 0
IP: 192.168.0.1
HTTP sessions: 20
HTTP rejected: 10
HTTPS sessions: 20
HTTPS rejected: 40
IP: 192.168.0.2
HTTP sessions: 20
HTTP rejected: 8
HTTPS sessions: 20
HTTPS rejected: 40
# 显示当前Portal重定向会话信息。
<Sysname> display portal redirect session slot 0
Total HTTP sessions: 40
Total HTTP rejected: 2542
Total HTTPS sessions: 40
Total HTTPS rejected: 0
IP: 192.168.0.1
HTTP sessions: 20
HTTP rejected: 10
HTTPS sessions: 20
HTTPS rejected: 40
IP: 192.168.0.2
HTTP sessions: 20
HTTP rejected: 8
HTTPS sessions: 20
HTTPS rejected: 40
# 显示IP地址为192.168.0.2用户当前的Portal重定向的会话信息。
<Sysname> display portal redirect session ip 192.168.0.2
IP: 192.168.0.2
HTTP sessions: 128
HTTP rejected: 10
HTTPS sessions: 0
HTTPS rejected: 0
# 显示IP地址为192.168.0.2用户当前的Portal重定向的会话信息。
<Sysname> display portal redirect session ip 192.168.0.2 slot 0
IP: 192.168.0.2
HTTP sessions: 128
HTTP rejected: 10
HTTPS sessions: 0
HTTPS rejected: 0
表1-17 display portal redirect session命令显示信息描述表
|
字段 |
描述 |
|
Total HTTP sessions |
产生HTTP重定向会话的IP地址数目 |
|
Total HTTP rejected |
所有用户HTTP重定向会话请求报文丢弃的总数 |
|
Total HTTPS sessions |
产生HTTPS重定向会话的IP地址数目 |
|
Total HTTPS rejected |
所有用户HTTPS重定向会话请求丢弃的总数 |
|
IP |
Portal重定向客户端IP地址 |
|
HTTP sessions |
单用户HTTP重定向会话的数量 |
|
HTTP rejected |
单用户HTTP重定向会话请求丢弃的数量 |
|
HTTPS sessions |
单用户HTTPS重定向会话的数量 |
|
HTTPS rejected |
单用户HTTPS重定向会话请求丢弃的数量 |
【相关命令】
· portal redirect max-session
· portal redirect max-session per-user
display portal redirect session-record命令用来显示Portal重定向的会话历史记录。
【命令】
display portal redirect session-record [ start-time start-date start-time ] [ end-time end-date end-time ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
session-record:重定向会话历史记录信息。
start-time start-date start-time:表示时间段的起始时间。start-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time的格式为hh:mm,取值范围为00:00~23:59。若未指定该参数,则表示起始时间为Portal功能开启的时间。
end-time end-date end-time:表示时间段的结束时间。end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。end-time的格式为hh:mm,取值范围为00:00~23:59。若未指定该参数,则表示结束时间为当前时间。
【使用指导】
重定向会话历史记录信息从Portal功能开启开始记录,每分钟记录一次,最多记录24小时,超过24小时后最新记录会覆盖最老记录。
【举例】
# 显示从2019/3/20 14:40到当前的Portal重定向会话历史记录。
<Sysname> display portal redirect session-record start-time 2019/3/20 14:40
Time HTTP sessions HTTP rejected HTTPS sessions HTTPS rejected
2019/03/20 14:40 1 0 21 1
2019/03/20 14:41 2 0 21 1
2019/03/20 14:42 13 1 31 1
2019/03/20 14:43 14 1 0 0
表1-18 display portal redirect session-record命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录数据所在的时间点 |
|
HTTP sessions |
所有用户的HTTP重定向会话的数量 |
|
HTTP rejected |
所有用户的HTTP重定向会话请求拒绝的数量 |
|
HTTPS sessions |
所有用户的HTTPS重定向会话的数量 |
|
HTTPS rejected |
所有用户的HTTPS重定向会话请求拒绝的数量 |
【相关命令】
· reset portal redirect session-record
display portal redirect session-statistics命令用来显示Portal重定向会话统计信息。
【命令】
display portal redirect session-statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
session-statistics:所有用户重定向会话统计信息。
【举例】
# 显示所有Portal用户重定向会话统计信息。
<Sysname> display portal redirect session-statistics
HTTP sessions HTTP rejected HTTPS sessions HTTPS rejected
30 2 73 3
表1-19 display portal redirect session-statistics命令显示信息描述表
|
字段 |
描述 |
|
HTTP sessions |
所有用户的HTTP重定向会话的数量 |
|
HTTP rejected |
所有用户的HTTP重定向会话请求拒绝的数量 |
|
HTTPS sessions |
所有用户的HTTPS重定向会话的数量 |
|
HTTPS rejected |
所有用户的HTTPS重定向会话请求拒绝的数量 |
【相关命令】
· reset portal redirect session-statistics
display portal redirect statistics命令用来显示Portal重定向报文统计信息。
【命令】
display portal redirect statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示Portal重定向报文统计信息。
<Sysname> display portal redirect statistics
HTTP requests HTTP responses HTTPS requests HTTPS responses
1 1 1 1
表1-20 display portal redirect statistics命令显示信息描述表
|
字段 |
描述 |
|
HTTP requests |
HTTP重定向请求报文的数目 |
|
HTTP responses |
HTTP重定向回应报文的数目 |
|
HTTPS requests |
HTTPS重定向请求报文的数目 |
|
HTTPS responses |
HTTPS重定向回应报文的数目 |
【相关命令】
· reset portal redirect statistics
display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。
【命令】
display portal rule { all | dynamic | static } { ap ap-name [ radio radio-id ] | interface interface-type interface-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。
dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。
static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。
ap ap-name:显示接入指定AP的所有Portal规则信息。ap-name表示AP的名称,为1~64个字符的字符串,区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。
radio radio-id:显示接入指定射频的Portal规则信息。radio-id表示射频编号,取值范围与AP型号有关。若不指定本参数,则表示显示接入AP下所有射频的Portal规则信息。
interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。
【举例】
# 显示ap1上的所有Portal过滤规则。
<Sysname> display portal rule all ap ap1
Slot 1:
IPv4 portal rules on ap1:
Radio ID : 1
SSID : portal
Rule 1:
Type : Static
Action : Forbid
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
SSID : portal
Interface : WLAN-BSS1/0/1
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
Rule 2:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 23
MAC : 0000-0000-0000
Interface : WLAN-BSS1/0/1
VLAN : any
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : Any
Rule 3:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 2.2.2.2
MAC : 000d-88f8-0eab
Interface : WLAN-BSS1/0/1
VLAN : 2
Author ACL:
Number : N/A
Author Web URL : http://1.1.1.1
Rule 4:
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : WLAN-BSS1/0/1
VLAN : any
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 5:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : WLAN-BSS1/0/1
VLAN : Any
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
表1-21 display portal rule命令显示信息描述表
|
字段 |
描述 |
|
Radio ID |
射频ID |
|
SSID |
服务集标识符 |
|
Rule |
Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号 |
|
Type |
Portal过滤规则的类型,包括以下取值: · Static:静态类型 · Dynamic:动态类型 |
|
Action |
Portal过滤规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Forbid:禁止报文通过 · Redirect:重定向报文 · Deny:拒绝报文通过 · Match pre-auth ACL:匹配认证前域中的授权ACL规则(暂不支持) |
|
Protocol |
Portal免认证规则中使用的传输层协议,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 · UDP:UDP传输类型 |
|
Status |
Portal过滤规则下发的状态,包括以下取值: · Active:表示规则已生效 · Unactuated:表示规则未生效 |
|
Source |
Portal过滤规则的源信息 |
|
IP |
源IPv4或IPv6地址。IPv6 Portal用户上线后,如果源IPv6地址发生变化,该字段显示会变为“::”,表示未指定地址 |
|
Mask |
源IPv4地址子网掩码 |
|
Prefix length |
源IPv6地址前缀 |
|
Port |
源传输层端口号 |
|
MAC |
源MAC地址 |
|
SSID |
源SSID名称,该字段仅在通过portal forbidden-rule命令配置了过滤某些SSID用户的黑名单规则时显示 |
|
Interface |
Portal过滤规则应用的二层或三层接口 |
|
VLAN |
源VLAN |
|
Protocol |
Portal重定向规则中使用的传输层协议类型,取值只能为TCP |
|
Destination |
Portal规则的目的信息 |
|
IP |
目的IP地址 |
|
Port |
目的传输层端口号 |
|
Mask |
目的IPv4地址子网掩码 |
|
Prefix length |
目的IPv6地址前缀 |
|
Author ACL |
Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示 |
|
Number |
授权ACL编号,N/A表示AAA未授权ACL |
|
Author Web URL |
Portal用户认证后的授权Web URL,即AAA授权给用户的Web URL,该字段仅在Type为Dynamic时才显示 |
display portal safe-redirect statistics命令用来显示Portal安全重定向功能的报文统计信息。
【命令】
display portal safe-redirect statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示Portal安全重定向功能的报文统计信息。
<Sysname> display portal safe-redirect statistics
Redirect statistics:
Success: 5
Failure: 6
Total: 11
Method statistics:
Get: 6
Post: 2
Others: 3
Default-action statistics:
Permit: 1
Forbid: 0
User agent statistics:
Safari: 3
Chrome: 2
Forbidden User URL statistics:
http://www.abc.com: 0
Forbidden filename extension statistics:
.jpg: 0
表1-22 display portal safe-redirect statistics命令显示信息描述表
|
字段 |
描述 |
||
|
Success |
重定向成功报文的数目 |
||
|
Failure |
重定向失败报文的数目 |
||
|
Total |
报文的总数 |
||
|
Method statistics |
协议请求方法的报文统计 |
||
|
Get |
请求方法为get的报文数量 |
||
|
Post |
请求方法为post的报文数量 |
||
|
Other |
请求方法为其它类型的报文数量 |
||
|
User agent statistics |
匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型以及报文统计 |
||
|
Forbidden User URL statistics |
Portal安全重定向禁止的URL地址以及报文统计 |
||
|
Forbidden filename extension statistics |
Portal安全重定向禁止URL携带的关键字及被丢弃报文统计 |
||
|
Permit user URL statistics |
Portal安全重定向允许的URL地址及报文统计 |
|
|
|
Default-action statistics |
Portal安全重定向URL地址匹配的缺省动作及报文统计 |
|
|
【相关命令】
· reset portal safe-redirect statistics
display portal server命令用来显示Portal认证服务器信息。
【命令】
display portal server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定参数server-name,则显示所有Portal认证服务器信息。
【举例】
# 显示Portal认证服务器pts的信息。
<Sysname> display portal server pts
Portal server: pts
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log, trap
User synchronization : Timeout 200s
Status : Up
Exclude-attribute : Not configured
Logout notification : Retry 3 interval 5s
表1-23 display portal server命令显示信息描述表
|
字段 |
描述 |
|
Type |
Portal认证服务器类型,其取值如下: · CMCC:符合中国移动标准规范的服务器 · iMC:符合iMC标准规范的服务器 |
|
Portal server |
Portal认证服务器名称 |
|
IP |
Portal认证服务器的IP地址 |
|
VPN instance |
(暂不支持)Portal认证服务器所属的MPLS L3VPN实例 |
|
Port |
Portal认证服务器的监听端口 |
|
Server detection |
Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap) |
|
User synchronization |
Portal用户信息同步功能的参数,包括超时时间(单位:秒) |
|
Status |
Portal认证服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达 |
|
Exclude-attribute |
向Portal认证服务器发送的Portal协议报文中不携带的属性字段 |
|
Logout notification |
设备强制用户下线通知报文的最大重传次数和重传时间间隔(单位:秒) |
【相关命令】
· portal enable
· portal server
· server-detect (portal authentication server view)
· user-sync
display portal user命令用来显示Portal用户的信息。
【命令】
display portal user { all | ap ap-name [ radio radio-id ] | auth-type { cloud | email | facebook | local | mac-trigger | normal | qq | wechat } | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | username username } [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有Portal用户的信息。
ap ap-name:显示接入指定AP的所有Portal用户信息。ap-name表示AP的名称,为1~64个字符的字符串,区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。
radio radio-id:显示接入指定射频的Portal用户信息。radio-id表示射频编号,取值范围与AP型号有关。若不指定本参数,则表示显示接入AP下所有射频的Portal用户信息。
auth-type:显示指定认证类型的Portal用户信息。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
email:Portal认证类型为邮箱认证。
facebook:Portal认证类型为facebook认证。
local:Portal认证类型为本地认证。
mac-trigger:Portal认证类型为MAC-Trigger认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
qq:Portal认证类型为QQ认证。
wechat:Portal认证类型为微信认证。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
ip ipv4-address:显示指定IPv4地址的Portal用户信息。
ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。
mac mac-address:显示指定MAC地址的Portal用户信息。mac-address的格式为H-H-H。
username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。
brief:显示指定Portal用户的简要信息。
verbose:显示指定Portal用户的详细信息。
【使用指导】
若不指定brief和verbose参数,则表示显示Portal用户的Portal认证相关信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Total portal users: 1
Username: def
AP name: ap1
Radio ID: 1
SSID: portal
Portal server: pts
State: Online
VPN instance: vpn1
MAC IP VLAN Interface
000d-88f8-0eac 4.4.4.4 2 Bss1/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: 3000
Inbound CAR: CIR 9000 bps PIR 20500 bps
CBS 20500 bit (active)
Outbound CAR: CIR 9000 bps PIR 20400 bps
CBS 20400 bit (active)
Web URL: http://1.1.1.1
# 显示普通Portal认证用户的信息。
<Sysname> display portal user auth-type normal
Total remote users: 1
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 2 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: http://1.1.1.1
# 显示MAC地址为000d-88f8-0eab的Portal用户的信息。
<Sysname> display portal user mac 000d-88f8-0eab
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 2 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: http://1.1.1.1
# 显示用户名为abc的Portal用户的信息。
<Sysname> display portal user username abc
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 2 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: http://1.1.1.1
表1-24 display portal user命令显示信息描述表
|
字段 |
描述 |
|
Total portal users |
总计的Portal用户数目 |
|
Total normal users |
Portal认证类型为普通认证的用户总数 |
|
Total local users |
Portal认证类型为本地认证的用户总数 |
|
Total email users |
Portal认证类型为邮箱认证的用户总数 |
|
Total cloud users |
Portal认证类型为云端认证的用户总数 |
|
Total QQ users |
Portal认证类型为QQ认证的用户总数 |
|
Total WeChat users |
Portal认证类型为微信认证的用户总数 |
|
Total facebook users |
Portal认证类型为Facebook认证的用户总数 |
|
Total MAC-trigger users |
Portal认证类型为MAC-Trigger认证的用户总数 |
|
Username |
用户名 |
|
AP name |
AP名称 |
|
Radio ID |
射频ID |
|
SSID |
服务集标识符 |
|
Portal server |
用户认证所使用的Portal认证服务器的名称 |
|
State |
Portal用户的当前状态,包括以下取值: · Initialized:初始化完成后的待认证状态 · Authenticating:正在认证状态 · Waiting_SetRule:等待下发用户授权信息 · Authorizing:正在授权状态 · Online:在线状态 · Waiting_Traffic:等待获取用户最后一次流量 · Stop Accounting:停止计费 · Done:下线结束 |
|
VPN instance |
(暂不支持)授权VPN实例名称。若未授权VPN实例,则显示的是Portal用户所属的MPLS L3VPN。若用户属于公网,则显示为N/A |
|
MAC |
Portal用户的MAC地址 |
|
IP |
Portal用户的IP地址 |
|
VLAN |
Portal用户所在的VLAN |
|
Interface |
Portal用户接入的接口 |
|
Authorization information |
Portal用户的授权信息 |
|
DHCP IP pool |
Portal用户的授权地址池名称。若无授权地址池,则显示为N/A |
|
User profile |
Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
|
Session group profile |
(暂不支持)Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
|
ACL number/name |
Portal用户的授权ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
|
Inbound CAR |
授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Outbound CAR |
授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Web URL |
Portal用户的授权Web URL。若未授权Web URL,则显示为N/A |
# 显示IP地址为18.18.0.20的Portal用户的详细信息。
<Sysname> display portal user ip 18.18.0.20 verbose
Basic:
AP name: ap1
Radio ID: 1
SSID: portal
Current IP address: 18.18.0.20
Original IP address: 18.18.0.20
Username: chap1
User ID: 0x10000001
Access interface: WLAN_BSS1/0/1
Service-VLAN/Customer-VLAN: 50/-
MAC address: 7854-2e1c-c59e
Authentication type: Normal
Domain name: portal
VPN instance: N/A
Status: Online
Portal server: pt
Vendor: Apple
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: 0 sec, remaining: 0 sec
Remaining traffic: N/A
Online duration (hh:mm:ss): 1:53:7
Login time: 2014-12-25 10:47:53 UTC
DHCP IP pool: N/A
Web URL: http://1.1.1.1
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number/name: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Traffic statistic:
Uplink packets/bytes: 6/412
Downlink packets/bytes: 0/0
Traffic average rate:
Uplink rate: 3194 bytes/s
Downlink rate: 3194 bytes/s
Dual-stack traffic statistics:
IPv4 address: 18.18.0.20
Uplink packets/bytes: 3/200
Downlink packets/bytes: 0/0
IPv6 address: 2001::2
Uplink packets/bytes: 3/212
Downlink packets/bytes: 0/0
表1-25 display portal user verbose命令显示信息描述表
|
字段 |
描述 |
|
AP name |
AP名称 |
|
Radio ID |
射频ID |
|
SSID |
服务集标识符 |
|
Current IP address |
Portal用户当前的IP地址 |
|
Original IP address |
Portal用户认证时的IP地址 |
|
Username |
Portal用户上线时使用的用户名 |
|
User ID |
Portal用户ID |
|
Access interface |
Portal用户接入的接口 |
|
Service-VLAN/Customer-VLAN |
Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息) |
|
MAC address |
用户的MAC地址 |
|
Authentication type |
Portal认证类型,取值包括: · Normal:普通认证 · Local:本地认证 · Email:邮箱认证 · Cloud:云端认证 · QQ:QQ认证 · WeChat:微信认证 · Facebook:Facebook认证 · MAC-trigger:MAC-Trigger认证 |
|
Domain |
用户认证时使用的ISP域名 |
|
VPN instance |
(暂不支持)授权VPN实例名称。若未授权VPN实例,则显示的是用户所属的MPLS L3VPN实例,若用户属于公网,则显示为N/A |
|
Status |
Portal用户的当前状态,包括以下取值: · Authenticating:正在认证状态 · Authorizing:正在授权状态 · Waiting_SetRule:正在下发Portal规则状态 · Online:在线状态 · Waiting_Traffic:正在等待用户流量状态 · Stop Accounting:正在停止计费状态 · Done:用户下线完成状态 |
|
Portal server |
Portal服务器名称 |
|
Vendor |
设备生产厂商 |
|
Portal authentication method |
接入接口上的Portal认证方式,包括如下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
|
AAA |
Portal用户的AAA授权信息 |
|
Realtime accounting interval |
授权的实时计费间隔和重传次数。若未授权,则显示为N/A |
|
Idle-cut |
授权的闲置切断时长和流量。若未授权,则显示为N/A |
|
Session duration |
授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A |
|
Remaining traffic |
