- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-Portal命令
本章節下載: 04-Portal命令 (753.60 KB)
目 錄
1.1.4 display portal packet statistics
1.1.7 display portal session user-type
1.1.9 display portal web-server
1.1.10 display web-redirect rule
1.1.12 ip (portal authentication server view)
1.1.13 ipv6 (portal authentication server view)
1.1.14 port (portal authentication server view)
1.1.15 portal { bas-ip | bas-ipv6 } (interface view)
1.1.16 portal { ipv4-max-user | ipv6-max-user | max-user } (interface view)
1.1.17 portal access-info trust
1.1.18 portal apply web-server (interface view)
1.1.19 portal authorization strict-checking
1.1.22 portal domain (interface view)
1.1.23 portal m-lag load-sharing-mode
1.1.24 portal m-lag traffic backup
1.1.25 portal dual-stack enable
1.1.26 portal enable (interface view)
1.1.27 portal fail-permit server
1.1.28 portal fail-permit web-server
1.1.29 portal free-all except destination
1.1.31 portal free-rule destination
1.1.32 portal free-rule source
1.1.33 portal ipv6 free-all except destination
1.1.34 portal ipv6 layer3 source
1.1.35 portal ipv6 user-detect
1.1.37 portal local-web-server
1.1.41 portal nas-port-id format
1.1.43 portal oauth user-sync interval
1.1.44 portal pre-auth ip-pool
1.1.49 portal user-dhcp-only (interface view)
1.1.50 portal user-rule assign-check enable
1.1.53 reset portal packet statistics
1.1.54 server-detect (portal authentication server view)
1.1.55 server-detect (portal web server view)
captive-bypass enable命令用來開啟Portal被動Web認證功能。
undo captive-bypass enable命令用來關閉Portal被動Web認證功能。
【命令】
captive-bypass enable
undo captive-bypass enable
【缺省情況】
Portal被動Web認證功能處於關閉狀態,即iOS係統和部分Android係統的用戶接入已開啟Portal認證的網絡後會自動彈出Portal認證頁麵。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【使用指導】
iOS係統或者部分Android係統的用戶接入已開啟Portal認證的網絡後,設備會主動向這類用戶終端推送Portal認證頁麵。開啟Portal被動Web認證功能後,僅在這類用戶使用瀏覽器訪問Internet時,設備才會為其推送Portal認證頁麵。
【舉例】
# 開啟Portal被動Web認證功能。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] captive-bypass enable
【相關命令】
· display portal web-server
default-logon-page命令用來配置本地Portal Web服務提供的缺省認證頁麵文件。
undo default-logon-page命令用來恢複缺省情況。
【命令】
default-logon-page file-name
undo default-logon-page
【缺省情況】
本地Portal Web服務提供的缺省認證頁麵文件為defaultfile.zip。
【視圖】
本地Portal Web服務視圖
【缺省用戶角色】
network-admin
【參數】
file-name:表示缺省認證頁麵文件名(不包括文件的保存路徑),為1~91個字符的字符串,包括字母、數字、點和下劃線。
【使用指導】
配置default-logon-page命令後設備會將指定的壓縮文件進行解壓縮,並設置為本地Portal Web服務為用戶進行Portal認證提供的缺省認證頁麵文件。
為了確保本地Portal Web服務功能的正常運行,建議使用設備存儲介質根目錄下自帶的認證頁麵文件。如果用戶需要自定義認證頁麵的內容和樣式,請嚴格遵循自定義認證頁麵文件規範。
【舉例】
# 配置本地Portal Web 服務器提供的缺省認證頁麵文件為pagefile1.zip。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip
【相關命令】
· portal local-web-server
display portal命令用來顯示Portal配置信息和Portal運行狀態信息。
【命令】
display portal interface interface-type interface-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:表示接口類型和接口編號。
【舉例】
# 顯示接口Vlan-interface2的Portal配置信息和Portal運行狀態信息。
<Sysname> display portal interface vlan-interface 2
Portal information of Vlan-interface2
NAS-ID profile: aaa
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct authentication shared mode: Disabled
Portal web server: wbs(active)
Secondary portal Web server: wbsec
Portal mac-trigger-server: Not configured
Authentication domain: my-domain
User-dhcp-only: Enabled
Pre-auth IP pool: ab
Max users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
Critical profile: abc
IPv6:
portal status: Disabled
Portal authentication method: Disabled authentication shared mode: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6:Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Critical profile: bcd
# 顯示接口Vlan-interface3的Portal配置信息和Portal運行狀態信息。
<Sysname> display portal interface vlan-interface 3
Portal information of Vlan-interface3
NAS-ID profile: bbb
M-LAG group ID: 10, 12 to 20, 1024
M-LAG role : Master
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct authentication shared mode: Disabled
Portal M-LAG status : M_Delay
Portal web server: wbs(active)
Secondary portal Web server: wbsec
Portal mac-trigger-server: mts
