• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全命令参考

23-Web认证命令

本章节下载  (294.68 KB)

23-Web认证命令


1 Web认证

1.1  Web认证配置命令

1.1.1  display web-auth

display web-auth命令用来显示接口上Web认证的配置信息和运行状态信息。

【命令】

display web-auth [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。

【举例】

# 显示接口Ten-GigabitEthernet1/0/1上Web认证的配置信息。

<Sysname> display web-auth interface ten-gigabitethernet 1/0/1

 Global Web-auth parameters:

   HTTP proxy port numbers    : Total 4 ports

     1, 10, 100-101

   HTTPS proxy port numbers   : Total 5 ports

     201, 203, 205, 207, 2011

 Total online web-auth users  : 1

 

 Ten-GigabitEthernet1/0/1  is link-up

   Port role                  : Authenticator

   Web-auth domain            : my-domain

   Auth-Fail VLAN             : Not configured

   Offline-detect             : Not configured

   Max online users           : 1024

   Web-auth enable            : Enabled

   Host mode                  : Multiple-VLAN

   Primary Web server         : wbs1

   Secondary Web server       : wbs2

   Portal mac trigger server  : mts1

 

   Total online web-auth users: 1

# 显示M-LAG接口Bridge-Aggregation1上Web认证的配置信息。

<Sysname> display web-auth interface bridge-Aggregation1

 Global Web-auth parameters:

   HTTP proxy port numbers    : Total 4 ports

     1, 10, 100-101

   HTTPS proxy port numbers   : Total 5 ports

     201, 203, 205, 207, 2011

 Total online web-auth users  : 1

 

 Bridge-Aggregation1 is link-up

   Port role                           : Authenticator

   Web-auth domain                     : my-domain

   M-LAG member configuration conflict : Not conflicted

   Auth-Fail VLAN                      : Not configured

   Offline-detect                      : Not configured

   Max online users                    : 1024

   Web-auth enable                     : Enabled

   Host mode                           : Multiple-VLAN

   Primary Web server                  : wbs1

   Secondary Web server                : wbs2

 

   Total online web-auth users: 1

表1-1 display web-auth命令显示信息描述表

字段

描述

Global Web-auth parameters

全局Web认证参数

HTTP proxy port numbers

Web代理服务器HTTP端口

HTTPS proxy port numbers

Web代理服务器HTTPS端口

Total online web-auth users

全局Web认证的在线用户数

Ten-GigabitEthernet1/0/1 is link-up

接口Ten-GigabitEthernet1/0/1的状态,包括如下取值:

·     link-up:接口管理状态和物理状态均为开启

·     link-down:接口处于关闭状态

Port role

该端口担当认证端的作用,目前仅支持作为认证端

Web-auth domain

Web认证用户使用的ISP域

M-LAG member configuration conflict

两台M-LAG设备配置检查结果:

·     Conflicted:两台M-LAG设备上的配置不匹配

·     Not conflicted:两台M-LAG设备上配置的相匹配

·     Unknown:无法检测两台M-LAG设备上的配置是否匹配

Auth-fail VLAN

Web认证的认证失败VLAN,如果没有配置,则显示Not configured

Offline-detect

Web认证用户在线检测的时间间隔,Not configured表示Web认证用户在线检测功能处于关闭状态

Max online users

允许同时接入的Web认证最大用户数

Web-auth enable

Web认证功能的开启状态,包括如下取值:

·     Enabled:开启

·     Disabled:关闭

Host mode

相同MAC地址用户的工作模式

·     Multiple-VLAN:多VLAN模式

·     Single-VLAN:单VLAN模式

Primary Web server

Web认证主Web服务器名称

Secondary Web server

Web认证从Web服务器名称

Portal mac trigger server

Web认证应用的Portal MAC绑定服务器名称

Total online web-auth users

接口下Web认证的在线用户数

 

1.1.2  display web-auth free-ip

display web-auth free-ip命令用来显示所有Web认证用户免认证的目的IP地址。

【命令】

display web-auth free-ip

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示所有Web认证用户免认证的目的IP地址。

<Sysname> display web-auth free-ip

       Free IP          

: 1.1.0.0        255.255.0.0

                         : 1.2.0.0        255.255.0.0

【相关命令】

·     web-auth free-ip

1.1.3  display web-auth server

display web-auth server命令用来显示Web认证Web服务器信息。

【命令】

display web-auth server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

server-name:本地或远程Web服务器的名称,为1~32个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web服务器的信息。