授权的剩余流量。若未授权,则显示为N/A |
|
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19 2:42:30 UTC |
|
Online duration (hh:mm:ss) |
用户在线时长(时:分:秒) |
|
DHCP IP pool |
授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A |
|
Web URL |
Portal用户的授权Web URL。若未授权Web URL,则显示为N/A |
|
Inbound CAR |
授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
Outbound CAR |
授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps;CBS:承诺突发尺寸,单位为bit)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
|
ACL number/name |
授权的ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
|
User profile |
授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
|
Session group profile |
(暂不支持)授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
|
Max multicast addresses |
授权Portal用户可加入的组播组的最大数目 |
|
Multicast address list |
授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A |
|
NAT444 |
Portal用户的NAT444地址映射信息。未与NAT444联动时不显示该字段 |
|
Global IP address |
公网IP地址 |
|
Port block |
端口块:起始端口-结束端口 |
|
Traffic statistic |
Portal用户流量统计信息 |
|
Uplink packets/bytes |
上行流量报文数/字节数 |
|
Downlink packets/bytes |
下行流量报文数/字节数 |
|
Traffic average rate |
Portal用户流量平均速率统计信息 |
|
Uplink rate |
上行流量平均速率,单位为bytes/s |
|
Downlink rate |
下行流量平均速率,单位为bytes/s |
|
level-n uplink packets/bytes |
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
|
level-n downlink packets/bytes |
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
|
Dual-stack traffic statistic |
双栈用户流量统计信息 |
|
IPv4 address |
用户IPv4地址 |
|
IPv6 address |
用户IPv6地址 |
|
Uplink packets/bytes |
上行流量报文数/字节数 |
|
Downlink packets/bytes |
下行流量报文数/字节数 |
# 显示所有Portal用户的简要信息。
<Sysname> display portal user all brief
IP address MAC address Online duration Username
4.4.4.4 000d-88f8-0eac 1:53:7 def
表1-26 display portal user brief命令显示信息描述表
|
字段 |
描述 |
|
IP address |
Portal用户的IP地址 |
|
MAC address |
Portal用户的MAC地址 |
|
Online duration |
用户在线时长(时:分:秒) |
|
Username |
Portal用户的用户名 |
【相关命令】
· portal enable
display portal user-block命令用来显示Portal认证失败后当前阻塞用户的信息。
【命令】
display portal user-block [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | username username ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip ipv4-address:表示阻塞用户的IPv4地址。
ipv6 ipv6-address:表示阻塞用户的IPv6地址。
mac mac-address:表示阻塞用户的MAC地址。mac-address格式为H-H-H。
username username:表示阻塞用户的用户名。username为1~253个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则表示按IP方式显示Portal认证失败后所有当前阻塞用户的信息。
【举例】
# 显示Portal认证失败后所有当前阻塞用户的信息。
<Sysname> display portal user-block
Total blocked users: 2
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
IP address: 19.19.0.4
MAC address: B577-CDCB-D49C
Remaining block time: 01h:26m:44s
Username: school
# 显示Portal认证失败后IP地址为10.2.33.2的阻塞用户的信息。
<Sysname> display portal user-block ip 10.2.33.2
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
# 显示Portal认证失败后IPv6地址为20::0:2的阻塞用户的信息。
<Sysname> display portal user-block ipv6 20::0:2
IP address: 20::0:2
MAC address: E0A5-66BB-B2AA
Remaining blocking time: 01h:38m:44s
Username: test
# 显示Portal认证失败后MAC地址为E0-A5-66-BH的阻塞用户的信息。
<Sysname> display portal user-block mac E0-A5-66-BH
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
# 显示Portal认证失败后用户名为test的阻塞用户的信息。
<Sysname> display portal user-block username test
IP address: 10.2.33.2
MAC address: E0A5-66BB-B2AA
Remaining block time: 01h:38m:44s
Username: test
表1-27 display portal user-block命令显示信息描述表
|
字段 |
描述 |
|
IP address |
阻塞用户的IP地址 |
|
MAC address |
阻塞用户的MAC地址 |
|
Username |
阻塞用户的用户名 |
|
Remaining block time(hh:mm:ss) |
剩余被阻塞时长,格式为时:分:秒 |
【相关命令】
· portal user-block failed-times
· portal user-block reactive
display portal user count命令用来显示Portal用户数量。
【命令】
display portal user count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示Portal用户数量。
<Sysname> display portal user count
Total number of users:: 1
【相关命令】
· portal enable
· portal delete-user
display portal user dhcp-lease命令用来显示IPv4 Portal用户的DHCP租约和剩余时间。
【命令】
display portal user dhcp-lease [ ipv4 ipv4-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ipv4-address:显示指定IPv4 Portal用户的DHCP租约和剩余时间信息。若未指定本参数,则表示显示所有IPv4 Portal用户的DHCP租约和剩余时间信息。
【使用指导】
只有配置portal idle-cut dhcp-capture enable命令后,执行本命令才会显示出IPv4 Portal用户的DHCP租约和剩余时间。
【举例】
# 显示所有IPv4 Portal用户的DHCP租约和剩余时间。
<Sysname> display portal user dhcp-lease
Total DHCP lease entries: 2
IPv4 address MAC address Lease time Remaining time
1.1.1.1 AABB-CCDD-1122 02h 00m 00s 01h 10m 46s
1.1.1.2 AABB-CCDD-1133 01h 00m 00s 00h 08m 46s
# 显示指定IPv4 Portal用户的DHCP租约和剩余时间。
<Sysname> display portal user dhcp-lease ip 1.1.1.1
IPv4 address MAC address Lease time Remaining time
1.1.1.1 AABB-CCDD-1122 02h 00m 00s 01h 10m 46s
表1-28 display portal user dhcp-lease命令显示信息描述表
|
字段 |
描述 |
|
Total DHCP lease entries |
DHCP租约数目 |
|
IPv4 address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
Lease time |
IP地址的租约时间,格式如下: · 租约时间小于一天,显示为xxh xxm xxs · 租约时间小于一周,显示为xd xxh · 租约时间大于一周,显示为xw xd xxh |
|
Remaining time |
IP地址的租约剩余时间,格式如下: · 剩余时间小于一天,显示为xxh xxm xxs · 剩余时间小于一周,显示为xd xxh · 剩余时间大于一周,显示为xw xd xxh |
【相关命令】
· portal idle-cut dhcp-capture enable
display portal user dhcpv6-lease命令用来显示IPv6 Portal用户的DHCP租约和剩余时间。
【命令】
display portal user dhcpv6-lease [ ipv6 ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6 ipv6-address:显示指定IPv6 Portal用户的DHCP租约和剩余时间信息。若未指定本参数,则表示显示所有IPv6 Portal用户的DHCP租约和剩余时间信息
【使用指导】
只有配置portal idle-cut dhcp-capture enable命令后,执行本命令才会显示出IPv6 Portal用户的DHCP租约和剩余时间。
【举例】
# 显示所有IPv6 Portal用户的DHCP租约和剩余时间。
<Sysname> display portal user dhcpv6-lease
Total DHCPv6 lease entries: 2
IPv6 address MAC address Lease time Remaining time
2000::1 AABB-CCDD-1144 02h 00m 00s 01h 10m 46s
2000::2 AABB-CCDD-1155 01h 00m 00s 00h 08m 46s
# 显示指定IPv6 Portal用户的DHCP租约和剩余时间。
<Sysname> display portal user dhcpv6-lease ipv6 2000::1
IPv6 address MAC address Lease time Remaining time
2000::1 AABB-CCDD-1144 02h 00m 00s 01h 10m 46s
表1-29 display portal user dhcpv6-lease命令显示信息描述表
|
字段 |
描述 |
|
Total DHCPv6 lease entries |
DHCPv6租约数目 |
|
IPv6 address |
用户的IPv6地址 |
|
MAC address |
用户的MAC地址 |
|
Lease time |
IPv6地址的租约时间,格式如下: · 租约时间小于一天,显示为xxh xxm xxs · 租约时间小于一周,显示为xd xxh · 租约时间大于一周,显示为xw xd xxh |
|
Remaining time |
IPv6地址的租约剩余时间,格式如下: · 剩余时间小于一天,显示为xxh xxm xxs · 剩余时间小于一周,显示为xd xxh · 剩余时间大于一周,显示为xw xd xxh |
【相关命令】
· portal idle-cut dhcp-capture enable
display portal web-server命令用来显示Portal Web服务器信息。
【命令】
display portal web-server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。若不指定本参数,则显示所有Portal Web服务器信息。
【举例】
# 显示Portal Web服务器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
Type: IMC
URL: http://www.test.com/portal
URL parameters:
userurl=http://www.test.com/welcome
userip=source-address
VPN instance: Not configured
Server detection:
Interval: 120s
Attempts: 5
Action: log, trap
Detection URL:http://www.test.com/portal
Detection type: TCP
IPv4 status: Up
IPv6 status: Up
Captive-bypass: Disabled
If-match: original-url: http://2.2.2.2, redirect-url: http://192.168.56.2
original-url: http://1.1.1.1, temp-pass redirect-url:
http://192.168.1.1
表1-30 display portal web-server命令显示信息描述表
|
字段 |
描述 |
|
Type |
Portal Web服务器类型,其取值如下: · CMCC:符合中国移动标准规范的服务器 · iMC:符合iMC标准规范的服务器 · ISE:符合ISE标准规范的服务器 · OAuth:符合绿洲平台标准规范的服务器 · WiFiDog:符合WifiDog标准规范的服务器 |
|
Portal Web server |
Portal Web服务器名称 |
|
URL |
Portal Web服务器的URL地址以及携带的参数 |
|
URL parameters |
Portal Web服务器的URL携带的参数信息 |
|
VPN instance |
(暂不支持)Portal Web服务器所属的MPLS L3VPN实例名称 |
|
Server detection |
Portal Web服务器可达性探测功能的参数 |
|
Interval |
探测间隔时间(单位:秒) |
|
Attempts |
探测尝试次数 |
|
Action |
探测到服务器状态变化后的动作(log、trap) |
|
Detection URL |
Portal Web服务器探测URL地址 |
|
Detection type |
Portal Web服务器探测类型,取值包括: · TCP:探测类型为TCP · HTTP:探测类型为HTTP |
|
IPv4 status |
IPv4 Portal web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
|
IPv6 status |
IPv6 Portal web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
|
Captive-bypass |
Portal被动Web认证功能状态,其取值如下: · Disabled:未开启 · Enabled:已开启 · Optimize Enabled:优化功能已开启 |
|
If-match |
配置的URL重定向匹配规则,未配置时,显示Not configured |
【相关命令】
· portal enable
· portal web-server
· server-detect (portal web-server view)
· server-detect url
display web-redirect rule命令用来显示Web重定向过滤规则信息。
【命令】
display web-redirect rule { ap ap-name [ radio radio-id ] | interface interface-type interface-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的所有Web重定向过滤规则信息。ap-name表示AP的名称,为1~64个字符的字符串,区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。
radio radio-id:显示指定射频的Web重定向过滤规则信息。radio-id表示射频编号,取值范围与AP型号有关。若不指定本参数,则表示显示接入AP下所有射频的Web重定向过滤规则信息。
interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。
【举例】
# 显示接口Vlan-interface100上的所有Web重定向过滤规则。
<Sysname> display web-redirect rule interface vlan-interface 100
IPv4 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
IPv6 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
# 显示ap1上的所有Web重定向过滤规则。
<Sysname> display web-redirect rule ap ap1
IPv4 web-redirect rules on ap1:
Radio ID: 1
SSID : portal
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
表1-31 display web-redirect rule命令显示信息描述表
|
字段 |
描述 |
|
Radio ID |
射频ID |
|
SSID |
服务集标识符 |
|
Rule |
Web重定向规则编号 |
|
Type |
Web重定向规则的类型,包括以下取值: · Static:静态类型。该类型的规则在Web重定向功能生效时生成 · Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成 |
|
Action |
Web重定向规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Redirect:重定向报文 |
|
Status |
Web重定向规则下发的状态,包括以下取值: · Active:表示规则已生效 · Inactive:表示规则未生效 |
|
Source |
Web重定向规则的源信息 |
|
IP |
源IP地址 |
|
Mask |
源IPv4地址子网掩码 |
|
Prefix length |
源IPv6地址前缀 |
|
VLAN |
源VLAN,如果未指定,显示为Any |
|
Protocol |
Web重定向规则的传输层协议类型,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 |
|
Destination |
Web重定向规则的目的信息 |
|
Port |
目的传输层端口号,默认为80 |
exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。
undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。
【命令】
exclude-attribute attribute-number
undo exclude-attribute attribute-number
【缺省情况】
未配置Portal协议报文中不携带的属性字段。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
attribute-number:属性类型编号,取值范围为1~255。
【使用指导】
不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同。在进行MAC-Trigger认证时,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,则会导致设备和Portal认证服务器不能通信。
在进行MAC-Trigger认证时,可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。
通过多次执行本命令,可以配置多个Portal协议报文中不携带的属性字段。
Portal协议所有属性的详细描述如表1-32所示。
表1-32 Portal协议所有属性详细描述
|
属性名称 |
属性编号 |
属性含义 |
|
UserName |
1 |
用户名 |
|
PassWord |
2 |
用户提交的明文密码 |
|
Challenge |
3 |
用于CHAP方式加密的随机数 |
|
ChapPassWord |
4 |
通过MD5算法加密后的密码 |
|
TextInfo |
5 |
该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个 |
|
UpLinkFlux |
6 |
表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB |
|
DownLinkFlux |
7 |
表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB |
|
Port |
8 |
端口信息,内容为一个字符串(无 '\0' 结束符) |
|
IP-Config |
9 |
在不同报文类型中含义不同: · 在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配 · 在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址 |
|
BAS-IP |
10 |
用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址 |
|
Session-ID |
11 |
用户标识,通常使用用户的MAC地址作为标识 |
|
Delay-Time |
12 |
报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中 |
|
User-List |
13 |
用户IP地址列表 |
|
EAP-Message |
14 |
需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个 |
|
User-Notify |
15 |
需要透传的RADIUS计费回应报文中的hw_User_Notify内容 |
|
BAS-IPv6 |
100 |
标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性 |
|
UserIPv6-List |
101 |
用户IPv6地址列表 |
【举例】
# 在MAC-Trigger认证时,若Portal认证服务器不支持10号BAS-IP属性,则配置Portal协议报文中不携带属性字段BAS-IP。
<Sysname> system-view
[Sysname] portal mac-trigger-server 123
[Sysname-portal-mac-trigger-server-123] exclude-attribute 10
exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。
undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。
【命令】
exclude-attribute number { ack-auth | ack-logout | ntf-logout }
undo exclude-attribute number { ack-auth | ack-logout | ntf-logout }
【缺省情况】
未配置Portal协议报文中不携带的属性字段。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
number:Portal协议报文属性字段中属性类型编号,取值范围1~255。
ack-auth:Portal协议报文类型为ACK_AUTH。
ack-logout:Portal协议报文类型为ACK_LOGOUT。
ntf-logout:Portal协议报文类型为NTF_LOGOUT。
【使用指导】
由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。
可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。
Portal协议所有属性的详细描述如表1-33所示。
表1-33 Portal协议所有属性详细描述
|
属性名称 |
属性编号 |
属性含义 |
|
UserName |
1 |
用户名 |
|
PassWord |
2 |
用户提交的明文密码 |
|
Challenge |
3 |
用于CHAP方式加密的随机数 |
|
ChapPassWord |
4 |
通过MD5算法加密后的密码 |
|
TextInfo |
5 |
该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个 |
|
UpLinkFlux |
6 |
表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB |
|
DownLinkFlux |
7 |
表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB |
|
Port |
8 |
端口信息,内容为一个字符串(无 '\0' 结束符) |
|
IP-Config |
9 |
在不同报文类型中含义不同: · 在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配 · 在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址 |
|
BAS-IP |
10 |
用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址 |
|
Session-ID |
11 |
用户标识,通常使用用户的MAC地址作为标识 |
|
Delay-Time |
12 |
报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中 |
|
User-List |
13 |
用户IP地址列表 |
|
EAP-Message |
14 |
需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个 |
|
User-Notify |
15 |
需要透传的RADIUS计费回应报文中的hw_User_Notify内容 |
|
BAS-IPv6 |
100 |
标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性 |
|
UserIPv6-List |
101 |
用户IPv6地址列表 |
【举例】
# 在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] exclude-attribute 6 ack-auth
【相关命令】
· display portal server
free-traffic threshold命令用来配置用户免认证流量的阈值。
undo free-traffic threshold命令用来恢复缺省情况。
【命令】
free-traffic threshold value
undo free-traffic threshold
【缺省情况】
用户免认证流量的阈值为0字节。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。
【使用指导】
设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。
用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。
无线客户端数据报文转发位置在AP上,且AC上配置了基于MAC地址的快速认证时,当AP给AC上报流量统计信息的时间间隔(可通过 portal client-traffic-report interval命令配置)超时后,AC才会感知到用户收发的流量是否达到设定的阈值。
【举例】
# 为MAC绑定服务器mts配置用户免认证流量的阈值为10240字节。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240
【相关命令】
· display portal mac-trigger-server
if-match命令用来配置重定向URL的匹配规则。
undo if-match命令用来删除配置的重定向URL匹配规则。
【命令】
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
undo if-match { original-url url-string | user-agent user-agent }
【缺省情况】
不存在重定向URL的匹配规则。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。
aes:加密算法为AES算法。
des:加密算法为DES算法。
key:设置密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。
· 对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
【使用指导】
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。
当同时配置了Portal安全重定向功能和重定向URL的匹配规则时,重定向URL匹配规则优先进行地址的重定向。
如果配置了对URL中携带的参数信息进行加密,则通过redirect-url url-string参数指定重定向地址时,需要在域名之后增加加密提示字段。例如要将Web访问请求重定向到10.1.1.1,并配置了对URL参数信息进行加密,则重定向URL的格式为:http://10.1.1.1?yyyy=,其中yyyy的值与Portal Web服务器的配置有关,具体请参见服务器的配置指导。
用户Web访问请求的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
· 相同的Web访问请求的URL地址不能重复配置。
【举例】
# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1
# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1
【相关命令】
· display portal web-server
· portal free-rule
· url
· url-parameter
if-match temp-pass命令用来配置Portal临时放行功能的匹配规则。
undo if-match temp-pass命令用来恢复缺省情况。
【命令】
if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]
undo if-match { original-url url-string | user-agent user-agent } * temp-pass
【缺省情况】
未配置Portal临时放行功能的匹配规则。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
original-url url-string:用户HTTP/HTTPS请求报文中的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
