04-Portal命令
本章节下载: 04-Portal命令 (901.64 KB)
目 录
1.1.9 display portal critical-microsegment user
1.1.10 display portal mac-trigger-server
1.1.11 display portal packet statistics
1.1.14 display portal session user-type
1.1.16 display portal web-server
1.1.17 display web-redirect rule
1.1.20 ip (MAC binding server view)
1.1.21 ip (portal authentication server view)
1.1.22 ipv6 (MAC binding server view)
1.1.23 ipv6 (portal authentication server view)
1.1.26 port (MAC binding server view)
1.1.27 port (portal authentication server view)
1.1.28 portal { bas-ip | bas-ipv6 } (interface view)
1.1.29 portal { ipv4-max-user | ipv6-max-user | max-user } (interface view)
1.1.30 portal access-info trust
1.1.31 portal apply mac-trigger-server
1.1.32 portal apply web-server (interface view)
1.1.33 portal authorization strict-checking
1.1.34 portal critical-microsegment aging-time
1.1.35 portal critical profile
1.1.38 portal domain (interface view)
1.1.39 portal m-lag load-sharing-mode
1.1.40 portal m-lag traffic backup
1.1.41 portal dual-stack enable
1.1.42 portal enable (interface view)
1.1.43 portal fail-permit server
1.1.44 portal fail-permit web-server
1.1.45 portal free-all except destination
1.1.47 portal free-rule destination
1.1.48 portal free-rule source
1.1.49 portal ip-trigger aging-time
1.1.50 portal ipv6 free-all except destination
1.1.51 portal ipv6 layer3 source
1.1.52 portal ipv6 user-detect
1.1.54 portal local-web-server
1.1.56 portal mac-trigger-server
1.1.59 portal nas-port-id format
1.1.61 portal oauth user-sync interval
1.1.63 portal pre-auth ip-pool
1.1.68 portal user-dhcp-only (interface view)
1.1.69 portal user-rule assign-check enable
1.1.72 reset portal packet statistics
1.1.73 server-detect (portal authentication server view)
1.1.74 server-detect (portal web server view)
1.1.77 server-type (MAC binding server view)
aging-time命令用来配置MAC-Trigger表项的老化时间。
undo aging-time命令用来恢复缺省情况。
【命令】
aging-time seconds
undo aging-time
【缺省情况】
MAC-Trigger表项老化时间为300秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。
【使用指导】
开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。
当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。
【举例】
# 指定MAC-Trigger表项老化时间为300秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aging-time 300
【相关命令】
· display portal mac-trigger-server
authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。
undo authentication-timeout命令用来恢复缺省情况。
【命令】
authentication-timeout minutes
undo authentication-timeout
【缺省情况】
设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。
【使用指导】
设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC-Trigger表项。
【举例】
# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10
【相关命令】
· display portal mac-trigger-server
binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。
undo binding-retry命令用来恢复缺省情况。
【命令】
binding-retry { retries | interval interval } *
undo binding-retry
【缺省情况】
设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
retries:最大尝试次数,取值范围为1~10。
interval interval:查询时间间隔,取值范围为1~60,单位为秒。
【使用指导】
如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3次,查询时间间隔为60秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60
【相关命令】
· display portal mac-trigger-server
captive-bypass enable命令用来开启Portal被动Web认证功能。
undo captive-bypass enable命令用来关闭Portal被动Web认证功能。
【命令】
captive-bypass enable
undo captive-bypass enable
【缺省情况】
Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。
【举例】
# 开启Portal被动Web认证功能。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] captive-bypass enable
【相关命令】
· display portal web-server
cloud-binding enable命令用来开启Portal云端MAC-Trigger认证功能。
undo cloud-binding enable命令用来关闭Portal云端MAC-Trigger认证功能。
【命令】
cloud-binding enable
undo cloud-binding enable
【缺省情况】
Portal云端MAC-Trigger认证功能处于关闭状态。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,当用户进行云端Portal认证时,只需要在第一次认证时输入用户名和密码,后面再进行认证时无需手工输入认证信息便可以自动完成Portal认证,此时,云端服务器作为Portal认证服务器、Portal Web服务器和MAC绑定服务器。
【举例】
# 在MAC绑定服务器mts视图下,开启Portal云端MAC-Trigger认证功能。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-binding enable
【相关命令】
· display portal mac-trigger-server
cloud-server url命令用来指定云端Portal认证服务器URL。
undo cloud-server url命令用来恢复缺省情况。
【命令】
cloud-server url url-string
undo cloud-server url
【缺省情况】
未指定云端Portal认证服务器URL,设备采用Portal Web服务器下配置的URL。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
url-string:云端Portal认证服务器URL,为1~256个字符的字符串,区分大小写,必须以http://或者https://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
在云端Portal认证中,Portal Web服务器下配置的URL通常为云端服务器的URL。当用户需要使用其它Portal Web服务器向用户推送Web页面时,建议配置本命令,从而使Portal Web服务器与云端Portal认证服务器分开。
【举例】
# 在MAC绑定服务器mts视图下,指定云端Portal认证服务器URL为http://lvzhou.h3c.com。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] cloud-server url http://lvzhou.h3c.com
【相关命令】
· display portal mac-trigger-server
default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。
undo default-logon-page命令用来恢复缺省情况。
【命令】
default-logon-page file-name
undo default-logon-page
【缺省情况】
本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。
【使用指导】
配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。
为了确保本地Portal Web服务功能的正常运行,建议使用设备存储介质根目录下自带的认证页面文件。如果用户需要自定义认证页面的内容和样式,请严格遵循自定义认证页面文件规范。
【举例】
# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip
【相关命令】
· portal local-web-server
display portal命令用来显示Portal配置信息和Portal运行状态信息。
【命令】
display portal interface interface-type interface-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:表示接口类型和接口编号。
【举例】
# 显示接口Vlan-interface2的Portal配置信息和Portal运行状态信息。
<Sysname> display portal interface vlan-interface 2
Portal information of Vlan-interface2
NAS-ID profile: aaa
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct authentication shared mode: Disabled
Portal web server: wbs(active)
Secondary portal Web server: wbsec
Portal mac-trigger-server: mts
Authentication domain: my-domain
Pre-auth domain: abc
User-dhcp-only: Enabled
Pre-auth IP pool: ab
Max users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
Critical profile: abc
IPv6:
portal status: Disabled
Portal authentication method: Disabled authentication shared mode: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6:Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Critical profile: bcd
# 显示接口Vlan-interface3的Portal配置信息和Portal运行状态信息。
<Sysname> display portal interface vlan-interface 3
Portal information of Vlan-interface3
NAS-ID profile: bbb
M-LAG group ID: 10, 12 to 20, 1024
M-LAG role : Master
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct authentication shared mode: Disabled
Portal M-LAG status : M_Delay
Portal web server: wbs(active)
Secondary portal Web server: wbsec
Portal mac-trigger-server: mts
Authentication domain: my-domain
Pre-auth domain: abc
User-dhcp-only: Enabled
Pre-auth IP pool: ab
Max users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
Critical profile: abc
IPv6:
portal status: Disabled
Portal authentication method: Disabled authentication shared mode: Disabled
Portal M-LAG status: M_Alone
Portal web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6:Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Critical profile: abc
表1-1 display portal interface命令显示信息描述表
字段 |
描述 |
Portal information of interface |
接口上的Portal信息 |
NAS-ID profile |
接口上引用的NAS-ID profile |
Authorization |
服务器下发给Portal用户的授权信息类型,包括ACL和User profile |
Strict checking |
Portal授权信息的严格检查模式是否开启 |
Dual stack |
接口上Portal支持双协议栈功能的开启状态,包括以下取值: · Disabled:Portal支持双协议栈功能未开启 · Enabled:Portal支持双协议栈功能已开启 |
Max users |
接口上配置的最大 Portal用户数 |
IPv4 |
IPv4 Portal的相关信息 |
IPv6 |
IPv6 Portal的相关信息 |
Portal status |
接口上Portal认证的运行状态,包括以下取值: · Disabled:Portal认证未开启 · Enabled:Portal认证已开启 · Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放 |
Portal M-LAG status |
接口的M-LAG状态,包括如下取值: · M_Initial:M-LAG主设备的初始化状态 · M_Delay:M-LAG主设备的延迟状态(M-LAG主设备延迟一段时间后切换为主状态) · M_Alone:M-LAG主设备的单机状态(备份数据链路断开等原因,导致M-LAG双机通信失败) · M_Hello:M-LAG主设备处于和M-LAG从设备进行握手的状态(协商M-LAG状态和接口的Portal开启状态) · M_Collect:M-LAG主设备处于等待M-LAG从设备发送Portal用户信息的状态 · M_Sync:M-LAG主设备处于向M-LAG从设备发送Portal用户信息的状态 · M_Synced:M-LAG主设备已经完成向M-LAG从设备备份Portal用户信息 · B_Initial:M-LAG从设备的初始化状态 · B_Alone:M-LAG从设备的单机状态(备份数据链路断开等原因,导致M-LAG双机通信失败) · B_Hello:M-LAG从设备处于和M-LAG主设备进行握手的状态(协商M-LAG状态和接口的Portal开启状态) · B_Report:M-LAG从设备处于向M-LAG主设备发送Portal用户信息的状态 · B_Sync:M-LAG从设备处于接收M-LAG主设备发送Portal用户信息的状态 · B_Synced:M-LAG从设备已经完成Portal用户信息的备份 · Down:未运行M-LAG状态 接口未开启Portal或者不是M-LAG接口时,不显示该字段 |
Portal authentication method |
接口上配置的认证方式,包括以下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
authentication shared mode |
接口上配置的Portal认证共享模式,包括以下取值: · Disabled:Portal认证共享模式未开启 · Enabled:Portal认证共享模式已开启 |
Portal Web server |
接口上配置的主Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
Secondary portal Web server |
接口上配置的备份Portal Web服务器的名称。active表示正在使用此Portal Web服务器 |
Portal mac-trigger-server |
接口上配置MAC绑定服务器的名称 |
Authentication domain |
接口上的Portal强制认证域 |
Pre-auth domain |
接口上的Portal认证前域,即Portal认证前用户使用的认证域 |
User-dhcp-only |
仅允许通过DHCP方式获取IP地址的客户端上线功能 · Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线 · Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线 |
Pre-auth ip-pool |
为认证前的Portal用户指定的IP地址池名称 |
Max users |
接口上配置的最大用户数 |
Bas-ip |
发送给Portal认证服务器的Portal报文的BAS-IP属性 |
Bas-ipv6 |
发送给Portal认证服务器的Portal报文的BAS-IPv6属性 |
User detection |
接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间 |
Action for server detection |
服务器可达性探测功能对应的端口控制配置: · Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器 · Server name:服务器名称 · Action:是否开启服务器不可达时的Portal用户逃生功能。fail-permit表示开启了服务器不可达时的Portal用户逃生功能 |
Layer3 source network |
Portal源认证网段信息 |
Destination authentication subnet |
Portal目的认证网段认证信息 |
IP address |
Portal认证网段的IP地址 |
Mask |
Portal认证网段的子网掩码 |
Prefix length |
Portal IPv6认证网段的地址前缀长度 |
Critical profile |
接口下配置的逃生策略,未配置时,显示Not configured |
M-LAG group ID |
M-LAG组ID |
M-LAG role |
接口所在设备的M-LAG角色: · Master:M-LAG主设备 · Backup:M-LAG从设备 |
PEER_SM state |
接口的M-LAG状态,包括如下取值: · M_Initial:M-LAG主设备的初始化状态 · M_Delay:M-LAG主设备的延迟状态(M-LAG主设备延迟一段时间后切换为主状态) · M_Alone:M-LAG主设备的单机状态(备份数据链路断开等原因,导致M-LAG双机通信失败) · M_Hello:M-LAG主设备处于和M-LAG从设备进行握手的状态(协商M-LAG状态和接口的Portal开启状态) · M_Collect:M-LAG主设备处于等待M-LAG从设备发送Portal用户信息的状态 · M_Sync:M-LAG主设备处于向M-LAG从设备发送Portal用户信息的状态 · M_Synced:M-LAG主设备已经完成向M-LAG从设备备份Portal用户信息 · B_Initial:M-LAG从设备的初始化状态 · B_Alone:M-LAG从设备的单机状态(备份数据链路断开等原因,导致M-LAG双机通信失败) · B_Hello:M-LAG从设备处于和M-LAG主设备进行握手的状态(协商M-LAG状态和接口的Portal开启状态) · B_Report:M-LAG从设备处于向M-LAG主设备发送Portal用户信息的状态 · B_Sync:M-LAG从设备处于接收M-LAG主设备发送Portal用户信息的状态 · B_Synced:M-LAG从设备已经完成Portal用户信息的备份 · Down:未运行M-LAG状态 接口未开启Portal或者不是M-LAG接口时,不显示该字段 |
【相关命令】
· portal domain
· portal enable
· portal free-all except destination
· portal ipv6 free-all except destination
· portal ipv6 layer3 source
· portal layer3 source
· portal web-server