Authentication domain: my-domain
Pre-auth domain: abc
User-dhcp-only: Enabled
Pre-auth IP pool: ab
Max users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
Critical profile: abc
IPv6:
portal status: Disabled
Portal authentication method: Disabled authentication shared mode: Disabled
Portal M-LAG status: M_Alone
Portal web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6:Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Critical profile: abc
表1-1 display portal interface命令顯示信息描述表
|
字段 |
描述 |
|
Portal information of interface |
接口上的Portal信息 |
|
NAS-ID profile |
接口上引用的NAS-ID profile |
|
Authorization |
服務器下發給Portal用戶的授權信息類型,包括ACL和User profile |
|
Strict checking |
Portal授權信息的嚴格檢查模式是否開啟 |
|
Dual stack |
接口上Portal支持雙協議棧功能的開啟狀態,包括以下取值: · Disabled:Portal支持雙協議棧功能未開啟 · Enabled:Portal支持雙協議棧功能已開啟 |
|
Max users |
接口上配置的最大 Portal用戶數 |
|
IPv4 |
IPv4 Portal的相關信息 |
|
IPv6 |
IPv6 Portal的相關信息 |
|
Portal status |
接口上Portal認證的運行狀態,包括以下取值: · Disabled:Portal認證未開啟 · Enabled:Portal認證已開啟 · Authorized:Portal認證服務器或者Portal Web服務器不可達,端口自動開放 |
|
Portal M-LAG status |
接口的M-LAG狀態,包括如下取值: · M_Initial:M-LAG主設備的初始化狀態 · M_Delay:M-LAG主設備的延遲狀態(M-LAG主設備延遲一段時間後切換為主狀態) · M_Alone:M-LAG主設備的單機狀態(備份數據鏈路斷開等原因,導致M-LAG雙機通信失敗) · M_Hello:M-LAG主設備處於和M-LAG從設備進行握手的狀態(協商M-LAG狀態和接口的Portal開啟狀態) · M_Collect:M-LAG主設備處於等待M-LAG從設備發送Portal用戶信息的狀態 · M_Sync:M-LAG主設備處於向M-LAG從設備發送Portal用戶信息的狀態 · M_Synced:M-LAG主設備已經完成向M-LAG從設備備份Portal用戶信息 · B_Initial:M-LAG從設備的初始化狀態 · B_Alone:M-LAG從設備的單機狀態(備份數據鏈路斷開等原因,導致M-LAG雙機通信失敗) · B_Hello:M-LAG從設備處於和M-LAG主設備進行握手的狀態(協商M-LAG狀態和接口的Portal開啟狀態) · B_Report:M-LAG從設備處於向M-LAG主設備發送Portal用戶信息的狀態 · B_Sync:M-LAG從設備處於接收M-LAG主設備發送Portal用戶信息的狀態 · B_Synced:M-LAG從設備已經完成Portal用戶信息的備份 · Down:未運行M-LAG狀態 接口未開啟Portal或者不是M-LAG接口時,不顯示該字段 |
|
Portal authentication method |
接口上配置的認證方式,包括以下取值: · Direct:直接認證方式 · Redhcp:二次地址分配認證方式 · Layer3:可跨三層認證方式 |
|
authentication shared mode |
(暫不支持)接口上配置的Portal認證共享模式,包括以下取值: · Disabled:Portal認證共享模式未開啟 · Enabled:Portal認證共享模式已開啟 |
|
Portal Web server |
接口上配置的主Portal Web服務器的名稱。active表示正在使用此Portal Web服務器 |
|
Secondary portal Web server |
接口上配置的備份Portal Web服務器的名稱。active表示正在使用此Portal Web服務器 |
|
Portal mac-trigger-server |
(暫不支持)接口上配置MAC綁定服務器的名稱 |
|
Authentication domain |
接口上的Portal強製認證域 |
|
User-dhcp-only |
僅允許通過DHCP方式獲取IP地址的客戶端上線功能 · Enabled:僅允許通過DHCP方式獲取IP地址的客戶端上線功能處於開啟狀態,表示僅允許通過DHCP方式獲取IP地址的客戶端上線 · Disabled:僅允許通過DHCP方式獲取IP地址的客戶端上線功能處於關閉狀態,表示通過DHCP方式獲取IP地址的客戶端和靜態配置IP地址的客戶端都可以上線 |
|
Pre-auth ip-pool |
為認證前的Portal用戶指定的IP地址池名稱 |
|
Max users |
接口上配置的最大用戶數 |
|
Bas-ip |
發送給Portal認證服務器的Portal報文的BAS-IP屬性 |
|
Bas-ipv6 |
發送給Portal認證服務器的Portal報文的BAS-IPv6屬性 |
|
User detection |
接口上配置的用戶在線狀態探測配置,包括探測的方法(ARP、ICMP、ND、ICMPv6),探測周期和探測嚐試次數,用戶閑置的時間 |
|
Action for server detection |
服務器可達性探測功能對應的端口控製配置: · Server type:服務器類型,包括Portal server和Web server,分別表示Portal認證服務器和Portal Web服務器 · Server name:服務器名稱 · Action:是否開啟服務器不可達時的Portal用戶逃生功能。fail-permit表示開啟了服務器不可達時的Portal用戶逃生功能 |
|
Layer3 source network |
Portal源認證網段信息 |
|
Destination authentication subnet |
Portal目的認證網段認證信息 |
|
IP address |
Portal認證網段的IP地址 |
|
Mask |
Portal認證網段的子網掩碼 |
|
Prefix length |
Portal IPv6認證網段的地址前綴長度 |
|
Critical profile |
接口下配置的逃生策略,未配置時,顯示Not configured |
|
M-LAG group ID |
M-LAG組ID |
|
M-LAG role |
接口所在設備的M-LAG角色: · Master:M-LAG主設備 · Backup:M-LAG從設備 |
|
PEER_SM state |
接口的M-LAG狀態,包括如下取值: · M_Initial:M-LAG主設備的初始化狀態 · M_Delay:M-LAG主設備的延遲狀態(M-LAG主設備延遲一段時間後切換為主狀態) · M_Alone:M-LAG主設備的單機狀態(備份數據鏈路斷開等原因,導致M-LAG雙機通信失敗) · M_Hello:M-LAG主設備處於和M-LAG從設備進行握手的狀態(協商M-LAG狀態和接口的Portal開啟狀態) · M_Collect:M-LAG主設備處於等待M-LAG從設備發送Portal用戶信息的狀態 · M_Sync:M-LAG主設備處於向M-LAG從設備發送Portal用戶信息的狀態 · M_Synced:M-LAG主設備已經完成向M-LAG從設備備份Portal用戶信息 · B_Initial:M-LAG從設備的初始化狀態 · B_Alone:M-LAG從設備的單機狀態(備份數據鏈路斷開等原因,導致M-LAG雙機通信失敗) · B_Hello:M-LAG從設備處於和M-LAG主設備進行握手的狀態(協商M-LAG狀態和接口的Portal開啟狀態) · B_Report:M-LAG從設備處於向M-LAG主設備發送Portal用戶信息的狀態 · B_Sync:M-LAG從設備處於接收M-LAG主設備發送Portal用戶信息的狀態 · B_Synced:M-LAG從設備已經完成Portal用戶信息的備份 · Down:未運行M-LAG狀態 接口未開啟Portal或者不是M-LAG接口時,不顯示該字段 |
【相關命令】
· portal domain
· portal enable
· portal free-all except destination