user-agent user-agent:用户HTTP/HTTPS请求报文中的User Agent信息,为1~255个字符的字符串,区分大小写。HTTP User Agent信息可包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
original:Web访问请求被重定向到原来的URL。
【使用指导】
接口上开启Portal临时放行功能(通过portal temp-pass enable命令配置)后,本命令可以控制Portal临时放行报文,只有匹配用户的Web请求地址或者用户HTTP/HTTPS请求报文中的User Agent信息的报文才能被临时放行。临时放行后的报文可以被重定向到指定URL,也可以被重定向到原来的URL。
如果配置的匹配条件相同,重定向URL不同,则新配置会覆盖原配置,不会重定向到不同的URL。
如果未指定参数redirect-url和original,则表示只对匹配的流量放行,不进行重定向。
当同时配置了Portal安全重定向功能和Portal临时放行功能的匹配规则时,Portal临时放行功能的匹配规则优先级高。
【举例】
# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass
# 配置Portal临时放行功能的匹配规则,对访问http://www.abc.com.cn的用户报文临时放行,并重定向到原来的URL。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn temp-pass original
# 配置Portal临时放行功能的匹配规则,对用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的用户报文临时放行,并重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1
# 配置Portal临时放行功能的匹配规则,对访问http://www.123.com.cn和用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36同时匹配的用户报文临时放行,并重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.123.com.cn user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 temp-pass redirect-url http://192.168.0.1
【相关命令】
· display portal web-server
· portal free-rule
· portal temp-pass enable
· url
· url-parameter
ip命令用来配置MAC绑定服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ key { cipher | simple } string ]
undo ip
【缺省情况】
未配置MAC绑定服务器的IP地址。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:MAC绑定服务器的IPv4地址。
key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。
cipher:以密文方式设置共享密钥。
simple:以明文方式设置共享密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。
【使用指导】
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal
【相关命令】
· display portal mac-trigger-server
ip命令用来指定Portal认证服务器的IPv4地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ key { cipher | simple } string ]
undo ip
【缺省情况】
未指定Portal认证服务器的IPv4地址。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:Portal认证服务器的IPv4地址。
key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。
【使用指导】
一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。
不同的Portal认证服务器不允许IPv4地址的配置都相同。
【举例】
# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
【相关命令】
· display portal server
· portal server
ipv6命令用来指定Portal认证服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address [ key { cipher | simple } string ]
undo ipv6
【缺省情况】
未指定Portal认证服务器的IPv6地址。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:Portal认证服务器的IPv6地址。
key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串。
【使用指导】
一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
不同的Portal认证服务器不允许IPv6地址的配置都相同。
【举例】
# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ipv6 2000::1 key simple portal
【相关命令】
· portal server
· display portal server
local-binding aging-time命令用来配置本地MAC-Trigger绑定表项的老化时间。
undo local-binding aging-time命令用来恢复缺省情况。
【命令】
local-binding aging-time minutes
undo local-binding aging-time
【缺省情况】
本地MAC-Trigger绑定表项的老化时间为720分钟。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
minutes:本地MAC-Trigger绑定表项的老化时间,取值范围为1~129600,单位为分钟。
【使用指导】
当某条本地MAC-Trigger绑定表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立本地MAC-Trigger绑定表项。
关闭本地MAC-Trigger功能后,设备上已有的本地MAC-Trigger表项不会立即删除,一直到设定的老化时间后才会删除。
【举例】
# 在MAC绑定服务器mts视图下,指定本地MAC-Trigger绑定表项老化时间为240分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] local-binding aging-time 240
【相关命令】
· display portal mac-trigger-server
· local-binding enable
local-binding enable命令用来开启Portal本地MAC-Trigger认证功能。
undo local-binding enable命令用来关闭Portal本地MAC-Trigger认证功能。
【命令】
local-binding enable
undo local-binding enable
【缺省情况】
Portal本地MAC-Trigger认证功能处于关闭状态。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行本地Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时接入设备作为MAC绑定服务器,接入设备在检测到用户首次上线的流量后,会生成本地MAC-Trigger绑定表项,用于记录用户的MAC地址、用户名、密码。
【举例】
# 在MAC绑定服务器mts视图下,开启Portal本地MAC-Trigger认证功能。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] local-binding enable
【相关命令】
· display portal mac-trigger-server
· local-binding aging-time
login failed-url命令用来配置Portal用户认证失败时的重定向URL地址。
undo login failed-url命令用来恢复缺省情况。
【命令】
login failed-url url-string
undo login failed-url
【缺省情况】
未配置Portal用户认证失败时的重定向URL地址。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal用户认证失败时的重定向地址,为1~256个字符的字符串,区分大小写。
【使用指导】
如果配置了本命令,则Portal用户认证失败后,会将该用户重定向到指定的URL地址。
【举例】
# 配置Portal用户认证失败时的重定向地址为https://1.1.1.1/portal/iselogin.html。
<Sysname> system-view
[Sysname] portal local-web-server https
[Sysname-portal-local-websvr-https] login failure-url https://1.1.1.1/portal/iselogin.html
login success-url命令用来配置Portal用户认证成功时的重定向URL地址。
undo login success-url命令用来恢复缺省情况。
【命令】
login success-url url-string
undo login success-url
【缺省情况】
未配置Portal用户认证成功时的重定向URL地址。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal用户认证成功时重定向的地址,为1~256个字符的字符串,区分大小写。
【使用指导】
如果配置了本命令,则Portal用户认证成功后,会将该用户重定向到指定的URL地址。
【举例】
# 配置Portal用户认证成功时的重定向地址为https://1.1.1.1/portal/iselogin.html。
<Sysname> system-view
[Sysname] portal local-web-server https
[Sysname-portal-local-websvr-https] login success-url https://1.1.1.1/portal/iselogin.html
logon-page bind命令用来配置SSID、终端设备名称或终端设备类型与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能。
undo logon-page bind命令用来取消指定SSID、终端设备名称或终端设备类型与认证页面的绑定关系。
【命令】
logon-page bind { device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } * file file-name
undo logon-page bind { all | device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } *
【缺省情况】
未配置SSID、终端设备名称或终端设备类型与任何认证页面文件的绑定关系。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
all:表示所有绑定的SSID、终端设备类型和终端设备名称。
device-type:表示绑定的终端设备类型。
computer:设备终端类型为计算机。
pad:设备终端类型为平板电脑。
phone:设备终端类型为手机。
device-name device-name:终端设备名称。其中,device-name为1~127个字符的字符串,区分大小写。指定的终端设备名称必须为设备指纹库中已定义的设备名称,否则绑定的认证页面不生效。
ssid ssid-name:表示绑定的SSID。ssid-name为无线服务模板的SSID,为1~32个字符的字符串,不区分大小写,可以包括字母、数字和空格,但字符串开始和结束位置不可以用空格,且不能是“f”、“fi”、“fil”和“file”。
file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。
【使用指导】
未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-page bind命令,则会根据Portal用户所属的无线SSID、终端设备名称或终端设备类型查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面。
当设备根据Portal用户所属的无线SSID、终端设备名称和终端设备类型信息同时匹配到多条绑定关系时,则设备将按照以下优先级进行选择所使用的绑定关系:
(1) 选择同时指定了SSID、终端设备名称和终端设备类型的绑定关系。
(2) 选择同时指定SSID和终端设备名称的绑定关系。
(3) 选择同时指定SSID和终端设备类型的绑定关系。
(4) 选择仅指定SSID的绑定关系。
(5) 选择同时指定终端设备名称和终端设备类型的绑定关系。
(6) 选择仅指定终端设备名称的绑定关系。
(7) 选择仅指定终端设备类型的绑定关系。
当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。
对于相同的SSID、终端设备类型或终端设备名称,多次执行本命令,最后一次执行的命令生效。
设备上允许同时存在多条绑定条目。
【举例】
# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。
<Sysname> system-view
[Sysname] portal local-web-server http
# 配置SSID1与定制认证页面文件file1.zip进行绑定。
[Sysname-portal-local-websvr-http] logon-page bind ssid SSID1 file file1.zip
# 配置终端设备类型为phone的设备与定制认证页面文件file2.zip进行绑定。
[Sysname-portal-local-websvr-http] logon-page bind device-type phone file file2.zip
【相关命令】
· default-logon-page
· portal local-web-server
logout-notify命令用来配置强制用户下线通知报文的最大重传次数和重传时间间隔。
undo logout-notify命令用来恢复缺省情况。
【命令】
logout-notify retry retries interval interval
undo logout-notify
【缺省情况】
未配置强制用户下线通知报文的最大重传次数和重传时间间隔。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
retry retries:最大重传次数,取值范围为1~5。
interval interval:重传时间间隔,取值范围为1~10,单位为秒。
【使用指导】
由于Portal协议采用UDP报文来承载数据,因此其通信过程是不可靠的。为防止Portal认证服务器收不到强制用户下线通知报文,可以配置重传次数和重传间隔。
当设备发送强制用户下线通知报文后,无论设备在指定的时间内(重传次数乘以重传时间间隔)是否收到Portal认证服务器的响应,都会强制用户下线并删除用户信息。
【举例】
# 配置强制用户下线报文的最大重传次数为3次,时间间隔为5秒。
<Sysname> system-view
[Sysname] portal server pt
[Sysname-portal-server-pt] logout-notify retry 3 interval 5
【相关命令】
· display portal server
mail-domain-name命令用来配置邮箱认证服务支持的邮箱类型。
undo mail-address命令用来删除配置的邮箱认证服务支持的邮箱类型。
【命令】
mail-domain-name string
undo mail-domain-name [ string ]
【缺省情况】
未配置邮箱认证服务支持的邮箱类型。
【视图】
邮箱认证服务器视图
【缺省用户角色】
network-admin
【参数】
string:表示邮箱类型,为1~255个字符的字符串,区分大小写,格式为@XXX.XXX。
【使用指导】
在undo命令中不指定string参数表示删除所有配置的邮箱认证服务支持的邮箱类型。
用户输入的邮箱地址需要符合所配置的邮箱类型才能进行邮箱认证。
可以重复执行本命令配置多个邮箱类型,最多可以配置16个。
【举例】
# 配置邮箱认证服务支持的邮箱类型为@qq.com和@sina.com。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail] mail-domain-name @qq.com
[Sysname-portal-extend-auth-server-mail] mail-domain-name @sina.com
【相关命令】
· display portal extend-auth-server
mail-protocol命令用来配置邮箱认证服务支持的协议类型。
undo mail-protocol命令用来恢复缺省情况。
【命令】
mail-protocol { imap | pop3 } *
undo mail-protocol
【缺省情况】
未配置邮箱认证服务支持的协议类型。
【视图】
邮箱认证服务器视图
【缺省用户角色】
network-admin
【参数】
imap:互联网信息访问协议(IMAP)。
pop3:POP3协议。
【使用指导】
终端用户采用邮箱方式进行第三方认证时,终端用户输入邮箱地址和密码,提交给设备,设备再和邮件服务器进行认证和授权交互,设备和服务器之间采取POP3或IMAP邮箱协议。
【举例】
# 配置邮箱认证服务支持的协议类型为POP3。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail] mail-protocol pop3
【相关命令】
· display portal extend-auth-server
nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。
undo nas-port-type命令用来恢复缺省情况。
【命令】
nas-port-type value
undo nas-port-type
【缺省情况】
未配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
value:NAS-Port-Type属性值,取值范围为1~255。
【使用指导】
设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。
请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。
【举例】
# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] nas-port-type 30
【相关命令】
· display portal mac-trigger-server
port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
MAC绑定服务器监听查询报文的UDP端口号是50100。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
port-number:UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。
【举例】
# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。
<sysname> system-view
[sysname] portal mac-trigger-server mts
[sysname-portal-mac-trigger-server-mts] port 1000
【相关命令】
· display portal mac-trigger-server
port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
设备主动发送Portal报文时使用的UDP端口号为50100。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。
【举例】
# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
【相关命令】
· portal server
portal ad-push命令用来配置推送给Portal用户的广告组或广告网址。
undo portal ad-push命令用来恢复缺省情况。
【命令】
portal [ ipv6 ] ad-push { url url-string [ interval interval | time-range time-range-name | traffic-threshold traffic-threshold ] | url-group group-name }
undo portal [ ipv6 ] ad-push { url | url-group }
【缺省情况】
未配置推送给Portal用户的广告组或广告网址。
【视图】
接口视图/无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 URL。若不指定该参数,则表示IPv4 URL。
url url-string:推送给Portal用户的广告网址,url-string为1~256个字符的字符串,区分大小写,网址必须以http://开头。如果指定了ipv6,这里需要配置为可对应IPv6地址的广告网址。
url-group group-name:推送给Portal用户的广告组名称,group-name为1~32个字符的字符串,区分大小写。如果指定了IPv6,指定的广告组中需要配置为可对应IPv6地址的广告网址。
interval interval:推送广告的时间间隔,interval的取值范围为5~1440,单位为分钟,从用户上线开始计时。
time-range time-range-name:推送广告的时间段名称,time-range-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,不能为all。关于时间段的详细介绍请参见“ACL和QoS”中的“时间段”。
traffic-threshold traffic-threshold:推送广告的流量间隔,traffic-threshold的取值范围为1~1024,单位为MB。
【使用指导】
使用广告组推送广告时,设备会根据所引用的广告组配置的方式进行广告推送。
使用广告网址推送广告时,若不指定任何参数,则表示用户上线5秒后,会向用户推送一次广告,之后不再推送。
【举例】
# 在无线服务模板下配置按照配置的时间段tr为Portal用户推送广告,广告地址为http://192.168.56.1/welcome。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ad-push url http://192.168.56.1/welcome time-range tr
# 在无线服务模板service2上配置广告组test。
<Sysname> system-view
[Sysname] wlan service-template service2
[Sysname-wlan-st-service2] portal ad-push url-group test
【相关命令】
· portal ad-push enable
· portal ad-url-group
portal ad-push embedded命令用来配置采用内嵌广告模式推送广告。
undo portal ad-push embedded命令用来恢复缺省情况。
【命令】
portal ad-push embedded
undo portal ad-push embedded
【缺省情况】
未配置采用内嵌广告模式推送广告,即设备给Portal用户推送的广告为独立的Web页面。
【视图】
接口视图/无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
配置本命令后,采用内嵌广告模式推送广告,即设备给Portal用户推送的广告会嵌入在用户当时访问的页面上。
【举例】
# 在无线服务模板上配置采用内嵌广告模式推送广告。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ad-push embedded
【相关命令】
· portal ad-push enable
portal ad-push enable命令用来开启Portal推送广告功能。
undo portal ad-push enable命令用来关闭Portal推送广告功能。
【命令】
portal ad-push enable
undo portal ad-push enable
【缺省情况】
Portal推送广告功能处于关闭状态。
【视图】
接口视图/无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
在接口或无线服务模板上开启了Portal推送广告功能的情况下,当用户通过Portal认证后,设备会给Portal用户推送广告。
【举例】
# 在无线服务模板上开启Portal推送广告功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ad-push enable
【相关命令】
· portal ad-push url
portal ad-push whitelist命令用来配置Portal广告推送白名单。
undo ad-push whitelist命令用来删除配置的Portal广告推送白名单。
【命令】
portal ad-push whitelist { ip ipv4-address | ipv6 ipv6-address | mac-address mac-address }
undo portal ad-push whitelist { all | ip ipv4-address | ipv6 ipv6-address | mac-address mac-address }
【缺省情况】
未配置Portal广告推送白名单。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:所有Portal用户。
ip ipv4-address:Portal用户的IPv4地址。
ipv6 ipv6-address:IPv6 Portal用户的地址。
mac-address mac-address:Portal用户的MAC地址,mac-address的格式为H-H-H。
【使用指导】
配置本命令后,设备不会给符合白名单规则的用户推送广告。
通过多次执行本命令,可以配置多条白名单规则。设备最多可以配置1024条白名单。
【举例】
# 配置白名单规则,使设备不向IP地址为20.20.20.3的用户推送广告。
<Sysname> system-view
[Sysname] portal ad-push whitelist ip 20.20.20.3
# 配置白名单规则,使设备不向IPv6地址为2000::0:3的用户推送广告。
<Sysname> system-view
[Sysname] portal ad-push whitelist ipv6 2000::0:3
【相关命令】
· portal ad-push enable
· portal ad-push url
portal ad-url-group命令用来创建Portal广告组并进入广告组视图。如果指定的广告组已经存在,则直接进入广告组视图。
undo portal ad-url-group命令用来删除配置的广告组。
【命令】
portal ad-url-group group-name [ method { interval | time-range | traffic } ]
undo portal ad-url-group group-name
【缺省情况】
不存在广告组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:广告组的名称,为1~32个字符的字符串,区分大小写。
method:广告组的推送方式。若未配置任何推送方式,则按时间推送。
interval:广告组的推送方式为按时间推送。
time-range:广告组的推送方式为按时间段推送。关于时间段的详细介绍请参见“ACL和QoS”中的“时间段”。
traffic:广告组的推送方式为按流量推送。
【使用指导】
一旦手动指定推送方式,则不可更改,若要更改推送方式,必须使用undo命令删除已有广告组并重新创建。
【举例】
# 创建名称为test的广告组,并进入广告组视图,推送方式为按时间推送。
<Sysname> system-view
[Sysname] portal ad-url-group test method interval
[Sysname-portal-ad-url-group-test]
【相关命令】
· portal ad-push
portal apply mac-trigger-server命令用来应用MAC绑定服务器。
undo portal apply mac-trigger-server命令用来恢复缺省情况。
【命令】
portal apply mac-trigger-server server-name
undo portal apply mac-trigger-server
【缺省情况】
未应用MAC绑定服务器。
【视图】
VLAN接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
基于MAC地址的快速认证仅支持IPv4的直接认证方式。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通三层Portal认证的相关配置;
· 配置MAC绑定服务器的IP地址和端口号;
· 在VLAN接口或者无线服务模板上应用MAC绑定服务器。
【举例】
# 在VLAN接口2上应用MAC绑定服务器mts。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal apply mac-trigger-server mts
【相关命令】
· portal mac-trigger-server
portal apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。
undo portal apply web-server命令用来删除指定的Portal Web服务器。
【命令】
portal [ ipv6 ] apply web-server server-name [ secondary ]
undo portal [ ipv6 ] apply web-server [ server-name ]
【缺省情况】
未引用Portal Web服务器。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。
secondary:表示备份Portal Web服务器。若不指定该参数,则表示主Portal Web服务器。
server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。取消接口或者无线服务模板上引用的Portal Web服务器时,若不指定该参数,则表示取消该接口或无线服务模板上所有引用的Portal Web服务器。
【使用指导】
一个接口或无线服务模板上可以同时开启IPv4 Portal认证和IPv6 Portal认证。
Portal认证开启后,可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。
设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。
要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。
【举例】
# 在服务模板上引用名称为wbs的Portal Web服务器作为用户认证时使用的备份Web服务器。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal apply web-server wbs secondary
【相关命令】
· display portal
· portal fail-permit server
· portal web-server
· server-detect (portal web-server view)
portal authentication-location switchto-central-ac命令用来配置Portal认证位置由Local AC切换为Central AC。
【命令】
portal authentication-location switchto-central-ac
