- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-Portal命令
本章節下載: 09-Portal命令 (278.64 KB)
1.1.3 display portal connection statistics
1.1.4 display portal free-rule
1.1.5 display portal interface
1.1.6 display portal local-server
1.1.8 display portal server statistics
1.1.9 display portal tcp-cheat statistics
1.1.12 portal auth-network destination
1.1.17 portal local-server bind
1.1.18 portal local-server enable
1.1.26 portal offline-detect interval
1.1.31 portal server server-detect
1.1.32 portal server user-sync
1.1.33 portal url-param include
1.1.35 reset portal connection statistics
1.1.36 reset portal server statistics
【命令】
access-user detect type arp retransmit number interval interval
undo access-user detect
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
type arp:表示探測報文的類型為ARP請求。
number:探測報文發送的次數,即允許探測無響應的次數,取值範圍為2~5。在探測次數達到該值時,若設備仍未收到Portal用戶的響應報文,則將強製該用戶下線。
interval:探測報文發送的間隔,取值範圍為5~120,單位為秒。
【描述】
access-user detect命令用來配置Portal用戶在線探測功能。undo access-user detect命令用來恢複缺省情況。
缺省情況下,接口上未配置Portal用戶在線探測功能。
配置了該功能的設備,通過主動向從接口上線的Portal在線用戶定期發送ARP探測報文來確認該用戶是否在線。具體的探測過程為:若設備發現3分鍾(不可配)內接口上未收到某Portal用戶的報文,則向該用戶發送ARP探測報文,若在探測次數達到指定值時,設備仍未收到該用戶的響應報文,則將強製其下線。如果在指定的探測次數到達之前,設備收到了該用戶的響應報文,則停止發送探測報文,並開始監測接下來的3分鍾之內該用戶是否有流量,並重複這個過程。
本功能僅直接和二次地址分配方式的三層Portal認證支持。
【舉例】
# 在接口Ethernet1/1上配置Portal用戶在線探測功能:探測報文為ARP請求報文,發送探測報文的次數為3次,發送間隔為10秒。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] access-user detect type arp retransmit 3 interval 10
【命令】
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示所有ACL的信息,包括動態ACL和靜態ACL。
dynamic:顯示動態ACL的信息,即用戶通過Portal認證後產生的ACL。
static:顯示靜態ACL的信息,即相關配置產生的ACL。
interface interface-type interface-number:顯示指定接口的ACL統計信息。interface-type interface-number為接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal acl命令用來顯示接口上Portal的ACL信息。
【舉例】
# 顯示接口Ethernet1/1上所有ACL的統計信息。
<Sysname> display portal acl all interface ethernet 1/1
IPv4 portal ACL rules on Ethernet1/1:
Rule 0
Inbound interface : Ethernet1/1
Type : static
Action : permit
Protocol : 0
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
MAC : 0000-0000-0000
Interface : any
VLAN : 0
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : any
Rule 1
Inbound interface : Ethernet1/1
Type : static
Action : redirect
Protocol : 6
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
MAC : 0000-0000-0000
Interface : any
VLAN : 2
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 2
Inbound interface : Ethernet1/1
Type : dynamic
Action : permit
Source:
IP : 2.2.2.2
Mask : 255.255.255.255
MAC : 000d-88f8-0eab
Interface : Ethernet1/1
VLAN : 0
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : 3001
表1-1 display portal acl命令顯示信息描述表
|
字段 |
描述 |
|
|
|
Rule |
Portal ACL編號,此編號為生成的ACL序號,每次顯示從0開始遞增 |
|
|
|
Inbound interface |
Portal ACL綁定的接口 |
|
|
|
Type |
Portal ACL的類型 |
|
|
|
Action |
Portal ACL的匹配動作 |
|
|
|
Protocol |
Portal ACL的傳輸層協議號 |
||
|
Source |
Portal ACL的源信息 |
|
|
|
IP |
Portal ACL的源IP地址 |
|
|
|
Mask |
Portal ACL的源IP地址子網掩碼 |
|
|
|
Port |
Portal ACL的源傳輸層端口號 |
||
|
MAC |
Portal ACL的源MAC地址 |
|
|
|
Interface |
Portal ACL的源接口 |
|
|
|
VLAN |
Portal ACL的源VLAN |
|
|
|
Protocol |
Portal ACL的協議類型 |
|
|
|
Destination |
Portal ACL目的信息 |
|
|
|
IP |
Portal ACL的目的IP地址 |
|
|
|
Port |
Portal ACL的目的傳輸層端口號 |
||
|
Mask |
Portal ACL的目的IP地址子網掩碼 |
|
|
|
Author ACL |
Portal ACL的授權ACL,該字段僅在Type為dynamic時才顯示 |
|
|
|
Number |
Portal ACL的授權ACL號,即服務器下發的ACL號,None表示服務器未下發ACL |
|
|
【命令】
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示所有接口上Portal的連接統計信息。
interface interface-type interface-number:顯示指定接口上Portal的連接統計信息。interface-type interface-number為接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal connection statistics命令用來顯示接口上Portal的連接統計信息。
【舉例】
# 顯示接口Ethernet1/1上Portal的連接統計信息。
<Sysname> display portal connection statistics interface ethernet 1/1
---------------Interface: Ethernet1/1-----------------------
User state statistics:
State-Name User-Num
VOID 0
DISCOVERED 0
WAIT_AUTHEN_ACK 0
WAIT_AUTHOR_ACK 0
WAIT_LOGIN_ACK 0
WAIT_ACL_ACK 0
WAIT_NEW_IP 0
WAIT_USERIPCHANGE_ACK 0
ONLINE 1
WAIT_LOGOUT_ACK 0
WAIT_LEAVING_ACK 0
Message statistics:
Msg-Name Total Err Discard
MSG_AUTHEN_ACK 3 0 0
MSG_AUTHOR_ACK 3 0 0
MSG_LOGIN_ACK 3 0 0
MSG_LOGOUT_ACK 2 0 0
MSG_LEAVING_ACK 0 0 0
MSG_CUT_REQ 0 0 0
MSG_AUTH_REQ 3 0 0
MSG_LOGIN_REQ 3 0 0
MSG_LOGOUT_REQ 2 0 0
MSG_LEAVING_REQ 0 0 0
MSG_ARPPKT 0 0 0
MSG_PORT_REMOVE 0 0 0
MSG_VLAN_REMOVE 0 0 0
MSG_IF_REMOVE 6 0 0
MSG_IF_SHUT 0 0 0
MSG_IF_DISPORTAL 0 0 0
MSG_IF_UP 0 0 0
MSG_ACL_RESULT 0 0 0
MSG_AAACUTBKREQ 0 0 0
MSG_CUT_BY_USERINDEX 0 0 0
MSG_CUT_L3IF 0 0 0
MSG_IP_REMOVE 0 0 0
MSG_ALL_REMOVE 1 0 0
MSG_IFIPADDR_CHANGE 0 0 0
MSG_SOCKET_CHANGE 8 0 0.