· portal ipv6 free-all except destination
· portal ipv6 layer3 source
· portal layer3 source
· portal web-server
display portal packet statistics命令用來顯示Portal認證服務器的報文統計信息。
【命令】
display portal packet statistics server server-name
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
server server-name:Portal認證服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
執行此命令後,顯示的報文統計信息包括設備接收到Portal認證服務器發送的報文以及設備發送給該Portal認證服務器的報文的信息。
【舉例】
# 顯示名稱為pts的Portal認證服務器的報文統計信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
表1-2 display portal server statistics命令顯示信息描述表
|
字段 |
描述 |
|
Portal server |
Portal認證服務器名稱 |
|
Invalid packets |
無效報文的數目 |
|
Pkt-Type |
報文的名稱 |
|
Total |
報文的總數 |
|
Drops |
丟棄報文數 |
|
Errors |
攜帶錯誤信息的報文數 |
|
REQ_CHALLENGE |
Portal認證服務器向接入設備發送的challenge請求報文 |
|
ACK_CHALLENGE |
接入設備對Portal認證服務器challenge請求的響應報文 |
|
REQ_AUTH |
Portal認證服務器向接入設備發送的請求認證報文 |
|
ACK_AUTH |
接入設備對Portal認證服務器認證請求的響應報文 |
|
REQ_LOGOUT |
Portal認證服務器向接入設備發送的下線請求報文 |
|
ACK_LOGOUT |
接入設備對Portal認證服務器下線請求的響應報文 |
|
AFF_ACK_AUTH |
Portal認證服務器收到認證成功響應報文後向接入設備發送的確認報文 |
|
NTF_LOGOUT |
接入設備發送給Portal認證服務器,用戶被強製下線的通知報文 |
|
REQ_INFO |
信息詢問報文 |
|
ACK_INFO |
信息詢問的響應報文 |
|
NTF_USERDISCOVER |
Portal認證服務器向接入設備發送的發現新用戶要求上線的通知報文 |
|
NTF_USERIPCHANGE |
接入設備向Portal認證服務器發送的通知更改某個用戶IP地址的通知報文 |
|
AFF_NTF_USERIPCHAN |
Portal認證服務器通知接入設備對用戶表項的IP切換已成功報文 |
|
ACK_NTF_LOGOUT |
Portal認證服務器對強製下線通知的響應報文 |
|
NTF_HEARTBEAT |
Portal認證服務器周期性向接入設備發送的服務器心跳報文 |
|
NTF_USER_HEARTBEAT |
接入設備收到的從Portal認證服務器發送的用戶同步報文 |
|
ACK_NTF_USER_HEARTBEAT |
接入設備向Portal認證服務器回應的用戶同步響應報文 |
|
NTF_CHALLENGE |
接入設備向Portal認證服務器發送的challenge請求報文 |
|
NTF_USER_NOTIFY |
接入設備向Portal認證服務器發送的用戶消息通知報文 |
|
AFF_NTF_USER_NOTIFY |
Portal認證服務器向接入設備發送的對NTF_USER_NOTIFY的確認報文 |
|
Update interval |
設備發送在線用戶信息給雲端的時間間隔,單位為秒 |
|
Success |
接入設備發送/接收成功報文數 |
|
REQ_ACCESSTOKEN |
接入設備發送獲取ACCESSTOKEN的報文 |
|
REQ_USERINFO |
接入設備發送獲取USERINFO的報文 |
|
RESP_ACCESSTOKEN |
接入設備接收ACCESSTOKEN的報文 |
|
RESP_USERINFO |
接入設備接收USERINFO的報文 |
|
POST_ONLINEDATA |
接入設備發送獲取雲端用戶信息的報文 |
|
RESP_ONLINEDATA |
接入設備接收雲端用戶信息的報文 |
|
POST_OFFLINEUSER |
接入設備發送下線用戶信息給雲端 |
|
REPORT_ONLINEUSER |
接入設備發送雲端用戶上線信息報文 |
|
REQ_CLOUDBIND |
接入設備發送查詢雲端用戶綁定狀態的報文 |
|
RESP_CLOUDBIND |
接入設備接收雲端用戶綁定狀態的響應報文 |
|
REQ_BINDUSERINFO |
接入設備在收到RESP_CLOUDBIND報文且字段為BIND後發送獲取USERINFO的報文 |
|
RESP_BINDUSERINFO |
接入設備接收REQ_BINDUSERINFO報文的響應報文 |
【相關命令】
· reset portal packet statistics
display portal rule命令用來顯示用於報文匹配的Portal過濾規則信息。
【命令】
display portal rule { all | dynamic | static } interface interface-type interface-number [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
all:顯示所有Portal規則信息,包括動態Portal規則和靜態Portal規則。
dynamic:顯示動態Portal規則信息,即用戶通過Portal認證後設備上產生的Portal規則,這類規則定義了允許指定源IP地址的報文通過接口。
static:顯示靜態Portal規則信息,即開啟Portal後產生的Portal規則,這類規則定義了在Portal功能開啟後對接口上收到的報文的過濾動作。
interface interface-type interface-number:顯示指定接口的Portal規則信息。interface-type interface-number為接口類型和接口編號。
slot slot-number:顯示指定成員設備上的Portal規則信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的Portal過濾規則信息。
【舉例】
# 顯示接口Vlan-interface100上所有Portal過濾規則的信息。
<Sysname> display portal rule all interface vlan-interface 100 slot 1
Slot 1:
IPv4 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : Any
Rule 2:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 2.2.2.2
MAC : 000d-88f8-0eab
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 3:
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface100
VLAN : Any
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
IPv6 portal rules on Vlan-interface100:
Rule 1:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : ::
Prefix length : 0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : 3000::1
Prefix length : 64
Port : Any
Rule 2:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 3000::1
MAC : 0015-e9a6-7cfe
Interface : Vlan-interface100
VLAN : 100
Author ACL:
Number : 3001
Rule 3:
Type : Static
Action : Redirect
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Protocol : TCP
Destination:
IP : ::
Prefix length : 0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : Vlan-interface100