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在分层AC组网中,当Portal认证组网方式由在Local AC上进行认证和数据转发的集中式转发方式转换为在Central AC上进行认证,在AP上进行数据转发的本地转发方式时,可以通过本命令直接切换Portal的认证位置,而不需要重启设备。
本命令建议仅在Local AC上进行配置,在其它角色上配置会导致Portal认证不可用。
在Portal认证位置切换之前,请先在接口或无线服务模板上关闭Portal认证功能。
【举例】
# 配置Portal认证位置由Local AC切换为Central AC。
<Sysname> system-view
[Sysname] portal authentication-location switchto-central-ac
【相关命令】
· display portal authentication-location
portal auth-error-record enable命令用来开启Portal认证异常信息记录功能。
undo portal auth-error-record enable命令用来关闭Portal认证异常信息记录功能。
【命令】
portal auth-error-record enable
undo portal auth-error-record enable
【缺省情况】
Portal认证异常信息记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal认证异常信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。
【举例】
# 开启Portal认证异常信息记录功能。
<Sysname> system-view
[Sysname] portal auth-error-record enable
【相关命令】
· display portal auth-error-record
portal auth-error-record export命令用来导出Portal认证异常记录。
【命令】
portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal认证异常记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证异常记录到服务器。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/ autherror/,表示地址为1.1.1.1的TFTP服务器的autherror目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/autherror/,表示 地址为1.1.1.1的HTTP服务器的autherror目录,其中登录用户名为a,密码为1;如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/autherror/。
· 服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。
【举例】
# 导出所有Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。
<Sysname> system-view
[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/
# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证异常记录到tftp://1.1.1.1/record/autherror/路径下。
<Sysname> system-view
[Sysname] portal auth-error-record export url tftp://1.1.1.1/record/autherror/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00
【相关命令】
· display portal auth-error-record
· portal auth-error-record enable
· reset portal auth-error-record
portal auth-error-record max命令用来配置设备保存Portal认证异常记录的最大条数。
undo portal auth-error-record max命令用来恢复缺省情况。
【命令】
portal auth-error-record max number
undo portal auth-error-record max
【缺省情况】
设备保存Portal认证异常记录的最大条数为6000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal认证异常记录的最大条数,取值范围为1~6000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal认证异常记录的最大条数为50。
<Sysname> system-view
[Sysname] portal auth-error-record max 50
【相关命令】
· display portal auth-error-record
portal auth-fail-record enable命令用来开启Portal认证失败信息记录功能。
undo portal auth-fail-record enable命令用来关闭Portal认证失败信息记录功能。
【命令】
portal auth-fail-record enable
undo portal auth-fail-record enable
【缺省情况】
Portal认证失败信息记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal认证失败信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。
【举例】
# 开启Portal认证失败信息记录功能。
<Sysname> system-view
[Sysname] portal auth-fail-record enable
【相关命令】
· display portal auth-fail-record
portal auth-fail-record export命令用来导出Portal认证失败记录。
【命令】
portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal认证失败记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/authfail/,表示地址为1.1.1.1的TFTP服务器的authfail目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的HTTP服务器的authfail目录,其中用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/authfail/。
· 服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。
【举例】
# 导出所有Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。
<Sysname> system-view
[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/
# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的Portal认证失败记录到tftp://1.1.1.1/record/authfail/路径下。
<Sysname> system-view
[Sysname] portal auth-fail-record export url tftp://1.1.1.1/record/authfail/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00
【相关命令】
· display portal auth-fail-record
· portal auth-fail-record enable
· reset portal auth-fail-record
portal auth-fail-record max命令用来配置设备保存Portal认证失败记录的最大条数。
undo portal auth-fail-record max命令用来恢复缺省情况。
【命令】
portal auth-fail-record max number
undo portal auth-fail-record max
【缺省情况】
设备保存Portal认证失败记录的最大条数为6000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal认证失败记录的最大条数,取值范围为1~6000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal认证失败记录的最大条数为50。
<Sysname> system-view
[Sysname] portal auth-fail-record max 50
【相关命令】
· display portal auth-fail-record
portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。
undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。
【命令】
portal authorization { acl | user-profile } strict-checking
undo portal authorization { acl | user-profile } strict-checking
【缺省情况】
缺省为非严格检查授权信息模式,当服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,用户保持在线。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl:表示开启对授权ACL的严格检查。
user-profile:表示开启对授权User Profile的严格检查。
【使用指导】
· 接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制该用户下线。
· 可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
【举例】
# 在无线服务模板service1上开启对授权ACL的严格检查模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal authorization acl strict-checking
【相关命令】
· display portal
portal captive-bypass optimize delay命令用来配置Portal被动Web认证探测的定时器超时时间。
undo portal captive-bypass optimize delay命令用来恢复缺省情况。
【命令】
portal captive-bypass optimize delay seconds
undo portal captive-bypass optimize delay
【缺省情况】
Portal被动Web认证探测的定时器超时时间为6秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:Portal被动Web认证探测定时器超时时间,取值范围为1~120,单位为秒。
【使用指导】
本功能仅针对iOS移动终端有效。
Portal被动Web认证优化功能开启后,当iOS移动终端接入网络后会自动弹出Portal认证页面,并显示Wi-Fi已连接,此时,iOS移动终端会自动发送服务器可达性探测报文探测苹果服务器是否可达,如果可达,则继续显示Wi-Fi已连接,如果不可达,则断开网络连接。但由于网络或其他原因,iOS移动终端无法在Portal被动Web认证探测的定时器缺省超时时间内发送Portal认证服务器可达性探测报文,导致Wi-Fi无法连接,被动认证优化功能失效。通过配置探测定时器超时时间,可以延长Portal被动认证优化功能的生效时间,使Portal认证页面正常显示并保持Wi-Fi已连接状态。
【举例】
# 配置Portal被动Web认证探测定时器超时时间为20秒。
<Sysname> system-view
[Sysname] portal captive-bypass optimize delay 20
【相关命令】
· captive-bypass enable
portal client-gateway interface命令用来配置Portal认证时客户端访问AC的接口。
undo portal client-gateway interface命令用来恢复缺省情况。
【命令】
portal client-gateway interface interface-type interface-number
undo portal client-gateway interface
【缺省情况】
未配置Portal认证时客户端访问AC的接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:表示接口类型和接口编号。
【使用指导】
当数据报文转发位置配置在AP上,且用户进行Portal第三方认证时,client和AP通过公网直接与第三方认证服务器进行报文交互,不会经过AC。但是第三方认证服务器在返回报文时会要求client访问AC,而client是不知道AC的IP地址的,因此需要通过配置AC的接口来让客户端获得AC的IP地址,以便客户端访问AC。
【举例】
# 配置Portal认证时客户端访问AC的接口为vlan-interface 10。
<Sysname> system-view
[Sysname] portal client-gateway interface vlan-interface 10
portal client-traffic-report interval命令用来配置AP给AC上报流量统计信息的时间间隔。
undo portal client-traffic-report interval命令用来恢复缺省情况。
【命令】
portal client-traffic-report interval interval
undo portal client-traffic-report interval
【缺省情况】
AP给AC上报流量统计信息的时间间隔为60秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:AP给AC上报流量统计信息的时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
仅当客户端数据报文转发位置配置在AP上时,才能执行本命令。
【举例】
# 配置AP给AC上报流量统计信息的时间间隔为120秒。
<Sysname> system-view
[Sysname] portal client-traffic-report interval 120
【相关命令】
· client forwarding-location(WLAN接入命令参考/WLAN接入)
portal cloud report interval命令用来配置Portal认证信息上报绿洲平台的时间间隔。
undo portal cloud report interval命令用来恢复缺省情况。
【命令】
portal cloud report interval minutes
undo portal cloud report interval
【缺省情况】
Portal认证信息上报绿洲平台的时间间隔为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:Portal认证信息上报绿洲平台的时间间隔,取值范围为0~60,单位为分钟,0表示不将认证信息上报绿洲平台。
【使用指导】
配置本命令后,设备会将Portal认证失败和认证错误信息上报给绿洲平台。
首次上报Portal认证失败和认证错误信息是在设备与绿洲平台建立连接之后的30秒时发生,之后将按照本命令配置的间隔定期上报Portal认证失败和认证错误信息。修改上报时间间隔将在下一个上报周期生效。
【举例】
# 配置Portal认证失败和认证错误信息上报绿洲平台的时间间隔为60分钟。
<Sysname> system-view
[Sysname] portal cloud report interval 60
portal delete-user命令用来强制在线Portal用户下线。
【命令】
portal delete-user { ipv4-address | all | auth-type { cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address | username username }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:在线Portal用户的IPv4地址。
all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。
auth-type:在线Portal用户的认证类型。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
email:Portal认证类型为邮箱认证。
facebook:Portal认证类型为Facebook认证。
local:Portal认证类型为本地认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
qq:Portal认证类型为QQ认证。
wechat:Portal认证类型为微信认证。
interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。
mac mac-address:在线Portal用户的MAC地址。mac-address格式为H-H-H。
username username:在线Portal用户的用户名。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 强制IP地址为1.1.1.1的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
# 强制MAC地址为000d-88f8-0eab的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user mac 000d-88f8-0eab
# 强制所有通过邮箱认证的用户下线。
<Sysname> system-view
[Sysname] portal delete-user auth-type email
# 强制用户名为abc的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user username abc
【相关命令】
· display portal user
portal device-id命令用来配置设备ID。
undo portal device-id命令用来恢复缺省情况。
【命令】
portal device-id device-id
undo portal device-id
【缺省情况】
未配置任何设备ID。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
device-id:设备ID,为1~63个字符的字符串,区分大小写。
【使用指导】
通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。
不同设备的设备ID不能相同。
【举例】
# 配置设备的ID名为0002.0010.100.00。
<Sysname> system-view
[Sysname] portal device-id 0002.0010.100.00
portal domain命令用来指定Portal用户使用的认证域,使得所有从该接口或者无线服务模板上接入的Portal用户强制使用该认证域。
undo portal domain命令用来删除Portal用户使用的认证域。
【命令】
portal [ ipv6 ] domain domain-name
undo portal [ ipv6 ] domain
【缺省情况】
未指定Portal用户使用的认证域。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。
无线服务模板上可以同时指定IPv4 Portal用户使用的认证域和IPv6 Portal用户使用的认证域。
如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。
【举例】
# 在无线服务模板service1上配置接入的IPv4 Portal用户使用认证域my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal domain my-domain
【相关命令】
· display portal
portal dual-ip enable命令用来开启单栈用户远程Portal认证时同时携带IPv4和IPv6地址功能。
undo portal dual-ip enable命令用来关闭单栈用户远程Portal认证时同时携带IPv4和IPv6地址功能。
【命令】
portal dual-ip enable
undo portal dual-ip enable
【缺省情况】
单栈用户Portal认证时同时携带IPv4和IPv6地址功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
单栈用户在进行远程Portal认证时,在RADIUS协议报文中只携带用户的IPv4地址或IPv6地址,开启单栈用户Portal认证时同时携带IPv4和IPv6地址功能后,在RADIUS协议报文中会同时携带用户的IPv4地址和IPv6地址。对于IPv4用户,如果设备没有学习到IPv6地址,RADIUS协议报文中不会携带IPv6地址;对于IPv6用户,如果设备没有学习到IPv4地址,RADIUS协议报文中不会携带IPv4地址。
开启单栈用户Portal认证时同时携带IPv4和IPv6地址功能仅适用于采用RADIUS协议的远程Portal认证。
由于不同的RADIUS服务器对Portal认证报文中携带IP地址的要求不同,如果服务器要求报文中必须同时携带IPv4地址和IPv6地址,则必须开启本功能,否则会导致Portal认证失败。
【举例】
# 在接口Vlan-interface100上开启单栈用户Portal认证时同时携带IPv4和IPv6地址功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal dual-ip enable
# 在无线服务模板service1上开启单栈用户Portal认证时同时携带IPv4和IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal dual-ip enable
portal dual-stack enable命令用来开启Portal支持双协议栈功能。
undo portal dual-stack enable命令用来关闭Portal支持双协议栈功能。
【命令】
portal dual-stack enable
undo portal dual-stack enable
【缺省情况】
Portal支持双协议栈功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
在接口或无线服务模板下开启了Portal支持双协议栈功能后,用户在直接认证方式的Portal认证过程中,当通过了IPv4 Portal或IPv6 Portal认证后,再访问IPv4或IPv6网络时,不再需要重新进行Portal认证,达到一次认证通过,可以同时访问IPv4和IPv6网络的目的。
【举例】
# 在无线服务模板下开启Portal支持双栈功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal dual-stack enable
【相关命令】
· portal dual-stack traffic-separate enable
portal dual-stack traffic-separate enable命令用来开启Portal双协议栈流量计费分离功能。
undo portal dual-stack traffic-separate enable命令用来关闭Portal双协议栈流量计费分离功能。
【命令】
portal dual-stack traffic-separate enable
undo portal dual-stack traffic-separate enable
【缺省情况】
Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启Portal双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发送给AAA服务器,否则,设备会将用户访问IPv4网络和IPv6网络的总流量发送给AAA服务器。
开启Portal支持双栈协议功能后,本命令才生效。
如果接口/无线服务模板上配置了本命令,且Portal用户使用的认证域下配置了accounting dual-stack命令,则Portal双协议栈流量是否分离计费由本命令决定。关于accounting dual-stack命令的相关介绍,请参见“用户接入与认证命令参考”中的“AAA”。
【举例】
# 在无线服务模板上开启Portal双协议栈流量计费分离功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal dual-stack traffic-separate enable
【相关命令】
· accounting dual-stack(用户接入与认证命令参考/AAA)
· portal dual-stack enable
portal enable命令用来开启Portal认证功能,并指定认证方式。
undo portal enable命令用来关闭Portal认证功能。
【命令】
portal enable method { direct | layer3 | redhcp }
portal ipv6 enable method { direct | layer3 }
undo portal [ ipv6 ] enable
【缺省情况】
Portal认证功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。
method:认证方式。
· direct:直接认证方式。
· layer3:可跨三层认证方式。
· redhcp:二次地址分配认证方式。
【使用指导】
不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal [ ipv6 ] enable命令取消Portal认证功能,再执行portal [ ipv6 ] enable命令。
开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。
IPv6 Portal认证不支持二次地址分配方式。
允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。
为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。
【举例】
# 在接口Vlan-interface100上开启IPv4 Portal认证,且指定为直接认证方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct
【相关命令】
· display portal
portal enable命令用来开启Portal直接认证功能。
undo portal enable命令用来关闭Portal直接认证功能。
【命令】
portal [ ipv6 ] enable method direct
undo portal [ ipv6 ] enable
【缺省情况】
Portal直接认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Portal直接认证。若不指定该参数,则表示IPv4 Portal直接认证。
【使用指导】
无线服务模板上的Portal认证只支持直接认证方式。
同一个无线服务模板允许同时开启IPv4 Portal认证和IPv6 Portal认证功能。
禁止在无线服务模板视图和接口视图下同时使能Portal认证。
【举例】
# 在无线服务模板上开启Portal认证,配置为直接认证方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal enable method direct
【相关命令】
· display portal
portal extend-auth domain命令用来配置第三方认证用户使用的认证域。
undo portal extend-auth domain命令用来删除第三方认证用户使用的认证域。
【命令】
portal extend-auth domain domain-name
undo portal extend-auth domain
【缺省情况】
未配置第三方认证用户使用认证域。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
只支持IPv4的第三方认证用户。
请确保ISP域的AAA认证方法、授权方法和计费方法均配置为none。
【举例】
# 指定从无线服务模板service1上接入的第三方认证用户使用认证域my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal extend-auth domain my-domain
【相关命令】
· display portal
portal extend-auth-server命令用来创建第三方认证服务器,并进入第三方认证服务器视图。如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图。
undo portal extend-auth-server命令用来删除第三方认证服务器。
【命令】
portal extend-auth-server { facebook | mail | qq | wechat }
undo portal extend-auth-server { facebook | mail | qq | wechat }
【缺省情况】
不存在第三方认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
facebook:表示Facebook认证服务器。
mail:表示邮箱认证服务器。
qq:表示QQ认证服务器。
wechat:表示本地微信认证服务器。
【使用指导】
第三方认证是指使用第三方帐号在第三方服务器上完成第三方的认证授权后,通知设备使用第三方认证的账号和密码进行本地Portal Web服务的直接Portal认证。此过程中不需要用户使用额外的Portal认证账号,方便用户上网。
只有使用本地Portal web服务器的直接Portal认证支持第三方认证。
【举例】
# 创建QQ认证服务器,并进入QQ认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq]
# 创建邮箱认证服务器,并进入邮箱认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server mail
[Sysname-portal-extend-auth-server-mail]
# 创建微信认证服务器,并进入微信认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat]
# 创建Facebook认证服务器,并进入Facebook认证服务器视图。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb]
【相关命令】
· display portal extend-auth-server
portal fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
undo portal fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。
【命令】
portal [ ipv6 ] fail-permit server server-name
undo portal [ ipv6] fail-permit server
【缺省情况】
Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。
如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit server pts1
【相关命令】
· display portal
portal fail-permit web-server命令用来开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时暂停接口或无线服务模板上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
undo portal fail-permit web-server命令用来关闭Portal Web服务器不可达时的Portal用户逃生功能。
【命令】
portal [ ipv6 ] fail-permit web-server
undo portal [ ipv6 ] fail-permit web-server
【缺省情况】
Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。
【使用指导】
