05-Web认证命令
本章节下载: 05-Web认证命令 (372.63 KB)
目 录
1.1.2 display web-auth free-ip
1.1.5 ip (Web authentication local Web server view)
1.1.6 ip (Web authentication remote Web server view)
1.1.7 ipv6 (Web authentication local Web server view)
1.1.8 ipv6 (Web authentication remote Web server view)
1.1.11 reset web-auth access-user
1.1.15 web-auth access-user log enable
1.1.16 web-auth auth-fail vlan
1.1.17 web-auth auth-server-unavailable escape
1.1.22 web-auth host-mode multi-vlan
1.1.23 web-auth mac-vlan enable
1.1.25 web-auth offline-detect
1.1.28 web-auth timer temp-entry-aging
display web-auth命令用来显示接口上Web认证的配置信息和运行状态信息。
【命令】
display web-auth [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。
【举例】
# 显示接口Ten-GigabitEthernet1/0/1上Web认证的配置信息。
<Sysname> display web-auth interface ten-gigabitethernet 1/0/1
Global Web-auth parameters:
M-LAG member configuration conflict : Unknown
HTTP proxy port numbers : Total 4 ports
1, 10, 100-101
HTTPS proxy port numbers : Total 5 ports
201, 203, 205, 207, 2011
Total online web-auth users : 1
Ten-GigabitEthernet1/0/1 is link-up
Port role : Authenticator
Web-auth domain : my-domain
Auth-Fail VLAN : Not configured
Offline-detect : Not configured
Max online users : 1024
Max online preauth-domain users : 1024
Max online Auth-Fail-domain users : 1024
Web-auth enable : Enabled
Host mode : Multiple-VLAN
Primary Web server : wbs1
Secondary Web server : wbs2
Web-auth MAC-VLAN : Enabled
Portal mac trigger server : mts1
Auth-server-unavailable escape : Disable
Total online web-auth users: 1
# 显示M-LAG接口Bridge-Aggregation1上Web认证的配置信息。
<Sysname> display web-auth interface bridge-Aggregation1
Global Web-auth parameters:
M-LAG member configuration conflict : Not conflicted
HTTP proxy port numbers : Total 4 ports
1, 10, 100-101
HTTPS proxy port numbers : Total 5 ports
201, 203, 205, 207, 2011
Total online web-auth users : 1
Bridge-Aggregation1 is link-up
Port role : Authenticator
Web-auth domain : my-domain
M-LAG member configuration conflict : Not conflicted
Auth-Fail VLAN : Not configured
Offline-detect : Not configured
Max online users : 1024
Max online preauth-domain users : 1024
Max online Auth-Fail-domain users : 1024
Web-auth enable : Enabled
Host mode : Multiple-VLAN
Primary Web server : wbs1
Secondary Web server : wbs2
Web-auth MAC-VLAN : Enabled
Portal mac trigger server : mts1
Auth-server-unavailable escape : Disable
Total online web-auth users: 1
表1-1 display web-auth命令显示信息描述表
字段 |
描述 |
Global Web-auth parameters |
全局Web认证参数 |
HTTP proxy port numbers |
Web代理服务器HTTP端口 |
HTTPS proxy port numbers |
Web代理服务器HTTPS端口 |
Total online web-auth users |
全局Web认证的在线用户数 |
Ten-GigabitEthernet1/0/1 is link-up |
接口Ten-GigabitEthernet1/0/1的状态,包括如下取值: · link-up:接口管理状态和物理状态均为开启 · link-down:接口处于关闭状态 |
Port role |
该端口担当认证端的作用,目前仅支持作为认证端 |
Web-auth domain |
Web认证用户使用的ISP域 |
M-LAG member configuration conflict |
两台M-LAG设备配置检查结果: · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置的相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
Auth-fail VLAN |
Web认证的认证失败VLAN,如果没有配置,则显示Not configured |
Offline-detect |
Web认证用户在线检测的时间间隔,Not configured表示Web认证用户在线检测功能处于关闭状态 |
Max online users |
允许同时接入的Web认证最大用户数 |
Max online preauth-domain users |
允许同时接入的Web认证最大前域用户数 |
Max online Auth-Fail-domain users |
允许同时接入的Web认证最大失败域用户数 |
Web-auth enable |
Web认证功能的开启状态,包括如下取值: · Enabled:开启 · Disabled:关闭 |
Host mode |