【举例】

# 显示Web认证本地Web服务器aaa的信息。

<Sysname> display web-auth server aaa

Web server: aaa

  Type                  : Local

  IP address            : 8.8.8.8

  Port                  : 80

  IPv6 address          : 8:8::8:8

  IPv6 port             : 1

  URL                   : http://abc/portal/

  Redirect-wait-time    : 5

  URL parameters        : Not configured

  Server type           : OAuth

# 显示Web认证远程Web服务器bbb的信息。

<Sysname> display web-auth server bbb

Web server: bbb

  Type                  : Remote

  IP address            : 7.7.7.7

  IPv6 address          : 7:7::7:7

  URL                   : http://abc/portal/

     Track ID           : 123

     Server state       : Active

  URL parameters        : Not configured

# 显示全部Web认证Web服务器的信息。

<Sysname> display web-auth server

Web server: aaa

  Type                  : Local

  IP address            : 8.8.8.8

  Port                  : 80

  IPv6 address          : 8:8::8:8

  IPv6 port             : 1

  URL                   : http://abc/portal/

  Redirect-wait-time    : 5

  URL parameters        : Not configured

  Server type           : OAuth

 

Web server: bbb

  Type                  : Remote

  IP address            : 7.7.7.7

  IPv6 address          : 7:7::7:7

  URL                   : http://abc/portal/

     Track ID           : 123

     Server state       : Active

  URL parameters        : Not configured

表1-2 display web-auth server命令显示信息描述表

字段

描述

Type

Web认证Web服务器类型:

·     Local:本地Web服务器

·     Remote:远程Web服务器

Web server

Web认证Web服务器名称

IP address

Web认证Web服务器的IPv4地址

Port

Web认证本地Web服务器IPv4地址对应的端口号

本字段仅存在于Web认证本地Web服务器的显示信息中

IPv6 address

Web认证Web服务器IPv6地址

IPv6 port

Web认证本地Web服务器IPv6地址对应的端口号

本字段仅存在于Web认证本地Web服务器的显示信息中

URL

Web认证Web服务器的重定向URL

Track ID

Track项序号,若未配置Web服务器与Track模块关联,则显示为Not configured

本字段仅存在于Web认证远程Web服务器的显示信息中

Server state

Web认证远程Web服务器的状态

·     Active:远程Web服务器当前可达

·     Inactive:远程Web服务器当前不可达

本字段仅存在于Web认证远程Web服务器的显示信息中

Server type

是否配置Web认证本地Web服务器执行绿洲平台标准:

·     OAuth:已配置

·     Not configured:未配置

Redirect-wait-time

Web认证成功后,认证页面跳转的时间间隔

URL parameters

设备重定向给用户的URL中携带的参数信息

 

1.1.4  display web-auth user

display web-auth user命令用来显示在线Web认证用户的信息。

【命令】

(独立运行模式)

display web-auth user [ m-lag [ local | peer ] ] [ interface interface-type interface-number | slot slot-number ]

(IRF模式)

display web-auth user [ m-lag [ local | peer ] ] [ interface interface-type interface-number | chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

m-lag [ local | peer ]显示M-LAG组网中在线Web认证用户的信息。如果不指定该参数,则显示所有的在线Web认证用户的信息。

·     local显示本端M-LAG设备上在线Web认证用户的信息。

·     peer显示对端M-LAG设备上在线Web认证用户的信息。

如果不指定localpeer参数,则显示所有M-LAG设备上在线Web认证用户的信息。

interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。

slot slot-number:显示指定单板上所有接口在线Web认证用户的信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上在线Web认证用户的信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上所有接口在线Web认证用户的信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上在线Web认证用户的信息。(IRF模式)

【举例】

# 显示接口Ten-GigabitEthernet1/0/1上在线用户的信息。

<Sysname> display web-auth user interface ten-gigabitethernet 1/0/1

  Total online web-auth users: 1

 