MSG_NOTIFY 0 0 0
MSG_SETPOLICY 0 0 0
MSG_SETPOLICY_RESULT 0 0 0
表1-2 display portal connection statistics命令顯示信息描述表
|
字段 |
描述 |
|
|
|
User state statistics |
Portal用戶統計信息 |
|
|
|
State-Name |
用戶狀態名稱 |
|
|
|
User-Num |
某狀態下的用戶數量 |
|
|
|
VOID |
處於void狀態的用戶數 |
|
|
|
DISCOVERED |
處於discovered狀態的用戶數 |
|
|
|
WAIT_AUTHEN_ACK |
處於wait_authen_ack狀態的用戶數 |
|
|
|
WAIT_AUTHOR_ACK |
處於wait_author_ack狀態的用戶數 |
|
|
|
WAIT_LOGIN_ACK |
處於wait_login_ack狀態的用戶數 |
|
|
|
WAIT_ACL_ACK |
處於wait_acl_ack狀態的用戶數 |
|
|
|
WAIT_NEW_IP |
處於wait_new_ip狀態的用戶數 |
|
|
|
WAIT_USERIPCHANGE_ACK |
處於wait_useripchange_ack狀態的用戶數 |
|
|
|
ONLINE |
處於online狀態的用戶數 |
|
|
|
WAIT_LOGOUT_ACK |
處於wait_logout_ack狀態的用戶數 |
|
|
|
WAIT_LEAVING_ACK |
處於wait_leaving_ack狀態的用戶數 |
|
|
|
Message statistics |
消息統計信息 |
|
|
|
Msg-Name |
消息名字 |
|
|
|
Total |
某一類消息的總數 |
|
|
|
Err |
某一類錯誤的消息的數目 |
|
|
|
Discard |
某一類被丟棄的消息的數目 |
|
|
|
MSG_AUTHEN_ACK |
認證回應消息 |
|
|
|
MSG_AUTHOR_ACK |
授權回應消息 |
|
|
|
MSG_LOGIN_ACK |
計費回應消息 |
|
|
|
MSG_LOGOUT_ACK |
停止計費請求回應消息 |
|
|
|
MSG_LEAVING_ACK |
下線請求回應消息 |
|
|
|
MSG_CUT_REQ |
切斷用戶請求消息 |
|
|
|
MSG_AUTH_REQ |
認證請求消息 |
|
|
|
MSG_LOGIN_REQ |
計費請求消息 |
|
|
|
MSG_LOGOUT_REQ |
停止計費請求消息 |
|
|
|
MSG_LEAVING_REQ |
下線請求消息 |
|
|
|
MSG_ARPPKT |
ARP消息 |
|
|
|
MSG_PORT_REMOVE |
刪除某個二層接口的用戶消息 |
|
|
|
MSG_VLAN_REMOVE |
刪除VLAN的用戶消息 |
|
|
|
MSG_IF_REMOVE |
刪除某個三層接口導致用戶下線的消息 |
|
|
|
MSG_IF_SHUT |
三層接口關閉的消息 |
|
|
|
MSG_IF_DISPORTAL |
接口去使能Portal的消息 |
|
|
|
MSG_IF_UP |
三層接口UP的消息 |
|
|
|
MSG_ACL_RESULT |
ACL下發失敗的消息 |
|
|
|
MSG_AAACUTBKREQ |
AAA通知Portal刪除備份用戶的消息 |
||
|
MSG_CUT_BY_USERINDEX |
強製用戶下線的消息 |
||
|
MSG_CUT_L3IF |
強製用戶下線導致的刪除某個三層接口的用戶消息 |
|
|
|
MSG_IP_REMOVE |
刪除某個IP的用戶消息 |
|
|
|
MSG_ALL_REMOVE |
刪除所有的用戶消息 |
|
|
|
MSG_IFIPADDR_CHANGE |
接口IP變化消息 |
|
|
|
MSG_SOCKET_CHANGE |
socket變化消息 |
|
|
|
MSG_NOTIFY |
通知下發消息 |
|
|
|
MSG_SETPOLICY |
服務器下發安全ACL的Set policy消息 |
|
|
|
MSG_SETPOLICY_RESULT |
Set policy結果消息 |
|
|
【命令】
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
rule-number:免認證規則編號。取值範圍為0~255。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal free-rule命令用來顯示Portal的免認證規則信息。
需要注意的是,若不指定參數rule-number,則顯示所有的免認證規則信息。
相關配置可參考命令portal free-rule。
【舉例】
# 顯示編號為1的免認證規則。
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
Port : any
MAC : 0000-0000-0000
Interface : any
Vlan : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : any
Protocol : 6
表1-3 display portal free-rule命令顯示信息描述表
|
字段 |
描述 |
|
|
|
Rule-Number |
免認證規則的編號 |
|
|
|
Source |
免認證規則的源信息 |
|
|
|
IP |
免認證規則的源IP地址 |
|
|
|
Mask |
免認證規則的源IP地址子網掩碼 |
|
|
|
Port |
免認證規則的源傳輸層協議端口號 |
||
|
MAC |
免認證規則的源MAC地址 |
|
|
|
Interface |
免認證規則的源接口 |
|
|
|
Vlan |
免認證規則的源VLAN |
|
|
|
Destination |
免認證規則的目的信息 |
|
|
|
IP |
免認證規則的目的IP地址 |
|
|
|
Mask |
免認證規則的目的IP地址子網掩碼 |
|
|
|
Port |
免認證規則的目的傳輸層協議端口號 |
|
|
|
Protocol |
免認證規則的傳輸層協議號 |
|
|
【命令】
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface-type interface-number:接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal interface命令用來顯示指定接口的Portal配置信息。
【舉例】
# 顯示接口Ethernet1/1的Portal配置信息。
<Sysname> display portal interface ethernet 1/1
Portal configuration of Ethernet 1/1
IPv4:
Status: Portal running
Portal server: servername
Portal backup-group: 1
Authentication type: Layer3
Authentication domain: my-domain
Authentication network:
Source IP: 1.1.1.1 Mask : 255.255.0.0
表1-4 display portal interface命令顯示信息描述表
|
字段 |
描述 |
|
Portal configuration of interface |
接口interface上的Portal的配置信息 |
|
IPv4 |
IPv4 Portal服務器的相關配置信息 |
|
Status |
接口上Portal認證的狀態 · Portal disabled:Portal認證未使能 · Portal enabled:Portal認證已使能,但未生效 · Portal running:Portal認證已生效 |
|
Portal server |
接口引用的Portal服務器 |
|
Authentication type |
接口上配置的認證方式 |
|
Authentication domain |
接口上的強製認證域 |
|
Authentication network |
Portal認證網段信息,可包括源認證網段信息和目的認證網段信息 |
|
Source IP |
Portal源認證網段的IP地址 |
|
Destination IP |
Portal目的認證網段的IP地址 |
|
Mask |
Portal認證網段的子網掩碼 |
【命令】
display portal local-server [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal local-server用來顯示本地Portal服務器的配置信息,包括支持的協議類型、SSID的綁定關係。
相關配置可參考命令portal local-server 。
【舉例】
# 顯示本地Portal服務器的配置。
<Sysname> display portal local-server
Protocol: HTTP
Bind SSID list:
ssid1: file1.zip
ssid2: file1.zip
表1-5 display portal local-server命令顯示信息描述表
|
字段 |
描述 |
|
Protocol |
本地Portal服務器支持的協議類型,包括HTTP和HTTPS,目前,MSR設備僅支持HTTP協議 |
|
Bind SSID list |
SSID綁定關係列表,如果未配置綁定關係,則此字段為空;如果不支持綁定配置,則無此字段 |
【命令】
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
server-name:Portal服務器的名稱,為1~32個字符的字符串,區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal server命令用來顯示Portal服務器信息。
需要注意的是,若不指定參數server-name,則顯示所有Portal服務器信息。
相關配置可參考命令portal server。
【舉例】
# 顯示Portal服務器aaa的信息。
<Sysname> display portal server aaa
Portal server:
1)aaa:
IP : 192.168.0.111
VPN instance : vpn1
Port : 50100
Key : ******
URL : http://192.168.0.111
Status : Up
表1-6 display portal server命令顯示信息描述表
|
字段 |
描述 |
|
1) |
Portal服務器編號 |
|