display portal critical-microsegment user命令用来显示Critical微分段中Portal认证逃生用户信息。
【命令】
display portal critical-microsegment user
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示Critical微分段中Portal认证逃生用户信息。
<Sysname> display portal critical-microsegment user
Total critical microsegment entries: 2
Portal server: pts
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 -- Ten-GigabitEthernet1/0/1
Authorization information:
Critical microsegment ID: 5
Portal server: pts
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 -- Ten-GigabitEthernet1/0/2
Authorization information:
Critical microsegment ID: 5
表1-2 display portal critical-microsegment user命令显示信息描述表
字段 |
描述 |
Total critical microsegment entries |
Critical微分段中Portal逃生用户总数 |
Portal server |
Portal认证服务器的名称 |
VPN instance |
Portal用户所属的VPN实例名。若用户属于公网,则显示为N/A |
MAC |
Portal用户的MAC地址 |
IP |
Portal用户的IP地址 |
VLAN |
Portal用户所在的VLAN |
Interface |
Portal用户接入的接口 |
Authorization information |
Portal用户的授权信息 |
Critical microsegment ID |
Portal用户的授权逃生微分段ID |
【相关命令】
· portal critical-microsegment aging-time
· portal critical profile
display portal mac-trigger-server命令用来显示MAC绑定服务器信息。
【命令】
display portal mac-trigger-server { all | name server-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有MAC绑定服务器信息。
name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。
【举例】
# 显示全部MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server all
Portal mac trigger server name: ms1
Version : 2.0
Server type : IMC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Cloud-binding : Disabled
Cloud-server URL : Not configured
Portal mac trigger server name: mts
Version : 1.0
Server type : IMC
IP : 4.4.4.2
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 0 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Cloud-binding : Disabled
Cloud-server URL : Not configured
# 显示名字为ms1的MAC绑定服务器的信息。
<Sysname> display portal mac-trigger-server name ms1
Portal mac trigger server name: ms1
Version : 2.0
Server type : IMC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Cloud-binding : Disabled
Cloud-server URL : Not configured
表1-3 display portal mac-trigger-server命令显示信息描述表
字段 |
描述 |
Portal mac trigger server name |
MAC绑定服务器的名称 |
Version |
Portal协议报文的版本,取值包括: · 1.0:版本1 · 2.0:版本2 · 3.0:版本3 |
Server type |
MAC绑定服务器的服务类型,取值为iMC:表示H3C iMC Portal服务器或H3C CAMS Portal服务器 |
IP |
MAC绑定服务器的IP地址 |
Port |
设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号 |
VPN instance |
MAC绑定服务器所属的VPN实例 |
Aging time |
MAC-Trigger表项老化时间,单位为秒 |
Free-traffic threshold |
用户免认证流量阈值,单位为字节 |
NAS-Port-Type |
发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值 |
Binding retry times |
设备向MAC绑定服务器发起MAC查询的最大尝试次数 |
Binding retry interval |
设备向MAC绑定服务器发起MAC查询的时间间隔 |
Authentication timeout |
设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间 |
Cloud-binding |
Portal云端MAC-Trigger认证功能状态 · Disabled:关闭状态 · Enabled:开启状态 |
Cloud-server URL |
云端Portal认证服务器URL |
display portal packet statistics命令用来显示Portal认证服务器的报文统计信息。
【命令】
display portal packet statistics [ extend-auth-server cloud | server server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为绿洲云服务器。
server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
执行此命令后,显示的报文统计信息包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息。
若未指定任何参数,则依次显示第三方Portal认证服务器和普通Portal认证服务器的报文统计信息。
【举例】
# 显示名称为pts的Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
# 显示类型为cloud的第三方Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics extend-auth-server cloud
Extend-auth server: cloud
Update interval: 60
Pkt-Type Success Error Timeout Conn-failure
REQ_ACCESSTOKEN 1 0 0 0
REQ_USERINFO 1 0 0 0
RESP_ACCESSTOKEN 1 0 0 0
RESP_USERINFO 1 0 0 0
POST_ONLINEDATA 0 0 0 0
RESP_ONLINEDATA 0 0 0 0
POST_OFFLINEUSER 1 0 0 0
REPORT_ONLINEUSER 1 0 0 0
REQ_CLOUDBIND 1 0 0 0
RESP_CLOUDBIND 1 0 0 0
REQ_BINDUSERINFO 0 0 0 0
RESP_BINDUSERINFO 0 0 0 0
AUTHENTICATION 0 1 0 0
表1-4 display portal server statistics命令显示信息描述表
字段 |
描述 |
Portal server |
Portal认证服务器名称 |
Invalid packets |
无效报文的数目 |
Pkt-Type |
报文的名称 |
Total |
报文的总数 |
Drops |
丢弃报文数 |
Errors |
携带错误信息的报文数 |
REQ_CHALLENGE |
Portal认证服务器向接入设备发送的challenge请求报文 |
ACK_CHALLENGE |
接入设备对Portal认证服务器challenge请求的响应报文 |
REQ_AUTH |
Portal认证服务器向接入设备发送的请求认证报文 |
ACK_AUTH |
接入设备对Portal认证服务器认证请求的响应报文 |
REQ_LOGOUT |
Portal认证服务器向接入设备发送的下线请求报文 |
ACK_LOGOUT |
接入设备对Portal认证服务器下线请求的响应报文 |
AFF_ACK_AUTH |
Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文 |
NTF_LOGOUT |
接入设备发送给Portal认证服务器,用户被强制下线的通知报文 |
REQ_INFO |
信息询问报文 |
ACK_INFO |
信息询问的响应报文 |
NTF_USERDISCOVER |
Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文 |
NTF_USERIPCHANGE |
接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文 |
AFF_NTF_USERIPCHAN |
Portal认证服务器通知接入设备对用户表项的IP切换已成功报文 |
ACK_NTF_LOGOUT |
Portal认证服务器对强制下线通知的响应报文 |
NTF_HEARTBEAT |
Portal认证服务器周期性向接入设备发送的服务器心跳报文 |
NTF_USER_HEARTBEAT |
接入设备收到的从Portal认证服务器发送的用户同步报文 |
ACK_NTF_USER_HEARTBEAT |
接入设备向Portal认证服务器回应的用户同步响应报文 |
NTF_CHALLENGE |
接入设备向Portal认证服务器发送的challenge请求报文 |
NTF_USER_NOTIFY |
接入设备向Portal认证服务器发送的用户消息通知报文 |
AFF_NTF_USER_NOTIFY |
Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
Extend-auth server |
第三方Portal认证服务器类型,取值为cloud,表示第三方Portal认证服务器类型为绿洲云服务器 |
Update interval |
设备发送在线用户信息给云端的时间间隔,单位为秒 |
Success |
接入设备发送/接收成功报文数 |
Timeout |
连接第三方Portal认证服务器超时报文数 |
Conn-failure |
无法连接第三方Portal认证服务器的报文数 |
REQ_ACCESSTOKEN |
接入设备发送获取ACCESSTOKEN的报文 |
REQ_USERINFO |
接入设备发送获取USERINFO的报文 |
RESP_ACCESSTOKEN |
接入设备接收ACCESSTOKEN的报文 |
RESP_USERINFO |
接入设备接收USERINFO的报文 |
POST_ONLINEDATA |
接入设备发送获取云端用户信息的报文 |
RESP_ONLINEDATA |
接入设备接收云端用户信息的报文 |
POST_OFFLINEUSER |
接入设备发送下线用户信息给云端 |
REPORT_ONLINEUSER |
接入设备发送云端用户上线信息报文 |
REQ_CLOUDBIND |
接入设备发送查询云端用户绑定状态的报文 |
RESP_CLOUDBIND |
接入设备接收云端用户绑定状态的响应报文 |
REQ_BINDUSERINFO |
接入设备在收到RESP_CLOUDBIND报文且字段为BIND后发送获取USERINFO的报文 |
RESP_BINDUSERINFO |
接入设备接收REQ_BINDUSERINFO报文的响应报文 |
AUTHENTICATION |
接入设备接收到的第三方认证结果报文 |
【相关命令】
· reset portal packet statistics
display portal rule命令用来显示用于报文匹配的Portal过滤规则信息。
【命令】
(独立运行模式)
display portal rule { all | dynamic | static } { interface interface-type interface-number [ slot slot-number ] }
(IRF模式)
display portal rule { all | dynamic | static } { interface interface-type interface-number [ chassis chassis-number slot slot-number ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。
dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。
static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。
interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:显示指定单板上的Portal规则信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的Portal规则信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的Portal过滤规则信息。(IRF模式)
【举例】
# 显示接口Vlan-interface100上所有Portal过滤规则的信息。(独立运行模式)
<Sysname> display portal rule all interface vlan-interface 100 slot 1
Slot 1:
IPv4 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : Any
Rule 2:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 2.2.2.2
MAC : 000d-88f8-0eab
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 3:
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : Any
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
IPv6 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : ::
Prefix length : 0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 3000::1
Prefix length : 64
Port : Any
Rule 2:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 3000::1
MAC : 0015-e9a6-7cfe
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 3:
Type : Static
Action : Redirect
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : ::
Prefix length : 0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : ::
Prefix length : 0
Author ACL:
Number : 3001
表1-5 display portal rule命令显示信息描述表
字段 |
描述 |
Rule |
Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号 |
Type |
Portal过滤规则的类型,包括以下取值: · Static:静态类型 · Dynamic:动态类型 |
Action |
Portal过滤规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Redirect:重定向报文 · Deny:拒绝报文通过 |
Protocol |
Portal免认证规则中使用的传输层协议,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 · UDP:UDP传输类型 |
Status |
Portal过滤规则下发的状态,包括以下取值: · Active:表示规则已生效 · Deactive:表示规则未生效 |
Source |
Portal过滤规则的源信息 |
IP |
源IP地址 |
Mask |
源IPv4地址子网掩码 |
Prefix length |
源IPv6地址前缀 |
Port |
源传输层端口号 |
MAC |
源MAC地址 |
Interface |
Portal过滤规则应用的二层或三层接口 |
VLAN |
源VLAN |
Protocol |
Portal重定向规则中使用的传输层协议类型,取值只能为TCP |
Destination |
Portal规则的目的信息 |
IP |
目的IP地址 |
Port |
目的传输层端口号 |
Mask |
目的IPv4地址子网掩码 |
Prefix length |
目的IPv6地址前缀 |
Author ACL |
Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示 |
Number |
授权ACL编号,N/A表示AAA未授权ACL |
display portal server命令用来显示Portal认证服务器信息。
【命令】
display portal server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若不指定参数server-name,则显示所有Portal认证服务器信息。
【举例】
# 显示Portal认证服务器pts的信息。
<Sysname> display portal server pts
Portal server: pts
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log
User synchronization : Timeout 200s
Status : Up
表1-6 display portal server命令显示信息描述表
字段 |
描述 |
Type |
Portal认证服务器类型为iMC,表示符合iMC标准规范的服务器 |
Portal server |
Portal认证服务器名称 |
IP |
Portal认证服务器的IP地址 |
VPN instance |
Portal认证服务器所属的MPLS L3VPN实例 |
Port |
Portal认证服务器的监听端口 |
Server detection |
Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log) |
User synchronization |
Portal用户信息同步功能的参数,包括超时时间(单位:秒) |
Status |
Portal认证服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达 |
【相关命令】
· portal enable
· portal server
· server-detect (portal authentication server view)
· user-sync
display portal session user-type命令用来显示基于Portal协议的指定用户类型的会话信息。
【命令】
display portal session user-type { portal | web-auth }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
portal:显示Portal用户会话信息。
web-auth:显示基于Portal协议的Web认证用户会话信息。
【举例】
# 显示基于Portal协议的Web认证用户会话信息。
<Sysname> display portal session user-type web-auth
Total Web-auth sessions: 1
MAC address Interface User type
1212-1212-1212 Vlan-interface200 Web-auth
# 显示Portal用户会话信息。
<Sysname> display portal session user-type portal
Total Portal sessions: 1
IP address MAC address Interface User type
1:2::3:5 1212-1212-1211 Vlan-interface200 Portal
表1-7 display portal session user-type命令显示信息描述表
字段 |
描述 |
Total Web-auth sessions |
基于Portal协议的Web认证用户会话总数 |
Total Portal sessions |
Portal用户会话总数 |
IP address |
用户IP地址 |
MAC address |
用户MAC地址 |
Interface |
用户接入的接口 |
User type |
用户类型: · Web-auth:Web认证用户 · Portal:Portal用户 |
display portal user命令用来显示Portal用户的信息。
【命令】
display portal user { all | auth-type { cloud | local | normal } interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] | username username } [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有Portal用户的信息。
auth-type:显示指定认证类型的Portal用户信息。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
local:Portal认证类型为本地认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