VLAN : 100
Destination:
IP : ::
Prefix length : 0
Author ACL:
Number : 3001
表1-3 display portal rule命令顯示信息描述表
|
字段 |
描述 |
|
Rule |
Portal過濾規則編號。IPv4過濾規則和IPv6過濾規則分別編號 |
|
Type |
Portal過濾規則的類型,包括以下取值: · Static:靜態類型 · Dynamic:動態類型 |
|
Action |
Portal過濾規則的匹配動作,包括以下取值: · Permit:允許報文通過 · Redirect:重定向報文 · Deny:拒絕報文通過 |
|
Protocol |
Portal免認證規則中使用的傳輸層協議,包括以下取值: · Any:不限製傳輸層協議類型 · TCP:TCP傳輸類型 · UDP:UDP傳輸類型 |
|
Status |
Portal過濾規則下發的狀態,包括以下取值: · Active:表示規則已生效 · Deactive:表示規則未生效 |
|
Source |
Portal過濾規則的源信息 |
|
IP |
源IP地址 |
|
Mask |
源IPv4地址子網掩碼 |
|
Prefix length |
源IPv6地址前綴 |
|
Port |
源傳輸層端口號 |
|
MAC |
源MAC地址 |
|
Interface |
Portal過濾規則應用的二層或三層接口 |
|
VLAN |
源VLAN |
|
Protocol |
Portal重定向規則中使用的傳輸層協議類型,取值隻能為TCP |
|
Destination |
Portal規則的目的信息 |
|
IP |
目的IP地址 |
|
Port |
目的傳輸層端口號 |
|
Mask |
目的IPv4地址子網掩碼 |
|
Prefix length |
目的IPv6地址前綴 |
|
Author ACL |
Portal用戶認證後的授權ACL,即AAA授權給用戶的ACL,該字段僅在Type為Dynamic時才顯示 |
|
Number |
授權ACL編號,N/A表示AAA未授權ACL |
display portal server命令用來顯示Portal認證服務器信息。
【命令】
display portal server [ server-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
server-name:Portal認證服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
若不指定參數server-name,則顯示所有Portal認證服務器信息。
【舉例】
# 顯示Portal認證服務器pts的信息。
<Sysname> display portal server pts
Portal server: pts
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log
User synchronization : Timeout 200s
Status : Up
表1-4 display portal server命令顯示信息描述表
|
字段 |
描述 |
|
Type |
Portal認證服務器類型,其取值如下: · CMCC:符合中國移動標準規範的服務器 · iMC:符合iMC標準規範的服務器 |
|
Portal server |
Portal認證服務器名稱 |
|
IP |
Portal認證服務器的IP地址 |
|
VPN instance |
Portal認證服務器所屬的MPLS L3VPN實例 |
|
Port |
Portal認證服務器的監聽端口 |
|
Server detection |
Portal認證服務器可達性探測功能的參數,包括超時時間(單位:秒),以及探測到服務器狀態變化後觸發的動作(log) |
|
User synchronization |
Portal用戶信息同步功能的參數,包括超時時間(單位:秒) |
|
Status |
Portal認證服務器當前狀態,其取值如下: · Up:服務器可達性探測功能未開啟,或服務器可達性探測功能開啟且探測結果為該服務器當前可達 · Down:服務器可達性探測功能已開啟,探測結果為該服務器當前不可達 |
【相關命令】
· portal enable
· portal server
· server-detect (portal authentication server view)
· user-sync
display portal session user-type命令用來顯示基於Portal協議的指定用戶類型的會話信息。
【命令】
display portal session user-type { portal | web-auth }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
portal:顯示Portal用戶會話信息。
web-auth:顯示基於Portal協議的Web認證用戶會話信息。
【舉例】
# 顯示基於Portal協議的Web認證用戶會話信息。
<Sysname> display portal session user-type web-auth
Total Web-auth sessions: 1
MAC address Interface User type
1212-1212-1212 Vlan-interface200 Web-auth
# 顯示Portal用戶會話信息。
<Sysname> display portal session user-type portal
Total Portal sessions: 1
IP address MAC address Interface User type
1:2::3:5 1212-1212-1211 Vlan-interface200 Portal
表1-5 display portal session user-type命令顯示信息描述表
|
字段 |
描述 |
|
Total Web-auth sessions |
基於Portal協議的Web認證用戶會話總數 |
|
Total Portal sessions |
Portal用戶會話總數 |
|
IP address |
用戶IP地址 |
|
MAC address |
用戶MAC地址 |
|
Interface |
用戶接入的接口 |
|
User type |
用戶類型: · Web-auth:Web認證用戶 · Portal:Portal用戶 |
display portal user命令用來顯示Portal用戶的信息。
【命令】
display portal user { all | auth-type { cloud | local | normal } interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ brief | verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
all:顯示所有Portal用戶的信息。
auth-type:顯示指定認證類型的Portal用戶信息。
cloud:Portal認證類型為雲端認證,即Portal服務器在雲端對用戶進行Portal認證。
local:Portal認證類型為本地認證。
normal:Portal認證類型為普通認證,即采用遠程Portal認證服務器進行正常Portal認證。
interface interface-type interface-number:顯示指定接口上的Portal用戶信息。interface-type interface-number為接口類型和接口編號。
ip ipv4-address:顯示指定IPv4地址的Portal用戶信息。
ipv6 ipv6-address:顯示指定IPv6地址的Portal用戶信息。
mac mac-address:顯示指定MAC地址的Portal用戶信息。mac-address格式為H-H-H。
username username:顯示指定用戶名的Portal用戶信息。username為1~253個字符的字符串,區分大小寫,不能攜帶域名。
brief:顯示指定Portal用戶的簡要信息。
verbose:顯示指定Portal用戶的詳細信息。
【使用指導】
若不指定brief和verbose參數,則表示顯示Portal用戶的Portal認證相關信息。
【舉例】
# 顯示所有Portal用戶的信息。
<Sysname> display portal user all
Total portal users: 2
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
Username: def
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 200 Vlan-interface200
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: 5