aaa |
Portal服務器名稱 |
|
VPN instance |
Portal服務器所屬的MPLS L3VPN |
|
IP |
Portal服務器的IP地址 |
|
Port |
Portal服務器的監聽端口 |
|
Key |
與Portal服務器進行報文交互時使用的共享密鑰 · 若已配置,則顯示****** · 若未配置,則顯示Not configured |
|
URL |
Portal服務器重定向地址 若未配置,則顯示Not configured |
|
Status |
Portal服務器當前狀態,其取值涵義如下: · N/A:該服務器未在任何接口上被引用或者服務器探測功能未開啟,可達狀態未知; · Up:服務器探測功能已開啟,且該服務器已經在接口上被引用,探測結果為該服務器當前可達; · Down:服務器探測功能已開啟,且該服務器已經在接口上被引用,探測結果為該服務器當前不可達 |
【命令】
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示所有接口上Portal服務器的統計信息。
interface interface-type interface-number:顯示指定接口上Portal服務器的統計信息。interface-type interface-number為接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal server statistics命令用來顯示接口上Portal服務器的統計信息,其中包括設備接收到Portal服務器發送的報文以及設備發送給該Portal服務器的報文的信息。
需要注意的是,指定all參數時,設備依次顯示各個接口上的Portal服務器的統計信息,即使是一個Portal服務器的統計信息也是分別在不同接口下顯示。
【舉例】
# 顯示接口Ethernet1/1上Portal服務器的統計信息。
<Sysname> display portal server statistics interface ethernet 1/1
---------------Interface: Ethernet1/1----------------------
Server name: st
Invalid packets: 0
Pkt-Name Total Discard Checkerr
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHANGE 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USERSYNC 2 0 0
ACK_NTF_USERSYNC 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
NTF_AUTH 0 0 0
ACK_NTF_AUTH 0 0 0
REQ_QUERY_STATE 0 0 0
ACK_QUERY_STATE 0 0 0
REQ_MACBINDING_INFO 0 0 0
ACK_MACBINDING_INFO 0 0 0
NTF_USER_LOGON 0 0 0
RESERVED33 0 0 0
NTF_USER_LOGOUT 0 0 0
RESERVED35 0 0 0
PT_TYPE_REQ_USER_OFFLINE 0 0 0
表1-7 display portal server statistics命令顯示信息描述表
|
字段 |
描述 |
|
|
|
Interface |
Portal服務器所在的接口 |
|
|
|
Server name |
Portal服務器名稱 |
|
|
|
Invalid packets |
無效報文的數目 |
|
|
|
Pkt-Name |
報文的名稱 |
|
|
|
Total |
報文的總數 |
|
|
|
Discard |
丟棄報文數 |
|
|
|
Checkerr |
錯誤報文數 |
|
|
|
REQ_CHALLENGE |
Portal服務器向接入設備發送的challenge請求報文 |
|
|
|
ACK_CHALLENGE |
接入設備對Portal服務器challenge請求的響應報文 |
|
|
|
REQ_AUTH |
Portal服務器向接入設備發送的請求認證報文 |
|
|
|
ACK_AUTH |
接入設備對Portal服務器認證請求的響應報文 |
|
|
|
REQ_LOGOUT |
Portal服務器向接入設備發送的下線請求報文 |
|
|
|
ACK_LOGOUT |
接入設備對Portal服務器下線請求的響應報文 |
|
|
|
AFF_ACK_AUTH |
Portal服務器收到認證成功響應報文後向接入設備發送的確認報文 |
|
|
|
NTF_LOGOUT |
接入設備發送給Portal服務器,用戶被強製下線的通知報文 |
|
|
|
NTF_HEARTBEAT |
Portal服務器像接入設備發送的Portal心跳報文 |
||
|
REQ_INFO |
信息詢問報文 |
|
|
|
ACK_INFO |
信息詢問的響應報文 |
|
|
|
NTF_USERDISCOVER |
Portal服務器向接入設備發送的發現新用戶要求上線的通知報文 |
|
|
|
NTF_USERIPCHANGE |
接入設備向Portal服務器發送的通知更改某個用戶IP地址的通知報文 |
|
|
|
AFF_NTF_USERIPCHANGE |
Portal服務器通知接入設備對用戶表項的IP切換已成功報文 |
|
|
|
ACK_NTF_LOGOUT |
Portal服務器對強製下線通知的響應報文 |
|
|
|
NTF_USERSYNC |
接入設備收到的從Portal服務器發送的用戶同步報文 |
|
|
|
ACK_NTF_USERSYNC |
接入設備向Portal服務器回應的用戶同步響應報文 |
|
|
|
NTF_CHALLENGE |
接入設備向Portal服務器發送的challenge請求報文 |
|
|
|
NTF_USER_NOTIFY |
接入設備向Portal服務器發送的用戶消息通知報文 |
|
|
|
AFF_NTF_USER_NOTIFY |
Portal服務器向接入設備發送的對NTF_USER_NOTIFY的確認報文 |
|
|
|
NTF_AUTH |
Portal服務器向接入設備發送的強製認證通知報文 |
|
|
|
ACK_NTF_AUTH |
接入設備向Portal服務器發送的對NTF_AUTH的確認報文 |
|
|
|
REQ_QUERY_STATE |
Portal服務器向接入設備發送的用戶在線狀態查詢報文 |
|
|
|
ACK_QUERY_STATE |
接入設備向Portal服務器發送的用戶在線狀態回應報文 |
|
|
|
REQ_MACBINDING_INFO |
接入設備向MAC綁定服務器發送的MAC綁定查詢請求報文 |
|
|
|
ACK_MACBINDING_INFO |
MAC綁定服務器向接入設備發送的MAC綁定查詢應答報文 |
|
|
|
NTF_USER_LOGON |
接入設備向MAC綁定服務器發送的用戶上線通知報文 |
|
|
|
RESERVED33 |
保留用途 |
|
|
|
NTF_USER_LOGOUT |
接入設備發送給MAC綁定服務器的用戶下線通知報文 |
|
|
|
RESERVED35 |
保留用途 |
|
|
|
PT_TYPE_REQ_USER_OFFLINE |
MAC綁定服務器發送給接入設備的強製用戶下線請求報文 |
|
|
【命令】
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal tcp-cheat statistics命令用來顯示TCP仿冒統計信息。
【舉例】
# 顯示所有TCP仿冒統計信息。
<Sysname> display portal tcp-cheat statistics
TCP Cheat Statistic:
Total Opens: 0
Resets Connections: 0
Current Opens: 0
Packets Received: 0
Packets Sent: 0
Packets Retransmitted: 0
Packets Dropped: 0
HTTP Packets Sent: 0
Connection State:
SYN_RECVD: 0
ESTABLISHED: 0
CLOSE_WAIT: 0
LAST_ACK: 0
FIN_WAIT_1: 0
FIN_WAIT_2: 0
CLOSING: 0
表1-8 display portal tcp-cheat statistics命令顯示信息描述表
|
字段 |
描述 |
|
TCP Cheat Statistic |
TCP仿冒統計信息 |
|
Total Opens |
打開的連接總數 |
|
Resets Connections |
通過RST報文重置的連接數 |
|
Current Opens |
當前正在打開的連接數 |
|
Packets Received |
收到的報文數 |
|
Packets Sent |
發送的報文數 |
|
Packets Retransmitted |
重傳的報文數 |
|
Packets Dropped |
丟棄的報文數 |
|
HTTP Packets Sent |
發送的HTTP報文數 |
|
Connection State |
連接狀態 |
|
ESTABLISHED |
處於established狀態的連接數 |
|
CLOSE_WAIT |
處於close wait狀態的連接數 |
|
LAST_ACK |
處於last ack狀態的連接數 |
|
FIN_WAIT_1 |
處於fin wait 1狀態的連接數 |
|
FIN_WAIT_2 |
處於fin wait 2狀態的連接數 |
|
CLOSING |
處於closing狀態的連接數 |
【命令】
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示所有Portal用戶的信息。
interface interface-type interface-number:顯示指定接口上的Portal用戶信息。interface-type interface-number為接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display portal user命令用來顯示Portal用戶的信息。
【舉例】
# 顯示所有Portal用戶的信息。
<Sysname> display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:Stand-alone
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eab 2.2.2.2 0 Ethernet1/1
Total 1 user(s) matched, 1 listed.