ip ipv4-address:显示指定IPv4地址的Portal用户信息。
ipv6 ipv6-address:显示指定IPv6地址的Portal用户信息。
mac mac-address:显示指定MAC地址的Portal用户信息。mac-address格式为H-H-H。
pre-auth:显示Portal认证前用户信息。认证前用户是指被加入认证前域的未进行Portal认证的用户。若不指定该参数,则显示Portal用户的信息。
username username:显示指定用户名的Portal用户信息。username为1~253个字符的字符串,区分大小写,不能携带域名。
brief:显示指定Portal用户的简要信息。
verbose:显示指定Portal用户的详细信息。
【使用指导】
若不指定brief和verbose参数,则表示显示Portal用户的Portal认证相关信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Total portal users: 2
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
Username: def
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 200 Vlan-interface200
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: 5
# 显示Portal认证类型为普通认证的用户信息。
<Sysname> display portal user auth-type normal
Total remote users: 1
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
# 显示MAC地址为000d-88f8-0eab的Portal的用户信息。
<Sysname> display portal user mac 000d-88f8-0eab
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 -- Vlan-interface200
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
# 显示用户名为abc的Portal用户的信息。
<Sysname> display portal user username abc
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: 4
# 显示所有Portal认证前用户的信息。
<Sysname> display portal user pre-auth
Total portal pre-auth users: 2
MAC IP VLAN Interface
000a-eb29-75f1 18.18.0.3 200 Vlan-interface100
State: Online
VPN instance: N/A
Authorization information:
User profile: N/A
Session group profile: N/A
ACL number: 3000 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
MAC IP VLAN Interface
000a-eb29-75f2 18.18.0.4 200 Vlan-interface100
State: Online
VPN instance: N/A
Authorization information:
User profile: N/A
Session group profile: N/A
ACL number: 3000 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
表1-8 display portal user命令显示信息描述表
字段 |
描述 |
Total portal users |
总计的Portal用户数目 |
Username |
用户名 |
Portal server |
用户认证所使用的Portal认证服务器的名称 |
State |
Portal用户的当前状态,包括以下取值: · Initialized:初始化完成后的待认证状态 · Authenticating:正在认证状态 · Waiting_SetRule:等待下发用户授权信息 · Authorizing:正在授权状态 · Online:在线状态 · Waiting_Traffic:等待获取用户最后一次流量 · Stop Accounting:停止计费 · Done:下线结束 |
VPN instance |
Portal用户所属的MPLS L3VPN实例。若用户属于公网,则显示为N/A |
MAC |
Portal用户的MAC地址 |
IP |
Portal用户的IP地址 |
VLAN |
Portal用户所在的VLAN |
Interface |
Portal用户接入的接口 |
Authorization information |
Portal用户的授权信息 |
DHCP IP pool |
Portal用户的授权地址池名称。若无授权地址池,则显示为N/A |
User profile |
Portal用户的授权User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
Session group profile |
(暂不支持)Portal用户的授权Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
ACL number/name |
Portal用户的授权ACL编号或名称。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
Inbound CAR |
(暂不支持)授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A |
Outbound CAR |
(暂不支持)授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A |
Microsegment ID |
服务器授权的微分段ID,若未授权,则显示为N/A,不支持微分段设备上不显示该字段 |
# 显示IP地址为50.50.50.3的Portal用户的详细信息。
<Sysname> display portal user ip 50.50.50.3 verbose
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Authentication type: Normal
Domain: hrss
VPN instance: N/A
Status: Online
Portal server: test
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2018-01-04 16:13:35 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: 3000(inactive)
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7
2.2.2.2, 3.3.3.3, 4.4.4.4
User group: 1 (Id=1)
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
ITA:
level-1 uplink packets/bytes: 0/0
downlink packets/bytes: 0/0
level-2 uplink packets/bytes: 0/0
downlink packets/bytes: 0/0
# 显示MAC地址为000d-88f8-0eab的Portal用户的详细信息。
<Sysname> display portal user mac 000d-88f8-0eab verbose
Basic:
Current IP address: 2.2.2.2
Original IP address: 2.2.2.2
Username: abc
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 000d-88f8-0eab
Authentication type: Normal
Domain name: hrss
VPN instance: N/A
Status: Online
Portal server: pts
Portal authentication method: Direct
AAA:
Realtime accounting interval: 60s, retry times: 3
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2019-01-10 09:38:18 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: 4
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: portal (active)
Session group profile: N/A
Max multicast addresses: 4
User group: 1 (Id=1)
Flow statistic:
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
Dual-stack traffic statistics:
IPv4 address: 2.2.2.2
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
IPv6 address: 2001::2
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
# 显示M-LAG从设备上的所有Portal用户的详细信息。
<Sysname> display portal user all verbose
Total portal users: 1
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Authentication type: Normal
Domain name: hrss
VPN instance: N/A
Status: Online
M-LAG user state: Inactive
Portal server: test
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2018-01-04 16:13:35 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number:3000(inactive)
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
User group: N/A
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
Peer flow statistic:
Uplink packets/bytes: 0/0
Downlink packets/bytes: 7/54
表1-9 display portal user verbose命令显示信息描述表
字段 |
描述 |
Current IP address |
Portal用户当前的IP地址 |
Original IP address |
Portal用户认证时的IP地址 |
Username |
Portal用户上线时使用的用户名 |
User ID |
Portal用户ID |
Access interface |
Portal用户接入的接口 |
Service-VLAN/Customer-VLAN |
Portal用户所在的公网VLAN/私网VLAN(“-”表示没有VLAN信息) |
MAC address |
用户的MAC地址 |
Authentication type |
Portal认证类型,取值包括: · Normal:普通认证 · Local:本地认证 · Cloud:云端认证 |
Domain |
用户认证时使用的ISP域名 |
VPN instance |
用户所属的MPLS L3VPN实例,N/A表示用户属于公网 |
Status |
Portal用户的当前状态,包括以下取值: · Authenticating:正在认证状态 · Authorizing:正在授权状态 · Waiting_SetRule:正在下发Portal规则状态 · Online:在线状态 · Waiting_Traffic:正在等待用户流量状态 · Stop Accounting:正在停止计费状态 · Done:用户下线完成状态 |
M-LAG user state |
M-LAG组网中,M-LAG接口上用户的状态,非M-LAG系统中不显示该字段 · Active:激活状态,此时由本端M-LAG设备与AAA服务器及Portal服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器及Portal服务器交互用户认证信息 |
Portal server |
Portal服务器名称 |
Portal authentication method |
接入接口上的Portal认证方式,包括如下取值: · Direct:直接认证方式 · Redhcp:二次地址分配认证方式 · Layer3:可跨三层认证方式 |
AAA |
Portal用户的AAA授权信息 |
Realtime accounting interval |
授权的实时计费间隔和重传次数。若未授权,则显示为N/A |
Idle cut |
授权的闲置切断时长和流量。若未授权,则显示为N/A |
direction |
用户数据流量的统计方向,包括以下取值: · Both:表示用户双向数据流量 · Inbound:表示用户上行数据流量 · Outbound:表示用户下行数据流量 |
Session duration |
授权的会话时长以及剩余的会话时长。若未授权,则显示为N/A |
Remaining traffic |
授权的剩余流量。若未授权,则显示为N/A |
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-19 2:42:30 UTC |
Accounting-start fail action |
(暂不支持)用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
Accounting-update fail action |
(暂不支持)用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
Accounting quota-out action |
(暂不支持)用户计费流量配额耗尽策略,包括以下取值: · Online:如果用户计费流量配额耗尽,则保持用户在线 · Offline:如果用户计费流量配额耗尽,则强制用户下线 |
DHCP IP pool |
授权的DHCP地址池名称。若未授权DHCP地址池,则显示为N/A |
Microsegment ID |
服务器授权的微分段ID,若未授权,则显示为N/A。不支持微分段设备上不显示该字段 |
Inbound CAR |
(暂不支持)授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
Outbound CAR |
(暂不支持)授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
ACL number |
授权的ACL编号。若未授权ACL,则显示为N/A。授权状态包括如下: · active:AAA授权ACL成功 · inactive:AAA授权ACL失败或者设备上不存在该ACL |
User profile |
授权的User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下: · active:AAA授权User profile成功 · inactive:AAA授权User profile失败或者设备上不存在该User profile |
Session group profile |
(暂不支持)授权的Session group profile名称。若未授权Session group profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session group profile成功 · inactive:AAA授权Session group profile失败或者设备上不存在该User profile |
Max multicast addresses |
授权Portal用户可加入的组播组的最大数目 |
Multicast address list |
授权Portal用户可加入的组播组列表。若未授权组播组列表,则显示为N/A |
User group |
Portal用户所属的用户组的名称。当用户组的ID取值为0xffffffff时无效。 |
Flow statistic |
Portal用户流量统计信息 |
Uplink packets/bytes |
上行流量报文数/字节数 |
Downlink packets/bytes |
下行流量报文数/字节数 |
Dual-stack traffic statistics |
Portal双协议栈用户流量统计信息 |
IPv4 address |
Portal用户的IPv4地址 |
IPv6 address |
Portal用户的IPv6地址 |
ITA |
(暂不支持)Portal用户的ITA业务流量统计信息 |
Accounting merge |
(暂不支持)ITA统一计费功能的开启状态,包括以下取值: · Enabled:开启了统一计费功能,即系统将ITA业务策略下所有级别的流量进行合并,并以该ITA业务策略中配置的最低的流量计费级别上报给计费服务器 · Disabled:未开启统一计费功能,即系统将各个级别的流量分别上报给计费服务器 |
Traffic separate |
(暂不支持)ITA业务流量与用户总计费流量分离功能的开启状态,包括以下取值: · Enabled:设备上报给计费服务器的用户总计费流量中不包含ITA流量 · Disabled:设备上报给计费服务器的用户主计费流量中包含ITA流量 |
Quota-out offline |
(暂不支持)ITA业务流量配额耗尽策略,包括以下取值: · Enabled:当用户的指定级别的流量配额耗尽后,用户不能访问授权的目的IP地址段 · Disabled:当用户的指定级别的流量配额耗尽后,用户仍能访问授权的目的IP地址段 |
Level-n session duration |
(暂不支持)AAA授权计费级别为n的ITA业务流量的会话超时时间以及剩余的在线时长。若未授权,则显示为N/A |
Remaining traffic |
(暂不支持)AAA授权ITA业务流量的剩余流量 |
Traffic action |
(暂不支持)ITA业务流量配额耗尽策略规则的匹配动作,包括以下取值: · Permit:当用户的指定级别的流量配额耗尽后,允许用户访问授权的目的IP地址段 · Deny:当用户的指定级别的流量配额耗尽后,禁止用户访问授权的目的IP地址段 |
Inbound CAR |
(暂不支持)AAA为ITA业务流量授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权入方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
Outbound CAR |
(暂不支持)AAA为ITA业务流量授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。若未授权出方向CAR,则显示为N/A。如果下发成功,显示为active,否则为inactive |
Uplink packets/bytes |
(暂不支持)ITA业务流量上行流量报文数/字节数 |
Downlink packets/bytes |
(暂不支持)ITA业务流量下行流量报文数/字节数 |
# 显示所有Portal用户的简要信息。
<Sysname> display portal user all brief
IP address MAC address Online duration Username
2.2.2.2 000d-88f8-0eab 1:53:7 abc
3.3.3.3 000d-88f8-0eac 1:53:7 def
表1-10 display portal user brief命令显示信息描述表
字段 |
描述 |
IP address |
Portal用户的IP地址 |
MAC address |
Portal用户的MAC地址 |
Online duration |
用户在线时长(时:分:秒) |
Username |
Portal用户的用户名 |
【相关命令】
· portal enable
display portal web-server命令用来显示Portal Web服务器信息。
【命令】
display portal web-server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若不指定参数server-name,则显示所有Portal Web服务器信息。
【举例】
# 显示Portal Web服务器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
Type : IMC
URL : http://www.test.com/portal
URL parameters : userurl=http://www.test.com/welcome
userip=source-address
VPN instance : Not configured
Server detection : Interval: 120s Attempts: 5 Action: log
IPv4 status : Up
IPv6 status : Up
Captive-bypass : Disabled
If-match : original-url http://2.2.2.2 redirect-url http://192.168.56.2
表1-11 display portal web-server命令显示信息描述表
字段 |
描述 |
Type |
Portal Web服务器类型,其取值为iMC,表示符合iMC标准规范的服务器 |
Portal Web server |
Portal Web服务器名称 |
URL |
Portal Web服务器的URL地址以及携带的参数 |
URL parameters |
Portal Web服务器的URL携带的参数信息 |
VPN instance |
Portal Web服务器所属的MPLS L3VPN实例名称 |
Server detection |
Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log) |
IPv4 status |
IPv4 Portal Web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
IPv6 status |
IPv6 Portal Web服务器当前状态,其取值如下: · Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
Captive-bypass |
Portal被动Web认证功能状态,其取值如下: · Disabled:未开启 · Enabled:已开启 |