只有在无线服务模板处于关闭的状态下才能配置本功能。
如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
如果无线服务模板上同时开启了Portal Web服务器逃生功能和Portal认证服务器逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,即取消无线服务模板Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复正常通信后,再重新启动Portal认证功能。Portal认证功能重新启动之后,未通过认证的用户以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,逃生期间已通过认证的用户可继续访问网络资源。
同一个接口或无线服务模板上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。
【举例】
# 在接口Vlan-interface100上启用Portal Web服务器不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit web-server
# 指定从无线服务模板service1上启用Portal Web服务器不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal fail-permit web-server
【相关命令】
· display portal
portal forbidden-rule命令用来配置黑名单规则。
undo portal forbidden-rule命令用来删除配置的黑名单规则。
【命令】
portal forbidden-rule rule-number [ source { ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] }
portal forbidden-rule rule-number [ source { ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] }
undo portal forbidden-rule { rule-number | all }
【缺省情况】
未配置黑名单规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:黑名单规则编号。取值范围为0~4294967295。
source:指定源信息。
ip ipv4-address:用户的IPv4地址。
{ mask-length | mask }:IPv4地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ip any:任意IPv4地址。
tcp tcp-port-number:TCP端口号,取值范围为0~65535。
udp udp-port-number:UDP端口号,取值范围为0~65535。
ipv6 ipv6-address:用户的IPv6地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
ipv6 any:任意IPv6地址。
ssid ssid-name:指定无线用户所属的SSID。ssid-name为1~32个字符的字符串,区分大小写。
host-name:目的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”,且不能为“i”、“ip”、“ipv”和“ipv6”。
all:所有黑名单规则。
【使用指导】
本命令用来过滤某些来自特定源或去往特定目的的报文。当通过设备的报文与黑名单规则相匹配的时候,设备会将这些报文丢弃。
该功能在开启Portal功能后才能生效。
源地址和目的地址的IP类型必须相同。
如果黑名单规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
可以配置多条黑名单规则。
如果同时配置了免认证规则和黑名单规则,且二者指定的对象范围有所重叠,则黑名单规则生效。当黑名单规则配置为目的主机名时,设备会丢弃用户发送的查询目的主机名的DNS报文。如果设备上正确配置了DNS服务器,设备会解析目的主机名的地址,并将去往此地址的报文丢弃;在用户没有发送DNS报文的情况下,如果设备没有正确配置DNS服务器,黑名单规则不生效。
【举例】
# 配置黑名单规则10,禁止Portal用户访问主机名www.xyz.com。
<Sysname> system-view
[Sysname] portal forbidden-rule 10 source ip any destination www.xyz.com
# 配置黑名单规则12,禁止IP地址为1.1.1.1/32的Portal用户访问IP地址2.2.2.2/32。
<Sysname> system-view
[Sysname] portal forbidden-rule 12 source ip 1.1.1.1 32 destination ip 2.2.2.2 32
【相关命令】
· display portal rule
portal free-all except destination命令用来配置IPv4 Portal目的认证网段。
undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。
【命令】
portal free-all except destination ipv4-network-address { mask-length | mask }
undo portal free-all except destination [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。
目的网段认证对二次地址分配认证方式的Portal认证不生效。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
可以通过多次执行本命令,配置多条目的认证网段。
【举例】
# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24
【相关命令】
· display portal
portal free-rule命令用来配置基于IP地址的Portal免认证规则。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于IP地址的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
source:指定源信息。
ip ipv4-address:免认证规则的IPv4地址。
{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ip any:任意IPv4地址。
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。
ipv6 ipv6-address:免认证规则的IPv6地址。
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。
ipv6 any:任意IPv6地址。
all:所有免认证规则。
interface interface-type interface-number:免认证规则生效的三层接口。
【使用指导】
可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。
如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
【举例】
# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface2。该规则表示在Vlan-interface2接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 2
# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为Vlan-interface2。该规则表示在Vlan-interface2接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ipv6 2000::1 64 interface vlan-interface 2
【相关命令】
· display portal rule
portal free-rule description命令用来配置Portal免认证规则的描述信息。
undo portal free-rule description命令用来删除指定Portal免认证规则的描述信息。
【命令】
portal free-rule rule-number description text
undo portal free-rule rule-number description
【缺省情况】
Portal免认证规则不存在描述信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
text:表示Portal免认证规则的描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置rule-number为2的Portal免认证规则的描述信息为“This is IT department”。
<Sysname> system-view
[Sysname] portal free-rule 2 description This is IT department
portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number destination host-name
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于目的的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。
all:所有免认证规则。
【使用指导】
基于目的Portal免认证规则支持如下两种配置方式:
· 精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。
· 模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。
配置基于目的Portal免认证规则时,需要注意的是:
· 配置本功能前,请确保组网中已部署DNS服务器。
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的主机名不能只有通配符。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 目前,只有用户浏览器发起的HTTP/HTTPS请求报文,支持模糊匹配的免认证规则。
【举例】
# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.abc.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.abc.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 4 destination www.abc.com
【相关命令】
· display portal rule
portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number source { ap ap-name | { interface interface-type interface-number | mac mac-address | vlan vlan-id } * }
undo portal free-rule { rule-number | all }
【缺省情况】
未配置基于源的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
ap ap-name:免认证规则的源AP名称。ap-name表示AP的名称,为1~64个字符的字符串,区分大小写,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”。本参数仅在无线服务模板上开启Portal的情况下生效。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。配置该关键字仅对通过VLAN接口接入的用户生效。
all:所有免认证规则。
【使用指导】
如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。
配置基于源AP的免认证规则后,用户不需要进行Portal认证,可直接访问外网;配置基于源AP的免认证规则之前已经在线的Portal用户会继续计费。
【举例】
# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10
# 配置一条Portal免认证规则:编号为4,源AP名称为ap10。该规则表示AP名称为ap10上的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 4 source ap ap10
【相关命令】
· display portal rule
portal host-check enable命令用来开启无线Portal客户端合法性检查功能。
undo portal host-check enable命令用来关闭无线Portal客户端合法性检查功能。
【命令】
portal host-check enable
undo portal host-check enable
【缺省情况】
无线Portal客户端合法性检查功能处于关闭状态,设备仅根据ARP表项对Portal客户端进行合法性检查。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查。在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能。本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证。
可通过display ip source binding命令查看到WLAN Snooping表项或DHCP Snooping表项的相关信息。关于display ip source binding命令的详细介绍请参考“安全命令参考”中的“IP Source Guard”。
【举例】
# 开启无线Portal客户端合法性检查功能。
<Sysname> system-view
[Sysname] portal host-check enable
【相关命令】
· display ip source binding(安全命令参考/IP Source Guard)
portal idle-cut dhcp-capture enable命令用来开启通过捕获DHCP报文进行Portal用户在线探测的功能。
undo portal idle-cut dhcp-capture enable命令用来关闭通过捕获DHCP报文进行Portal用户在线探测的功能。
【命令】
portal idle-cut dhcp-capture enable
undo portal idle-cut dhcp-capture enable
【缺省情况】
通过捕获DHCP报文进行Portal用户在线探测的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启DHCP报文捕获功能后,AC会通过AP捕获DHCP客户端(Portal用户)与DHCP服务器之间的DHCP报文,并进行报文解析以获取IP地址租约等信息,如果在IP地址租约到期前收到Portal用户的续约报文,则AC认为Portal用户在线,继续提供Portal服务,如果IP地址租约到期未收到Portal用户续约报文,则会强制在线Portal用户下线。有关DHCP报文的详细介绍,请参见“网络互通配置指导”中的“DHCP”。
DHCP报文捕获定时器与DHCP报文中IP地址租约保持一致,每次捕获DHCP报文后,都会刷新DHCP报文捕获定时器时间。
【举例】
# 开启通过捕获DHCP报文进行Portal用户在线探测的功能。
<Sysname> system-view
[Sysname] portal idle-cut dhcp-capture enable
portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。
undo portal ipv6 free-all except destination命令用来删除IPv6 Portal目的认证网段。
【命令】
portal ipv6 free-all except destination ipv6-network-address prefix-length
undo portal ipv6 free-all except destination [ ipv6-network-address ]
【缺省情况】
未配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-network-address:IPv6 Portal认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
【使用指导】
接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal目的认证网段。
目的网段认证对二次地址分配认证方式的Portal认证不生效。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
可以通过多次执行本命令,配置多条目的认证网段。
【举例】
# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16
【相关命令】
· display portal
portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段。
undo portal ipv6 layer3 source命令用来删除IPv6 Portal源认证网段。
【命令】
portal ipv6 layer3 source ipv6-network-address prefix-length
undo portal ipv6 layer3 source [ ipv6-network-address ]
【缺省情况】
未配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-network-address:IPv6 Portal源认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
【使用指导】
配置此功能后,接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16
【相关命令】
· display portal
· portal ipv6 free-all except destination
portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。
undo portal ipv6 user-detect命令用来关闭IPv6 Portal用户在线探测功能。
【命令】
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
undo portal ipv6 user-detect
【缺省情况】
IPv6 Portal用户在线探测功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
type:指定探测类型。
· icmpv6:表示探测类型为ICMPv6。
· nd:表示探测类型为ND。
retry retries:探测次数,取值范围为1~10,缺省值为3。
interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。
idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。
【使用指导】
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。
若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文,否则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。
【举例】
# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测类型为ND,检测用户ND表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300
【相关命令】
· display portal
portal layer3 source命令用来配置IPv4 Portal源认证网段。
undo portal layer3 source命令用来删除IPv4 Portal源认证网段。
【命令】
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
配置此功能后,接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24
【相关命令】
· display portal
· portal free-all except destination
portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。
undo portal local-web-server命令用来关闭本地Portal Web服务功能。
【命令】
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
undo portal local-web-server { http | https }
【缺省情况】
本地Portal服务功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。
https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。
ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。
【使用指导】
本地Portal Web服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。
只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:
· 该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。
· 该URL以/portal/结尾,例如:http://1.1.1.1/portal/。
配置本地Portal Web服务功能时,需要注意的是:
· 已经被HTTPS服务关联的SSL服务器端策略不能被删除。
· 不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。
配置本地Portal Web服务参数时,需要注意的是:
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。
· 除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,否则会造成本地Portal Web 服务无法向Portal用户推送认证页面。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,否则会导致本地Web服务无法正常使用。
【举例】
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] quit
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1
[Sysname-portal-local-websvr-https] quit
# 更改引用的SSL服务器端策略为policy2。
[Sysname] undo portal local-web-server https
[Sysname] portal local-web-server https ssl-server-policy policy2
[Sysname-portal-local-websvr-https] quit
# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442
[Sysname-portal-local-websvr-https] quit
【相关命令】
· default-logon-page
· portal local-web-server
· ssl server-policy(安全命令参考/SSL)
portal logout-record enable命令用来开启Portal用户下线信息记录功能。
undo portal logout-record enable命令用来关闭Portal用户下线信息记录功能。
【命令】
portal logout-record enable
undo portal logout-record enable
【缺省情况】
Portal用户下线信息记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
Portal用户的下线信息记录会保存在设备中,然后由设备定期自动发送给绿洲云或其它服务器。
【举例】
# 开启Portal用户下线信息记录功能。
<Sysname> system-view
[Sysname] portal logout-record enable
【相关命令】
· display portal logout-record
portal logout-record export命令用来导出Portal用户下线记录。
【命令】
portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url url-string:表示储存Portal用户下线记录服务器文件目录的URL,为1~255个字符的字符串,不区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
start-time start-date start-time end-time end-date end-time:导出指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
本命令支持FTP、TFTP和HTTP三种文件上传方式,具体的URL格式要求如下:
· FTP协议URL格式:ftp://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则无需输入密码。例如:ftp://a:1@1.1.1.1/authfail/,表示地址为1.1.1.1的FTP服务器的authfail目录,用户名为a,密码为1。
· TFTP协议URL格式:tftp://服务器地址[:端口号]/文件路径。例如:tftp://1.1.1.1/logout/,表示地址为1.1.1.1的TFTP服务器的logout目录。
· HTTP协议URL格式:http://用户名[:密码]@服务器地址[:端口号]/文件路径,用户名和密码必须和服务器上的配置一致,如果只对用户名进行认证则无需输入密码。例如:http://a:1@1.1.1.1/logout/,表示地址为1.1.1.1的HTTP服务器的logout目录,其中登录用户名为a,密码为1,如果服务器无需认证,则URL中无需输入用户名和密码,例如http://1.1.1.1/logout/。
· 服务器地址为IPv6地址时,必须用“[]”将IPv6地址括起来,以便将IPv6地址和端口号区分开。例如:ftp://test:test@[2001::1]:21/test/,其中,2001::1为FTP服务器的IPv6地址,21为FTP协议的端口号。
【举例】
# 导出所有用户下线记录到tftp://1.1.1.1/record/logout/路径下。
<Sysname> system-view
[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/
# 导出从2016/3/4 14:20到2016/3/4 15:00时间段内的用户下线记录到tftp://1.1.1.1/record/logout/路径下。
<Sysname> system-view
[Sysname] portal logout-record export url tftp://1.1.1.1/record/logout/ start-time 2016/3/4 14:20 end-time 2016/3/4 15:00
【相关命令】
· display portal logout-record
· portal logout-record enable
· reset portal logout-record
portal logout-record max命令用来配置设备保存Portal用户下线记录的最大条数。
undo portal logout-record max命令用来恢复缺省情况。
【命令】
portal logout-record max number
undo portal logout-record max
【缺省情况】
设备保存Portal用户下线记录的最大条数为6000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:Portal用户下线记录的最大条数,取值范围为1~6000。
【使用指导】
当记录数达到最大条数时,新的下线信息会按照时间从前到后的顺序覆盖已有的下线记录。
【举例】
# 配置设备保存Portal用户下线记录的最大条数为50。
<Sysname> system-view
[Sysname] portal logout-record max 50
【相关命令】
· display portal logout-record
portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。
undo portal mac-trigger-server命令用来删除MAC绑定服务器。
【命令】
portal mac-trigger-server server-name
undo portal mac-trigger-server server-name
【缺省情况】
不存在MAC绑定服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号以及设备和服务器间通信的预共享密钥等。
【举例】
# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts]
【相关命令】
· display portal mac-trigger-server
· portal apply mac-trigger-server
portal max-user命令用来配置全局Portal最大用户数。
undo portal max-user命令用来恢复缺省情况。
【命令】
portal max-user max-number
undo portal max-user
【缺省情况】
全局Portal最大用户数不受限制。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:系统中允许同时在线的最大Portal用户数。该参数的取值范围为1~4294967295。
【使用指导】
如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。
建议所有开启Portal的接口或者无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
【举例】
# 配置全局Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【相关命令】
· display portal user
· portal { ipv4-max-user | ipv6-max-user }
portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。
undo portal nas-id-profile命令用来恢复缺省情况。
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【缺省情况】
未指定引用的NAS-ID Profile。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“用户接入与认证命令参考”中的“AAA”。
如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。
【举例】
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【相关命令】
· aaa nas-id profile(用户接入与认证命令参考/AAA)
portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。
undo portal nas-port-id format命令用来恢复缺省情况。
【命令】
portal nas-port-id format { 1 | 2 | 3 | 4 }
undo portal nas-port-id format
【缺省情况】
NAS-Port-ID的消息格式为格式2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
1:表示格式1,具体为{eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。
2:表示格式2,具体为SlotID00IfNOVlanID。
3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。