表1-9 display portal user命令顯示信息描述表
|
字段 |
描述 |
|
Index |
Portal用戶的索引 |
|
State |
Portal用戶的當前狀態 |
|
SubState |
Portal用戶的當前子狀態 |
|
ACL |
Portal用戶的授權ACL |
|
Work-mode |
Portal用戶的工作模式,有如下三種: · 協同工作主用戶:Primary · 協同工作備用戶:Secondary · 單獨工作用戶:Stand-alone MSR不支持該參數,顯示信息為Stand-alone |
|
VPN instance |
Portal用戶所屬的MPLS L3VPN |
|
MAC |
Portal用戶的MAC地址 |
|
IP |
Portal用戶的IP地址 |
|
Vlan |
Portal用戶所在的VLAN |
|
Interface |
Portal用戶所在的接口 |
|
Total 1 user(s) matched, 1 listed |
總計有一個Portal用戶 |
【命令】
portal auth-network network-address { mask-length | mask }
undo portal auth-network { network-address | all }
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
network-address:源認證網段地址。
mask-length:子網掩碼長度,取值範圍為0~32。
mask:子網掩碼,點分十進製格式。
all:所有源認證網段。
【描述】
portal auth-network命令用來配置源認證網段,即接口上隻允許在源認證網段範圍內的用戶報文才能觸發Portal認證。如果未認證用戶的HTTP報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。undo portal auth-network命令用來取消源認證網段的配置。
缺省情況下,源認證網段為0.0.0.0/0,表示對來自任意網段的用戶都進行Portal認證。
需要注意的是:
· 源認證網段配置僅對可跨三層Portal認證(layer3)有效。直接認證方式(direct)下的源認證網段為任意源IP,二次地址分配方式(redhcp)下的源認證網段為由接口私網IP決定的私網網段。
· 可通過多次執行本命令,配置多個源認證網段。
· 若接口下同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
【舉例】
# 在接口Ethernet1/1上配置一條源認證網段為10.10.10.0/24,允許來自10.10.10.0/24網段的用戶觸發Portal認證。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal auth-network 10.10.10.0 24
【命令】
portal auth-network destination network-address { mask-length | mask }
undo portal auth-network destination { network-address | all }
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
network-address:目的認證網段地址。
mask-length:子網掩碼長度,取值範圍為0~32。
mask:子網掩碼,點分十進製格式。
all:所有目的認證網段。
【描述】
portal auth-network destination命令用來配置目的認證網段,即接口上僅要求訪問指定目的認證網段(除免認證規則中指定的目的IP地址或網段)的用戶進行Portal認證,其它用戶訪問外部網絡時無需認證。undo portal auth-network destination命令用來取消目的認證網段的配置。
缺省情況下,目的認證網段為0.0.0.0/0,表示對訪問任意目的網段的用戶都進行Portal認證。
需要注意的是:
· 目的認證網段的配置對三層Portal認證的三種認證方式都有效,且僅三層Portal認證支持。
· 可通過多次執行本命令,配置多個目的認證網段,最多允許配置的源認證網段和目的認證網段總數為16個。
· 若接口下同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
【舉例】
# 在接口Ethernet1/2上配置目的認證網段為2.2.2.0/24,僅要求訪問2.2.2.0/24網段的用戶進行Portal認證,其它用戶訪問外部網絡時無需認證。
<Sysname> system-view
[Sysname] interface ethernet 1/2
[Sysname-Ethernet1/2] portal auth-network destination 2.2.2.0 24
【命令】
portal delete-user { ip-address | all | interface interface-type interface-number }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定Portal用戶的IP地址。
all:所有Portal用戶。
interface interface-type interface-number:該接口下的所有Portal用戶。interface-type interface-number為接口類型和接口編號。
【描述】
portal delete-user命令用來強製接入設備上的Portal用戶下線。
相關配置可參考命令display portal user。
【舉例】
# 強製IP地址為1.1.1.1的Portal用戶下線。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
【命令】
portal domain domain-name
undo portal domain
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
domain-name:ISP認證域名,為1~63個字符的字符串,不區分大小寫,且必須是已經存在的域名。
【描述】
portal domain命令用來指定Portal用戶使用的認證域,使得所有從該接口上接入的Portal用戶強製使用該認證域。undo portal domain命令用來刪除指定的Portal用戶使用的認證域。
缺省情況下,未指定Portal用戶使用的認證域。
相關配置可參考命令display portal interface。
【舉例】
# 指定從接口Ethernet1/1上接入的Portal用戶使用認證域my-domain。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal domain my-domain
【命令】
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | mask } | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | netmask } | any } | mac mac-address | vlan vlan-id ] * } } *
undo portal free-rule { rule-number | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
rule-number:免認證規則編號。取值範圍為0~255。
any:表示不對前麵的參數做限製。
ip ip-address:免認證規則的IP地址。
mask { mask-length | mask }:免認證規則的IP地址掩碼。其中,mask-length為子網掩碼長度,取值範圍為0~32;mask為子網掩碼,點分十進製格式。
interface interface-type interface-number:免認證規則的源接口。interface-type interface-number為接口類型和接口編號。
mac mac-address:免認證規則的源MAC地址,為H-H-H的形式。
vlan vlan-id:免認證規則的源VLAN編號。
all:所有免認證規則。
【描述】
portal free-rule命令用來配置Portal的免認證規則,指定源過濾條件或目的過濾條件。undo portal free-rule命令用來刪除免認證規則。
需要注意的是:
· 如果同時指定源IP地址與源MAC地址,則必須保證IP地址為32位掩碼的主機地址,否則指定的MAC地址無效。
· 如果免認證規則中同時配置了vlan和interface項,則要求interface屬於該VLAN,否則該規則無效。
· 相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
· 無論接口上是否使能Portal認證,隻能添加或者刪除免認證規則,不能修改。
· 加入聚合組的二層接口不能被指定為免認證規則的源接口,反之亦然。
· 對於二層Portal認證,隻能配置從任意源地址(即source any)到任意或指定目的地址的免認證規則。配置了這種類型的免認證規則後,用戶不需要通過Portal認證即可訪問指定目的網段或地址的網絡資源,且用戶訪問這些資源的HTTP請求不會被重定向到Portal認證頁麵上。
相關配置可參考命令display portal free-rule。
【舉例】
# 配置Portal免認證規則,符合源地址為10.10.10.1/24、接口為Ethernet1/1和目的IP地址任意的報文不會觸發Portal認證。
<Sysname> system-view
[Sysname] portal free-rule 15 source ip 10.10.10.1 mask 24 interface ethernet 1/1 destination ip any
【命令】
portal local-server http
undo portal local-server http
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