# 顯示Portal認證類型為普通認證的用戶信息。
<Sysname> display portal user auth-type normal
Total remote users: 1
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
# 顯示MAC地址為000d-88f8-0eab的Portal的用戶信息。
<Sysname> display portal user mac 000d-88f8-0eab
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 -- Vlan-interface200
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
# 顯示用戶名為abc的Portal用戶的信息。
<Sysname> display portal user username abc
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: 4
表1-6 display portal user命令顯示信息描述表
|
字段 |
描述 |
|
Total portal users |
總計的Portal用戶數目 |
|
Username |
用戶名 |
|
Portal server |
用戶認證所使用的Portal認證服務器的名稱 |
|
State |
Portal用戶的當前狀態,包括以下取值: · Initialized:初始化完成後的待認證狀態 · Authenticating:正在認證狀態 · Waiting_SetRule:等待下發用戶授權信息 · Authorizing:正在授權狀態 · Online:在線狀態 · Waiting_Traffic:等待獲取用戶最後一次流量 · Stop Accounting:停止計費 · Done:下線結束 |
|
VPN instance |
Portal用戶所屬的MPLS L3VPN實例。若用戶屬於公網,則顯示為N/A |
|
MAC |
Portal用戶的MAC地址 |
|
IP |
Portal用戶的IP地址 |
|
VLAN |
Portal用戶所在的VLAN |
|
Interface |
Portal用戶接入的接口 |
|
Authorization information |
Portal用戶的授權信息 |
|
DHCP IP pool |
Portal用戶的授權地址池名稱。若無授權地址池,則顯示為N/A |
|
User profile |
Portal用戶的授權User Profile名稱。若未授權User Profile,則顯示為N/A。授權狀態包括如下: · active:AAA授權User profile成功 · inactive:AAA授權User profile失敗或者設備上不存在該User profile |
|
Session group profile |
(暫不支持)Portal用戶的授權Session Group Profile名稱。若未授權Session Group Profile,則顯示為N/A。授權狀態包括如下: · active:AAA授權Session group profile成功 · inactive:AAA授權Session group profile失敗或者設備上不存在該User profile |
|
ACL number/name |
Portal用戶的授權ACL編號或名稱。若未授權ACL,則顯示為N/A。授權狀態包括如下: · active:AAA授權ACL成功 · inactive:AAA授權ACL失敗或者設備上不存在該ACL |
|
Inbound CAR |
授權的入方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權入方向CAR,則顯示為N/A |
|
Outbound CAR |
授權的出方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權出方向CAR,則顯示為N/A |
# 顯示IP地址為50.50.50.3的Portal用戶的詳細信息。
<Sysname> display portal user ip 50.50.50.3 verbose
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Authentication type: Normal
Domain: hrss
VPN instance: N/A
Status: Online
Portal server: test
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2018-01-04 16:13:35 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: 3000(inactive)
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7
2.2.2.2, 3.3.3.3, 4.4.4.4
User group: 1 (Id=1)
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
ITA:
Accounting merge: Disabled
Traffic separate: Disabled
Quota-out offline: Disabled
Level-2 session duration: N/A, remaining: N/A
Remaining traffic: N/A
Traffic action: Permit
Inbound CAR: N/A
Outbound CAR: N/A
Uplink packets/bytes: 0/0
Downlink packets/bytes: 0/0
# 顯示MAC地址為000d-88f8-0eab的Portal用戶的詳細信息。
<Sysname> display portal user mac 000d-88f8-0eab verbose
Basic:
Current IP address: 2.2.2.2
Original IP address: 2.2.2.2
Username: abc
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 000d-88f8-0eab
Authentication type: Normal
Domain name: hrss
VPN instance: N/A
Status: Online
Portal server: pts
Portal authentication method: Direct
AAA:
Realtime accounting interval: 60s, retry times: 3
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2019-01-10 09:38:18 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: 4
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: portal (active)
Session group profile: N/A
Max multicast addresses: 4
User group: 1 (Id=1)
Flow statistic:
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
Dual-stack traffic statistics:
IPv4 address: 2.2.2.2
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
IPv6 address: 2001::2
Uplink packets/bytes: 1/54
Downlink packets/bytes: 1/54
# 顯示M-LAG從設備上的所有Portal用戶的詳細信息。
<Sysname> display portal user all verbose
Total portal users: 1
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x18000002
Access interface: Vlan-interface20
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Authentication type: Normal
Domain name: hrss
VPN instance: N/A
Status: Online
M-LAG user state: Inactive
Portal server: test