4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。
【使用指导】
可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。
不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。
{eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]
各项含义如下:
· {eth|trunk}:BRAS端口类型,包括以太接口或trunk类型的以太网接口。
· NAS_slot:BRAS槽号,取值为0~31。
· NAS_subslot:BRAS子槽号,取值为0~31。
· NAS_Port:BRAS端口号,取值为0~63。
· XPI:如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。
· XCI:如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。
· AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。
· ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。
· ANI_frame:接入节点机框号,取值为0~31。
· ANI_slot:接入节点槽号,取值为0~127。
· ANI_subslot:接入节点子槽号,取值为0~31。
· ANI_port:接入节点端口号,取值为0~255。
· ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。
字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。
如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。
如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。
对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”。
其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。
对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:“eth 31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。
格式1的解释示例如下:
· 例1:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。
· 例2:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。
· 例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 guangzhou001/1/31/63/31/127”
含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。
SlotID00IfNOVlanID
各项含义如下:
· SlotID:用户接入的槽位号,为两个字符的字符串。
· IfNO:用户接入的接口编号,为3个字符的字符串。
· VlanID:用户接入的VLAN ID,为9个字符的字符串。
其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。对于IPv6用户,此处添加的是DHCP Option18的内容。
其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:
· 对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。
· 对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**。
【举例】
# 配置NAS-Port-ID属性的格式为format 1。
<Sysname> system-view
[Sysname] portal nas-port-id format 1
portal nas-port-type命令用来配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。
undo portal nas-port-type命令用来恢复缺省情况。
【命令】
portal nas-port-type { ethernet | wireless }
undo portal nas-port-type
【缺省情况】
接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
【参数】
ethernet:指定NAS-Port-Type属性名称为Ethernet,属性编号为15。
wireless:指定NAS-Port-Type属性名称为WLAN-IEEE 802.11,属性编号为19。
【使用指导】
若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。
【举例】
# 在无线服务模板service1上配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值为WLAN-IEEE 802.11。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal nas-port-type wireless
【相关命令】
· display portal interface
portal oauth user-sync interval命令用来配置当Portal用户采用OAuth认证时用户信息同步的时间间隔。
undo portal oauth user-sync interval命令用来恢复缺省情况。
【命令】
portal oauth user-sync interval interval
undo portal oauth user-sync interval
【缺省情况】
Portal OAuth认证用户信息同步的时间间隔为60秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:用户信息同步的时间间隔,取值范围为0、60~3600,单位为秒。
【使用指导】
本命令用来配置当Portal用户采用OAuth认证时用户信息由设备向服务器同步的时间间隔。如果时间间隔配置为0,则表示关闭Portal OAuth认证用户同步功能。
【举例】
# 配置Portal OAuth认证用户信息同步时间间隔为120秒。
<Sysname> system-view
[Sysname] portal oauth user-sync interval 120
portal outbound-filter enable命令用来开启Portal出方向的报文过滤功能。
undo portal outbound-filter enable命令用来关闭Portal出方向的报文过滤功能。
【命令】
portal [ ipv6 ] outbound-filter enable
undo portal [ ipv6 ] outbound-filter enable
【缺省情况】
Portal出方向的报文过滤功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示对接口或无线服务模板出方向的IPv6报文过滤。若不指定该参数,则表示对于接口或无线服务模板出方向的IPv4报文过滤。
【使用指导】
缺省情况下,开启了Portal认证的接口或无线服务模板,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口或无线服务模板发送的报文进行严格控制时,可以在接口或无线服务模板上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的接口或无线服务模板上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。
【举例】
# 在无线服务模板service1上开启出方向报文过滤功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal outbound-filter enable
portal packet log enable命令用来开启Portal协议报文的日志功能。
undo portal packet log enable命令用来关闭Portal协议报文的日志功能。
【命令】
portal packet log enable
undo portal packet log enable
【缺省情况】
Portal协议报文的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会对Portal协议报文信息进行记录,包括用户名、IP地址、认证类型、报文类型、SSID、AP MAC地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal协议报文的日志功能。
<Sysname> system-view
[Sysname] portal packet log enable
【相关命令】
· portal redirect log enable
· portal user log enable
portal redirect log enable命令用来开启Portal重定向日志功能。
undo portal redirect log enable命令用来关闭Portal重定向日志功能。
【命令】
portal redirect log enable
undo portal redirect log enable
【缺省情况】
Portal重定向日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,会对Portal重定向报文信息进行记录,包括用户IP地址、MAC地址、SSID、BAS IP、Web服务器IP地址等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal重定向日志功能。
<Sysname> system-view
[Sysname] portal redirect log enable
【相关命令】
· portal packet log enable
· portal user log enable
portal redirect max-session per-user命令用来配置单用户Portal重定向的最大会话数。
undo portal redirect max-session per-user命令用来恢复缺省情况。
【命令】
portal redirect max-session per-user number
undo redirect max-session per-user
【缺省情况】
未配置单用户Portal重定向的最大会话数。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:单用户Portal重定向的最大会话数,取值范围为1~128。
【使用指导】
当用户客户端装了恶意软件或遭到病毒攻击时,会发起大量Portal重定向会话。本命令用来同时配置设备上单个Portal用户的HTTP和HTTPS重定向的最大会话数,即单个Portal用户的HTTP重定向的最大会话数和HTTPS重定向会话数均为设置值,且每秒处理的HTTP和HTTPS重定向的最大会话数也为设置值,Portal重定向的总最大会话数为二者之和,且每秒处理的重定向总最大会话数也为二者之和。
对于无线应用,仅集中转发模式生效。
【举例】
# 配置单用户Portal重定向的最大会话数为128。
<Sysname> system-view
[Sysname] portal redirect max-session per-user 128
【相关命令】
· portal redirect max-session
· display portal redirect
portal redirect-rule destination命令用来配置基于目的的Portal强制重定向规则。
undo portal redirect-rule destination命令用来删除指定的Portal强制重定向规则。
【命令】
portal redirect-rule destination { host { host-name | ip-address } | ipv6 ipv6-address } [ redirect-url url ]
undo portal redirect-rule destination { host { host-name | ip-address } | ipv6 ipv6-address | all }
【缺省情况】
设备存在两条基于目的地址10.1.0.6和10.168.168.1的Portal强制重定向规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
host host-name:指定匹配的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
host ip-address:指定匹配的IPv4地址。
ipv6 ipv6-address:指定匹配的IPv6地址。
redirect-url url:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。若未配置本参数,则Web访问请求将被重定向到Portal Web服务器视图下由if-match命令指定的地址。若Portal Web服务器视图下未配置if-match命令,则Web访问请求将被重定向到Portal Web服务器视图下url命令配置的地址。
all:所有基于目的的强制重定向规则。
【使用指导】
配置portal redirect-rule命令后,当Portal用户访问指定地址时,Portal服务器会将用户Web请求重定向到指定URL。
若同时配置了portal redirect-rule和if-match命令,则仅portal redirect-rule命令生效。
如果配置了redirect-url参数,则参数中的URL地址不能与host或ipv6配置的地址位置互换,避免造成循环重定向。
系统中最多允许同时存在10条Portal强制重定向规则,访问同一主机名或IP地址的Portal强制重定向规则只能配置一条。
【举例】
# 配置目的主机名为http://www.abc.com.cn的Portal强制重定向规则,访问此主机的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal redirect-rule destination host www.abc.com.cn redirect-url http://192.168.0.1
【相关命令】
· display portal dns redirect-rule-host
portal refresh enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。
undo portal refresh enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。
【命令】
portal refresh { arp | nd } enable
undo portal refresh { arp | nd } enable
【缺省情况】
Portal客户端Rule ARP表项、ND表项生成功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
arp:表示ARP表项。
nd:表示ND表项。
【使用指导】
Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后会被立即删除,导致Portal客户端在短时间内再上线时会因ARP/ND表项还未学习到而认证失败。此情况下,需要关闭本功能,使得Portal客户端上线后其ARP/ND表项仍为动态表项,在Portal客户端下线后按老化时间正常老化。
此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。
【举例】
# 关闭Portal客户端Rule ARP表项生成功能。
<Sysname> system-view
[Sysname] undo portal refresh arp enable
portal roaming enable命令用来开启Portal用户VLAN内漫游功能。
undo portal roaming enable命令用来关闭Portal用户VLAN内漫游功能。
【命令】
portal roaming enable
undo portal roaming enable
【缺省情况】
Portal用户VLAN内漫游功能处于开启状态,即Portal用户上线后可以在所在的VLAN内漫游。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了Portal用户VLAN内漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。
Portal用户VLAN内漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。
Portal用户VLAN内漫游功能只对通过VLAN接口上线的Portal用户有效。
设备上有用户在线或认证前域用户的情况下,不能配置此命令。
【举例】
# 开启Portal用户VLAN内漫游功能。
<Sysname> system-view
[Sysname] portal roaming enable
· portal refresh enable
portal safe-redirect default-action命令用来配置Portal安全重定向URL地址匹配的缺省动作。
undo portal safe-redirect default-action命令用来恢复缺省情况。
【命令】
portal safe-redirect default-action { forbidden | permit }
undo portal safe-redirect default-action
【缺省情况】
未配置Portal安全重定向URL地址匹配的缺省动作。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
forbidden:表示丢弃报文。
permit:表示放行报文。
【使用指导】
Portal安全重定向URL地址匹配的缺省动作是指对不属于Portal安全重定向允许或禁止的URL地址所要执行的动作。
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
Portal安全重定向的匹配顺序为:
(1) 与配置的HTTP协议的请求方法进行匹配。如果不匹配,则丢弃报文,如果未配置或匹配,则进行下一步。
(2) 与配置的Portal安全重定向允许的HTTP User Agent中的浏览器类型进行匹配。如果不匹配,则丢弃报文,如果未配置或匹配,则进行下一步。
(3) 与配置的Portal安全重定向禁止的URL地址进行匹配。如果匹配,则丢弃报文,如果未配置或不匹配,则进行下一步。
(4) 与配置的Portal安全重定向禁止URL携带指定扩展名的文件进行匹配。如果匹配,则丢弃报文,如果未配置或不匹配,则进行下一步。
(5) 与配置的Portal安全重定向允许的URL地址进行匹配。如果匹配,则放行报文,如果未配置或不匹配,则进行下一步。
(6) 与HTTP协议的请求方法缺省情况进行匹配,如果不匹配,则丢弃报文,如果匹配,则进行下一步。
(7) 判断Portal安全重定向允许的HTTP User Agent中的浏览器类型是否配置,如果配置,则放行报文,如果未配置,则进行下一步。
(8) 与配置的Portal安全重定向URL地址匹配的缺省动作进行匹配。如果匹配,则按配置执行,如果未配置或不匹配,则进行下一步。
(9) 与Portal安全重定向允许的HTTP User Agent中的浏览器类型的缺省配置进行匹配。如果匹配,则放行报文,如果不匹配,则丢弃报文。
【举例】
# 配置Portal安全重定向URL地址匹配的缺省动作为放行报文。
<Sysname> system-view
[Sysname] portal safe-redirect default-action permit
【相关命令】
· portal safe-redirect enable
· portal safe-redirect forbidden-file
· portal safe-redirect forbidden-url
· portal safe-redirect method
· portal safe-redirect permit-url
· portal safe-redirect user-agent
portal safe-redirect enable命令用来开启Portal安全重定向功能。
undo portal safe-redirect enable命令用来关闭Portal安全重定向功能。
【命令】
portal safe-redirect enable
undo portal safe-redirect enable
【缺省情况】
Portal安全重定向功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,除了免认证地址的HTTP请求,系统会将用户访问任意80端口的HTTP请求报文进行重定向,这可能会带来服务器负载过大的问题。开启Portal安全重定向功能后,系统将仅仅针对请求方法为GET的HTTP请求报文以及特定浏览器发送的报文进行重定向。在服务器负载过大的情况下,建议开启Portal安全重定向功能。
【举例】
# 开启Portal安全重定向功能。
<Sysname> system-view
[Sysname] portal safe-redirect enable
【相关命令】
· portal safe-redirect forbidden-url
· portal safe-redirect method
· portal safe-redirect user-agent
portal safe-redirect forbidden-keyword命令用来配置用户访问目的网络的HTTP请求中禁止携带指定的关键字。
undo portal safe-redirect forbidden-keyword命令用来删除配置的用户访问目的网络的HTTP请求中禁止URL携带指定的关键字。
【命令】
portal safe-redirect forbidden-keyword keyword
undo portal safe-redirect forbidden-keyword keyword
【缺省情况】
Portal安全重定向允许URL携带任意关键字。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keyword:关键字,为1~16个字符的字符串,不区分大小写。
【使用指导】
在用户通过Portal认证之前,可以通过配置本命令,将携带指定关键字的HTTP请求报文丢弃,不再重定向到Portal Web服务器。
在用户通过Portal认证之后,可以通过配置本命令,将携带指定关键字的HTTP请求报文丢弃,不再重定向到广告页面。
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个用户访问目的网络的HTTP请求中禁止携带指定的关键字。
【举例】
# 配置用户访问目的网络的HTTP请求中禁止携带关键字.jpg。
<Sysname> system-view
[Sysname] portal safe-redirect forbidden-keyword .jpg
【相关命令】
· display portal safe-redirect statistics
· portal safe-redirect enable
portal safe-redirect forbidden-url命令用来配置Portal安全重定向禁止的URL地址。
undo portal safe-redirect forbidden-url命令用来删除配置的Portal安全重定向禁止的URL地址。
【命令】
portal safe-redirect forbidden-url user-url-string
undo portal safe-redirect forbidden-url user-url-string
【缺省情况】
Portal可以对任意URL地址的HTTP请求报文进行重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-url-string:Portal安全重定向禁止的URL地址,为1~256个字符的字符串,区分大小写,可以包含字母、数字、“-”、“_”、“.”和通配符“*”。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个Portal安全重定向禁止的URL地址。
Portal安全重定向禁止的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
【举例】
# 配置Portal安全重定向禁止的URL地址为http://www.abc.com。
<Sysname> system-view
[Sysname] portal safe-redirect forbidden-url http://www.abc.com
【相关命令】
· portal safe-redirect enable
portal safe-redirect method命令用来配置Portal安全重定向允许的HTTP协议的请求方法。
undo portal safe-redirect method用来删除配置的Portal安全重定向允许的HTTP协议的请求方法。
【命令】
portal safe-redirect method { get | post }*
undo portal safe-redirect method { get | post }*
【缺省情况】
未配置HTTP协议的请求方法,Portal安全重定向功能开启后,HTTP协议的默认请求方法为GET。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
get:指定HTTP协议的请求方法为GET。
post:指定HTTP协议的请求方法为POST。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置Portal安全重定向允许的HTTP协议的请求方法为GET。
<Sysname> system-view
[Sysname] portal safe-redirect method get
【相关命令】
· portal safe-redirect enable
portal safe-redirect permit-url命令用来配置Portal安全重定向允许的URL地址。
undo portal safe-redirect permit-url命令用来删除Portal安全重定向允许的URL地址。
【命令】
portal safe-redirect permit-url user-url-string
undo portal safe-redirect permit-url user-url-string
【缺省情况】
设备允许对任意URL地址进行Portal安全重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-url-string:Portal安全重定向允许的URL地址,为1~256个字符的字符串,区分大小写,可以包含字母、数字、“-”、“_”、“.”和通配符“*”。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
可以通过多次执行本命令,配置多个Portal安全重定向允许的URL地址。
Portal安全重定向允许的URL地址匹配规则如下:
· 精确匹配:完整匹配URL。例如,配置的URL为abc.com.cn,则只有abc.com.cn的URL可以匹配上此规则。
· 模糊匹配:使用通配符配置URL。例如,配置的URL为*abc.com.cn、abc*和*abc*,则所有以abc.com.cn结尾的URL、以abc开头的URL和所有含有abc字符串的URL均能匹配上此规则。
需要注意的是:
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的URL不能只包含通配符。
【举例】
# 配置Portal安全重定向允许的URL地址为http://www.abc.com。
<Sysname> system-view
[Sysname] portal safe-redirect permit-url http://www.abc.com
【相关命令】
· portal safe-redirect enable
· portal safe-redirect action
portal safe-redirect user-agent命令用来匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。
undo portal safe-redirect user-agent命令用来删除匹配的Portal安全重定向允许的HTTP User Agent中的浏览器类型。
【命令】
portal safe-redirect user-agent user-agent-string
undo portal safe-redirect user-agent user-agent-string
【缺省情况】
未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。Portal安全重定向功能开启后,默认与表1-34中的所有浏览器类型匹配的HTTP报文都能被Portal重定向。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-agent-string:Portal安全重定向允许的HTTP User Agent中的浏览器类型,为1~255个字符的字符串,区分大小写。可配置的浏览器类型及描述如表1-34所示。
|
浏览器类型 |
描述 |
|
Safari |
苹果浏览器 |
|
Chrome |
谷歌浏览器 |
|
Firefox |
火狐浏览器 |
|
UC |
UC浏览器 |
|
QQBrowser |
QQ浏览器 |
|
LBBROWSER |
猎豹浏览器 |
|
TaoBrowser |
淘宝浏览器 |
|
Maxthon |
傲游浏览器 |
|
BIDUBrowser |
百度浏览器 |
|
MSIE 10.0 |
微软IE 10.0浏览器 |
|
MSIE 9.0 |
微软IE 9.0浏览器 |
|
MSIE 8.0 |
微软IE 8.0浏览器 |
|
MSIE 7.0 |
微软IE 7.0浏览器 |
|
MSIE 6.0 |
微软IE 6.0浏览器 |
|
MetaSr |
搜狗浏览器 |
【使用指导】
配置本命令后,只有与Portal安全重定向允许的HTTP User Agent中的浏览器类型匹配的HTTP报文才能够被Portal重定向。可通过重复执行本命令匹配多个浏览器类型。
只有在Portal安全重定向功能处于开启的状态下,本命令才能生效。
【举例】
# 配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型为Chrome和Safari。
<Sysname> system-view
[Sysname] portal safe-redirect user-agent Chrome
[Sysname] portal safe-redirect user-agent Safari
【相关命令】
· portal safe-redirect enable
portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。
undo portal server命令用来删除指定的Portal认证服务器。
【命令】
portal server server-name
undo portal server server-name
【缺省情况】
不存在Portal认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,设备和服务器间通信的预共享密钥,服务器探测功能等。
可以配置多个Portal认证服务器。
【举例】
# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts]
【相关命令】
· display portal server
portal temp-pass enable命令用来开启Portal临时放行功能并设置临时放行时间。
undo portal temp-pass enable命令用来关闭Portal临时放行功能。
【命令】
portal temp-pass [ period period-value ] enable
undo portal temp-pass enable
【缺省情况】
Portal临时放行功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
period period-value:临时放行时间,取值范围为10~3600,单位为秒,缺省值为30秒。
【使用指导】
本命令仅在直接认证方式下配置生效。
除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证。当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换。
一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。
【举例】