http:指定本地Portal服務器使用HTTP協議和客戶端交互認證信息。
【描述】
portal local-server命令用來配置本地Portal服務器支持的協議類型,並同時加載缺省認證頁麵文件。undo portal local-server命令用來取消本地Portal服務器支持的協議類型。
缺省情況下,本地Portal服務器不支持任何協議類型。
需要注意的是:
· 執行本命令時,本地Portal服務器將同時加載已保存在根目錄的缺省認證頁麵文件,因此,為保證自定義的缺省認證頁麵生效,請首先完成對它的編輯及保存工作,否則使用係統默認的缺省認證頁麵。
· 若指定HTTP協議,則HTTP報文的重定向地址格式為:http://設備IP/portal/logon.htm,客戶端通過HTTP協議與Portal服務器交互認證信息。
· 若設備上有本地Portal用戶在線,則不能取消支持的協議類型。
相關配置可參考命令display portal local-server。
【舉例】
# 配置本地Portal服務器支持HTTP協議方式。
<Sysname> system-view
[Sysname] portal local-server http
【命令】
portal local-server bind ssid ssidname&<1-10> file filename
undo portal local-server bind { ssid ssidname&<1-10> | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ssid ssidname&<1-10>:指定要綁定的SSID。其中,ssidname是SSID服務模板的標識,為1~32個字符的字符串,不區分大小寫,可以包括字母、數字和空格,但字符串開始和結束位置不可以用空格,且不能是“f”“fi”“fil”和“file”。&<1-10>表示ssidname參數最多可以輸入10次。
file filename:指定要綁定的文件。其中,filename表示用戶定製的認證頁麵文件名(不包括文件的保存路徑),為1~91個字符的字符串,包括字母、數字和下劃線。該文件由用戶編輯,保存在設備根目錄下的portal目錄中。
all:表示所有綁定的SSID。
【描述】
portal local-server bind命令用來配置SSID與定製頁麵文件的綁定,實現用戶認證頁麵的定製功能。本地Portal服務器會根據綁定的文件向指定的SSID客戶端推出相應的認證頁麵。undo portal local-server bind命令用來取消指定SSID或者所有SSID與認證頁麵的綁定。
缺省情況下,無任何綁定配置。
用戶訪問Portal頁麵時,如果設備上沒有配置SSID綁定功能,則向客戶端推出缺省的認證頁麵,否則根據用戶登錄接口的SSID及其綁定的配置推出對應的認證頁麵。
需要注意的是:
· 綁定文件的名稱或內容有更新時,需要重新綁定文件。
· 要修改綁定關係,隻需重新執行綁定命令即可,不必先取消已經存在的綁定關係。
· 對於相同的SSID,若多次執行綁定,則最後一條綁定條目生效。
· 設備上最多允許同時存在128條綁定條目。
相關配置可參考命令display portal local-server。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
portal local-server bind |
支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
支持 |
|
|
MSR 930 |
支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
不支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
不支持 |
【舉例】
# 配置SSID1、SSID2與定製的認證頁麵文件file12.zip進行綁定。
<Sysname> system-view
[Sysname] portal local-server bind ssid ssid1 ssid2 file file12.zip
【命令】
portal local-server enable
undo portal
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
portal local-server enable命令用來在端口上使能二層Portal認證。undo portal命令用來恢複缺省配置。
缺省情況下,未使能二層Portal認證。
需要注意的是:
· 為使二層端口上的Portal認證功能正常運行,請保證未在任何三層接口上使能Portal認證,並且不建議端口上同時使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。關於端口安全、802.1X的相關介紹,請參考“安全配置指導”中的“端口安全”和“802.1X”。
· 使能該功能前,必須先指定本地Portal服務器的監聽IP地址。
相關配置請參考命令portal local-server ip。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
portal local-server enable |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
MIM二層以太網交換模塊支持 MSR 30-11E、MSR 30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 在端口Ethernet1/1上使能二層Portal認證。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal local-server enable
【命令】
portal local-server ip ip-address
undo portal local-server ip
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:本地Portal服務器的監聽IP地址。該地址為接入設備上一個與Portal客戶端路由可達的三層接口IP地址(通常為Loopback接口IP)。
【描述】
portal local-server ip命令用來指定二層Portal認證的本地Portal服務器監聽IP地址。對於Portal用戶輸入任意URL地址進行的Web訪問請求,設備都將其重定向到該監聽地址的認證頁麵上。undo portal local-server ip命令用來恢複缺省配置。
缺省情況下,沒有指定本地Portal服務器的監聽IP地址。
需要注意的是,配置的監聽IP地址推薦使用LoopBack接口地址,利用LoopBack接口狀態穩定的優點,避免因為接口故障導致用戶無法打開認證頁麵的問題。另外,由於發送到LoopBack接口的報文不會被轉發到網絡中,當請求上線的用戶數目較大時,可減輕對係統性能的影響。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
命令 |
描述 |
|
|
MSR800 |
portal local-server ip |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
MIM二層以太網交換模塊支持 MSR 30-11E、MSR 30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置二層Portal認證的本地Portal服務器監聽IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] interface loopback 1
[Sysname-LoopBack1] ip address 1.1.1.1 32
[Sysname-LoopBack1] quit
[Sysname] portal local-server ip 1.1.1.1
【命令】
portal max-user max-number
undo portal max-user
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
max-number:允許同時在線的最大Portal用戶數。
【描述】
portal max-user命令用來配置Portal最大用戶數。undo portal max-user命令用來恢複缺省情況。
需要注意的是,如果配置的Portal最大用戶數小於當前已經在線的Portal用戶數,則該命令可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
portal max-user |
max-number |
取值範圍為1~512,缺省值為512 |
|
MSR 900 |
取值範圍為1~512,缺省值為512 |
||
|
MSR900-E |
取值範圍為1~512,缺省值為512 |
||
|
MSR 930 |
取值範圍為1~512,缺省值為512 |
||
|
MSR 20-1X |
取值範圍為1~512,缺省值為512 |
||
|
MSR 20 |
取值範圍為1~512,缺省值為512 |
||
|
MSR 30 |
取值範圍為1~512,缺省值為512 |
||
|
MSR 50 |
MPUF:取值範圍為1~512,缺省值為512 MPU-G2:取值範圍為1~4096,缺省值為4096 |
||
|
MSR 2600 |
取值範圍為1~512,缺省值為512 |
||
|
MSR3600-51F |
取值範圍為1~512,缺省值為512 |
【舉例】
# 配置Portal最大用戶數為100。
<Sysname> system-view
[Sysname] portal max-user 100
【命令】
portal move-mode auto
undo portal move-mode
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