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2018-01-04 16:13:35 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
Microsegment ID: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number:3000(inactive)
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
User group: N/A
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
Peer flow statistic:
Uplink packets/bytes: 0/0
Downlink packets/bytes: 7/54
表1-7 display portal user verbose命令顯示信息描述表
|
字段 |
描述 |
|
Current IP address |
Portal用戶當前的IP地址 |
|
Original IP address |
Portal用戶認證時的IP地址 |
|
Username |
Portal用戶上線時使用的用戶名 |
|
User ID |
Portal用戶ID |
|
Access interface |
Portal用戶接入的接口 |
|
Service-VLAN/Customer-VLAN |
Portal用戶所在的公網VLAN/私網VLAN(“-”表示沒有VLAN信息) |
|
MAC address |
用戶的MAC地址 |
|
Authentication type |
Portal認證類型,取值包括: · Normal:普通認證 · Local:本地認證 · Cloud:雲端認證 |
|
Domain |
用戶認證時使用的ISP域名 |
|
VPN instance |
用戶所屬的MPLS L3VPN實例,N/A表示用戶屬於公網 |
|
Status |
Portal用戶的當前狀態,包括以下取值: · Authenticating:正在認證狀態 · Authorizing:正在授權狀態 · Waiting_SetRule:正在下發Portal規則狀態 · Online:在線狀態 · Waiting_Traffic:正在等待用戶流量狀態 · Stop Accounting:正在停止計費狀態 · Done:用戶下線完成狀態 |
|
M-LAG user state |
M-LAG組網中,M-LAG接口上用戶的狀態,非M-LAG係統中不顯示該字段 · Active:激活狀態,此時由本端M-LAG設備與AAA服務器及Portal服務器交互用戶認證信息 · Inactive:未激活狀態,此時由對端M-LAG設備與AAA服務器及Portal服務器交互用戶認證信息 |
|
Portal server |
Portal服務器名稱 |
|
Portal authentication method |
接入接口上的Portal認證方式,包括如下取值: · Direct:直接認證方式 · Redhcp:二次地址分配認證方式 · Layer3:可跨三層認證方式 |
|
AAA |
Portal用戶的AAA授權信息 |
|
Realtime accounting interval |
授權的實時計費間隔和重傳次數。若未授權,則顯示為N/A |
|
Idle cut |
授權的閑置切斷時長和流量。若未授權,則顯示為N/A |
|
direction |
用戶數據流量的統計方向,包括以下取值: · Both:表示用戶雙向數據流量 · Inbound:表示用戶上行數據流量 · Outbound:表示用戶下行數據流量 |
|
Session duration |
授權的會話時長以及剩餘的會話時長。若未授權,則顯示為N/A |
|
Remaining traffic |
授權的剩餘流量。若未授權,則顯示為N/A |
|
Login time |
用戶登錄時間,即用戶授權成功的時間,格式為設備時間,如:2023-1-19 2:42:30 UTC |
|
Accounting-start fail action |
用戶計費開始失敗的動作,包括以下取值: · Online:如果用戶計費開始失敗,則保持用戶在線 · Offline:如果用戶計費開始失敗,則強製用戶下線 |
|
Accounting-update fail action |
用戶計費更新失敗的動作,包括以下取值: · Online:如果用戶計費更新失敗,則保持用戶在線 · Offline:如果用戶計費更新失敗,則強製用戶下線 |
|
Accounting quota-out action |
用戶計費流量配額耗盡策略,包括以下取值: · Online:如果用戶計費流量配額耗盡,則保持用戶在線 · Offline:如果用戶計費流量配額耗盡,則強製用戶下線 |
|
DHCP IP pool |
授權的DHCP地址池名稱。若未授權DHCP地址池,則顯示為N/A |
|
Microsegment ID |
服務器授權的微分段ID,若未授權,則顯示為N/A。不支持微分段設備上不顯示該字段 |
|
Inbound CAR |
授權的入方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權入方向CAR,則顯示為N/A。如果下發成功,顯示為active,否則為inactive |
|
Outbound CAR |
授權的出方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權出方向CAR,則顯示為N/A。如果下發成功,顯示為active,否則為inactive |
|
ACL number |
授權的ACL編號。若未授權ACL,則顯示為N/A。授權狀態包括如下: · active:AAA授權ACL成功 · inactive:AAA授權ACL失敗或者設備上不存在該ACL |
|
User profile |
授權的User profile名稱。若未授權User profile,則顯示為N/A。授權狀態包括如下: · active:AAA授權User profile成功 · inactive:AAA授權User profile失敗或者設備上不存在該User profile |
|
Session group profile |
(暫不支持)授權的Session group profile名稱。若未授權Session group profile,則顯示為N/A。授權狀態包括如下: · active:AAA授權Session group profile成功 · inactive:AAA授權Session group profile失敗或者設備上不存在該User profile |
|
Max multicast addresses |
授權Portal用戶可加入的組播組的最大數目 |
|
Multicast address list |
授權Portal用戶可加入的組播組列表。若未授權組播組列表,則顯示為N/A |
|
User group |
Portal用戶所屬的用戶組的名稱。當用戶組的ID取值為0xffffffff時無效。 |
|
Flow statistic |
Portal用戶流量統計信息 |
|
Uplink packets/bytes |
上行流量報文數/字節數 |
|
Downlink packets/bytes |
下行流量報文數/字節數 |
|
Dual-stack traffic statistics |
Portal雙協議棧用戶流量統計信息 |
|
ITA |
(暫不支持)Portal用戶的ITA業務流量統計信息 |
|
Accounting merge |
(暫不支持)ITA統一計費功能的開啟狀態,包括以下取值: · Enabled:開啟了統一計費功能,即係統將ITA業務策略下所有級別的流量進行合並,並以該ITA業務策略中配置的最低的流量計費級別上報給計費服務器 · Disabled:未開啟統一計費功能,即係統將各個級別的流量分別上報給計費服務器 |
|
Traffic separate |
(暫不支持)ITA業務流量與用戶總計費流量分離功能的開啟狀態,包括以下取值: · Enabled:設備上報給計費服務器的用戶總計費流量中不包含ITA流量 · Disabled:設備上報給計費服務器的用戶主計費流量中包含ITA流量 |
|
Quota-out offline |
(暫不支持)ITA業務流量配額耗盡策略,包括以下取值: · Enabled:當用戶的指定級別的流量配額耗盡後,用戶不能訪問授權的目的IP地址段 · Disabled:當用戶的指定級別的流量配額耗盡後,用戶仍能訪問授權的目的IP地址段 |
|
Level-n session duration |
(暫不支持)AAA授權計費級別為n的ITA業務流量的會話超時時間以及剩餘的在線時長。若未授權,則顯示為N/A |
|
Remaining traffic |
(暫不支持)AAA授權ITA業務流量的剩餘流量 |
|
Traffic action |
(暫不支持)ITA業務流量配額耗盡策略規則的匹配動作,包括以下取值: · Permit:當用戶的指定級別的流量配額耗盡後,允許用戶訪問授權的目的IP地址段 · Deny:當用戶的指定級別的流量配額耗盡後,禁止用戶訪問授權的目的IP地址段 |