If-match |
配置的URL重定向匹配规则,未配置时,显示Not configured |
【相关命令】
· portal enable
· portal web-server
· server-detect (portal web-server view)
display web-redirect rule命令用来显示指定接口上的Web重定向过滤规则信息。
【命令】
(独立运行模式)
display web-redirect rule interface interface-type interface-number [ slot slot-number ]
(IRF模式)
display web-redirect rule interface interface-type interface-number [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:显示指定单板上指定接口的Web重定向过滤规则信息。slot-number表示单板所在槽位号。若不指定该参数,则显示主用主控板上的Web重定向过滤规则信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上指定接口的Web重定向过滤规则。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在槽位号。若不指定该参数,则显示全局主用主控板上的Web重定向过滤规则信息。(IRF模式)
【举例】
# 显示接口Vlan-interface100上的所有Web重定向过滤规则。
<Sysname> display web-redirect rule interface vlan-interface 100
IPv4 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
IPv6 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
表1-12 display web-redirect rule命令显示信息描述表
字段 |
描述 |
Rule |
Web重定向规则编号 |
Type |
Web重定向规则的类型,包括以下取值: · Static:静态类型。该类型的规则在Web重定向功能生效时生成 · Dynamic:动态类型。该类型的规则在用户访问重定向页面时生成 |
Action |
Web重定向规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Redirect:重定向报文 |
Status |
Web重定向规则下发的状态,包括以下取值: · Active:表示规则已生效 · Inactive:表示规则未生效 |
Source |
Web重定向规则的源信息 |
IP |
源IP地址 |
Mask |
源IPv4地址子网掩码 |
Prefix length |
源IPv6地址前缀 |
VLAN |
源VLAN,如果未指定,显示为Any |
Protocol |
Web重定向规则中使用的传输层协议类型,取值只能为TCP |
Destination |
Web重定向规则的目的信息 |
Port |
目的传输层端口号,默认为80 |
free-traffic threshold命令用来配置用户免认证流量的阈值。
undo free-traffic threshold命令用来恢复缺省情况。
【命令】
free-traffic threshold value
undo free-traffic threshold
【缺省情况】
用户免认证流量的阈值为0字节。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。
【使用指导】
设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。
用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。
【举例】
# 配置用户免认证流量的阈值为10240字节。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240
【相关命令】
· display portal mac-trigger-server
if-match命令用来配置重定向URL的匹配规则。
undo if-match命令用来删除配置的重定向URL匹配规则。
【命令】
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
undo if-match { original-url url-string | user-agent user-agent }
【缺省情况】
不存在重定向URL的匹配规则。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
redirect-url url-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
url-param-encryption:对设备重定向给用户的Portal Web服务器URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。
aes:加密算法为AES算法。
des:加密算法为DES算法。
key:设置密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。
· 对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
【使用指导】
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。
【举例】
# 配置URL地址为http://www.abc.com.cn的匹配规则,访问此地址的报文被重定向到http://192.168.0.1,对重定向URL中携带的参数进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678
# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1
【相关命令】
· display portal web-server
· portal free-rule
· url
· url-parameter
ip命令用来配置MAC绑定服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未配置MAC绑定服务器的IP地址。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:MAC绑定服务器的IPv4地址。
vpn-instance vpn-instance-name:MAC绑定服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。
key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。
cipher:以密文方式设置共享密钥。
simple:以明文方式设置共享密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal
【相关命令】
· display portal mac-trigger-server
ip命令用来指定Portal认证服务器的IPv4地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未指定Portal认证服务器的IPv4地址。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:Portal认证服务器的IPv4地址。
vpn-instance vpn-instance-name:Portal认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。
key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。
【使用指导】
一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。
不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同。
【举例】
# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
【相关命令】
· portal server
· display portal server
ipv6命令用来配置MAC绑定服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ipv6
【缺省情况】
未配置MAC绑定服务器的IPv6地址。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6-address:MAC绑定服务器的IPv6地址。
vpn-instance vpn-instance-name:MAC绑定服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示MAC绑定服务器位于公网中。
key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。
cipher:以密文方式设置共享密钥。
simple:以明文方式设置共享密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置MAC绑定服务器mts的IPv6地址为2001::1,共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] ipv6 2001::1 key simple portal
【相关命令】
· display portal mac-trigger-server
ipv6命令用来指定Portal认证服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ipv6
【缺省情况】
未指定Portal认证服务器的IPv6地址。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6-address:Portal认证服务器的IPv6地址。
vpn-instance vpn-instance-name:Portal认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示Portal认证服务器位于公网中。
key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。
【使用指导】
一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
不同的Portal认证服务器不允许IPv6地址和VPN实例的配置都相同。
【举例】
# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ipv6 2000::1 key simple portal
【相关命令】
· display portal server
· portal server
logon-page bind命令用来配置终端设备名称与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能。
undo logon-page bind命令用来取消指定终端设备名称与认证页面的绑定关系。
【命令】
logon-page bind device-name device-name file file-name
undo logon-page bind { all | device-name device-name } *
【缺省情况】
未配置终端设备名称与任何认证页面文件的绑定关系。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:表示所有绑定的终端设备名称。
device-name device-name:表示绑定的终端设备名称。device-name为终端设备类型的名称,为1~127个字符的字符串,区分大小写。指定的终端设备名称必须为设备指纹库中已定义的设备名称,否则绑定的认证页面不生效。
file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。
【使用指导】
未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-page bind命令,则会根据Portal用户所属的终端设备名称查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面,但是如果设备上没有配置default-logon-page命令,则将无法进行本地Portal认证。
当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。
对于相同的终端设备名称,多次执行本命令,最后一次执行的命令生效。
设备上允许同时存在多条绑定条目。
【举例】
# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。
<Sysname> system-view
[Sysname] portal local-web-server http
# 配置终端设备名称为iphone的设备与定制认证页面文件file2.zip进行绑定。
[Sysname-portal-local-websvr-http] logon-page bind device-name iphone file file2.zip
【相关命令】
· default-logon-page
· portal local-web-server
nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。
undo nas-port-type命令用来恢复缺省情况。
【命令】
nas-port-type value
undo nas-port-type
【缺省情况】
设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
value:NAS-Port-Type属性值,取值范围为1~255。
【使用指导】
设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。
请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。
【举例】
# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] nas-port-type 30
【相关命令】
· display portal mac-trigger-server
port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
MAC绑定服务器监听查询报文的UDP端口号是50100。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。
【举例】
# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。
<sysname> system-view
[sysname] portal mac-trigger-server mts
[sysname-portal-mac-trigger-server-mts] port 1000
【相关命令】
· display portal mac-trigger-server
port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
设备主动发送Portal报文时使用的UDP端口号为50100。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。
【使用指导】
本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。
【举例】
# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
【相关命令】
· portal server
portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。
undo portal { bas-ip | bas-ipv6 }命令用来恢复缺省情况。
【命令】
portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }
undo portal { bas-ip | bas-ipv6 }
【缺省情况】
对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。
【使用指导】
设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。
配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址。
接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。
使用iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。
【举例】
# 配置接口Vlan-interface100发送Portal报文的BAS-IP属性值为2.2.2.2。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2
【相关命令】
· display portal
portal { ipv4-max-user | ipv6-max-user | max-user }命令用来配置接口上的Portal最大用户数。
undo portal { ipv4-max-user | ipv6-max-user | max-user }命令用来恢复缺省情况。
【命令】
portal { ipv4-max-user | ipv6-max-user | max-user } max-number
undo portal { ipv4-max-user | ipv6-max-user | max-user }
【缺省情况】
接口上的Portal最大用户数不受限制。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-max-user:表示接口上允许的最大IPv4 Portal用户数。
ipv6-max-user:表示接口上允许的最大IPv6 Portal用户数。
max-user:表示接口上允许的最大Portal用户数。
max-number:接口上允许的最大Portal用户数,取值范围为1~4294967295。
【使用指导】
如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。
建议接口上配置的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的接口最大Portal用户数,否则会有部分Portal用户因为接口最大用户数已达到上限而无法上线。
设备支持多种方式配置Portal最大用户数,多种方式同时配置时,具体生效情况如下:
· 如果设备接口上未开启Portal支持双协议栈功能,Portal最大用户数为以下配置项的最小值:
¡ 接口上允许的最大IPv4或IPv6 Portal用户数。
¡ 接口上允许的最大Portal用户数。
¡ 全局Portal最大用户数。
· 如果设备接口上开启了Portal支持双协议栈功能,Portal最大用户数为以下配置项的最小值:
¡ 接口上允许的最大Portal用户数。
¡ 全局Portal最大用户数。
【举例】
# 在接口Vlan-interface100上配置IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv4-max-user 100
【相关命令】
· display portal
· display portal user
· portal dual-stack enable
· portal max-user
portal access-info trust命令用来指定通过查询ARP/ND表项来获取Portal用户信息。
undo portal access-info trust命令用来恢复缺省情况。
【命令】
portal access-info trust { arp | nd }
undo portal access-info trust { arp | nd }
【缺省情况】
设备通过查询FIB表项来获取Portal用户信息。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
arp:表示通过查询ARP表项来获取IPv4 Portal用户信息。
nd:表示通过查询ND表项来获取IPv6 Portal用户信息。
【使用指导】
在远程Web认证组网中,设备收到Portal认证服务器发送的Portal协议报文时,通过查询FIB表项无法获取用户的MAC地址和二层接入接口等信息,从而导致用户无法通过Web认证。
为了解决这个问题,需要指定设备通过查询ARP/ND表项来获取用户的接入信息,从而保证用户正常上线。
【举例】
# 指定通过查询ARP表项来获取Portal用户信息。
<Sysname> system-view
[Sysname] portal access-info trust arp
portal [ ipv6 ] apply mac-trigger-server命令用来应用MAC绑定服务器。
undo portal [ ipv6 ] apply mac-trigger-server命令用来恢复缺省情况。
【命令】
portal [ ipv6 ] apply mac-trigger-server server-name
undo portal [ ipv6 ] apply mac-trigger-server
【缺省情况】
未应用MAC绑定服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 MAC绑定服务器。若不指定该参数,则表示IPv4 MAC绑定服务器。
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
仅直接认证方式支持基于MAC地址的快速认证。
同一视图下可以应用一个IPv4 MAC绑定服务器和一个IPv6 MAC绑定服务器。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通三层Portal认证的相关配置;
· 配置MAC绑定服务器的IP地址和端口号;
· 在接口上应用MAC绑定服务器。
【举例】
# 在接口Vlan-interface1上应用MAC绑定服务器mts。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal apply mac-trigger-server mts
【相关命令】
· portal mac-trigger-server
portal apply web-server命令用来引用Portal Web服务器,设备会将Portal用户的HTTP请求报文重定向到该Web服务器。
undo portal apply web-server命令用来删除指定的Portal Web服务器。
【命令】
portal [ ipv6 ] apply web-server server-name [ fail-permit | secondary ]
undo portal [ ipv6 ] apply web-server [ server-name ]
【缺省情况】