相同MAC地址用户的工作模式 · Multiple-VLAN:多VLAN模式 · Single-VLAN:单VLAN模式 |
Primary Web server |
Web认证主Web服务器名称 |
Secondary Web server |
Web认证从Web服务器名称 |
Web-auth MAC-VLAN |
Web认证的MAC VLAN功能的开启状态,包括如下取值: · Enabled:开启 · Disabled:关闭 |
Portal mac trigger server |
Web认证应用的Portal MAC绑定服务器名称 |
Auth-server-unavailable escape |
RADIUS认证服务器不可达时,Web在线用户逃生功能开启状态: · Enable:开启 · Disable:关闭 |
Total online web-auth users |
接口下Web认证的在线用户数 |
display web-auth free-ip命令用来显示所有Web认证用户免认证的目的IP地址。
【命令】
display web-auth free-ip
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有Web认证用户免认证的目的IP地址。
<Sysname> display web-auth free-ip
Free IP
: 1.1.0.0 255.255.0.0
: 1.2.0.0 255.255.0.0
【相关命令】
· web-auth free-ip
display web-auth server命令用来显示Web认证Web服务器信息。
【命令】
display web-auth server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
server-name:本地或远程Web服务器的名称,为1~32个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web服务器的信息。
【举例】
# 显示Web认证本地Web服务器aaa的信息。
<Sysname> display web-auth server aaa
Web server: aaa
Type : Local
IP address : 8.8.8.8
Port : 80
IPv6 address : 8:8::8:8
IPv6 port : 1
URL : http://abc/portal/
Redirect-wait-time : 5
URL parameters : Not configured
Server type : OAuth
URL unescape chars :$-_.+!*'();,/?:@
# 显示Web认证远程Web服务器bbb的信息。
<Sysname> display web-auth server bbb
Web server: bbb
Type : Remote
IP address : 7.7.7.7
IPv6 address : 7:7::7:7
URL : http://abc/portal/
Track ID : 123
Server state : Active
URL parameters : Not configured
Server type : OAuth
URL unescape chars :$-_.+!*'();,/?:@
# 显示全部Web认证Web服务器的信息。
<Sysname> display web-auth server
Web server: aaa
Type : Local
IP address : 8.8.8.8
Port : 80
IPv6 address : 8:8::8:8
IPv6 port : 1
URL : http://abc/portal/
Redirect-wait-time : 5
URL parameters : Not configured
URL unescape chars :$-_.+!*'();,/?:@
Server type : OAuth
Web server: bbb
Type : Remote
IP address : 7.7.7.7
IPv6 address : 7:7::7:7
URL : http://abc/portal/
Track ID : 123
Server state : Active
URL parameters : Not configured
Server type : OAuth
URL unescape chars :$-_.+!*'();,/?:@
表1-2 display web-auth server命令显示信息描述表
字段 |
描述 |
Type |
Web认证Web服务器类型: · Local:本地Web服务器 · Remote:远程Web服务器 |
Web server |
Web认证Web服务器名称 |
IP address |
Web认证Web服务器的IPv4地址 |
Port |
Web认证本地Web服务器IPv4地址对应的端口号 本字段仅存在于Web认证本地Web服务器的显示信息中 |
IPv6 address |
Web认证Web服务器IPv6地址 |
IPv6 port |
Web认证本地Web服务器IPv6地址对应的端口号 本字段仅存在于Web认证本地Web服务器的显示信息中 |
URL |
Web认证Web服务器的重定向URL |
Track ID |
Track项序号,若未配置Web服务器与Track模块关联,则显示为Not configured 本字段仅存在于Web认证远程Web服务器的显示信息中 |
Server state |
Web认证远程Web服务器的状态 · Active:远程Web服务器当前可达 · Inactive:远程Web服务器当前不可达 本字段仅存在于Web认证远程Web服务器的显示信息中 |
Server type |
是否配置Web认证Web服务器执行绿洲平台标准: · OAuth:已配置 · Not configured:未配置 |
Redirect-wait-time |
Web认证成功后,认证页面跳转的时间间隔 |
URL parameters |
设备重定向给用户的URL中携带的参数信息 |
URL unescape chars |
设备重定向给用户的URL中不转义的特殊字符 |
display web-auth user命令用来显示在线Web认证用户的信息。
【命令】
display web-auth user [ m-lag [ local | peer ] ] [ interface interface-type interface-number | slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
m-lag [ local | peer ]:显示M-LAG组网中在线Web认证用户的信息。如果不指定该参数,则显示所有的在线Web认证用户的信息。
· local:显示本端M-LAG设备上在线Web认证用户的信息。
· peer:显示对端M-LAG设备上在线Web认证用户的信息。
如果不指定local和peer参数,则显示所有M-LAG设备上在线Web认证用户的信息。
interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。
slot slot-number:显示指定成员设备上所有接口在线Web认证用户的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上在线Web认证用户的信息。
【举例】
# 显示接口Ten-GigabitEthernet1/0/1上在线用户的信息。
<Sysname> display web-auth user interface ten-gigabitethernet 1/0/1