|
Inbound CAR |
(暫不支持)AAA為ITA業務流量授權的入方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權入方向CAR,則顯示為N/A。如果下發成功,顯示為active,否則為inactive |
|
Outbound CAR |
(暫不支持)AAA為ITA業務流量授權的出方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps)。若未授權出方向CAR,則顯示為N/A。如果下發成功,顯示為active,否則為inactive |
|
Uplink packets/bytes |
(暫不支持)ITA業務流量上行流量報文數/字節數 |
|
Downlink packets/bytes |
(暫不支持)ITA業務流量下行流量報文數/字節數 |
# 顯示所有Portal用戶的簡要信息。
<Sysname> display portal user all brief
IP address MAC address Online duration Username
2.2.2.2 000d-88f8-0eab 1:53:7 abc
3.3.3.3 000d-88f8-0eac 1:53:7 def
表1-8 display portal user brief命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
Portal用戶的IP地址 |
|
MAC address |
Portal用戶的MAC地址 |
|
Online duration |
用戶在線時長(時:分:秒) |
|
Username |
Portal用戶的用戶名 |
【相關命令】
· portal enable
display portal web-server命令用來顯示Portal Web服務器信息。
【命令】
display portal web-server [ server-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
server-name:Portal Web服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
若不指定參數server-name,則顯示所有Portal Web服務器信息。
【舉例】
# 顯示Portal Web服務器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
Type : IMC
URL : http://www.test.com/portal
URL parameters : userurl=http://www.test.com/welcome
userip=source-address
VPN instance : Not configured
Server detection : Interval: 120s Attempts: 5 Action: log
IPv4 status : Up
IPv6 status : Up
Captive-bypass : Disabled
If-match : original-url http://2.2.2.2 redirect-url http://192.168.56.2
表1-9 display portal web-server命令顯示信息描述表
|
字段 |
描述 |
|
Type |
Portal Web服務器類型,其取值如下: · CMCC:符合中國移動標準規範的服務器 · iMC:符合iMC標準規範的服務器 |
|
Portal Web server |
Portal Web服務器名稱 |
|
URL |
Portal Web服務器的URL地址以及攜帶的參數 |
|
URL parameters |
Portal Web服務器的URL攜帶的參數信息 |
|
VPN instance |
Portal Web服務器所屬的MPLS L3VPN實例名稱 |
|
Server detection |
Portal Web服務器可達性探測功能的參數,包括探測間隔時間(單位:秒),探測嚐試次數以及探測到服務器狀態變化後的動作(log) |
|
IPv4 status |
IPv4 Portal Web服務器當前狀態,其取值如下: · Up:服務器可達性探測功能未開啟,或服務器可達性探測功能開啟且探測結果為該服務器當前可達 · Down:服務器可達性探測功能已開啟,且探測結果為該服務器當前不可達 |
|
IPv6 status |
IPv6 Portal Web服務器當前狀態,其取值如下: · Up:服務器可達性探測功能未開啟,或服務器可達性探測功能開啟且探測結果為該服務器當前可達 · Down:服務器可達性探測功能已開啟,且探測結果為該服務器當前不可達 |
|
Captive-bypass |
Portal被動Web認證功能狀態,其取值如下: · Disabled:未開啟 · Enabled:已開啟 |
|
If-match |
配置的URL重定向匹配規則,未配置時,顯示Not configured |
【相關命令】
· portal enable
· portal web-server
· server-detect (portal web-server view)
display web-redirect rule命令用來顯示指定接口上的Web重定向過濾規則信息。
【命令】
display web-redirect rule interface interface-type interface-number [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的Web重定向過濾規則信息。interface-type interface-number為接口類型和接口編號。
slot slot-number:顯示指定成員設備上指定接口的Web重定向過濾規則信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則顯示主用設備上的Web重定向過濾規則信息。
【舉例】
# 顯示接口Vlan-interface100上的所有Web重定向過濾規則。
<Sysname> display web-redirect rule interface vlan-interface 100
IPv4 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
IPv6 web-redirect rules on vlan-interface 100:
Rule 1:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
表1-10 display web-redirect rule命令顯示信息描述表
|
字段 |
描述 |
|
Rule |
Web重定向規則編號 |
|
Type |
Web重定向規則的類型,包括以下取值: · Static:靜態類型。該類型的規則在Web重定向功能生效時生成 · Dynamic:動態類型。該類型的規則在用戶訪問重定向頁麵時生成 |
|
Action |
Web重定向規則的匹配動作,包括以下取值: · Permit:允許報文通過 · Redirect:重定向報文 |
|
Status |
Web重定向規則下發的狀態,包括以下取值: · Active:表示規則已生效 · Inactive:表示規則未生效 |
|
Source |
Web重定向規則的源信息 |
|
IP |
源IP地址 |
|
Mask |
源IPv4地址子網掩碼 |
|
Prefix length |
源IPv6地址前綴 |
|
VLAN |
源VLAN,如果未指定,顯示為Any |
|
Protocol |
Web重定向規則中使用的傳輸層協議類型,取值隻能為TCP |
|
Destination |
Web重定向規則的目的信息 |
|
Port |
目的傳輸層端口號,默認為80 |
if-match命令用來配置重定向URL的匹配規則。
undo if-match命令用來刪除配置的重定向URL匹配規則。
【命令】
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
undo if-match { original-url url-string | user-agent user-agent }
【缺省情況】
不存在重定向URL的匹配規則。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
original-url url-string:根據用戶Web訪問請求的URL地址進行匹配,其中url-string是用戶Web訪問請求的URL地址,為1~256個字符的字符串,區分大小寫。該URL地址必須是以http://或者https://開頭的完整URL路徑。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