portal move-mode auto命令用來開啟Portal用戶認證端口的自動遷移功能。已認證用戶離開原認證端口到達新的認證端口後,如果端口的VLAN相同,則用戶不需要重新認證,就可以繼續訪問網絡;若端口的VLAN不同,則該用戶將在原端口上下線,在新的端口上重新認證後上線。undo portal move-mode用來恢複缺省情況。
缺省情況下,Portal用戶認證端口的自動遷移功能處於關閉狀態。認證成功的用戶從同一設備上的當前認證端口離開並遷移到其它認證端口上接入時,由於原端口上仍然保留該用戶的認證信息,從而無法在新端口上認證上線。
需要注意的是,在開啟了本功能的情況下,若用戶認證端口遷移後原端口狀態變為down,則用戶也會下線,所以本功能僅能在用戶和設備之間存在Hub、二層交換機或AP的組網環境下生效。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
portal move-mode auto |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
MIM二層以太網交換模塊支持 MSR 30-11E、MSR 30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 開啟Portal用戶認證端口的自動遷移功能。
<Sysname> system-view
[Sysname] portal move-mode auto
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
profile-name:標識指定VLAN和NAS-ID綁定關係的Profile名稱,為1~16個字符的字符串,不區分大小寫。該Profile由命令aaa nas-id profile配置,具體情況請參考“安全命令參考”中的“AAA”。
【描述】
portal nas-id-profile命令用來指定接口的NAS-ID Profile。undo portal nas-id-profile命令用來刪除指定的NAS-ID Profile。
缺省情況下,未指定NAS-ID Profile。
需要注意的是,如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用。
【舉例】
# 在接口Vlan-interface 2上指定名為aaa的NAS-ID Profile 。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【命令】
portal nas-ip ip-address
undo portal nas-ip
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
ip-address:接口發送Portal報文的源IP地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
【描述】
portal nas-ip命令用來配置接口發送Portal報文使用的源地址。undo portal nas-ip命令用來刪除指定的源地址。
缺省情況下,未指定接口發送Portal報文使用的源地址,即以接入用戶的接口地址作為發送Portal報文的源地址。
【舉例】
# 配置接口Ethernet1/1發送Portal報文使用的源地址為2.2.2.2。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal nas-ip 2.2.2.2
【命令】
portal nas-port-id nas-port-id-value
undo portal nas-port-id
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
nas-port-id-value:NAS-Port-ID的名稱,為1~253字符的字符串,區分大小寫。該值為接口上有Portal用戶上線時設備向RADIUS服務器發送的RADIUS請求報文的NAS-Port-ID屬性值。
【描述】
portal nas-port-id命令用來配置接口的NAS-Port-ID。指定該接口下接入的Portal用戶需要攜帶的NAS-Port-ID。undo portal nas-port-id命令用來恢複缺省情況。
缺省情況下,未指定接口的NAS-Port-ID,RADIUS請求報文中的NAS-Port-ID屬性值為接入設備獲取到的用戶接入的端口信息。
【舉例】
# 配置接口Ethernet1/1的NAS-Port-ID為ap1。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal nas-port-id ap1
【命令】
portal nas-port-type { ethernet | wireless }
undo portal nas-port-type
【視圖】
接口視圖
【缺省級別】
係統級
【參數】
ethernet:指定用戶接入的端口類型為Ethernet,對應的編碼值為15。
wireless:指定用戶接入的端口類型為符合IEEE 802.11標準的無線接口,對應的編碼值為19。該參數通常在接入無線Portal用戶的接口上指定,可保證接入設備向RADIUS服務器傳遞的用戶端口類型為無線類型。
【描述】
portal nas-port-type命令用來配置接口的NAS-Port-Type,即向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值。undo portal nas-port-type命令用來恢複缺省情況。
缺省情況下,未指定接口的NAS-Port-Type,RADIUS請求報文中的NAS-Port-Type屬性值為接入設備獲取到的用戶接入的端口類型值。
【舉例】
# 配置接口Ethernet1/1的NAS-Port-Type為符合IEEE 802.11標準的無線接口類型。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal nas-port-type wireless
【命令】
portal offline-detect interval offline-detect-interval
undo portal offline-detect interval
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
offline-detect-value:用戶在線檢測時間間隔,取值範圍為60~65535。
【描述】
portal offline-detect interval命令用來配置二層Portal用戶的在線檢測時間間隔。設備會以此為間隔定期檢測此端口上所有在線用戶的MAC地址表項是否被流量命中過,若檢測到某用戶的MAC沒有被命中過或者該用戶的MAC地址表項已經老化,則認為一次檢測失敗,若連續兩次檢測失敗,設備將強製該用戶下線。undo portal offline-detect interval命令用來恢複缺省情況。
缺省情況下,二層Portal用戶在線檢測時間間隔為300秒。
需要注意的是,由於設備進行檢測時若發現用戶MAC地址表項已經老化,則會認為檢測失敗,因此,為避免這種無效檢測,建議配置的檢測時間間隔小於等於用戶MAC地址表項的老化時間。
【舉例】
# 配置設備檢測Ethernet 1/1端口上二層Portal用戶在線狀態的時間間隔為3600秒。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-ethernet1/1] portal offline-detect interval 3600
【命令】
portal redirect-url url-string [ wait-time period ]
undo portal redirect-url
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
url-string:Portal用戶認證成功後,認證頁麵的自動跳轉目的網站地址,為1~127個字符的字符串,必須是以http://開頭的完整的URL路徑。
period:Portal用戶認證成功後認證頁麵等待進行跳轉的時間間隔,取值範圍為1~90,單位為秒,缺省值為5。
【描述】
portal redirect-url命令用來指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址。undo portal redirect-url命令用來恢複缺省情況。
缺省情況下,用戶認證成功後認證頁麵將會跳轉到用戶初始訪問的網站頁麵。
需要注意的是:
· 對於三層遠程Portal認證,該特性需要與支持自動跳轉頁麵功能的iMC服務器配合使用。
· wait-time參數隻對本地Portal認證有效,對於遠程Portal認證無效。
【舉例】
# 指定Portal用戶認證成功後,認證頁麵在3秒後自動跳轉為http://www.testpt.cn網站頁麵。
<Sysname> system-view
[Sysname] portal redirect-url http://www.testpt.cn wait-time 3
【命令】
portal server server-name ip ip-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] *
undo portal server server-name [ key | port | url | vpn-instance ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
server-name:Portal服務器名稱,為1~32個字符的字符串,區分大小寫。
ip-address:Portal服務器的IP地址。若指定的是本地Portal服務器,則此地址為接入設備上與Portal客戶端路由可達的三層接口IP地址。
key:與Portal服務器通信需要的共享密鑰。設備與Portal服務器交互的Portal報文中會攜帶一個在該共享密鑰參與下生成的驗證字,該驗證字用於接受方校驗收到的Portal報文的正確性。
cipher:表示以密文方式設置共享密鑰。
simple:表示以明文方式設置共享密鑰。