Total online web-auth users: 1
User name: user1
MAC address: 0000-2700-b076
Access interface: Ten-GigabitEthernet1/0/1
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
# 显示M-LAG接口Bridge-Aggregation1上在线Web认证用户的信息。
<Sysname> display web-auth user interface Bridge-Aggregation1
Total online web-auth users: 2
User name: user1
MAC address: 0000-2700-b013
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation1
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
User name: user1
MAC address: 0000-2710-b321
M-LAG NAS-IP type: Peer
M-LAG user state: Inactive
Access interface: Bridge-Aggregation2
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
表1-3 display web-auth user命令显示信息描述表
字段 |
描述 |
Total online web-auth users |
在线用户总数 |
User name |
在线用户的用户名 |
MAC address |
在线用户的MAC地址 |
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型: · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态: · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
Access interface |
在线用户接入的接口 |
Initial VLAN |
初始的VLAN |
Authorization VLAN |
授权的VLAN |
Authorization ACL ID |
授权ACL编号 |
Authorization user profile |
Web认证用的授权User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下: · active: AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
ip命令用来配置Web认证本地Web服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address port port-number
undo ip
【缺省情况】
不存在Web认证本地Web服务器的IP地址。
【视图】
Web认证本地Web服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:表示本地Web服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。
port port-number:指定本地Web服务器的端口。port-number是端口号,取值范围为1~65535。
【使用指导】
配置本地Web服务器的IP地址,建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:
· 状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。
· 由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
此命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。有关本地Portal Web服务的详细介绍请参见“安全配置指导”中的“Portal”。
同一个本地Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。
同一个本地Web服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 进入Web认证本地Web服务器视图。
<Sysname> system-view
[Sysname] web-auth server wbls
# 配置Web认证本地Web服务器wbls的IP地址为192.168.1.1,端口为8080。
[Sysname-web-auth-server-wbls] ip 192.168.1.1 port 8080
【相关命令】
· tcp-port(安全命令参考/Portal)
ip命令用来配置Web认证远程Web服务器的IPv4地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address
undo ip
【缺省情况】
未指定Web认证远程Web服务器的IPv4地址。
【视图】
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:表示远程Web服务器的IPv4地址。
【使用指导】
远程Web服务器的IPv4地址必须与所使用的Portal Web服务器的IPv4地址相同。
同一个远程Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。
同一个远程Web服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 进入Web认证远程Web服务器视图。
<Sysname> system-view
[Sysname] web-auth remote server wbrs
# 配置Web认证远程Web服务器wbrs的IPv4地址为1.2.3.4。
[Sysname-web-auth-remote-server-wbrs] ip 1.2.3.4
ipv6命令用来配置Web认证本地Web服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address port port-number
undo ipv6
【缺省情况】
不存在Web认证本地Web服务器的IPv6地址。
【视图】
Web认证本地Web服务器视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:表示本地Web服务器的IPv6地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IPv6单播地址。
port port-number:指定本地Web服务器的端口。port-number是端口号,取值范围为1~65535。
【使用指导】
配置本地Web服务器的IPv6地址,建议使用设备上空闲的Loopback接口的IPv6地址,使用LoopBack接口有如下优点:
· 状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。
· 由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
此命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。有关本地Portal Web服务的详细介绍请参见“安全配置指导”中的“Portal”。