User name: user1

  MAC address: 0000-2700-b076

  Access interface: Ten-GigabitEthernet1/0/1

  Initial VLAN: 1

  Authorization VLAN: N/A

  Authorization ACL ID: N/A

  Authorization user profile: N/A

  Authorization microsegment ID: N/A

# 显示M-LAG接口Bridge-Aggregation1上在线Web认证用户的信息。

<Sysname> display web-auth user interface Bridge-Aggregation1

  Total online web-auth users: 2

 

User name: user1

  MAC address: 0000-2700-b013

  M-LAG NAS-IP type: Local

  M-LAG user state: Active

  Access interface: Bridge-Aggregation1

  Initial VLAN: 1

  Authorization VLAN: N/A

  Authorization ACL ID: N/A

  Authorization user profile: N/A

  Authorization microsegment ID: N/A

User name: user1

  MAC address: 0000-2710-b321

  M-LAG NAS-IP type: Peer

  M-LAG user state: Inactive

  Access interface: Bridge-Aggregation2

  Initial VLAN: 1

  Authorization VLAN: N/A

  Authorization ACL ID: N/A

  Authorization user profile: N/A

  Authorization microsegment ID: N/A

表1-3 display web-auth user命令显示信息描述表

字段

描述

Total online web-auth users

在线用户总数

User name

在线用户的用户名

MAC address

在线用户的MAC地址

M-LAG NAS-IP type

M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型:

·     Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址

·     Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址

M-LAG user state

M-LAG组网中,M-LAG接口上的用户状态:

·     Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息

·     Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息

Access interface

在线用户接入的接口

Initial VLAN

初始的VLAN

Authorization VLAN

授权的VLAN

Authorization ACL ID

授权ACL编号

Authorization user profile

(暂不支持)Web认证用的授权User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下:

·     active: AAA授权User profile成功

·     inactive:AAA授权User profile失败或者设备上不存在该User profile

Authorization microsegment ID

授权的微分段ID

 

1.1.5  ip (Web authentication local Web server view)

ip命令用来配置Web认证本地Web服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address port port-number

undo ip

【缺省情况】

不存在Web认证本地Web服务器的IP地址。

【视图】

Web认证本地Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:表示本地Web服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。

port port-number:指定本地Web服务器的端口。port-number是端口号,取值范围为1~65535。

【使用指导】

配置本地Web服务器的IP地址,建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:

·     状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。

·     由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

此命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。有关本地Portal Web服务的详细介绍请参见“安全配置指导”中的“Portal”。

同一个本地Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。

同一个本地Web服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证本地Web服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbls

# 配置Web认证本地Web服务器wbls的IP地址为192.168.1.1,端口为8080。

[Sysname-web-auth-server-wbls] ip 192.168.1.1 port 8080

【相关命令】

·     tcp-port(安全命令参考/Portal)

1.1.6  ip (Web authentication remote Web server view)

ip命令用来配置Web认证远程Web服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address

undo ip

【缺省情况】

未指定Web认证远程Web服务器的IPv4地址。

【视图】

Web认证远程Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:表示远程Web服务器的IPv4地址。

【使用指导】

远程Web服务器的IPv4地址必须与所使用的Portal Web服务器的IPv4地址相同。

同一个远程Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。

同一个远程Web服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证远程Web服务器视图。

<Sysname> system-view

[Sysname] web-auth remote server wbrs

# 配置Web认证远程Web服务器wbrs的IPv4地址为1.2.3.4。

[Sysname-web-auth-remote-server-wbrs] ip 1.2.3.4

1.1.7  ipv6 (Web authentication local Web server view)

ipv6命令用来配置Web认证本地Web服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address port port-number

undo ipv6

【缺省情况】

不存在Web认证本地Web服务器的IPv6地址。

【视图】

Web认证本地Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-address:表示本地Web服务器的IPv6地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IPv6单播地址。

port port-number:指定本地Web服务器的端口。port-number是端口号,取值范围为1~65535。

【使用指导】

配置本地Web服务器的IPv6地址,建议使用设备上空闲的Loopback接口的IPv6地址,使用LoopBack接口有如下优点:

·     状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。

·     由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

此命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。有关本地Portal Web服务的详细介绍请参见“安全配置指导”中的“Portal”。

同一个本地Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。

同一个本地Web服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证本地Web服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbls

# 配置Web认证本地Web服务器wbls的IPv6地址为1:2::3:4,端口为8080。

[Sysname-web-auth-server-wbls] ipv6 1:2::3:4 port 8080

【相关命令】

·     tcp-port(安全命令参考/Portal)