# 在无线服务模板service1上开启Portal临时放行功能,并设置临时放行时间为25秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal temp-pass period 25 enable
【相关命令】
· display portal
portal traffic-accounting disable命令用来关闭Portal用户流量计费功能。
undo portal traffic-accounting disable命令用来恢复缺省情况。
【命令】
portal traffic-accounting disable
undo portal traffic-accounting disable
【缺省情况】
Portal用户的流量计费功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费。当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对用户流量不做精确统计。当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量。
【举例】
# 关闭Portal用户流量计费功能。
<Sysname> system-view
[Sysname] portal traffic-accounting disable
portal traffic-backup threshold命令用来配置对Portal用户流量进行备份的阈值。
undo portal traffic-backup threshold命令用来恢复缺省情况。
【命令】
portal traffic-backup threshold value
undo portal traffic-backup threshold
【缺省情况】
Portal用户流量备份阈值为10兆字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:对Portal用户流量进行备份的阈值,取值范围为0~100000,单位为兆字节。取值为0时,表示对Portal用户流量进行实时备份。
【使用指导】
缺省情况下,流量备份的阈值为10M字节,即用户流量达到10M字节时设备会对该Portal用户的会话数据以及流量等信息进行备份。流量备份的阈值越小备份越频繁,流量备份越精确。当设备上有大量Portal用户在线时,对Portal用户信息进行频繁备份会影响到用户的上下线以及计费等流程的处理性能。因此,需综合考虑对各业务的处理性能和流量备份的精确度合理配置流量备份阈值。
【举例】
# 配置对Portal用户流量进行备份的阈值为10240兆字节。
<Sysname> system-view
[Sysname] portal traffic-backup threshold 10240
portal traffic-rate statistics-interval命令用来配置Portal用户流量速率计算时间间隔。
undo portal traffic-rate statistics-interval命令用来恢复缺省情况。
【命令】
portal traffic-rate statistics-interval interval
undo portal traffic-rate statistics-interval
【缺省情况】
Portal用户流量速率计算时间间隔为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:Portal用户流量速率计算时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
缺省情况下,Portal用户流量速率计算时间间隔为1秒,设备仅能获取到用户瞬间的流量速率,不利于对用户实际使用的流量均值进行准确有效地分析。当管理员需要查看用户在一定周期内的平均流量速率值时,可以通过此命令配置用户流量速率计算时间间隔。设备根据时间间隔内获取到的Portal用户所有流量的总值除以时间间隔,计算得到用户在该间隔内的流量速率平均值。之后,管理员可以通过display portal user命令查看到用户流量速率平均值。
【举例】
# 配置Portal用户流量速率计算时间间隔为10秒。
<Sysname> system-view
[Sysname] portal traffic-rate statistics-interval 10
【相关命令】
· display portal user
portal url-param source-address code-base64命令用来配置对重定向给用户的URL中的userip参数进行base64编码。
undo url-param source-address code-base64命令用来恢复缺省情况。
【命令】
portal url-param source-address code-base64
undo portal url-param source-address code-base64
【缺省情况】
未配置对重定向给用户的URL中的userip参数进行base64编码。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
手机用户采用OAuth协议进行Portal本地微信认证时,如果URL中携带了userip,则微信认证服务器可能对部分手机用户的userip无法识别,从而无法向用户推送Portal认证页面,配置本命令后,设备会对重定向URL中的userip参数进行base64编码,编码后微信认证服务器即可正常推送Portal认证页面。
如果采用非OAuth协议的Portal认证或非Portal本地微信认证,则不需要配置本命令。
如果url-parameter命令中未携带source-address参数,则不需要配置本命令。
【举例】
# 在无线服务模板service1下,配置对重定向给用户的URL中的userip参数进行base64编码。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal url-param source-address code-base64
【相关命令】
· url-parameter
portal url-unescape-chars命令用来配置重定向给用户的Portal Web服务器URL中不转义的特殊字符。
undo portal url-unescape-chars命令用来删除已配置的URL中不转义的特殊字符。
【命令】
portal url-unescape-chars character-string
undo portal url-unescape-chars character-string
【缺省情况】
对重定向给用户的Portal Web服务器URL中所有的特殊字符进行转义。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
character-string:URL中的特殊字符,取值为“$-_.+!*'();,/?:@”中任意字符的组合。URL的特殊字符中可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
为了防止客户端将特殊符号当作语法符号或指令,更改原本预期的语义。缺省情况下,设备重定向给用户的Portal Web服务器的URL中的特殊字符,均会被转换成安全的形式(即转义字符)。
在实际应用中,一些Portal Web服务器无法识别URL中的某些特殊字符的转义字符,会导致Portal Web服务器向客户端提供Web认证页面失败。此时,可以通过配置本命令对某些特殊字符不进行转义处理。
配置特殊字符时,请先确认Portal Web服务器是否能够识别这些特殊字符的转义字符。
【举例】
# 配置重定向给用户的Portal Web服务器URL中不转义的特殊字符为“;()”。
<Sysname> system-view
[Sysname] portal url-unescape-chars ;()
portal user log enable命令用来开启Portal用户上/下线日志功能。
undo portal user log enable命令用来关闭Portal用户上/下线日志功能。
【命令】
portal user log enable
undo portal user log enable
【缺省情况】
Portal用户上/下线日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、SSID、AP MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启Portal用户上/下线日志功能。
<Sysname> system-view
[Sysname] portal user log enable
【相关命令】
· portal packet log enable
· portal redirect log enable
portal user-block failed-times命令用来开启Portal认证失败后的用户阻塞功能。
undo portal user-block failed-times命令用来关闭Portal认证失败后的用户阻塞功能。
【命令】
portal user-block failed-times failed-times period period [ method { ip | mac | username } ]
undo portal user-block failed-times
【缺省情况】
Portal认证失败后的用户阻塞功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
failed-times:表示允许用户进行Portal认证失败的最大次数,取值范围为0~10。取值为0时表示Portal认证的次数不受限制。
period period:表示用户连续认证失败的检测时长。period的取值范围为1~120,单位为分钟。
method:阻塞用户的方法。若未指定本参数,则按IP方式阻塞用户。
ip:表示基于IP地址进行阻塞,即在指定时间内同一IP地址的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
mac:表示基于MAC地址进行阻塞,即在指定时间内同一MAC地址的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
username:表示基于用户名进行阻塞,即在指定时间内同一用户名的用户进行Portal认证失败达到限定次数,则对其进行阻塞。
【使用指导】
如果在指定时间内用户进行Portal认证失败达到限定次数,该用户将被阻塞,即来自该用户的认证请求报文将被丢弃。阻塞时长由命令portal user-block reactive配置。通过配置该功能,可防止非法用户使用穷举法试探合法用户的密码。
需要注意的是,Portal认证前域中的用户在指定时间内认证失败达到限定次数后不会被阻塞。
【举例】
# 配置在100分钟内同一MAC地址用户进行Portal认证失败次数达到2次时被阻塞。
<Sysname> system-view
[Sysname] portal user-block failed-times 2 period 100 method mac
【相关命令】
· portal user-block reactive
portal user-block reactive命令用来配置Portal用户被阻塞的时长。
undo portal user-block reactive命令用来恢复缺省情况。
【命令】
portal user-block reactive period
undo portal user-block reactive
【缺省情况】
被阻塞的用户重新进行Portal认证的时间间隔为30分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
period:表示被阻塞的用户重新进行Portal认证的时间间隔,取值范围为0~1000,单位为分钟。取值为0时表示被阻塞的用户不能重新进行Portal认证。
【使用指导】
配置用户进行Portal认证的最大失败次数后(通过命令portal user-block failed-times),如果在指定时间内用户连续认证失败,用户会被阻塞。用户可以通过配置该命令改变被阻塞用户重新进行Portal认证的时间间隔。
【举例】
# 配置被阻塞用户重新进行Portal认证的时间间隔为20分钟。
<Sysname> system-view
[Sysname] portal user-block reactive 20
【相关命令】
· portal user-block failed-times
portal user-detect命令用来开启IPv4 Portal用户在线探测功能。
undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。
【命令】
portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]
undo portal user-detect
【缺省情况】
IPv4 Portal用户在线探测功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
type:指定探测类型。
· arp:表示探测类型为ARP。
· icmp:表示探测类型为ICMP。
retry retries:探测次数,取值范围为1~10,缺省值为3。
interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。
idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。
【使用指导】
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。
若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文,否则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。
【举例】
# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测类型为ARP,检测用户ARP表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300
【相关命令】
· display portal
portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。
undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。
【命令】
portal [ ipv6 ] user-dhcp-only
undo portal [ ipv6 ] user-dhcp-only
【缺省情况】
仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。
【使用指导】
· 配置本命令后,配置静态IP地址的Portal认证用户不能上线。
· 在AC+Fit AP组网中,仅当AC作DHCP服务器时,本命令才生效。
· 在IPv6网络中,配置本命令后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址。
【举例】
# 在无线服务模板视图下配置仅允许通过DHCP获取IP地址的客户端上线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal user-dhcp-only
【相关命令】
· display portal
portal user-log traffic-separate命令用来配置Portal用户日志信息区分IPv4流量和IPv6流量。
undo portal user-log traffic-separate命令用来恢复缺省情况。
【命令】
portal user-log traffic-separate
undo portal user-log traffic-separate
【缺省情况】
Portal用户日志信息不区分IPv4流量和IPv6流量。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对于单栈用户,如果配置了Portal日志信息区分显示IPv4流量和IPv6流量,Portal用户下线日志信息中会打印IPv6流量信息,对于IPv4用户,IPv6流量信息显示为0,对于IPv6用户,IPv4流量信息显示为0;缺省情况下,Portal用户下线日志信息中不会打印IPv6流量信息,IPv4用户流量和IPv6用户流量均采用IPv4流量信息显示。
对于双栈用户,如果配置了Portal日志信息区分显示IPv4流量和IPv6流量,Portal用户下线日志信息中会打印IPv6流量信息,IPv4用户流量和IPv6用户流量分开显示;缺省情况下,Portal用户下线日志信息中不会打印IPv6流量信息,IPv4流量信息显示的是IPv4用户流量和IPv6用户流量之和。
【举例】
# 配置Portal用户日志信息区分IPv4流量和IPv6流量。
<Sysname> system-view
[Sysname] portal user-log traffic-separate
portal user-logoff after-client-offline enable命令用来开启无线Portal用户自动下线功能。
undo portal user-logoff after-client-offline enable命令用来关闭无线Portal用户自动下线功能。
【命令】
portal user-logoff after-client-offline enable
undo portal user-logoff after-client-offline enable
【缺省情况】
无线Portal用户自动下线功能处于关闭状态,无线客户端断开无线连接后,Portal用户不会自动下线。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启无线Portal用户自动下线功能后,在无线客户端断开无线连接时,设备将会强制该客户端上的Portal用户下线。
【举例】
# 开启无线Portal用户自动下线功能。
<Sysname> system-view
[Sysname] portal user-logoff after-client-offline enable
portal user-logoff ssid-switch enable命令用来开启无线Portal用户SSID切换后的强制下线功能。
undo portal user-logoff ssid-switch enable命令用来关闭无线Portal用户SSID切换后的强制下线功能。
【命令】
portal user-logoff ssid-switch enable
undo portal user-logoff ssid-switch enable
【缺省情况】
无线Portal用户SSID切换后保持在线状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
若用户创建2个无线服务模板,且都开启Portal认证,用户VLAN相同。用户先从一个无线服务模板的SSID上线,通过Portal认证;当用户切换到另一个无线服务模板的SSID且进行Portal认证时无法通过认证。
执行本命令后,当无线Portal用户从原SSID切换到新SSID后,设备会强制用户下线,并自动删除用户信息,用户再进行Portal认证时便可通过认证。
【举例】
# 开启无线Portal用户SSID切换后的强制下线功能。
<Sysname> system-view
[Sysname] portal user-logoff ssid-switch enable
portal web-proxy port命令用来配置允许触发Portal认证的Web代理服务器端口。
undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
【命令】
portal web-proxy { http | https } port port-number
undo portal web-proxy { { http | https } port port-number | all-port }
【缺省情况】
未配置允许触发Portal认证的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
http:表示HTTP请求触发Portal认证。
https:表示HTTPS请求触发Portal认证。
port-number:Portal认证的Web代理服务器的TCP端口号,取值范围为1~65535。80和443端口是Portal预留端口号,Portal认证的Web代理服务器的TCP端口号不能配置为80和443。
all-port:指定所有Portal认证的Web代理服务器的TCP端口号。
【使用指导】
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP/HTTPS请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发Portal认证。
配置允许触发Portal认证的Web代理服务器端口,需要注意的是:
· 通过多次执行本命令,最多可以添加64个允许触发Portal认证的Web代理服务器端口。
· HTTP和HTTPS请求允许触发Portal认证的Web代理服务器端口不能相同。
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,还需要注意以下几点:
· 配置允许触发Portal认证的Web代理服务器端口的同时,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Portal认证。
【举例】
# 配置HTTP请求允许触发Portal认证的Web代理服务器端口号为8080。
<Sysname> system-view
[Sysname] portal web-proxy http port 8080
【相关命令】
· portal enable method
portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。
undo portal web-server命令用来删除Portal Web服务器。
【命令】
portal web-server server-name
undo portal web-server server-name
【缺省情况】
不存在Portal Web服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。
【举例】
# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs]
【相关命令】
· display portal web-server
· portal apply web-server
portal wifidog user-sync interval命令用来开启用户信息同步功能,并配置采用Wifidog协议进行Portal认证时用户信息同步的时间间隔。
undo portal wifidog user-sync interval命令用来关闭用户信息同步功能,并清除配置的用户信息同步的时间间隔。
【命令】
portal wifidog user-sync interval interval
undo portal wifidog user-sync interval
【缺省情况】
用户信息同步功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:用户信息同步的时间间隔,取值范围为60~1440,单位为分钟。
【使用指导】
当用户采用Wifidog协议进行Portal认证时,开启用户信息同步功能并配置同步时间间隔后,设备会按配置的时间间隔向Portal服务器同步用户信息,使得服务器上的Portal用户信息与设备上的用户信息保持一致。
开启用户信息同步功能之前,请确保通过server-type命令配置Portal Web服务器的类型为wifidog,否则功能不生效。
【举例】
# 配置用户信息同步的时间间隔为61分钟。
<Sysname> system-view
[Sysname] portal wifidog user-sync interval 61
【相关命令】
· server-type
portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。
undo portal { bas-ip | bas-ipv6 }命令用来删除接口或者无线服务模板上指定的BAS-IP或BAS-IPv6属性。
【命令】
portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }
undo portal { bas-ip | bas-ipv6 }
【缺省情况】
对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
bas-ip ipv4-address:接口发送Portal报文的BAS-IP属性值。其中,ipv4-address为本机的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
bas-ipv6 ipv6-address:接口发送Portal报文的BAS-IPv6属性值。其中,ipv6-address为本机的IPv6地址,不能为多播地址、全0地址、本地链路地址。
【使用指导】
设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。
配置此命令后,设备主动发送的通知类Portal报文,其源IPv4地址为配置的BAS-IP,其源IPv6地址为配置的BAS-IPv6,否则为Portal报文出接口IP地址。
接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。
使用iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口或无线服务模板上必须配置BAS-IP或者BAS-IPv6属性。
【举例】
# 在无线服务模板service1上配置发送Portal报文的BAS-IP属性值为2.2.2.2。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal bas-ip 2.2.2.2
【相关命令】
· display portal
portal { ipv4-max-user | ipv6-max-user }命令用来配置接口或者无线服务模板上的Portal最大用户数。
undo portal { ipv4-max-user | ipv6-max-user }命令用来恢复缺省情况。
【命令】
portal { ipv4-max-user | ipv6-max-user } max-number
undo portal { ipv4-max-user | ipv6-max-user }
【缺省情况】
接口或者无线服务模板上的Portal最大用户数不受限制。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
max-number:接口或者无线服务模板上允许的最大IPv4或IPv6 Portal用户数。该参数的取值范围为1~4294967295。
【使用指导】
如果接口或者无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口或无线服务模板接入。
建议所有开启Portal的接口或者无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
【举例】
# 在无线服务模板上配置IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ipv4-max-user 100
【相关命令】
· display portal
· portal max-user
redirect-url命令用来配置QQ或Facebook认证成功之后的重定向地址。
undo redirect-url命令用来恢复缺省情况。
【命令】
redirect-url url-string
undo redirect-url
【缺省情况】
QQ认证成功之后的重定向地址为http://oauthindev.h3c.com /portal/qqlogin.html。
Facebook认证成功之后的重定向地址为http://oauthindev.h3c.com/portal/fblogin.html。
【视图】
QQ认证服务器视图
Facebook认证服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:QQ或Facebook认证成功后的重定向URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
用户采用QQ或Facebook作为第三方认证平台时,当客户端与第三方认证平台完成了认证、授权交互后,客户端会被强制重定向到本命令配置的地址上。用户需要在设备上配置DNS代理,将此地址指向设备端,从而使客户端对设备端发起本地Portal认证。
【举例】
# 配置QQ认证服务器的重定向地址。
<Sysname> system-view
[Sysname] portal extend-auth-server qq
[Sysname-portal-extend-auth-server-qq] redirect-url http://www.abc.com/portal/qqlogin.html
# 配置Facebook认证服务器的重定向地址。
<Sysname> system-view
[Sysname] portal extend-auth-server facebook
[Sysname-portal-extend-auth-server-fb] redirect-url http://h3c.com/portal/fblogin.html
【相关命令】
· display portal extend-auth-server
reset portal ad-push statistics命令用来清除Portal推送广告统计信息。
【命令】
reset portal ad-push statistics { ad-url-group | url }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ad-url-group:表示基于广告组清除广告推送统计信息。
url:表示基于URL地址清除广告推送统计信息。
【举例】
# 基于URL地址清除广告推送统计信息。
<Sysname> reset portal ad-push statistics url
# 基于URL地址清除广告推送统计信息。
<Sysname> reset portal ad-push statistics ad-url-group
【相关命令】
· display portal ad-push statistics
reset portal auth-error-record命令用来清除Portal认证异常记录。
【命令】
reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的Portal认证异常记录。
ipv4 ipv4-address:清除指定IPv4地址的用户Portal认证异常记录。
ipv6 ipv6-address:清除指定IPv6地址的用户Portal认证异常记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证异常记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
【举例】
# 清除所有的Portal认证异常记录。
<Sysname> reset portal auth-error-record all
# 清除IP地址为11.1.0.1的用户Portal认证异常记录。
<Sysname> reset portal auth-error-record ipv4 11.1.0.1
# 清除IPv6地址为2000::2的用户Portal认证异常记录。
<Sysname> reset portal auth-error-record ipv6 2000::2
# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证异常记录。
<Sysname> reset portal auth-error-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23
【相关命令】
· display portal auth-error-record
reset portal auth-fail-record命令用来清除Portal认证失败记录。
【命令】
reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的Portal认证失败记录。
ipv4 ipv4-address:清除指定IPv4地址用户的Portal认证失败记录。
ipv6 ipv6-address:清除指定IPv6地址用户的Portal认证失败记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的Portal认证失败记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:清除指定用户名的用户的Portal认证失败记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 清除所有的认证失败记录。
<Sysname> reset portal auth-fail-record all
# 清除IP地址为11.1.0.1的用户的Portal认证失败记录。
<Sysname> reset portal auth-fail-record ipv4 11.1.0.1
# 清除IPv6地址为2000::2的用户的Portal认证失败记录。
<Sysname> reset portal auth-fail-record ipv6 2000::2