key-string:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~16個字符的字符串;密文密鑰為1~53個字符的字符串。不指定cipher或simple時,表示以明文方式設置共享密鑰。
port-id:設備向Portal服務器主動發送報文時使用的目的端口號,取值範圍為1~65534,缺省值為50100。
url-string:HTTP報文重定向地址。缺省的HTTP報文重定向地址格式為http://ip-address,其中ip-address為Portal服務器的IP地址。重定向地址支持域名解析,但需要使用命令portal free-rule將DNS服務器地址加入Portal的免認證地址範圍內。
vpn-instance-name:Portal服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示Portal服務器位於公網中。
【描述】
portal server命令用來指定三層Portal認證的Portal服務器。undo portal server命令用來刪除指定的Portal服務器,或者恢複服務器參數為缺省值。
缺省情況下,沒有指定三層Portal認證的Portal服務器。
需要注意的是:
· 若指定名字的Portal服務器存在,但該接口上沒有用戶,則undo portal server命令不指定任何參數時,將刪除指定Portal服務器;否則相同條件下,指定參數port、url時,將恢複指定參數為缺省值。
· 已配置的Portal服務器及其參數僅在該Portal服務器未被任何接口引用時才可以被刪除或修改。要刪除或修改已經被接口引用的Portal服務器配置,必須首先在引用該Portal服務器的接口上使用命令undo portal取消配置。
· 通常,使用本地Portal服務器時,Portal服務器參數key、port和url均不需配置,若配置也無效。
· 以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令display portal server。
【舉例】
# 配置Portal服務器pts的IP地址為192.168.0.111、密鑰為明文portal、HTTP重定向的URL為http://192.168.0.111/portal。
<Sysname> system-view
[Sysname] portal server pts ip 192.168.0.111 key simple portal url http://192.168.0.111/portal
【命令】
portal server banner banner-string
undo portal server banner
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
banner-string:用戶定製的Web頁麵歡迎信息,為1~50個字符的字符串,區分大小寫,不允許為‘<’、‘&’。字符串中可包括連續多個連續空格,瀏覽器將會識別為一個空格。
【描述】
portal server banner命令用來配置本地Portal服務器提供的缺省Web頁麵歡迎信息。undo portal server banner命令用來恢複缺省配置。
缺省情況下,無Web頁麵歡迎信息。
需要注意的是,配置的Web頁麵歡迎信息僅對缺省的認證頁麵有效,對於用戶定製的認證頁麵無效。
【舉例】
# 配置本地Portal服務器提供的Web頁麵歡迎信息為:Welcome to Portal Authentication。
<Sysname> system-view
[Sysname] portal server banner Welcome to Portal Authentication
【命令】
portal server server-name method { direct | layer3 | redhcp }
undo portal
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
server-name:Portal服務器名稱,為1~32個字符的字符串,區分大小寫。
method:認證方式。
· direct:直接認證方式。
· layer3:三層認證方式。
· redhcp:二次地址分配認證方式。
【描述】
portal server method命令用來在接口上使能三層Portal認證,同時指定引用的Portal服務器和認證方式。undo portal命令用來在接口上取消所有的或指定的三層Portal認證。
缺省情況下,接口上沒有使能三層Portal認證。
需要注意的是:
· 使能三層Portal認證的接口上所引用的Portal服務器必須已經存在。
· 使用本地Portal服務器的情況下,二次地址分配認證方式可配置但不生效。
相關配置可參考命令display portal server。
【舉例】
# 在接口Ethernet1/1上使能三層Portal認證。指定Portal服務器pts,並配置為直接認證方式。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] portal server pts method direct
【命令】
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]
undo portal server server-name server-detect
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
server-name:Portal服務器名稱,為1~32個字符的字符串,區分大小寫。該Portal服務器必須已經存在。
server-detect method { http | portal-heartbeat }:Portal服務器探測方式。包括以下兩種,且可同時選擇。
· http:表示探測HTTP連接。接入設備定期向Portal服務器的HTTP服務端口發起TCP連接,若連接成功建立則表示此服務器的HTTP服務已開啟,就認為一次探測成功且服務器可達。若連接失敗則認為一次探測失敗。當Portal服務器不支持逃生心跳功能的時候隻能使用此探測方式。
· portal-heartbeat:表示探測Portal心跳報文。設備檢測Portal服務器定期發送的Portal心跳報文來判斷服務器的可達狀態:若設備在指定的周期內收到Portal心跳報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗。該方式僅對支持Portal心跳檢測機製(目前僅iMC的Portal服務器支持)的Portal服務器有效。為了配合此類型的探測,還需要在Portal服務器上選擇支持逃生心跳功能,且服務器上配置的逃生心跳間隔要小於等於設備上配置的探測間隔。
action { log | permit-all | trap }:Portal服務器可達狀態的變化時,可觸發執行的操作。包括以下三種,且同時可選擇多種。
· log:Portal服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal服務器名以及該服務器狀態改變前後的狀態。
· permit-all:也稱為Portal逃生,表示在Portal服務器不可達時,暫時取消端口進行的Portal認證,允許所有Portal用戶訪問網絡資源。之後,若端口收到服務器的探測報文,或者收到其它認證報文(上線報文、下線報文等),則恢複其Portal認證功能。
· trap:Portal服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal服務器名以及該服務器的當前狀態。
interval interval:進行探測嚐試的時間間隔,取值範圍為20~600,單位為秒,缺省值為20。
retry retries:連續探測失敗的最大次數,取值範圍為1~5,缺省值為3。若連續探測失敗數目達到此值,則認為服務器不可達。
【描述】
portal server server-detect命令用來配置對Portal服務器的探測功能,包括配置探測方法、可觸發執行的操作、探測時間間隔以及最大探測失敗次數。配置此功能後,設備會周期性地檢測指定的Portal服務器狀態是否可達,並在可達狀態發生變化後執行指定的操作。undo portal server server-detect命令用來取消對指定的Portal服務器的探測功能配置。
缺省情況下,未配置對Portal服務器的探測功能。
需要注意的是:
· 可同時配置多種探測方式和可觸發執行的操作。
· 如果同時指定了兩種探測方式,則隻要使用任何一種探測方式進行探測的失敗次數達到最大值就認為服務器不可達。在服務器不可達狀態下,隻有使用兩種探測方式的探測都成功才能認為服務器恢複為可達狀態。
· 如果同時指定了多種操作,則Portal服務器可達狀態改變時係統可並發執行多種操作。
· 在設備上刪除Portal服務器時將會同時刪除該服務器的探測功能配置。
· 對同一服務器多次執行探測功能的配置時,新的配置將覆蓋原有的配置,可選參數未配置時,使用缺省值。
· 對指定Portal服務器配置的探測功能,隻有當該服務器在接口上使能之後才能生效。
· 對於Portal服務器發來的其它認證報文(上線報文,下線報文等)也認為等效於心跳報文。
相關配置可參考命令display portal server。
【舉例】
# 配置對Portal服務器pts的探測功能:探測方式為同時探測HTTP連接和Portal心跳報文,每次探測間隔時間為600秒,若連續二次探測均失敗,則發送服務器不可達的Trap信息和日誌信息,並打開網絡限製,允許未認證用戶訪問網絡。
<Sysname> system-view
[Sysname] portal server pts server-detect method http portal-heartbeat action log permit-all trap interval 600 retry 2
【命令】
portal server server-name user-sync [ interval interval ] [ retry retries ]
undo portal server server-name user-sync
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