同一个本地Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。
同一个本地Web服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 进入Web认证本地Web服务器视图。
<Sysname> system-view
[Sysname] web-auth server wbls
# 配置Web认证本地Web服务器wbls的IPv6地址为1:2::3:4,端口为8080。
[Sysname-web-auth-server-wbls] ipv6 1:2::3:4 port 8080
【相关命令】
· tcp-port(安全命令参考/Portal)
ipv6命令用来配置Web认证远程Web服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address
undo ipv6
【缺省情况】
不存在Web认证远程Web服务器的IPv6地址。
【视图】
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:表示远程Web服务器的IPv6地址。
【使用指导】
远程Web服务器的IPv6地址必须与所使用的Portal Web服务器的IPv6地址相同。
同一个远程Web服务器视图下可以配置1个IPv4地址和1个IPv6地址。
同一个远程Web服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 进入Web认证远程Web服务器视图。
<Sysname> system-view
[Sysname] web-auth remote server wbrs
# 配置Web认证远程Web服务器wbrs的IPv6地址为1:2::3:4。
[Sysname-web-auth-remote-server-wbrs] ipv6 1:2::3:4
redirect-wait-time命令用来配置认证页面跳转的时间间隔。
undo redirect-wait-time命令用来恢复缺省情况。
【命令】
redirect-wait-time period
undo redirect-wait-time
【缺省情况】
Web认证用户认证成功后认证页面跳转的时间间隔为5秒。
【视图】
Web认证本地Web服务器视图
【缺省用户角色】
network-admin
【参数】
period:表示自Web认证用户认证成功后,当前认证页面开始跳转到其他页面的时间间隔,取值范围为1~90,单位为秒。
【使用指导】
在某些应用环境中,客户端在Web认证成功后需要更新IP地址,为了避免客户端IP地址还未完成更新而无法打开跳转的网站页面,需要适当增加页面跳转的时间间隔,保证认证页面跳转的时间间隔大于客户端更新IP地址的时间。
【举例】
# 配置Web认证用户认证成功后认证页面跳转的时间间隔10秒。
<Sysname> system-view
[Sysname] web-auth server wbls
[Sysname-web-auth-server-wbls] redirect-wait-time 10
server-type oauth命令用来配置Web认证服务器支持绿洲平台标准。
undo server-type命令用来恢复缺省情况。
【命令】
server-type oauth
undo server-type
【缺省情况】
Web认证服务器不支持绿洲平台标准。
【视图】
Web认证本地Web服务器视图
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【使用指导】
当使用绿洲服务器作为Web认证服务器时,需要通过此命令将服务器配置成支持绿洲平台标准。
【举例】
# 配置本地Web认证服务器支持绿洲平台标准。
<Sysname> system-view
[Sysname] web-auth server wbls
[Sysname-web-auth-server-wbls] server-type oauth
# 配置远程Web认证服务器支持绿洲平台标准。
<Sysname> system-view
[Sysname] web-auth remote server wbrs
[Sysname-web-auth-remote-server-wbrs] server-type oauth
【相关命令】
· display web-auth server
reset web-auth access-user命令用来强制Web认证用户下线。
【命令】
reset web-auth access-user [ interface interface-type interface-number | mac mac-address | username username ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的Web认证用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的Web认证用户下线。mac-address表示Web认证用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的Web认证用户下线。username表示Web认证用户的名称,为1~253个字符的字符串,区分大小写。
【使用指导】
reset web-auth access-user命令用来强制指定的Web认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行Web认证。
如果不指定任何参数,则强制设备上所有Web认证用户下线。
【举例】
# 强制端口Ten-GigabitEthernet1/0/1上的所有Web认证用户下线。
<Sysname> reset web-auth access-user interface ten-gigabitethernet 1/0/1
【相关命令】
· display web-auth user
url命令用来配置Web认证Web服务器的重定向URL。
undo url命令用来恢复缺省情况。
【命令】
url url-string [ track track-entry-number ]
undo url
【缺省情况】
未配置Web认证Web服务器的重定向URL。
【视图】
Web认证本地Web服务器视图
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【参数】
url-string:表示Web服务器的重定向URL,为1~256个字符的字符串,区分大小写。URL必须以http://或者https://开头,且携带的IP地址和端口号必须与Web认证本地Web服务器的IP地址和端口号保持一致。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
track track-entry-number:表示Web服务器与Track模块关联来检测服务器状态。track-entry-number表示与Web服务器关联的Track项序号,取值范围为1~1024。本参数仅在远程Web服务器视图下可配置。
【使用指导】
缺省情况下,重定向URL中指定的Web服务器状态一直为active,设备并不能感知到服务器的真实状态。在需要部署从服务器的组网环境中,需要一种探测机制使得设备可以及时获取主服务器的状态,在主服务器不可达时,及时完成主从服务器切换,从而保证认证服务不中断。
通过配置Web服务器与Track项关联,并由Track项联动NQA测试组,可以实现设备通过NQA测试组周期性地探测该服务器是否可达:
· NQA探测期间,服务器的状态仅由探测结果决定。Track模块基于NQA探测的结果改变Track项的状态,设备依据Track项的状态设置Web服务器的状态。
· 若NQA探测到服务器状态变为可达,服务器状态将被置为active;若NQA探测到服务器状态变为不可达,服务器状态将被置为inactive。
关于Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
如果需要同时对IPv4和IPv6 Web认证用户推出认证页面,请配置Web服务器的重定向URL携带服务器域名,例如http://abc.com表示携带了服务器域名abc.com的重定向URL。
如果组网中部署了Web认证从Web服务器,请同时配置主Web服务器与Track模块关联,否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。
一个Web服务器最多只能关联一个Track项,新配置将覆盖已有配置。
对Web服务器的可达性探测是通过在设备上执行nqa schedule命令,对与Track联动的NQA测试组进行调动启动的,因此请结合实际情况确定探测时间和探测参数。
【举例】
# 配置Web认证本地Web服务器wbls的重定向URL为http://192.168.1.1:80/portal/。
<Sysname> system-view
[Sysname] web-auth server wbls
[Sysname-web-auth-server-wbls] url http://192.168.1.1:80/portal/
# 配置Web认证远程Web服务器wbrs的重定向URL为http://192.168.1.1:80/portal/,并将该服务器与Track项1关联。
[Sysname] web-auth remote server wbrs
[Sysname-web-auth-remote-server-wbrs] url http://192.168.1.1:80/portal/ track 1
【相关命令】
· ip
· nqa schedule(网络管理和监控命令参考/NQA)
· tcp-port(安全命令参考/Portal)
· track nqa (可靠性命令参考/Track)
· web-auth enable
url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。
undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。
【命令】
url-parameter parameter-name { original-url | source-address | source-mac | value expression }
undo url-parameter parameter-name
【缺省情况】
未配置设备重定向给用户的URL中携带的参数信息。
【视图】
Web认证本地Web服务器视图
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【参数】
parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
可以通过多次执行本命令配置多条参数信息。
多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效
该命令用于配置用户访问Web认证Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如用户的源IP地址的1.1.1.1,配置Web认证Web服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-address和url-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
URL中携带的参数名称必须与浏览器所接受的参数名称保持一致,请根据具体情况配置URL中携带的参数名称。
【举例】
# 为设备重定向给用户的本地Web服务器wbls的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] web-auth server wbls
[Sysname-web-auth-server-wbls] url-parameter userip source-address
[Sysname-web-auth-server-wbls] url-parameter userurl value http://www.abc.com/welcome
url-unescape-chars命令用来配置Web认证重定向给用户的URL中不转义的特殊字符。
undo url-unescape-chars命令用来删除已配置的URL中不转义的特殊字符。
【命令】
url-unescape-chars character-string
undo url-unescape-chars character-string
【缺省情况】
对重定向给用户的URL中所有的特殊字符进行转义。
【视图】
Web认证本地Web服务器视图
Web认证远程Web服务器视图
【缺省用户角色】
network-admin
【参数】
character-string:URL中的特殊字符,取值为“$-_.+!*'();,/?:@”中任意字符的组合。URL的特殊字符中可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
为了防止客户端将特殊符号当作语法符号或指令更改原本预期的语义,缺省情况下,设备重定向给用户的URL中的特殊字符,均会被转换成安全的形式(即转义字符)。
在实际应用中,一些Web认证服务器无法识别URL中的某些特殊字符的转义字符,会导致用户访问Web认证服务器失败。此时,可以通过配置本命令对某些特殊字符不进行转义处理。
配置特殊字符时,请先确认Web认证服务器是否能够识别这些特殊字符的转义字符。
可通过重复执行此命令来配置多个URL中不转义的特殊字符。
【举例】
# 配置Web认证重定向给用户的URL中不转义的特殊字符为“;()”。
<Sysname> system-view
[Sysname] web-auth server wbls
[Sysname-web-auth-server-wbls] url-unescape-chars ;()
【相关命令】
· url
web-auth access-user log enable命令用来开启Web认证接入用户日志信息功能。
undo web-auth access-user log enable命令用来关闭Web认证接入用户日志信息功能。
【命令】
web-auth access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
undo web-auth access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
【缺省情况】
Web认证接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
abnormal-logoff:Web认证接入用户异常下线的日志信息。
failed-login:Web认证接入用户上线失败的日志信息。
normal-logoff:Web认证接入用户正常下线的日志信息。
successful-login:Web认证接入用户上线成功时的日志信息。
【使用指导】
Web认证接入用户日志信息可以方便管理员定位问题和解决问题,生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