1.1.8  ipv6 (Web authentication remote Web server view)

ipv6命令用来配置Web认证远程Web服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address

undo ipv6

【缺省情况】

不存在Web认证远程Web服务器的IPv6地址。

【视图】

Web认证远程Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-address:表示远程Web服务器的IPv6地址。

【使用指导】

远程Web服务器的IPv6地址必须与所使用的Portal Web服务器的IPv6地址相同。

同一个远程Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。

同一个远程Web服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证远程Web服务器视图。

<Sysname> system-view

[Sysname] web-auth remote server wbrs

# 配置Web认证远程Web服务器wbrs的IPv6地址为1:2::3:4。

[Sysname-web-auth-remote-server-wbrs] ipv6 1:2::3:4

1.1.9  redirect-wait-time

redirect-wait-time命令用来配置认证页面跳转的时间间隔。

undo redirect-wait-time命令用来恢复缺省情况。

【命令】

redirect-wait-time period

undo redirect-wait-time

【缺省情况】

Web认证用户认证成功后认证页面跳转的时间间隔为5秒。

【视图】

Web认证本地Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period:表示自Web认证用户认证成功后,当前认证页面开始跳转到其他页面的时间间隔,取值范围为1~90,单位为秒。

【使用指导】

在某些应用环境中,客户端在Web认证成功后需要更新IP地址,为了避免客户端IP地址还未完成更新而无法打开跳转的网站页面,需要适当增加页面跳转的时间间隔,保证认证页面跳转的时间间隔大于客户端更新IP地址的时间。

【举例】

# 配置Web认证用户认证成功后认证页面跳转的时间间隔10秒。

<Sysname> system-view

[Sysname] web-auth server wbls

[Sysname-web-auth-server-wbls] redirect-wait-time 10

1.1.10  server-type oauth

server-type oauth命令用来配置本地Web认证服务器支持绿洲平台标准。

undo server-type命令用来恢复缺省情况。

【命令】

server-type oauth

undo server-type

【缺省情况】

本地Web认证服务器不支持绿洲平台标准。

【视图】

Web认证本地Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

当使用绿洲服务器作为本地Web认证服务器时,需要通过此命令将服务器配置成支持绿洲平台标准。

【举例】

# 配置本地Web认证服务器支持绿洲平台标准。

<Sysname> system-view

[Sysname] web-auth server wbls

[Sysname-web-auth-server-wbls] server-type oauth

【相关命令】

·     display web-auth server

1.1.11  url

url命令用来配置Web认证Web服务器的重定向URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string [ track track-entry-number ]

undo url

【缺省情况】

未配置Web认证Web服务器的重定向URL。

【视图】

Web认证本地Web服务器视图

Web认证远程Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

url-string:表示Web服务器的重定向URL,为1~256个字符的字符串,区分大小写。URL必须以http://或者https://开头,且携带的IP地址和端口号必须与Web认证本地Web服务器的IP地址和端口号保持一致。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。

track track-entry-number:表示Web服务器与Track模块关联来检测服务器状态。track-entry-number表示与Web服务器关联的Track项序号,取值范围为1~1024。本参数仅在远程Web服务器视图下可配置。

【使用指导】

缺省情况下,重定向URL中指定的Web服务器状态一直为active,设备并不能感知到服务器的真实状态。在需要部署从服务器的组网环境中,需要一种探测机制使得设备可以及时获取主服务器的状态,在主服务器不可达时,及时完成主从服务器切换,从而保证认证服务不中断。

通过配置Web服务器与Track项关联,并由Track项联动NQA测试组,可以实现设备通过NQA测试组周期性地探测该服务器是否可达:

·     NQA探测期间,服务器的状态仅由探测结果决定。Track模块基于NQA探测的结果改变Track项的状态,设备依据Track项的状态设置Web服务器的状态。

·     若NQA探测到服务器状态变为可达,服务器状态将被置为active;若NQA探测到服务器状态变为不可达,服务器状态将被置为inactive。

关于Track的详细介绍,请参见“可靠性配置指导”中的“Track”。

如果需要同时对IPv4和IPv6 Web认证用户推出认证页面,请配置Web服务器的重定向URL携带服务器域名,例如http://abc.com表示携带了服务器域名abc.com的重定向URL。