未引用Portal Web服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。
server-name:被引用的Portal Web服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在。
fail-permit:开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
secondary:表示备份Portal Web服务器。若不指定该参数,则表示主Portal Web服务器。
【使用指导】
一个接口上可以同时开启IPv4 Portal认证和IPv6 Portal认证,因此也可以同时引用IPv4 Portal Web服务器和IPv6 Portal Web认证服务器。
如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即取消接口Portal认证功能,当两个服务器均恢复正常通信后,再重新启动Portal认证功能。
Portal认证开启后,可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。
设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。
要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。
通过此命令配置Portal Web服务器逃生功与配置备份Portal Web服务器互斥,不可同时配置。
【举例】
# 在接口Vlan-interface100上引用名称为wbs的Portal Web服务器作为用户认证时使用的主Web服务器。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal apply web-server wbs
【相关命令】
· display portal
· portal fail-permit web-server
· portal web-server
portal authorization strict-checking命令用来开启Portal授权信息的严格检查模式。
undo portal authorization strict-checking命令用来关闭Portal授权信息的严格检查模式。
【命令】
portal authorization { acl | user-profile } strict-checking
undo portal authorization { acl | user-profile } strict-checking
【缺省情况】
缺省为非严格检查授权信息模式,当服务器下发的授权ACL、User Profile在设备上不存在或者下发失败时,用户保持在线。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
acl:表示开启对授权ACL的严格检查。
user-profile:表示开启对授权User Profile的严格检查。
【使用指导】
· 接口上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、User Profile在设备上不存在或者下发失败时,设备将强制该用户下线。
· 可同时开启对授权ACL和授权User Profile的严格检查模式。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
【举例】
# 在接口Vlan-interface100上开启对授权ACL的严格检查模式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] portal authorization acl strict-checking
【相关命令】
· display portal
portal critical-microsegment aging-time命令用来配置Critical微分段中Portal认证用户逃生老化时间。
undo portal critical-microsegment aging-time命令用来恢复缺省情况。
【命令】
portal critical-microsegment aging-time minutes
undo portal critical-microsegment aging-time
【缺省情况】
微分段中Portal认证用户逃生老化时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:微分段中Portal认证用户逃生老化时间,取值范围为1~60,单位为分钟。
【使用指导】
当用户进行Portal认证时,若对应的ISP域下所有认证服务器都不可达,则端口上的Portal认证用户会被加入该模板中配置的Critical微分段。微分段功能仅在支持微分段的单板上支持。通过配置本命令,可以控制Critical微分段中Portal认证用户逃生时间。当用户逃生老化时间超时后,Portal用户将下线。
通过配置本功能,可以控制系统中Portal认证逃生用户的数量,避免同一用户长时间处于逃生状态,占用过多的系统资源。
【举例】
# 配置Critical微分段中Portal认证用户逃生老化时间为15分钟。
<Sysname> system-view
[Sysname] portal critical-microsegment aging-time 15
【相关命令】
· display portal critical-microsegment user
· portal critical profile
portal [ ipv6 ] critical profile命令用来指定Portal认证用户使用的逃生策略模板。
undo portal [ ipv6 ] critical profile命令用来恢复缺省情况。
【命令】
portal [ ipv6 ] critical profile profile-name
undo portal [ ipv6 ] critical profile
【缺省情况】
未指定Portal认证用户使用的逃生策略模板。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:指定IPv6 Portal认证用户使用的逃生策略模板。若不指定本参数,则表示指定IPv4 Portal认证用户的使用的逃生策略模板。
profile-name:指定逃生策略的模板名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在Portal用户认证的接口上引用逃生策略模板后,可以使得Portal认证用户在所使用的ISP域下所有认证服务器都不可达时,能够继续访问逃生策略模板中配置的相关资源。有关逃生策略模板的详细介绍,请参见“安全配置指导”中的“AAA”。
配置Portal用户使用的逃生策略模板前,需开启微分段功能。微分段功能仅在支持微分段的单板上支持。同时,接口下Portal配置的逃生微分段策略必须与AAA配置的逃生策略保持一致。
Portal双栈认证组网中,第二协议栈使用的微分段属性受第一协议栈上线的逃生微分段策略中获取的微分段属性限制。
用户在线探测等功能对Portal逃生微分段用户不生效。微分段逃生策略配置更改会导致已上线的逃生微分段用户下线。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定接口Vlan-interface100上的Portal认证用户使用的逃生策略模板为abc。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal critical profile abc
【相关命令】
· aaa critical-profile(安全命令参考/AAA)
· display portal critical-microsegment user
· portal timer critical-microsegment
portal delete-user命令用来强制在线Portal用户下线。
【命令】
portal delete-user { ipv4-address | all | auth-type { cloud | local | normal } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:在线Portal用户的IPv4地址。
all:所有接口下的在线IPv4 Portal用户和IPv6 Portal用户。
auth-type:在线Portal用户的认证类型。
cloud:Portal认证类型为云端认证,即Portal服务器在云端对用户进行Portal认证。
local:Portal认证类型为本地认证。
normal:Portal认证类型为普通认证,即采用远程Portal认证服务器进行正常Portal认证。
interface interface-type interface-number:指定接口下的所有在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。
mac mac-address:指定在线Portal用户的MAC地址。mac-address格式为H-H-H。
【举例】
# 强制IP地址为1.1.1.1的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
# 强制MAC地址为000d-88f8-0eab的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user mac 000d-88f8-0eab
# 强制所有通过云端认证的用户下线。
<Sysname> system-view
[Sysname] portal delete-user auth-type cloud
【相关命令】
· display portal user
portal device-id命令用来配置设备ID。
undo portal device-id命令用来恢复缺省情况。
【命令】
portal device-id device-id
undo portal device-id
【缺省情况】
未配置任何设备ID。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
device-id:设备ID,为1~63个字符的字符串,区分大小写。
【使用指导】
通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。
不同设备的设备ID不能相同。
【举例】
# 配置设备的ID名为0002.0010.100.00。
<Sysname> system-view
[Sysname] portal device-id 0002.0010.100.00
portal [ ipv6 ] domain命令用于指定Portal用户使用的认证域,使得所有从该接口接入的Portal用户强制使用该认证域。
undo portal [ ipv6 ] domain命令用来删除Portal用户使用的认证域。
【命令】
portal [ ipv6 ] domain domain-name
undo portal [ ipv6 ] domain
【缺省情况】
未指定Portal用户使用的认证域。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。
如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。
【举例】
# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
【相关命令】
· display portal
portal m-lag load-sharing-mode命令用来配置在M-LAG组网中,M-LAG接口上Portal用户认证的负载分担模式。
undo portal m-lag load-sharing-mode命令用来恢复缺省情况。
【命令】
portal m-lag load-sharing-mode { centralized | distributed { even-ip | odd-ip } }
undo portal m-lag load-sharing-mode
【缺省情况】
M-LAG接口上Portal用户认证的负载分担模式为集中处理模式。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
centralized:集中处理模式,本端和对端M-LAG接口上的Portal用户认证均由M-LAG主设备进行处理。
distributed { even-ip | odd-ip }:分布处理模式及分布规则,M-LAG接口上的Portal用户认证根据分布规则分布到两台M-LAG设备上处理。
· even-ip:本端和对端M-LAG接口上的IP地址为偶数的Portal用户的认证报文均在本端M-LAG设备处理。
· odd-ip:本端和对端M-LAG接口上的IP地址为奇数的Portal用户的认证报文均在本端M-LAG设备处理。
【使用指导】
在M-LAG组网中,若Portal用户在本端M-LAG设备上通过认证,本端M-LAG设备会将用户数据同步发送到对端M-LAG设备进行备份。当一端M-LAG设备发生故障时,对端M-LAG设备可以使用备份的用户数据接替处理业务,从而保证用户业务的正常运行。
当Portal用户数量较多时,为了提高Portal用户认证上线的处理效率,推荐使用该命令来配置M-LAG接口上Portal用户认证的负载分担模式。
请勿同时将两台M-LAG设备的M-LAG接口上Portal用户认证的负载分担模式同时设置为even-ip模式或odd-ip模式,否则可能导致Portal用户无法上线。
当M-LAG组网中已有Portal用户上线成功后,不允许使用本命令更改M-LAG接口上Portal用户认证的负载分担模式。
如果多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置在M-LAG组网中,M-LAG接口上Portal用户认证的负载分担模式为odd-ip。
<Sysname> system-view
[Sysname] portal m-lag load-sharing-mode distributed odd-ip
portal m-lag traffic backup命令用来在M-LAG组网中,配置Portal用户流量备份时间或备份流量阈值。
undo portal m-lag traffic backup命令用来恢复缺省情况。
【命令】
portal m-lag traffic backup { interval interval-value | threshold threshold-value } *
undo portal m-lag traffic backup
【缺省情况】
Portal用户流量备份的时间间隔和流量阈值分别为10分钟和50MB。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval-value:Portal用户流量备份的时间间隔,取值范围为0~1440,单位为分钟。
threshold threshold-value:Portal用户流量备份的流量阈值,取值范围为0~100000,单位为兆字节。当M-LAG设备收到总的Portal用户流量数值与上次备份的流量数值差值达到该阈值时,将触发本端设备将用户流量备份给对端M-LAG设备。
【使用指导】
在M-LAG组网中,为了避免频繁触发Portal用户流量统计信息在M-LAG设备之间的备份,可以使用此命令配置Portal用户流量备份的时间间隔或流量阈值。
如果同时配置了流量备份的时间间隔和流量阈值,一旦满足两者中的任意一个条件,即可触发备份。
当流量备份的时间间隔和流量阈值均为0时,表示关闭Portal用户流量备份功能。
如果多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置Portal用户流量备份的流量阈值为10240MB。
<Sysname> system-view
[Sysname] portal m-lag traffic backup threshold 10240
portal dual-stack enable命令用来开启Portal支持双协议栈功能。
undo portal dual-stack enable命令用来关闭Portal支持双协议栈功能。
【命令】
portal dual-stack enable
undo portal dual-stack enable
【缺省情况】
Portal支持双协议栈功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
用户主机同时支持IPv4和IPv6两种协议时,可能会产生两种协议类型的流量。如果用户只通过IPv4 Portal或IPv6 Portal其中一种认证,就只能访问对应协议栈的网络资源。例如,用户通过IPv4 Portal认证后只能访问IPv4协议栈的网络资源,不能访问IPv6协议栈的网络资源。在同时配置了IPv4 Portal直接认证和IPv6 Portal直接认证的接口上,开启本功能后,用户只需要通过IPv4 Portal或IPv6 Portal认证其中任何一种,就可以访问IPv4和IPv6两种协议栈对应的网络资源。
仅当接口上同时开启直接认证方式的IPv4 和IPv6 Portal认证功能时,开启本功能才生效。
【举例】
# 在接口Vlan-interface100上开启Portal支持双栈功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal dual-stack enable
【相关命令】
· portal enable (interface view)
portal [ ipv6 ] enable命令用来开启Portal认证功能,并指定认证方式。
undo portal [ ipv6 ] enable命令用来关闭Portal认证功能。
【命令】
portal enable method { { direct [ shared ] | layer3 } [ ip-trigger [ acl acl-number ] ] | redhcp [ shared ] }
portal ipv6 enable method { direct [ shared ] | layer3 } [ ip-trigger [ acl acl-number ] ]
undo portal [ ipv6 ] enable
【缺省情况】
Portal认证功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。
method:认证方式。
· direct:直接认证方式。
· direct shared:直接认证的共享模式方式。
· layer3:可跨三层认证方式。
· redhcp:二次地址分配认证方式。
· redhcp shared:二次地址分配认证的共享模式方式。
ip-trigger[ acl acl-number ]:基于IP地址的快速认证方式。acl acl-number指定用于匹配基于IP地址的快速认证功能用户数据流量的ACL,取值范围为2000~3999。如果不指定acl参数,则表示该接口下所有的基于IP地址的快速认证方式的用户数据流量均能触发Portal认证流程。
其中:
· 基本ACL,acl-number取值范围为2000~2999;
· 高级ACL,acl-number取值范围为3000~3999。
【使用指导】
不能通过重复执行本命令来修改Portal认证方式。如需修改Portal的认证方式,请先通过undo portal [ ipv6 ] enable命令取消Portal认证功能,再执行portal [ ipv6 ] enable命令。
开启IPv6 Portal认证功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。
IPv6 Portal认证不支持二次地址分配方式。
允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证功能。
为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组。
在同一个接口下认证成功的Portal用户,若AAA认证服务器下发了授权ACL,则会为此占用一个ACL资源,在同等的ACL资源情况下,设备允许上线的Portal用户数有限。若AAA认证服务器为同一个接口下的Portal用户下发相同的授权ACL,则建议接口上将Portal认证方式指定为Portal认证共享模式,使得Portal用户可共享同一个ACL资源,提高ACL资源利用率,增加了上线用户数。
接口下不能同时开启共享模式的Portal认证功能并配置接口的MAC地址数学习上限(通过mac-address max-mac-count命令配置)。
portal enable method direct shared命令与二层认证(802.1x、MAC地址认证、Web认证、端口安全)不能同时配置。
配置portal enable method direct shared命令的接口所属VLAN下不能使能STP、RRPP、PVST功能。
执行undo mac-address命令不会对配置portal enable method direct shared命令的VLAN接口的MAC地址进行删除。
在Portal认证环境中,对于需要频繁接入网络,且设备无法获取其MAC地址的合法用户,可以通过基于IP地址的快速认证(又称为IP-trigger认证或IP无感知认证)功能,使用户无需手工输入认证信息便可以自动完成Portal认证。
在开启基于IP地址的快速认证功能前,请先在RADIUS服务器上创建以用户的IP地址同时作为用户名和密码的认证用户,以便可以为相应的用户提供基于IP地址的快速认证服务。
开启基于IP地址的快速认证功能后,接入设备在收到满足指定的ACL规则的用户报文后,会添加IP-trigger表项记录用户的IP地址、用户上线的接口、用户所在的VLAN ID和表项老化定时器等信息,然后使用终端的IP地址作为用户名和密码进行Portal认证,在用户无感知的情况下完成认证。
仅直接认证方式和可跨三层认证方式支持IP无感知认证。
当接口下同时开了基于MAC地址的快速认证功能和基于IP地址的快速认证功能,基于MAC地址的快速认证功能优先级较高,即如果设备能够同时获取到用户的MAC地址和IP地址,则仅触发MAC地址快速认证。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该接口下所有的基于IP地址的快速认证方式的用户数据流量均能触发Portal认证流程。
· 在引用的ACL中,若某条rule规则中指定了vpn-instance,则该ACL不生效。不指定vpn-instance参数,表示该条规则对公网和私网报文都有效。
【举例】
# 在接口Vlan-interface100上开启IPv4 Portal认证,且指定为直接认证方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上开启直接认证方式的IPv4 Portal认证,同时开启基于IP地址的快速认证功能,只允许源地址在192.168.1.0/24网段的用户流量可触发认证。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct ip-trigger acl 3000
[Sysname–Vlan-interface100] quit
【相关命令】
· display portal
· portal ip-trigger aging-time
portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能。
undo portal [ ipv6 ] fail-permit server命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能。
【命令】