当设备输出大量Web接入用户日志信息时,会降低设备性能。此时,用户可以关闭Web接入用户日志信息功能,一般情况下建议关闭此功能。
执行本命令时,如果未指定任何参数,则表示开启或关闭所有Web认证接入用户日志信息功能。
【举例】
# 开启Web认证接入用户上线失败的日志信息功能。
<Sysname> system-view
[Sysname] web-auth access-user log enable failed-login
【相关命令】
· info-center source(网络管理和监控命令参考/信息中心)
web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。
undo web-auth auth-fail vlan命令用来恢复缺省情况。
【命令】
web-auth auth-fail vlan authfail-vlan-id
undo web-auth auth-fail vlan
【缺省情况】
不存在Web认证的Auth-Fail VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。
【使用指导】
接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。
为使此功能生效,必须开启二层接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为Web认证用户免认证的目的IP地址。
因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。
当用户认证失败后,设备将Web认证用户的MAC地址与Auth-fail VLAN进行绑定。
禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
【举例】
# 配置接口Ten-GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname–Ten-GigabitEthernet1/0/1] port link-type hybrid
[Sysname–Ten-GigabitEthernet1/0/1] mac-vlan enable
[Sysname–Ten-GigabitEthernet1/0/1] web-auth auth-fail vlan 5
【相关命令】
· display web-auth
· web-auth timer temp-entry-aging
web-auth auth-server-unavailable escape命令用来开启RADIUS认证服务器不可达时,Web在线用户逃生功能。
undo web-auth auth-server-unavailable escape命令用来关闭RADIUS认证服务器不可达时,Web在线用户逃生功能。
【命令】
web-auth auth-server-unavailable escape
undo web-auth auth-server-unavailable escape
【缺省情况】
RADIUS认证服务器不可达时,Web在线用户逃生功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,当ISP域下所有RADIUS认证服务器均不可达时,如果此时设备上同时开启了Web认证用户的在线检测功能,设备将切断与Web用户的连接,导致Web用户下线。
当RADIUS认证服务器可达时,用户需要使用Web认证用户的在线检测功能,同时又希望在RADIUS认证服务器均不可达时,能够保持Web用户在线状态,可在设备上开启本功能。
配置本功能后,当RADIUS认证服务器不可达时,设备会自动关闭接口上的Web认证用户的在线检测功能,使得Web用户保持在线状态。
【举例】
# 开启RADIUS认证服务器不可达时,Web在线用户逃生功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth auth-server-unavailable escape
【相关命令】
· web-auth offline-detect enable
web-auth domain命令用来指定Web认证用户使用的认证域。
undo web-auth domain命令用来恢复缺省情况。
【命令】
web-auth domain domain-name
undo web-auth domain
【缺省情况】
未指定Web认证用户认证使用的认证域。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。
【举例】
# 指定从接口Ten-GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname–Ten-GigabitEthernet1/0/1] web-auth domain my-domain
web-auth enable命令用来开启Web认证功能。
undo web-auth enable命令用来关闭Web认证功能。
【命令】
web-auth enable apply server primary-server-name [ secondary-server secondary-server-name ]
undo web-auth enable
【缺省情况】
Web认证功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
primary-server-name:表示引用的Web认证主Web服务器的名称,为1~32个字符的字符串,区分大小写。
secondary-server secondary-server-name:引用的Web认证从Web服务器。secondary-server-name表示Web认证从Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
此命令用来开启Web认证功能,并指定引用的Web认证主/从Web服务器。
为使Web认证功正常运行,在接入设备的二层接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。
如果组网中需要部署从Web服务器,需要注意的是:
· 只有远程Web服务器可以作为主Web服务器,本地/远程Web服务器都可以作为从Web服务器。
· 请同时配置主Web服务器与Track模块关联(由url url-string track track-entry-number命令配置),否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上开启Web认证功能,并指定主Web服务器为wbs1,从Web服务器为wbs2。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth enable apply server wbs1 secondary-server wbs2
【相关命令】
· display web-auth
· url
· web-auth server
web-auth free-host命令用来配置Web认证用户免认证目的主机名。
undo web-auth free-host命令用来恢复缺省情况。
【命令】
web-auth free-host host-name
undo web-auth free-host { host-name | all }
【缺省情况】
不存在Web认证用户免认证的目的主机名。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写。可以包含字母、数字、“-”、“_”、“.”。