如果组网中部署了Web认证从Web服务器,请同时配置主Web服务器与Track模块关联,否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。

一个Web服务器最多只能关联一个Track项,新配置将覆盖已有配置。

对Web服务器的可达性探测是通过在设备上执行nqa schedule命令,对与Track联动的NQA测试组进行调动启动的,因此请结合实际情况确定探测时间和探测参数。

【举例】

# 配置Web认证本地Web服务器wbls的重定向URL为http://192.168.1.1:80/portal/。

<Sysname> system-view

[Sysname] web-auth server wbls

[Sysname-web-auth-server-wbls] url http://192.168.1.1:80/portal/

# 配置Web认证远程Web服务器wbrs的重定向URL为http://192.168.1.1:80/portal/,并将该服务器与Track项1关联。

[Sysname] web-auth remote server wbrs

[Sysname-web-auth-remote-server-wbrs] url http://192.168.1.1:80/portal/ track 1

【相关命令】

·     ip

·     nqa schedule(网络管理和监控命令参考/NQA)

·     tcp-port(安全命令参考/Portal)

·     track nqa (可靠性命令参考/Track)

·     web-auth enable

1.1.12  url-parameter

url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。

undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。

【命令】

url-parameter parameter-name { original-url | source-address | source-mac | value expression }

undo url-parameter parameter-name

【缺省情况】

未配置设备重定向给用户的URL中携带的参数信息。

【视图】

Web认证本地Web服务器视图

Web认证远程Web服务器视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效

该命令用于配置用户访问Web认证Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Web认证Web服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

URL中携带的参数名称必须与浏览器所接受的参数名称保持一致,请根据具体情况配置URL中携带的参数名称。

【举例】

# 为设备重定向给用户的本地Web服务器wbls的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] web-auth server wbls

[Sysname-web-auth-server-wbls] url-parameter userip source-address

[Sysname-web-auth-server-wbls] url-parameter userurl value http://www.abc.com/welcome

1.1.13  web-auth apply portal mac-trigger-server

web-auth apply portal mac-trigger-server命令用来应用Portal MAC绑定服务器。

undo web-auth apply portal mac-trigger-server命令用来恢复缺省情况。

【命令】

web-auth apply portal mac-trigger-server server-name

undo web-auth apply portal mac-trigger-server

【缺省情况】

未应用Portal MAC绑定服务器。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server-name:Portal MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在Web认证环境中,对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需手工输入认证信息便可以自动完成Web认证。

基于MAC地址的快速认证又称为MAC-trigger认证或无感知认证,该方式需要在网络中应用Portal已部署的MAC绑定服务器。也就是说,在配置本功能前,需要在网络中部署Portal MAC绑定服务器。

配置本功能后,当用户接入网络时,接入设备会基于用户的MAC地址向Portal MAC绑定服务器发送查询请求。若Portal MAC绑定服务器上能够查询到该MAC地址和对应的认证信息,则通知接入设备该用户已绑定,此时Portal MAC绑定服务器代替用户完成Web认证,用户上线。

仅支持应用IPv4 Portal MAC绑定服务器,且服务器类型必须为符合绿洲平台标准规范的服务器。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·     完成普通二层Web认证的相关配置;

·     配置Portal MAC绑定服务器的IP地址和端口号;

·     在二层以太网接口或者二层聚合接口上应用Portal MAC绑定服务器。

【举例】

# 在接口Ten-GigabitEthernet1/0/1上应用Portal MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname–Ten-GigabitEthernet1/0/1] web-auth apply portal mac-trigger-server mts

【相关命令】

·     portal mac-trigger-server

·     server-type (portal authentication server view/portal web-server view)

1.1.14  web-auth auth-fail vlan

web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。

undo web-auth auth-fail vlan命令用来恢复缺省情况。

【命令】

web-auth auth-fail vlan authfail-vlan-id

undo web-auth auth-fail vlan

【缺省情况】

不存在Web认证的Auth-Fail VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。

【使用指导】

接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。

为使此功能生效,必须开启二层接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为Web认证用户免认证的目的IP地址。