server-name:Portal服務器名稱,為1~32個字符的字符串,區分大小寫。該Portal服務器必須已經存在。
user-sync:開啟Portal用戶同步功能。
interval interval:檢測用戶同步報文的時間間隔,取值範圍為60~3600,單位為秒,缺省值為300。
retry retries:連續檢測失敗的最大次數,取值範圍為1~5,缺省值為4。如果接入設備上的某用戶信息在連續retrie個周期內,都未曾在該服務器發送的用戶同步報文中出現過,則認為Portal服務器上已不存在該用戶,設備將強製該用戶下線。
【描述】
portal server user-sync命令用來配置對指定Portal服務器的Portal用戶同步功能。配置此功能後,設備會響應並周期性地檢測指定的Portal服務器發來的用戶同步報文,以保持設備與該服務器上在線用戶信息的一致性。undo portal server user-sync命令用來取消指定的Portal用戶同步功能配置。
缺省情況下,未配置Portal用戶同步功能。
需要注意的是:
· 隻有在支持Portal用戶心跳功能(目前僅iMC的Portal服務器支持)的Portal服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於等於設備上配置的檢測間隔。
· 在設備上刪除Portal服務器時將會同時刪除該服務器的用戶同步功能配置。
· 對同一服務器多次執行用戶同步功能的配置時,新的配置將覆蓋原有的配置,可選參數未配置時,使用缺省值。
· 對於設備上多餘的用戶信息,即在N個周期後被判定為Portal服務器上已不存在的用戶信息,設備會在第N+1個周期內的某時刻將其刪除掉。
【舉例】
# 配置對Portal服務器pts的Portal用戶同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在連續兩個探測周期內都未在該Portal服務器發送的同步報文中出現,設備將強製該用戶下線。
<Sysname> system-view
[Sysname] portal server pts user-sync interval 600 retry 2
【命令】
portal url-param include user-mac [ des-encrypt ] [ param-name param-name ]
undo portal url-param include user-mac [ des-encrypt ] [ param-name ]
【視圖】
係統視圖/接口視圖
【缺省級別】
2:係統級
【參數】
user-mac:指定Portal重定向URL中包含用戶MAC地址或者AP MAC地址。
des-encrypt:Portal重定向URL中的用戶MAC地址或者AP MAC地址采用DES方式加密。若不指定該參數,則表示明文。
param-name para-name:指定Portal重定向URL中包含的MAC地址參數名稱。其中,para-name表示MAC地址參數名,為1~20個字符的字符串,區分大小寫,且隻支持字母和數字。指定的參數和參數名在Portal重定向URL中的格式為"para-name=param-value"," param-value"即MAC地址。
【描述】
portal url-param include命令用來指定重定向URL需要攜帶MAC地址參數,並指定它在重定向URL中的參數名。undo portal url include命令用戶取消重定向URL攜帶MAC地址參數。
缺省情況下,重定向URL不攜帶MAC地址參數。
需要注意的是,重定向URL的具體顯示信息與所用的Portal服務器有關,請以實際情況為準。
下麵列舉各個參數的具體含義及獲取方式:
· user-mac
用戶的MAC地址,格式為XX-XX-XX-XX-XX-XX。
· des-encrypt
用戶的MAC地址采用DES算法加密傳輸。
【舉例】
# 在接口上配置Portal重定向URL中包含用戶MAC地址,用戶的MAC地址采用DES算法加密傳輸,所包含MAC地址的參數名為wlanusermac。
[Sysname] interface Vlan-interface10
[Sysname-Vlan-interface10] portal url-param include user-mac des-encrypt param-name wlanusermac
【命令】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
port-number:Web代理服務器的TCP端口號,取值範圍為1~65535。
all:指定所有Web代理服務器的TCP端口號。
【描述】
portal web-proxy port命令用來添加允許觸發Portal認證的Web代理服務器端口。undo portal web-proxy port命令用來刪除指定或所有的Web代理服務器端口。
缺省情況下,不存在允許觸發Portal認證的Web代理服務器端口。
需要注意的是:
· 通過多次執行本命令,最多可以添加4個Web代理服務器端口。
· 如果用戶瀏覽器采用WPAD方式自動配置Web代理,則不僅需要網絡管理員在設備上添加Web代理服務器端口,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
對於二層Portal認證,還需要注意的是:除了需要網絡管理員在設備上添加指定的Web代理服務器端口,還需要用戶在瀏覽器上將設備的本地Portal服務器監聽IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給本地Portal服務器的HTTP報文被發送到Web代理服務器上,從而影響正常的Portal認證。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
portal web-proxy port |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 某組網環境中,有些Portal客戶端瀏覽器使用Web代理服務器上網,端口號為8080。為了允許這樣的Portal用戶認證上網,網絡管理員需要在Portal接入設備上添加允許觸發Portal認證的Web代理服務器端口號8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【命令】
reset portal connection statistics { all | interface interface-type interface-number }
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
all:清除所有接口上Portal的連接統計信息。
interface interface-type interface-number:清除指定接口上Portal的連接統計信息。interface-type interface-number為接口類型和接口編號。
【描述】
reset portal connection statistics命令用來清除接口上Portal的連接統計信息。
【舉例】
# 清除Ethernet1/1接口上Portal的連接統計信息。
<Sysname> reset portal connection statistics interface ethernet 1/1
【命令】
reset portal server statistics { all | interface interface-type interface-number }
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
all:清除所有接口上Portal服務器的統計信息。
interface interface-type interface-number:清除指定接口上Portal服務器的統計信息。interface-type interface-number為接口類型和接口編號。
【描述】
reset portal server statistics命令用來清除接口上Portal服務器的統計信息。
【舉例】
# 清除接口Ethernet1/1上的Portal服務器的統計信息。
<Sysname> reset portal server statistics interface ethernet 1/1
【命令】
reset portal tcp-cheat statistics
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
reset portal tcp-cheat statistics命令用來清除TCP仿冒統計信息。
【舉例】
# 清除TCP仿冒統計信息。
<Sysname> reset portal tcp-cheat statistics
【命令】
web-redirect url url-string [ interval interval ]
undo web-redirect
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
url-string:強推頁麵的地址,即用戶的Web訪問請求被重定向的URL地址。
interval:強推頁麵的周期,取值範圍為60~86400,單位為秒,缺省為86400。
【描述】
web-redirect命令用來配置接口的強推頁麵功能,包括設置強推頁麵的地址和強推頁麵的時間間隔。undo web-redirect命令用來恢複缺省情況。
缺省情況下,接口上未配置強推頁麵功能。
需要注意的是:
· 目前,強推頁麵功能和Portal功能無法在接口上共存,建議二者不要同時配置使用。
· 多次執行本命令,最後一次的配置生效。
【舉例】
# 在接口Ethernet1/1上配置強推頁麵功能:強推頁麵地址為http://192.0.0.1,強推頁麵周期為3600秒。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] web-redirect url http://192.0.0.1 interval 3600
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