all:Web认证用户可免认证访问的所有主机名。
【使用指导】
配置本功能前,请确保组网中已部署DNS服务器,或者已通过ip host命令配置主机名与其对应的IP地址关系,有关ip host命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“域名解析”。
在设备上执行此命令后,Web认证用户无需通过Web认证即可访问该认证目的主机资源。
可通过重复执行此命令来配置多个Web认证用户免认证目的主机名。
Web认证用户免认证目的主机名只支持精确匹配,即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。
【举例】
# 配置Web认证用户免认证目的主机名为www.abc.com。表示用户的HTTP/HTTPS请求报文中的主机名必须是www.abc.com时,该用户才可以不需要经过Web认证即可以访问网络资源。
<Sysname> system-view
[Sysname] web-auth free-host www.abc.com
【相关命令】
· web-auth free-ip
web-auth free-ip命令用来配置Web认证用户免认证目的IP地址。
undo web-auth free-ip命令用来恢复缺省情况。
【命令】
web-auth free-ip ip-address { mask-length | mask }
undo web-auth free-ip { ip-address { mask-length | mask } | all }
【缺省情况】
不存在Web认证用户免认证的目的IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:Web认证用户免认证目的网段的IP地址。
mask-length:Web认证用户免认证目的网段IP地址的掩码长度,取值范围为1~32。
mask:Web认证用户免认证目的网段IP地址的子网掩码,点分十进制格式。
all:Web认证用户可免认证访问的所有网段。
【使用指导】
在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。
可通过重复执行此命令来配置多个Web认证用户免认证的目的IP地址。
【举例】
# 配置Web认证用户免认证的目的IP地址为192.168.0.0/24。
<Sysname> system-view
[Sysname] web-auth free-ip 192.168.0.0 24
web-auth host-mode multi-vlan命令用来指定端口工作在Web认证的多VLAN模式。
undo web-auth host-mode multi-vlan命令用来恢复缺省情况。
【命令】
web-auth host-mode multi-vlan
undo web-auth host-mode multi-vlan
【缺省情况】
端口工作在Web认证的单VLAN模式。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:
· 端口工作在多VLAN模式下时,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
· 端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。
· 端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:
¡ 如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。
¡ 如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1工作在Web认证的多VLAN模式。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth host-mode multi-vlan
【相关命令】
· display web-auth
· port-security mac-move permit
web-auth mac-vlan enable命令用来开启Web认证的MAC VLAN功能。
undo web-auth mac-vlan enable命令用来关闭Web认证的MAC VLAN功能。
【命令】
web-auth mac-vlan enable
undo web-auth mac-vlan enable
【缺省情况】
Web认证的MAC VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
在非微分段场景下,若在设备上的二层接口上,同时开启了Web认证功能和MAC VLAN功能,则必须同时开启Web认证的MAC VLAN功能,否则会导致Web认证用户无法正常上线。有关MAC VLAN功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN”。在其他使用场景下,建议关闭Web认证的MAC VLAN功能。
开启或关闭本功能,会导致接口上已经上线的Web认证用户下线,建议在开启Web认证功能之前配置本命令。
【举例】
# 开启Web认证的MAC VLAN功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth mac-vlan enable
【相关命令】
· mac-vlan enable
· web-auth enable
web-auth max-user命令用来配置Web认证最大用户数。
undo web-auth max-user命令用来恢复缺省情况。
【命令】
web-auth max-user [ preauth-domain | auth-fail-domain ] max-number
undo web-auth max-user [ preauth-domain | auth-fail-domain ]
【缺省情况】
接口上同时可接入的Web认证最大用户数为1024。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
preauth-domain:配置端口允许同时加入前域的Web认证用户数的最大值。
auth-fail-domain:配置端口允许同时加入失败域的Web认证用户数的最大值。
max-number:表示接口上同时可接入的Web认证最大用户数。取值范围为1~2048。
【使用指导】
如果未指定preauth-domain和auth-fail-domain参数,则表示端口允许接入的所有类型(包括前域、失败域、逃生域内以及认证成功上线的Web认证用户)Web认证用户数的最大值。
若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。
该命令指定的最大用户数仅为IPv4 Web认证用户数。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上配置Web认证最大用户数为32。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth max-user 32
【相关命令】
· display web-auth
web-auth offline-detect命令用来开启Web认证用户的在线检测功能。
undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。
【命令】
web-auth offline-detect interval interval