因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

当用户认证失败后,设备将Web认证用户的MAC地址与Auth-fail VLAN进行绑定。

禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。

【举例】

# 配置接口Ten-GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname–Ten-GigabitEthernet1/0/1] port link-type hybrid

[Sysname–Ten-GigabitEthernet1/0/1] mac-vlan enable

[Sysname–Ten-GigabitEthernet1/0/1] web-auth auth-fail vlan 5

【相关命令】

·     display web-auth

1.1.15  web-auth domain

web-auth domain命令用来指定Web认证用户使用的认证域。

undo web-auth domain命令用来恢复缺省情况。

【命令】

web-auth domain domain-name

undo web-auth domain

【缺省情况】

未指定Web认证用户认证使用的认证域。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。

【举例】

# 指定从接口Ten-GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname–Ten-GigabitEthernet1/0/1] web-auth domain my-domain

1.1.16  web-auth enable

web-auth enable命令用来开启Web认证功能。

undo web-auth enable命令用来关闭Web认证功能。

【命令】

web-auth enable apply server primary-server-name [ secondary-server secondary-server-name ]

undo web-auth enable

【缺省情况】

Web认证功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

primary-server-name:表示引用的Web认证主Web服务器的名称,为1~32个字符的字符串,区分大小写。

secondary-server secondary-server-name:引用的Web认证从Web服务器。secondary-server-name表示Web认证从Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

此命令用来开启Web认证功能,并指定引用的Web认证主/从Web服务器。

为使Web认证功正常运行,在接入设备的二层接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。

如果组网中需要部署从Web服务器,需要注意的是:

·     只有远程Web服务器可以作为主Web服务器,本地/远程Web服务器都可以作为从Web服务器。

·     请同时配置主Web服务器与Track模块关联(由url url-string track track-entry-number命令配置),否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。

【举例】

# 在接口Ten-GigabitEthernet1/0/1上开启Web认证功能,并指定主Web服务器为wbs1,从Web服务器为wbs2。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] web-auth enable apply server wbs1 secondary-server wbs2

【相关命令】

·     display web-auth

·     url

·     web-auth server

1.1.17  web-auth free-host

web-auth free-host命令用来配置Web认证用户免认证目的主机名。

undo web-auth free-host命令用来恢复缺省情况。

【命令】

web-auth free-host host-name

undo web-auth free-host { host-name | all }

【缺省情况】

不存在Web认证用户免认证的目的主机名。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

host-name:主机名,为1~253个字符的字符串,不区分大小写。可以包含字母、数字、“-”、“_”、“.”。

all:Web认证用户可免认证访问的所有主机名。

【使用指导】

配置本功能前,请确保组网中已部署DNS服务器,或者已通过ip host命令配置主机名与其对应的IP地址关系,有关ip host命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“域名解析”。

在设备上执行此命令后,Web认证用户无需通过Web认证即可访问该认证目的主机资源。

可通过重复执行此命令来配置多个Web认证用户免认证目的主机名。

Web认证用户免认证目的主机名只支持精确匹配,即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。

【举例】

# 配置Web认证用户免认证目的主机名为www.abc.com。表示用户的HTTP/HTTPS请求报文中的主机名必须是www.abc.com时,该用户才可以不需要经过Web认证即可以访问网络资源。

<Sysname> system-view

[Sysname] web-auth free-host www.abc.com

【相关命令】

·     web-auth free-ip

1.1.18  web-auth free-ip

web-auth free-ip命令用来配置Web认证用户免认证目的IP地址。

undo web-auth free-ip命令用来恢复缺省情况。

【命令】

web-auth free-ip ip-address { mask-length | mask }

undo web-auth free-ip { ip-address { mask-length | mask } | all }

【缺省情况】

不存在Web认证用户免认证的目的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ip-address:Web认证用户免认证目的网段的IP地址。

mask-length:Web认证用户免认证目的网段IP地址的掩码长度,取值范围为1~32。

mask:Web认证用户免认证目的网段IP地址的子网掩码,点分十进制格式。

all:Web认证用户可免认证访问的所有网段。

【使用指导】

在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。

可通过重复执行此命令来配置多个Web认证用户免认证的目的IP地址。

【举例】

# 配置Web认证用户免认证的目的IP地址为192.168.0.0/24。

<Sysname> system-view

[Sysname] web-auth free-ip 192.168.0.0 24

1.1.19  web-auth host-mode multi-vlan

web-auth host-mode multi-vlan命令用来指定端口工作在Web认证的多VLAN模式。

undo web-auth host-mode multi-vlan命令用来恢复缺省情况。

【命令】

web-auth host-mode multi-vlan

undo web-auth host-mode multi-vlan

【缺省情况】

端口工作在Web认证的单VLAN模式。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:

·     端口工作在多VLAN模式下时,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。

·     端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。

·     端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:

¡     如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。

¡     如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1工作在Web认证的多VLAN模式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] web-auth host-mode multi-vlan

【相关命令】

·     display web-auth

·     port-security mac-move permit

1.1.20  web-auth max-user

web-auth max-user命令用来配置Web认证最大用户数。

undo web-auth max-user命令用来恢复缺省情况。

【命令】

web-auth max-user max-number

undo web-auth max-user

【缺省情况】

接口上同时可接入的Web认证最大用户数为1024。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:表示接口上同时可接入的Web认证最大用户数,取值范围为1~2048。

【使用指导】

若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。

该命令指定的最大用户数仅为IPv4 Web认证用户数。

【举例】

# 在接口Ten-GigabitEthernet1/0/1上配置Web认证最大用户数为32。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] web-auth max-user 32

【相关命令】

·     display web-auth

1.1.21  web-auth offline-detect

web-auth offline-detect命令用来开启Web认证用户的在线检测功能。

undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。

【命令】

web-auth offline-detect interval interval

undo web-auth offline-detect interval

【缺省情况】

Web认证用户在线检测功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。

【使用指导】

开启端口的Web认证用户的在线检测功能后,若设备在一个在线检测时间间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。配置用户在线检测时间间隔时,需要与MAC地址老化时间配成相同时间,否则会导致用户异常下线。

指定端口工作在Web认证的多VLAN模式时,配置本功能不生效。

【举例】

# 在接口Ten-GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] web-auth offline-detect interval 3600

1.1.22  web-auth proxy port

web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。

undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。

【命令】

web-auth proxy [ https ] port port-number

undo web-auth proxy { all-port | [ https ] port port-number }

【缺省情况】

未配置允许触发Web认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

all-port:指定所有Web认证的Web代理服务器的TCP端口号。

https:表示HTTPS请求触发Web认证。若未配置本参数,则表示HTTP请求触发Web认证。

port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。80和443端口是Web认证预留端口号,不可配置。

【使用指导】

设备默认只允许未配置Web代理服务器的浏览器发起的HTTP/HTTPS请求才能触发Web认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP/HTTPS请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP/HTTPS请求也可以触发Web认证。

HTTP和HTTPS请求允许触发Web认证的Web代理服务器端口不能相同。

如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,需要注意的是:

·     配置允许触发Portal认证的Web代理服务器端口的同时,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。

·     需要用户在浏览器上将Web认证Web服务器的IP地址配置为Web代理服务器的例外地址,避免Web认证用户发送给Web认证Web服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Web认证。

可通过多次执行本命令添加多个Web认证的Web代理服务器的TCP端口号。

【举例】

# 配置HTTP请求允许触发Web认证的Web代理服务器的TCP端口号为7777。

<Sysname> system-view

[Sysname] web-auth proxy port 7777

【相关命令】

·     display web-auth

1.1.23  web-auth server

web-auth server命令用来创建Web认证本地/远程Web服务器,并进入Web认证本地/远程Web服务器视图。如果指定的Web服务器已经存在,则直接进入Web服务器视图。

undo web-auth server命令用来删除指定的Web认证本地/远程Web服务器。

【命令】

web-auth [ remote ] server server-name

undo web-auth [ remote ] server server-name

【缺省情况】

不存在Web认证Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote:表示远程Web服务器。未指定本参数时,表示本地Web服务器。

server server-name:表示本地/远程Web服务器。server-name表示本地/远程Web服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在本地/远程Web服务器视图下可以配置Web服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。

本地和远程Web服务器的名称不能相同。

【举例】

# 创建名称为wbls的Web认证本地Web服务器,并进入Web认证本地Web服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbls

New Web server was added for local Web authentication.

[Sysname-web-auth-server-wbls]

# 创建名称为wbrs的Web认证远程Web服务器,并进入Web认证远程Web服务器视图。

<Sysname> system-view

[Sysname] web-auth remote server wbrs

New Web server was added for remote Web authentication.

[Sysname-web-auth-remote-server-wbrs]

【相关命令】

·     web-auth enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们