# 清除用户名为abc的用户的Portal认证失败记录。
<Sysname> reset portal auth-fail-record username abc
# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal认证失败记录。
<Sysname> reset portal auth-fail-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23
【相关命令】
· display portal auth-fail-record
reset portal captive-bypass statistics命令用来清除Portal被动Web认证功能的报文统计信息。
【命令】
reset portal captive-bypass statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除Portal被动Web认证功能的报文统计信息。
<Sysname> reset portal captive-bypass statistics
【相关命令】
· display portal captive-bypass statistics
reset portal local-binding mac-address命令用来清除本地MAC-Trigger绑定表项信息。
【命令】
reset portal local-binding mac-address { mac-address | all }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
mac-address:用户的MAC地址,格式为H-H-H。
all:清除本地MAC-Trigger绑定表项的所有信息。
【举例】
# 清除本地MAC-Trigger绑定表项的所有信息。
<Sysname> reset portal local-binding mac-address all
【相关命令】
· display portal local-binding mac-address
· local-binding aging-time
reset portal logout-record命令用来清除用户下线记录。
【命令】
reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的用户下线记录。
ipv4 ipv4-address:清除指定IPv4地址用户的下线记录。
ipv6 ipv6-address:清除指定IPv6地址用户的下线记录。
start-time start-date start-time end-time end-date end-time:清除指定时间段内的用户下线记录。其中,start-time start-date start-time表示时间段的起始时间,end-time end-date end-time表示时间段的结束时间。start-date和end-date的格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日)。MM的取值范围为1~12;DD的取值范围取决于所输入的月份;YYYY的取值范围为1970~2037。start-time和end-time的格式为hh:mm,取值范围为00:00~23:59。
username username:清除指定用户名用户的下线记录。username为1~253个字符的字符串,区分大小写,不能携带域名。
【举例】
# 清除所有的用户下线记录。
<Sysname> reset portal logout-record all
# 清除指定IP地址为11.1.0.1的用户下线记录。
<Sysname> reset portal logout-record ipv4 11.1.0.1
# 清除指定IPv6地址为2000::2的用户下线记录。
<Sysname> reset portal logout-record ipv6 2000::2
# 清除指定用户名为abc的用户下线记录。
<Sysname> reset portal logout-record username abc
# 清除从2016/3/4 14:20到2016/3/4 16:23内的Portal用户下线记录。
<Sysname> reset portal logout-record start-time 2016/3/4 14:20 end-time 2016/3/4 16:23
【相关命令】
· display portal logout-record
reset portal packet statistics命令用来清除Portal报文的统计信息。
【命令】
reset portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为绿洲云服务器。
facebook:第三方Portal认证服务器类型为Facebook服务器。
mail:第三方Portal认证服务器类型为邮箱服务器。
qq:第三方Portal认证服务器类型为QQ服务器。
wechat:第三方Portal认证服务器类型为微信服务器。
mac-trigger-server server-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写。若未指定本参数,则表示清除指定的Portal认证服务器的名称。
server server-name:普通Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若未指定任何参数,则表示清除所有Portal认证服务器和MAC绑定服务器的报文统计信息。
【举例】
# 清除名称为st上的Portal认证服务器的统计信息。
<Sysname> reset portal packet statistics server pts
# 清除名称为newpt的MAC绑定服务器的报文统计信息。
<Sysname> reset portal packet statistics mac-trigger-server newpt
# 清除类型为cloud的第三方Portal认证服务器的报文统计信息。
<Sysname> reset portal packet statistics extend-auth-server cloud
【相关命令】
· display portal packet statistics
reset portal redirect session-record命令用来清除Portal重定向的会话历史信息。
【命令】
reset portal redirect session-record
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除Portal重定向会话历史信息。
<Sysname> reset portal redirect session-record
【相关命令】
· display portal redirect session-record
reset portal redirect session-statistics命令用来清除Portal重定向会话统计信息。
【命令】
reset portal redirect session-statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除Portal重定向会话统计信息。
<Sysname> reset portal redirect session-statistics
【相关命令】
· display portal redirect session-statistics
reset portal redirect statistics命令用来清除Portal重定向报文统计信息。
【命令】
reset portal redirect statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除Portal重定向报文统计信息。
<Sysname> reset portal redirect statistics
【相关命令】
· display portal redirect statistics
reset portal safe-redirect statistics命令用来清除Portal安全重定向功能的报文统计信息。
【命令】
reset portal safe-redirect statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除Portal安全重定向功能的报文统计信息。
<Sysname> reset portal safe-redirect statistics
【相关命令】
· display portal safe-redirect statistics
server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。
undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。
【命令】
server-detect [ timeout timeout ] { log | trap } *
undo server-detect
【缺省情况】
Portal认证服务器的可达性探测功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。
log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
【使用指导】
只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。
只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。
若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。
设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。
【举例】
# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log
【相关命令】
· portal server
server-detect命令用来开启Portal Web服务器的可达性探测功能。
undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。
【命令】
server-detect [ interval interval ] [ retry retries ] { log | trap } *
undo server-detect
【缺省情况】
Portal Web服务器的可达性探测功能处于关闭状态。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
interval interval:进行探测尝试的时间间隔,取值范围为1~1200,单位为秒,缺省值为5。建议配置时间不低于5秒。
retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
【使用指导】
该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。
只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。
【举例】
# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息和Trap信息。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log trap
【相关命令】
· portal web-server
server-detect url命令用来配置Portal web服务器的探测URL及探测类型。
undo server-detect url命令用来恢复缺省情况。
【命令】
server-detect url string [ detect-type { http | tcp } ]
undo server-detect url
【缺省情况】
Portal Web服务器可达性探测的URL为Portal web服务器视图下url命令配置的URL地址,探测类型为TCP。
【视图】
Portal web服务器视图
【缺省用户角色】
network-admin
【参数】
string:探测Portal web服务器的URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
detect-type:探测类型。若未指定本参数,则探测类型为TCP。
tcp:Portal web服务器的探测类型为TCP。
http:Portal web服务器的探测类型为HTTP。
【使用指导】
若未开启Portal Web服务器的可达性探测功能,本命令不生效。
【举例】
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是TCP。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type tcp
# 配置Portal Web服务器wbs的探测URL为http://www.test.com/portal,且探测方式是HTTP。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect url http://www.test.com/portal detect-type http
【相关命令】
· server-detect (portal web-server view)
server-register命令用来配置设备定期向Portal认证服务器发送注册报文。
undo server-register命令用来恢复缺省情况。
【命令】
server-register [ interval interval-value ]
undo server-register
【缺省情况】
设备不会定期向Portal认证服务器发送注册报文。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。
【使用指导】
Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。
需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。
【举例】
# 配置设备每隔120秒向Portal认证服务器发送注册报文。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-register interval 120
【相关命令】
· server-type (portal authentication server view/portal web-server view)
server-type命令用来配置MAC绑定服务器的服务类型。
undo server-type用来恢复缺省情况。
【命令】
server-type { cmcc | imc }
undo server-type
【缺省情况】
MAC绑定服务器的服务类型为imc。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。
imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。
【举例】
# 指定MAC绑定服务器的服务类型为cmcc。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] server-type cmcc
server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。
undo server-type命令用来恢复缺省情况。
【命令】
server-type { cmcc | imc | ise | oauth | wifidog }
undo server-type
【缺省情况】
Portal认证服务器或Portal Web服务器的类型为iMC服务器。
【视图】
Portal认证服务器视图
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。
imc:表示Portal服务器类型为符合iMC标准规范的服务器。
ise:表示Portal Web服务器类型为符合ISE标准规范的服务器。本参数仅支持在Portal Web服务器视图配置。
oauth:表示Portal Web服务器类型为符合绿洲平台标准规范的服务器。本参数仅支持Portal Web服务器视图下配置。
wifidog:表示Portal Web服务器类型为符合WifiDog标准规范的服务器。本参数仅支持Portal Web服务器视图下配置。
【使用指导】
设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。
【举例】
# 配置Portal认证服务器类型为CMCC。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-type cmcc
# 配置Portal Web服务器类型为CMCC。
<Sysname> system-view
[Sysname] portal web-server pts
[Sysname-portal-websvr-pts] server-type cmcc
【相关命令】
· display portal server
shop-id命令用来配置微信认证服务时设备所在门店的唯一标识。
undo shop-id命令用来恢复缺省情况。
【命令】
shop-id shop-id
undo shop-id
【缺省情况】
未配置设备所在门店的唯一标识。
【视图】
微信认证服务器视图
【缺省用户角色】
network-admin
【参数】
shop-id:设备所在门店的唯一标识。
【使用指导】
终端用户采用本地微信认证服务时,设备需要将配置的app-id、app-key、shop-id发送到微信公众平台进行验证,验证通过后才能继续进行Portal认证。
网络管理员必须先登录微信公众平台(https://mp.weixin.qq.com)申请一个微信公众号(如果已有微信公众号可直接使用)。
进入微信公众号,在左侧功能栏下单击<添加功能插件>按钮进入插件库,选择“微信连Wi-Fi”插件。然后单击<开通>按钮,开通此插件。单击<查看功能>按钮,然后选择“设备管理”页签,单击<添加设备>按钮,选择所属的门店、设备类型(Portal型)、设备设置(SSID),完成后即可获得app-id、app-key和shop-id。
该配置需要与微信公众号中配置的保持一致。
【举例】
# 配置微信认证服务时设备所在门店的唯一标识为6747662。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat] shop-id 6747662
【相关命令】
· display portal extend-auth-server
subscribe-required enable命令用来开启Portal本地微信认证强制关注功能。
undo subscribe-required enable命令用来关闭Portal本地微信认证强制关注功能。
【命令】
subscribe-required enable
undo subscribe-required enable
【缺省情况】
Portal本地微信认证强制关注功能处于关闭状态。
【视图】
微信认证服务器视图
【缺省用户角色】
network-admin
【使用指导】
本功能必须与开启Portal临时放行功能配合使用,并建议将临时放行时间配置为600秒。
用户如果未关注商家的微信公众号,则无法进行Portal本地微信认证。
【举例】
# 开启Portal本地微信认证强制关注功能。
<Sysname> system-view
[Sysname] portal extend-auth-server wechat
[Sysname-portal-extend-auth-server-wechat] subscribe-required enable
tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。
undo tcp-port命令用来恢复缺省情况。
【命令】
tcp-port port-number
undo tcp-port
【缺省情况】
HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-server命令指定的TCP端口号。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
port-number:表示侦听的TCP端口号,取值范围为1~65535。
【使用指导】
接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。
配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:
· 除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。
· 不能把使用HTTP协议的本地Portal Web服务侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则使用的TCP端口号不能相同。
【举例】
# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] tcp-port 2331
【相关命令】
· portal local-web-server
url命令用来指定Portal Web服务器的URL。
undo url命令用来恢复缺省情况。
【命令】
url url-string
undo url
【缺省情况】
未指定Portal Web服务器的URL。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。
【举例】
# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url http://www.test.com/portal
【相关命令】
· display portal web-server
url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。
【命令】
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | ssid | { ap-mac | source-mac } [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }
undo url-parameter param-name
【缺省情况】
未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
【参数】
param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。
nas-id:网络接入服务器标识。
nas-port-id:网络接入服务器端口标识。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
ssid:无线AP的SSID(服务集标示符)。
ap-mac:无线AP的MAC地址。
source-mac:用户的MAC地址。
format:指定MAC地址格式。
section:指定MAC地址分段数。
1:MAC地址被分为1段,如XXXXXXXXXXXX。
3:MAC地址被分为3段,如XXXX-XXXX-XXXX。
6:MAC地址被分为6段,如XX-XX-XX-XX-XX-XX。
lowercase:MAC地址格式为小写。
uppercase:MAC地址格式为大写。
encryption:表示以密文的方式携带无线AP的MAC地址和用户的MAC地址。
aes:指定加密算法为AES算法。
des:指定加密算法为DES算法。
cipher:以密文方式设置密钥。
key:指定加密密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des cipher,密钥为41个字符的字符串。
· 对于des simple,密钥为8个字符的字符串。
· 对于aes cipher,密钥为1~73个字符的字符串。
· 对于aes simple,密钥为1~31个字符的字符串。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
vlan:用户VLAN。
【使用指导】
可以通过多次执行本命令配置多条参数信息。
配置url-parameter命令会导致Portal Web服务器的URL长度增加,当URL总长度超过2048字节时,设备会将超过的字节丢弃,从而造成重定向失败。
对于同一个参数名param-name后的参数设置,最后配置的生效。
该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address和
url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:
· userurl:表示original-url
· userip:表示source-address
· usermac:表示source-mac
在Portal服务器为iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。
如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678,则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:
http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl=http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。
【举例】
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数vlan,其值为用户VLAN。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter uservlan vlan
【相关命令】
· display portal web-server
· url
user-agent命令用来配置Portal认证请求报文中User-Agent字段需要匹配的信息。
undo user-agent命令用来恢复缺省情况。
【命令】
user-agent user-agent-string
undo user-agent
【缺省情况】
Portal认证请求报文中User-Agent字段需要匹配的信息为MicroMessenger。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【参数】
user-agent-string:Portal认证请求报文中User-Agent字段需要匹配的信息,为1~255个字符的字符串,区分大小写。
【【举例】
# 配置Portal认证请求报文中User-Agent字段需要匹配的信息为text。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] user-agent text
user-password modify enable命令用来在Portal的Web认证页面上开启Portal本地用户密码修改功能。
undo user-password modify enable命令用来在Portal的Web认证页面上关闭Portal本地用户密码修改功能。
【命令】
user-password modify enable
undo user-password modify enable
缺省情况】
Portal本地用户密码修改功能处于关闭状态。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当用户进行本地Portal认证时,在Web认证页面上会显示密码修改按钮,本地用户可以通过此按钮进行密码修改操作,当关闭本功能时,Web认证页面上不会显示密码修改按钮。
如果设备上已开启网络接入类本地用户全局密码管理功能(通过password-control enable network-class命令),Portal本地用户在Web认证页面修改后的密码必须符合Password Control密码设置控制要求。关于密码设置控制的详细介绍,请参见“安全配置指导”中的“Password Control”。
【举例】
# 在本地Portal Web服务视图下,开启Portal本地用户密码修改功能。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] user-password modify enable
【相关命令】
· password-control enable network-class
· portal local-web-server
user-sync命令用来配置开启Portal用户信息同步功能。
undo user-sync命令用来关闭Portal用户信息同步功能。
【命令】
user-sync timeout timeout
undo user-sync
【缺省情况】
Portal认证服务器的Portal用户信息同步功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
【参数】
timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。
【使用指导】
配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。
· 对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。
· 如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。
开启Portal用户信息同步功能时,需要注意的是:
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
· 在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。
· 对同一服务器多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
【相关命令】
· portal server
version命令用来配置Portal协议报文的版本号。
undo version命令用来恢复缺省情况。
【命令】
version version-number
undo version
【缺省情况】
Portal协议报文的版本号为1。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
【参数】
version-number:Portal协议报文的版本号,取值范围为1~3。
【使用指导】
配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。
【举例】
# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] version 2
【相关命令】
· display portal mac-trigger-server
· portal mac-trigger-server
web-redirect url命令用来配置Web重定向功能。
undo web-redirect命令用来关闭Web重定向功能。
【命令】
web-redirect [ ipv6 ] url url-string [ interval interval ]
undo web-redirect [ ipv6 ]
【缺省情况】
Web重定功能处于关闭状态。
【视图】
接口视图
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。
url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串。Web重定向的地址必须存在,必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。
【使用指导】
接口或无线服务模板上配置了Web重定向功能后,当该接口或无线服务模板上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。
Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。
无线服务模板下不能同时开启Web重定向功能和Portal功能,否则Portal功能失效。
Web重定向功能指定的URL地址或用户访问的地址为本设备地址时,本设备必须保证HTTP服务处于开启状态。
当用户想根据不同参数推送不同的广告页面时,url-string的格式必须为http://XXXX/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o。其中,userip=%c表示用户IP地址、usermac=%m表示用户MAC地址、nasid=%n表示设备标识、ssid=%E表示用户接入的SSID、originalurl=%o表示用户在浏览器中输入的原始页面地址。url-string中可携带哪些参数字段请根据实际情况进行选择。
【举例】
# 在无线服务模板service1上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] web-redirect url http://192.0.0.1/index.html?userip=%c&usermac=%m&nasid=%n&ssid=%E&originalurl=%o interval 3600
【相关命令】
· display web-redirect rule
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