undo web-auth offline-detect interval
【缺省情况】
Web认证用户在线检测功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。
【使用指导】
开启端口的Web认证用户的在线检测功能后,若设备在一个在线检测时间间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。配置用户在线检测时间间隔时,需要与MAC地址老化时间配成相同时间,否则会导致用户异常下线。
指定端口工作在Web认证的多VLAN模式时,配置本功能不生效。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] web-auth offline-detect interval 3600
web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。
undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。
【命令】
web-auth proxy [ https ] port port-number
undo web-auth proxy { all-port | [ https ] port port-number }
【缺省情况】
未配置允许触发Web认证的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all-port:指定所有Web认证的Web代理服务器的TCP端口号。
https:表示HTTPS请求触发Web认证。若未配置本参数,则表示HTTP请求触发Web认证。
port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。80和443端口是Web认证预留端口号,不可配置。
【使用指导】
设备默认只允许未配置Web代理服务器的浏览器发起的HTTP/HTTPS请求才能触发Web认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP/HTTPS请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP/HTTPS请求也可以触发Web认证。
HTTP和HTTPS请求允许触发Web认证的Web代理服务器端口不能相同。
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,需要注意的是:
· 配置允许触发Portal认证的Web代理服务器端口的同时,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 需要用户在浏览器上将Web认证Web服务器的IP地址配置为Web代理服务器的例外地址,避免Web认证用户发送给Web认证Web服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Web认证。
可通过多次执行本命令添加多个Web认证的Web代理服务器的TCP端口号。
【举例】
# 配置HTTP请求允许触发Web认证的Web代理服务器的TCP端口号为7777。
<Sysname> system-view
[Sysname] web-auth proxy port 7777
【相关命令】
· display web-auth
web-auth server命令用来创建Web认证本地/远程Web服务器,并进入Web认证本地/远程Web服务器视图。如果指定的Web服务器已经存在,则直接进入Web服务器视图。
undo web-auth server命令用来删除指定的Web认证本地/远程Web服务器。
【命令】
web-auth [ remote ] server server-name
undo web-auth [ remote ] server server-name
【缺省情况】
不存在Web认证Web服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
remote:表示远程Web服务器。未指定本参数时,表示本地Web服务器。
server server-name:表示本地/远程Web服务器。server-name表示本地/远程Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
在本地/远程Web服务器视图下可以配置Web服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。
本地和远程Web服务器的名称不能相同。
【举例】
# 创建名称为wbls的Web认证本地Web服务器,并进入Web认证本地Web服务器视图。
<Sysname> system-view
[Sysname] web-auth server wbls
New Web server was added for local Web authentication.
[Sysname-web-auth-server-wbls]
# 创建名称为wbrs的Web认证远程Web服务器,并进入Web认证远程Web服务器视图。
<Sysname> system-view
[Sysname] web-auth remote server wbrs
New Web server was added for remote Web authentication.
[Sysname-web-auth-remote-server-wbrs]
【相关命令】
· web-auth enable
web-auth timer temp-entry-aging命令用来配置MAC地址临时表项的老化时间。
undo web-auth timer temp-entry-aging命令用来恢复缺省情况。
【命令】
web-auth timer temp-entry-aging aging-time-value
undo web-auth timer temp-entry-aging
【缺省情况】
MAC地址临时表项的老化定时器的值为60秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-time-value:MAC地址临时表项的老化定时器的值,取值范围为60~2147483647,单位为秒。
【使用指导】
开启了Web认证功能的设备,在首次检测到用户流量后,会生成MAC地址临时表项,用于记录用户的MAC地址、用户上线的接口、用户所在的VLAN ID和临时表项的老化时间。
如果到达设定的老化时间,此用户仍未发起认证,则删除该临时表项。如果在老化时间内,用户认证成功,设备将删除该老化定时器,该临时表项记录的信息变为上线的Web用户信息;如果在老化时间内,用户认证失败,且设备上配置了Web认证的Auth-Fail VLAN,设备将该用户的MAC地址与Auth-fail VLAN进行绑定,并重新启动该老化定时器,待定时器超时后,若用户仍然没有通过认证,则该临时表项将会被删除。
在如下两种情况下,建议将定时器的值调大:
· 无接入权限的Web认证用户在短时间内频繁上送用户流量,导致接入设备不断发起Web认证流程,加重设备的负载。
· 用户在认证失败的情况下,能够访问某一特定VLAN中的资源的时间太短,导致比如病毒补丁未能成功下载。
【举例】
# 设置MAC地址临时表项的老化定时器的时间为500秒。
<Sysname> system-view
[Sysname] web-auth timer temp-entry-aging 500
【相关命令】
· web-auth auth-fail vlan
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!