portal [ ipv6 ] fail-permit server server-name
undo portal [ ipv6 ] fail-permit server
【缺省情况】
Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
如果接口上同时开启了Portal认证服务器不可达时的Portal用户逃生功能和Portal Web服务器不可达时的Portal用户逃生功能,则当任意一个服务器不可达时,立即放开接口控制,允许用户不经过Portal认证即可自由访问网络;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
一个接口上,最多同时可以开启一个Portal认证服务器不可达时的Portal用户逃生功能和一个Portal Web服务器不可达时的Portal用户逃生功能。
Portal双栈认证组网中,本配置仅对第一协议栈用户生效,对第二协议栈用户不生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit server pts1
【相关命令】
· display portal
· portal fail-permit web-server
portal fail-permit web-server命令用来开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时暂停接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络。
undo portal fail-permit web-server命令用来关闭Portal Web服务器不可达时的Portal用户逃生功能。
【命令】
portal [ ipv6 ] fail-permit web-server
undo portal [ ipv6 ] fail-permit web-server
【缺省情况】
Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。
【使用指导】
如果接口上同时开启了Portal认证服务器和Portal Web服务器不可达时的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
同一个接口上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。
【举例】
# 在接口Vlan-interface100上启用Portal Web服务器不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit web-server
【相关命令】
· display portal
· portal fail-permit server
portal free-all except destination命令用来配置IPv4 Portal目的认证网段。
undo portal free-all except destination命令用来删除IPv4 Portal目的认证网段。
【命令】
portal free-all except destination ipv4-network-address { mask-length | mask }
undo portal free-all except destination [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
可以通过多次执行本命令,配置多条目的认证网段。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal目的认证网段。
目的网段认证对二次地址分配认证方式的Portal认证不生效。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24
【相关命令】
· display portal
portal free-rule命令用来配置基于IP地址的Portal免认证规则。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any | microsegment microsegment-id [ vpn-instance vpn-instance-name ] } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any | microsegment microsegment-id [ vpn-instance vpn-instance-name ] } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于IP地址的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
source:指定源信息。
ip ipv4-address:免认证规则的IPv4地址。
{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ipv6 ipv6-address:免认证规则的IPv6地址。
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。
ip any:任意IPv4地址。
ipv6 any:任意IPv6地址。
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。
all:所有免认证规则。
interface interface-type interface-number:免认证规则生效的三层接口。
microsegment microsegment-id:微分段的ID,取值范围为1~65535。
vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。
【使用指导】
可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。
如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
在免认证规则中配置目的微分段功能之前,请先开启微分段功能。如果微分段功能配置中指定了VPN实例,请确保VPN实例已创建,否则该规则无效。当微分段功能关闭时,如果需要免认证规则中的微分段规则立马失效,请手动删除该条配置。该功能仅在支持微分段的单板上支持。有关微分段功能的详细介绍,请参见“安全配置指导”中“微分段”。
未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效。
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
【举例】
# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface1。该规则表示在Vlan-interface1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 1
# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为Vlan-interface1。该规则表示在Vlan-interface1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ipv6 2000::1 64 interface vlan-interface 1
【相关命令】
· display portal rule
portal free-rule destination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number destination host-name
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于目的的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定目的信息。
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”、“.”和通配符“*”,且不能为“i”、“ip”、“ipv”和“ipv6”。
all:所有免认证规则。
【使用指导】
基于目的Portal免认证规则支持如下两种配置方式:
· 精确匹配:即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。
· 模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配所有以abc.com.cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名。
配置基于目的Portal免认证规则时,需要注意的是:
· 配置本功能前,请确保组网中已部署DNS服务器。
· 通配符“*”表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符。
· 配置的主机名不能只有通配符。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 目前,只有用户浏览器发起的HTTP/HTTPS请求报文,支持模糊匹配的免认证规则。
【举例】
# 配置一条基于目的的Portal免认证规则:编号为4、主机名为www.abc.com。该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.abc.com时,该用户才可以不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 4 destination www.abc.com
【相关命令】
· display portal rule
portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
【命令】
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address [ mac-address-mask ] | vlan vlan-id } *
undo portal free-rule { rule-number | all }
【缺省情况】
未配置基于源的Portal免认证规则。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
rule-number:免认证规则编号。取值范围为0~4294967295。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
mac-address-mask:免认证规则的源MAC地址掩码,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。配置本关键字仅对通过VLAN接口接入的Portal用户生效。
all:所有免认证规则。
【使用指导】
如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。
【举例】
# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10
# 配置一条Portal免认证规则:编号为3、源MAC地址为1234-1234-1234、MAC地址掩码为FFFF-0000-0000。该规则表示MAC地址为1234-0000-0000~1234-FFFF-FFFF之间的用户不需要经过Portal认证即可以访问网络资源。
<Sysname> system-view
[Sysname] portal free-rule 3 source mac 1234-1234-1234 FFFF-0000-0000
【相关命令】
· display portal rule
portal ip-trigger aging-time命令用来配置IP-trigger表项的老化时间。
undo portal ip-trigger aging-time命令用来恢复缺省情况。
【命令】
portal ip-trigger aging-time seconds
undo portal ip-trigger aging-time
【缺省情况】
IP-trigger表项老化时间为300秒。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:IP-trigger表项的老化时间,取值范围为60~7200,单位为秒。
【使用指导】
开启了基于IP地址的快速认证功能的设备,在首次检测到用户流量后,会生成IP-trigger表项,用于记录用户的IP地址、用户上线的接口、用户所在的VLAN ID和表项老化定时器等信息。
如果用户认证成功,接入设备将删除对应的IP-trigger表项;如果认证失败,IP-trigger表项将在设定的老化时间后自动删除。当接入设备再次检测到同一用户的流量时,会为其重新建立IP-trigger表项,并再次触发IP地址快速认证。
为了减轻因无接入权限的用户在短时间内频繁上送匹配指定的ACL规则的用户流量,导致接入设备不断发起Portal认证流程负载加重的现象,建议将老化时间调大;为了提高认证失败用户(非无权限导致)的再次上线效率,建议将老化时间缩短。在IP-trigger表项存在的时间内,用户流量只要匹配IP-trigger表项,接入设备会将该用户流量直接丢弃而不触发Portal认证流程,从而起到防止流量攻击的目的。
【举例】
# 在接口Vlan-interface100上配置IP-trigger表项老化时间为500秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] portal ip-trigger aging-time 500
【相关命令】
· portal enable (interface view)
portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。
undo portal ipv6 free-all except destination命令用来删除IPv6 Portal目的认证网段。
【命令】
portal ipv6 free-all except destination ipv6-network-address prefix-length
undo portal ipv6 free-all except destination [ ipv6-network-address ]
【缺省情况】
未配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6-network-address:IPv6 Portal认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
【使用指导】
接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
可以通过多次执行本命令,配置多条目的认证网段。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal目的认证网段。
目的网段认证对二次地址分配认证方式的Portal认证不生效。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16
【相关命令】
· display portal
portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段。
undo portal ipv6 layer3 source命令用来删除IPv6 Portal源认证网段。
【命令】
portal ipv6 layer3 source ipv6-network-address prefix-length
undo portal ipv6 layer3 source [ ipv6-network-address ]
【缺省情况】
未配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6-network-address:IPv6 Portal源认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
【使用指导】
配置此功能后,接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv6 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16
【相关命令】
· display portal
· portal ipv6 free-all except destination
portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。
undo portal user-detect命令用来关闭IPv6 Portal用户在线探测功能。
【命令】
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
undo portal ipv6 user-detect
【缺省情况】
IPv6 Portal用户在线探测功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
type:指定探测类型。
· icmpv6:表示探测类型为ICMPv6。
· nd:表示探测类型为ND。
retry retries:探测次数,取值范围为1~10,缺省值为3。
interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。
idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。
【使用指导】
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文。设备定期(interval interval)检测用户ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线。
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。
若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文,否则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。
【举例】
# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测类型为ND,检测用户ND表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300
【相关命令】
· display portal
portal layer3 source命令用来配置IPv4 Portal源认证网段。
undo portal layer3 source命令用来删除IPv4 Portal源认证网段。
【命令】
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
【缺省情况】
未配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
【使用指导】
配置此功能后,接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
【举例】
# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24
【相关命令】
· display portal
· portal free-all except destination
portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。
undo portal local-web-server命令用来关闭本地Portal服务功能。
【命令】
portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }
undo portal local-web-server { http | https }
【缺省情况】
本地Portal服务功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。
https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。
ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。
【使用指导】
本地Portal服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。
只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:
· 该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。
· 该URL以/portal/结尾,例如:http://1.1.1.1/portal/。
配置本地Portal Web服务功能时,需要注意的是:
· 已经被HTTPS服务关联的SSL服务器端策略不能被删除。
· 不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。
配置本地Portal Web服务参数时,需要注意的是:
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。
· 除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,如HTTP的端口号80;Telnet的端口号23,否则会造成本地Portal Web服务无法向Portal用户推送认证页面。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。
【举例】
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] quit
# 开启本地Portal服务,并进入基于HTTPS协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1
[Sysname-portal-local-websvr-https] quit
# 更改引用的SSL服务器端策略为policy2。
[Sysname] undo portal local-web-server https
[Sysname] portal local-web-server https ssl-server-policy policy2
[Sysname-portal-local-websvr-https] quit
# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442
[Sysname-portal-local-websvr-https] quit
【相关命令】
· default-logon-page
· portal local-web-server
· ssl server-policy(安全命令参考/SSL)
portal log enable命令用来开启Portal用户上/下线日志功能。
undo portal log enable命令用来关闭Portal用户上/下线日志功能。
【命令】
portal log enable
undo portal log enable
【缺省情况】
Portal用户上/下线日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、上线失败原因等。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启Portal用户上/下线日志功能。
<Sysname> system-view
[Sysname] portal log enable
portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。
undo portal mac-trigger-server命令用来删除MAC绑定服务器。
【命令】
portal mac-trigger-server server-name
undo portal mac-trigger-server server-name
【缺省情况】
不存在MAC绑定服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。
【使用指导】
在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等。
【举例】
# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts]
【相关命令】
· portal apply mac-trigger-server
· display portal mac-trigger-server
portal max-user命令用来配置全局Portal最大用户数。
undo portal max-user命令用来恢复缺省情况。
【命令】
portal max-user max-number
undo portal max-user
【缺省情况】
全局Portal最大用户数不受限制。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-number:系统中允许同时在线的最大Portal用户数取值范围为1~4294967295。
【使用指导】
如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。
建议所有开启Portal的接口上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
设备支持多种方式配置Portal最大用户数,多种方式同时配置时,具体生效情况如下:
· 如果设备接口上未开启Portal支持双协议栈功能,Portal最大用户数为以下配置项的最小值:
¡ 接口上允许的最大IPv4或IPv6 Portal用户数。
¡ 接口上允许的最大Portal用户数。
¡ 全局Portal最大用户数。
· 如果设备接口上开启了Portal支持双协议栈功能,Portal最大用户数为以下配置项的最小值:
¡ 接口上允许的最大Portal用户数。
¡ 全局Portal最大用户数。
【举例】
# 配置全局Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【相关命令】
· display portal user
· portal { ipv4-max-user | ipv6-max-user | max-user }
· portal dual-stack enable
portal nas-id-profile命令用来指定接口引用的NAS-ID Profile。
undo portal nas-id-profile命令用来恢复缺省情况。
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【缺省情况】
未指定引用的NAS-ID Profile。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
对于QinQ报文,Portal接入只能匹配内层VLAN。有关QinQ的详细介绍,请参见“二层技术-以太网交换配置指导”中的“QinQ”。
如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。
【举例】
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【相关命令】
· aaa nas-id profile(安全命令参考/AAA)
portal nas-port-id format命令用来配置NAS-Port-ID属性的格式。
undo portal nas-port-id format命令用来恢复缺省情况。
【命令】
portal nas-port-id format { 1 | 2 | 3 | 4 }
undo portal nas-port-id format
【缺省情况】
NAS-Port-ID的消息格式为格式2。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
1:表示格式1,具体为{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。
2:表示格式2,具体为SlotID00IfNOVlanID。
3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18。
4:表示格式4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。
【使用指导】
可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式。
不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1。
{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]
各项含义如下:
· {atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口。
· NAS_slot:BRAS槽号,取值为0~31。
· NAS_subslot:BRAS子槽号,取值为0~31。
· NAS_Port:BRAS端口号,取值为0~63。
· XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。
· XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。
· AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格。
· ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15。
· ANI_frame:接入节点机框号,取值为0~31。
· ANI_slot:接入节点槽号,取值为0~127。
· ANI_subslot:接入节点子槽号,取值为0~31。
· ANI_port:接入节点端口号,取值为0~255。
· ANI_XPI.ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务。其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。
字符串之间用一个空格隔开,要求字符串中间不能有空格。花括号中的内容是必选的,|表示并列的关系,多选一。[]表示可选项。对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLAN ID值都填4096。
如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0。
如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095。
如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。
对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与接入设备相关的接入线路信息可统一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”。
其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLAN ID号为1234,BRAS接入线路信息为未知。
对于接入设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与接入设备相关的线路信息,形成完整的接入线路信息,如:“eth 31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。
格式1的解释示例如下:
· 例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”
含义:接入设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535。
· 例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”
含义:接入设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLAN ID为1234,CVLAN ID为2345。
· 例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”
含义:接入设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345。
· 例4:NAS_PORT_ID =“eth 31/31/7:4096.2345 guangzhou001/1/31/63/31/127”
含义:接入设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLAN ID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127。
SlotID00IfNOVlanID
各项含义如下:
· SlotID:用户接入的槽位号,为两个字符的字符串。
· IfNO:用户接入的接口编号,为3个字符的字符串。
· VlanID:用户接入的VLAN ID,为9个字符的字符串。
其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容。对于IPv6用户,此处添加的是DHCP Option18的内容。
其格式为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:
· 对于非VLAN接口,其格式为slot=**;subslot=**;port=**;vlanid=0。
· 对于只终结了一层VLAN Tag的接口,其格式为slot=**;subslot=**;port=**;vlanid=**。
【举例】
# 配置NAS-Port-ID属性的格式为format 1。
<Sysname> system-view
[Sysname] portal nas-port-id format 1
portal nas-port-type命令用来配置接入设备发送的RADIUS请求报文的NAS-Port-Type属性类型。
undo portal nas-port-type命令用来恢复缺省情况。
【命令】
portal nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
undo portal nas-port-type
【缺省情况】
接入设备发送的RADIUS请求报文中的NAS-Port-Type属性类型为Ethernet,属性值为15。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
802.11:指定NAS-Port-Type属性类型为Wireless-IEEE 802.11,属性值为19。
adsl-cap:指定NAS-Port-Type属性类型为ADSL-CAP,属性值为12。
adsl-dmt:指定NAS-Port-Type属性类型为ADSL-DMT,属性值为13。
async:指定NAS-Port-Type属性类型为Async,属性值为0。
cable:指定NAS-Port-Type属性类型为Cable,属性值为17。
ethernet:指定NAS-Port-Type属性类型为Ethernet,属性值为15。
g.3-fax:指定NAS-Port-Type属性类型为G.3 Fax,属性值为10。
hdlc:指定NAS-Port-Type属性类型为HDLC Clear Channel,属性值为7。
idsl:指定NAS-Port-Type属性类型为IDSL,属性值为14。
isdn-async-v110:指定NAS-Port-Type属性类型为ISDN Async V.110,属性值为4。
isdn-async-v120:指定NAS-Port-Type属性类型为ISDN Async V.120,属性值为3。
isdn-sync:指定NAS-Port-Type属性类型为ISDN Sync,属性值为2。
piafs:指定NAS-Port-Type属性类型为PIAFS,属性值为6。
sdsl:指定NAS-Port-Type属性类型为SDSL,属性值为11。
sync:指定NAS-Port-Type属性类型为Sync,属性值为1。
virtual:指定NAS-Port-Type属性类型为Virtual,属性值为5。
wireless-other:指定NAS-Port-Type属性类型为Wireless-Other,属性值为18。
x.25:指定NAS-Port-Type属性类型为X.25,属性值为8。
x.75:指定NAS-Port-Type属性类型为X.75,属性值为9。
xdsl:指定NAS-Port-Type属性类型为xDSL,属性值为16。
【举例】
# 在接口Vlan-interface20上配置接入设备发送的RADIUS请求报文的NAS-Port-Type属性类型为SDSL。
<Sysname> system-view
[Sysname] interface vlan-interface 20
[Sysname-Vlan-interface20] portal nas-port-type sdsl
portal oauth user-sync interval命令用来配置当Portal用户采用OAuth认证时用户信息同步的时间间隔。
undo portal oauth user-sync interval命令用来恢复缺省情况。
【命令】
portal oauth user-sync interval interval
undo portal oauth user-sync interval
【缺省情况】
Portal OAuth认证用户信息同步的时间间隔为60秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:用户信息同步的时间间隔,取值范围为0、60~3600,单位为秒。
【使用指导】
本命令用来配置当Portal用户采用OAuth认证时用户信息由设备向服务器同步的时间间隔。如果时间间隔配置为0,则表示关闭Portal OAuth认证用户同步功能。
【举例】
# 配置Portal OAuth认证用户信息同步时间间隔为120秒。
<Sysname> system-view
[Sysname] portal oauth user-sync interval 120
portal [ ipv6 ] pre-auth domain命令用来配置Portal认证前用户使用的认证域。
undo portal [ ipv6 ] pre-auth domain命令用来恢复缺省情况。
【命令】
portal [ ipv6 ] pre-auth domain domain-name
undo portal [ ipv6 ] pre-auth domain
【缺省情况】
未配置Portal认证前用户使用的认证域。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:指定IPv6用户使用的认证域。若不指定该参数,则表示指定IPv4用户使用的认证域。
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
开启Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL等),并根据授权信息获得相应的网络访问权限。若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息。用户下线之后,将被重新授予该认证前域中的授权属性。
认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效。
配置Portal认证前域时,请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undo portal [ ipv6 ] pre-auth domain命令)后重新配置。
如果认证前域的域名发生变化,新的域名对所有认证前用户生效。
如果当前认证前域中的ACL、User Profile授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置。
【举例】
# 在接口Vlan-interface1上配置Portal认证前用户使用的认证域为abc。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] portal pre-auth domain abc
【相关命令】
· display portal
portal [ ipv6 ] pre-auth ip-pool命令用来配置Portal认证前用户使用的地址池。
undo portal [ ipv6 ] pre-auth ip-pool命令用来恢复缺省情况。
【命令】
portal [ ipv6 ] pre-auth ip-pool pool-name
undo portal [ ipv6 ] pre-auth ip-pool
【缺省情况】
未配置Portal认证前用户使用的地址池。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal用户。若不指定该参数,则表示IPv4 Portal用户。
pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。
仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效。
当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。
【举例】
# 在接口Vlan-interface100上为认证前的Portal用户指定IPv4地址池为abc。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal pre-auth ip-pool abc
【相关命令】
· dhcp server ip-pool(三层技术-IP业务命令参考/DHCP)
· display portal
· ipv6 dhcp pool(三层技术-IP业务命令参考/DHCP)
portal refresh { arp | nd } enable命令用来开启Portal客户端Rule ARP/ND表项生成功能。
undo portal refresh { arp | nd } enable命令用来关闭Portal客户端Rule ARP/ND表项生成功能。
【命令】
portal refresh { arp | nd } enable
undo portal refresh { arp | nd } enable
【缺省情况】
Portal客户端Rule ARP表项、ND表项生成功能均处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
arp:表示ARP表项。
nd:表示ND表项。
【使用指导】
Portal客户端的Rule ARP/ND表项生成功能处于开启状态时,Portal客户端上线后,其ARP/ND表项为Rule表项,在Portal客户端下线后,其ARP/ND表项会被刷新为动态表项,按老化时间正常老化。
此功能的开启和关闭不影响已经在线的Portal客户端的ARP/ND表项类型。
当Portal客户端和Portal服务器属于不同的VPN实例时,请通过undo portal refresh arp enable命令关闭Portal客户端的Rule ARP表项生成功能,否则会导致Portal客户端异常下线。
【举例】
# 关闭Portal客户端Rule ARP表项生成功能。
<Sysname> system-view
[Sysname] undo portal refresh arp enable
portal roaming enable命令用来开启Portal用户漫游功能。
undo portal roaming enable命令用来关闭Portal用户漫游功能。
【命令】
portal roaming enable
undo portal roaming enable
【缺省情况】
Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效。
设备上有用户在线或认证前域用户的情况下,不能配置此命令。
如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。
Portal用户漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。
【举例】
# 开启Portal用户漫游功能。
<Sysname> system-view
[Sysname] portal roaming enable
portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。
undo portal server命令用来删除指定的Portal认证服务器。
【命令】
portal server server-name
undo portal server server-name
【缺省情况】
不存在Portal认证服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等。
可以配置多个Portal认证服务器。
【举例】
# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts]
【相关命令】
· display portal server
portal user-detect命令用来开启IPv4 Portal用户在线探测功能。
undo portal user-detect命令用来关闭IPv4 Portal用户在线探测功能。
【命令】
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
undo portal user-detect
【缺省情况】
IPv4 Portal用户在线探测功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
type:指定探测类型。
· arp:表示探测类型为ARP。
· icmp:表示探测类型为ICMP。
retry retries:探测次数,取值范围为1~10,缺省值为3。
interval interval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3。
idle time:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180。
【使用指导】
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。
若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文,否则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。
【举例】
# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测类型为ARP,检测用户ARP表项的探测次数为5次,探测间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300
【相关命令】
· display portal
portal user-dhcp-only命令用来开启仅允许通过DHCP方式获取IP地址的客户端上线的功能。
undo portal user-dhcp-only命令用来关闭仅允许通过DHCP方式获取IP地址的客户端上线的功能。
【命令】
portal [ ipv6 ] user-dhcp-only
undo portal [ ipv6 ] user-dhcp-only
【缺省情况】
仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址。
【使用指导】
· 配置本命令后,配置静态IP地址的Portal认证用户不能上线。
· 在IPv6网络中,配置本命令后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址。
Portal双栈认证组网中,本配置仅对第一协议栈用户生效,对第二协议栈用户不生效。
【举例】
# 在接口Vlan-interface100上配置仅允许通过DHCP获取IP地址的客户端上线功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-dhcp-only
【相关命令】
· display portal
portal user-rule assign-check enable命令用来开启第二类Portal过滤规则下发的完整性检查功能。
undo portal user-rule assign-check enable命令用来关闭第二类Portal过滤规则下发的完整性检查功能。
【命令】
portal user-rule assign-check enable
undo portal user-rule assign-check enable
【缺省情况】
第二类Portal过滤规则下发的完整性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
下发的第二类Portal过滤规则,可通过display portal rule dynamic命令查看。
【举例】
# 开启第二类Portal过滤规则下发的完整性检查功能。
<Sysname> system-view
[Sysname] portal user-rule assign-check enable
【相关命令】
portal web-proxy port命令用来配置允许触发Portal认证的Web代理服务器端口。
undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
【命令】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【缺省情况】
不存在允许触发Portal认证的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:Portal认证的Web代理服务器的TCP端口号,取值范围为1~65535。
all:指定所有Portal认证的Web代理服务器的TCP端口号。
【使用指导】
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。
多次配置本命令可以添加多个Web代理服务器的TCP端口号。
配置Portal认证Web代理服务器端口号,需要注意的是:
· 如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 除了需要网络管理员在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。
· 目前不支持配置Portal认证Web代理服务器的端口号为443。
【举例】
# 配置允许触发Portal认证的Web代理服务器端口号为8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【相关命令】
· portal enable method
portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。如果指定的Portal Web服务器已经存在,则直接进入Portal Web服务器视图。
undo portal web-server命令用来删除Portal Web服务器。
【命令】
portal web-server server-name
undo portal web-server server-name
【缺省情况】
不存在Portal Web服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。
【举例】
# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs]
【相关命令】
· display portal web-server
· portal apply web-server
reset portal packet statistics命令用来清除Portal报文的统计信息。
【命令】
reset portal packet statistics [ extend-auth-server cloud | server server-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
extend-auth-server:第三方Portal认证服务器类型。
cloud:第三方Portal认证服务器类型为绿洲云服务器。
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
若不指定参数server,则清除所有Portal认证服务器的报文统计信息。
【举例】
# 清除名称为st上的Portal认证服务器的统计信息。
<Sysname> reset portal packet statistics server pts
# 清除类型为cloud的第三方Portal认证服务器的报文统计信息。
<Sysname> reset portal packet statistics extend-auth-server cloud
【相关命令】
· display portal packet statistics
server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。
undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。
【命令】
server-detect [ timeout timeout ] log
undo server-detect
【缺省情况】
Portal认证服务器的可达性探测功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。
log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
【使用指导】
只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。
只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。
若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。
设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。
【举例】
# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log
【相关命令】
· portal server
server-detect命令用来开启Portal Web服务器的可达性探测功能。
undo server-detect命令用来关闭Portal Web服务器的可达性探测功能。
【命令】
server-detect [ interval interval ] [ retry retries ] log
undo server-detect
【缺省情况】
Portal Web服务器的可达性探测功能处于关闭状态。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20。
retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
【使用指导】
该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。
只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。
【举例】
# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log
【相关命令】
· portal web-server
server-register命令用来配置设备定期向Portal认证服务器发送注册报文。
undo server-register命令用来恢复缺省情况。
【命令】
server-register [ interval interval-value ]
undo server-register
【缺省情况】
设备不会定期向Portal认证服务器发送注册报文。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。
【使用指导】
Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。
需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。
【举例】
# 配置设备每隔120秒向Portal认证服务器发送注册报文。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-register interval 120
【相关命令】
· server-type
server-type命令用来配置Portal认证服务器或Portal Web服务器的类型。
undo server-type命令用来恢复缺省情况。
【命令】
server-type { cmcc | imc | ise | oauth }
undo server-type
【缺省情况】
Portal认证服务器或Portal Web服务器的类型为iMC服务器。
【视图】
Portal认证服务器视图
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。
imc:表示Portal服务器类型为符合iMC标准规范的服务器。
ise:表示Portal Web服务器类型为符合ISE标准规范的服务器。本参数仅支持在Portal Web服务器视图配置。
oauth:表示Portal Web服务器类型为符合绿洲平台标准规范的服务器。本参数仅支持Portal Web服务器视图下配置。
【使用指导】
设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。
【举例】
# 配置Portal认证服务器类型为imc。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-type imc
# 配置Portal Web服务器类型为imc。
<Sysname> system-view
[Sysname] portal web-server pts
[Sysname-portal-websvr-pts] server-type imc
【相关命令】
· display portal server
server-type命令用来配置MAC绑定服务器的服务类型。
undo server-type用来恢复缺省情况。
【命令】
server-type { cmcc | imc }
undo server-type
【缺省情况】
MAC绑定服务器的服务类型为imc。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。
imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。
【举例】
# 指定MAC绑定服务器的服务类型为imc。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] server-type imc
tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。
undo tcp-port命令用来恢复缺省情况。
【命令】
tcp-port port-number
undo tcp-port
【缺省情况】
HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-serve命令指定的TCP端口号。
【视图】
本地Portal Web服务视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
port-number:表示侦听的TCP端口号,取值范围为1~65535。
【使用指导】
接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。
配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:
· 除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。
· 不能把使用HTTP协议的本地Portal Web服务侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。
· 使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。
· 如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则使用TCP端口号不能相同。
【举例】
# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] tcp-port 2331
【相关命令】
· portal local-web-server
url命令用来指定Portal Web服务器的URL。
undo url命令用来恢复缺省情况。
【命令】
url url-string
undo url
【缺省情况】
未指定Portal Web服务器的URL。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。
【举例】
# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url http://www.test.com/portal
【相关命令】
· display portal web-server
url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。
【命令】
url-parameter param-name { original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression }
undo url-parameter param-name
【缺省情况】
未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
format:指定MAC地址格式。
section:指定MAC地址分段数。
1:MAC地址被分为1段,如XXXXXXXXXXXX。
3:MAC地址被分为3段,如XXXX-XXXX-XXXX。
6:MAC地址被分为6段,如XX-XX-XX-XX-XX-XX。
lowercase:MAC地址格式为小写。
uppercase:MAC地址格式为大写。
encryption:表示以密文的方式携带用户的MAC地址。
aes:指定加密算法为AES算法。
des:指定加密算法为DES算法。
cipher:以密文方式设置密钥。
key:指定加密密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des cipher,密钥为41个字符的字符串。
· 对于des simple,密钥为8个字符的字符串。
· 对于aes cipher,密钥为1~73个字符的字符串。
· 对于aes simple,密钥为1~31个字符的字符串。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
可以通过多次执行本命令配置多条参数信息。
对于同一个参数名param-name后的参数设置,最后配置的生效。
该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address和url-parameter userurl value http://www.abc.com/welcome,则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下:
· userurl:表示original-url
· userip:表示source-address
· usermac:表示source-mac
在Portal服务器为iMC服务器的组网环境中,如果设备重定向给用户的Portal Web服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址。
如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值。例如在上述配置的基础上,再配置url-parameter usermac source-mac encryption des key simple 12345678,则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl= http://www.test.com/welcome,其中xxxxxxxxx为加密后的用户mac地址。
【举例】
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678
【相关命令】
· display portal web-server
· url
user-sync命令用来配置开启Portal用户信息同步功能。
undo user-sync命令用来关闭Portal用户信息同步功能。
【命令】
user-sync timeout timeout
undo user-sync
【缺省情况】
Portal认证服务器的Portal用户信息同步功能处于关闭状态。
【视图】
Portal认证服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。
【使用指导】
配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。
只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。
对同一服务器多次执行本命令,最后一次执行的命令生效。
对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。
如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。
【举例】
# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
【相关命令】
· portal server
version命令用来配置Portal协议报文的版本号。
undo version命令用来恢复缺省情况。
【命令】
version version-number
undo version
【缺省情况】
Portal协议报文的版本号为1。
【视图】
MAC绑定服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
version-number:Portal协议报文的版本号,取值范围为1~3。
【使用指导】
配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。
【举例】
# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] version 2
【相关命令】
· portal mac-trigger-server
· display portal mac-trigger-server
vpn-instance命令用来配置Portal Web服务器所属的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
Portal Web服务器位于公网中。
【视图】
Portal Web服务器视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
vpn-instance-name:Portal Web服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
一个Portal Web服务器只能属于一个VPN实例。
【举例】
# 配置Portal Web服务器wbs所属的VPN实例为abc。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] vpn-instance abc
web-redirect url命令用来配置Web重定向功能。
undo web-redirect命令用来关闭Web重定向功能。
【命令】
web-redirect [ ipv6 ] url url-string [ interval interval ]
undo web-redirect [ ipv6 ]
【缺省情况】
Web重定向功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Web重定向功能。若不指定该参数,则表示IPv4 Web重定向功能。
url url-string:Web重定向的地址,即用户的Web访问请求被重定向的URL地址,为1~256个字符的字符串,必须是以http://或者https://开头的完整URL路径。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
interval interval:对用户访问的Web页面进行重定向的周期,取值范围为60~86400,单位为秒,缺省值为86400。
【使用指导】
接口上配置了Web重定向功能后,当该接口上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网,经过一定时长(interval)后,设备又可以对用户要访问的网页或者正在访问的网页重定向到指定的URL页面。
如果设备支持以太网通道接口(Eth-channel),则该设备所有支持Web重定向和Portal功能的接口下可以同时开启Web重定向功能和Portal功能,否则当接口下同时开启Web重定向功能和Portal功能时,Web重定向功能失效。
Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。
【举例】
# 在接口Vlan-interface100上配置IPv4 Web重定向功能:Web重定向地址为http://192.0.0.1,Web重定向周期为3600秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] web-redirect url http://192.0.0.1 interval 3600
【相关命令】
· display web-redirect rule
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!