redirect-url url-string:Web訪問請求被重定向後的地址,為1~256個字符的字符串,區分大小寫。該URL地址必須是以http://或者https://開頭的完整URL路徑。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
url-param-encryption:對設備重定向給用戶的Portal Web服務器URL中攜帶的所有參數信息進行加密。如果未指定本參數,則表示不對攜帶的所有參數信息進行加密。
aes:加密算法為AES算法。
des:加密算法為DES算法。
key:設置密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。密鑰的長度範圍和選擇的加密方式有關。具體關係如下:
· 對於des加密方式,明文密鑰為8個字符的字符串,密文密鑰為41個字符的字符串。
· 對於aes加密方式,明文密鑰為1~31個字符的字符串,密文密鑰為1~73個字符的字符串。
user-agent user-agent:根據用戶HTTP/HTTPS請求報文中的User Agent信息進行匹配,其中user-agent是HTTP User Agent信息內容,為1~255個字符的字符串,區分大小寫。HTTP User Agent信息包括硬件廠商信息、軟件操作係統信息、瀏覽器信息、搜索引擎信息等內容。
【使用指導】
重定向URL匹配規則用於控製重定向用戶的HTTP或HTTPS請求,該匹配規則可匹配用戶的Web請求地址或者用戶的終端信息。為了讓用戶能夠成功訪問重定向後的地址,需要通過portal free-rule命令配置免認證規則,放行去往該地址的HTTP或HTTPS請求報文。與url命令不同的是,重定向匹配規則可以靈活的進行地址的重定向,而url命令一般隻用於將用戶的HTTP或HTTPS請求重定向到Portal Web服務器進行Portal認證。在二者同時存在時,if-match命令優先進行地址的重定向。
【舉例】
# 配置URL地址為http://www.abc.com.cn的匹配規則,訪問此地址的報文被重定向到http://192.168.0.1,對重定向URL中攜帶的參數進行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678
# 配置用戶代理信息為5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配規則,訪問此地址的報文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1
【相關命令】
· display portal web-server
· portal free-rule
· url
· url-parameter
ip命令用來指定Portal認證服務器的IPv4地址。
undo ip命令用來恢複缺省情況。
【命令】
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情況】
未指定Portal認證服務器的IPv4地址。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:Portal認證服務器的IPv4地址。
vpn-instance vpn-instance-name:Portal認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示Portal認證服務器位於公網中。
key:與Portal認證服務器通信時使用的共享密鑰。設備與Portal認證服務器交互的Portal報文中會攜帶一個在該共享密鑰參與下生成的驗證字,該驗證字用於接受方校驗收到的Portal報文的正確性。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密鑰為1~64個字符的字符串,密文密鑰為1~117個字符的字符串。
【使用指導】
一個Portal認證服務器對應一個IPv4地址,因此一個Portal認證服務器視圖下隻允許存在一個IPv4地址。多次執行本命令,最後一次執行的命令生效。
不同的Portal認證服務器不允許IPv4地址和VPN的配置都相同。
【舉例】
# 指定Portal認證服務器pts的IPv4地址為192.168.0.111、共享密鑰為明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
【相關命令】
· portal server
· display portal server
ipv6命令用來指定Portal認證服務器的IPv6地址。
undo ipv6命令用來恢複缺省情況。
【命令】
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo ipv6
【缺省情況】
未指定Portal認證服務器的IPv6地址。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-address:Portal認證服務器的IPv6地址。
vpn-instance vpn-instance-name:Portal認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示Portal認證服務器位於公網中。
key:與Portal認證服務器通信需要的共享密鑰。設備與Portal認證服務器交互的Portal報文中會攜帶一個在該共享密鑰參與下生成的驗證字,該驗證字用於接受方校驗收到的Portal報文的正確性。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密鑰為1~64個字符的字符串,密文密鑰為1~117個字符的字符串。
【使用指導】
一個Portal認證服務器對應一個IPv6地址,因此一個Portal認證服務器視圖下隻允許存在一個IPv6地址。多次執行本命令,最後一次執行的命令生效。
不同的Portal認證服務器不允許IPv6地址和VPN實例的配置都相同。
【舉例】
# 指定Portal認證服務器pts的IPv6地址為2000::1、共享密鑰為明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ipv6 2000::1 key simple portal
【相關命令】
· display portal server
· portal server
port命令用來配置設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號。
undo port命令用來恢複缺省情況。
【命令】
port port-number
undo port
【缺省情況】
設備主動發送Portal報文時使用的UDP端口號為50100。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
port-number:設備向Portal認證服務器主動發送Portal報文時使用的目的UDP端口號,取值範圍為1~65534。
【使用指導】
本命令配置的端口號要和Portal認證服務器上配置的監聽Portal報文的端口號保持一致。
【舉例】
# 配置設備向Portal認證服務器pts主動發送Portal報文時使用的目的UDP端口號為50000。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
【相關命令】
· portal server
portal { bas-ip | bas-ipv6 }命令用來設置發送給Portal認證服務器的Portal報文中的BAS-IP或BAS-IPv6屬性。
undo portal { bas-ip | bas-ipv6 }命令用來恢複缺省情況。
【命令】
portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }
undo portal { bas-ip | bas-ipv6 }
【缺省情況】
對於響應類報文IPv4 Portal報文中的BAS-IP屬性為報文的源IPv4地址,IPv6 Portal報文中的BAS-IPv6屬性為報文源IPv6地址。
對於通知類報文IPv4 Portal報文中的BAS-IP屬性為出接口的IPv4地址,IPv6 Portal報文中的BAS-IPv6屬性為出接口的IPv6地址。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:接口發送Portal報文的BAS-IP屬性值,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6-address:接口發送Portal報文的BAS-IPv6屬性值,應該為本機的地址,不能為多播地址、全0地址、本地鏈路地址。
【使用指導】
設備上運行Portal協議2.0版本時,主動發送給Portal認證服務器的報文(例如強製用戶下線報文)中必須攜帶BAS-IP屬性。設備上運行Portal協議3.0版本時,主動發送給Portal認證服務器必須攜帶BAS-IP或者BAS-IPv6屬性。
配置此命令後,設備主動發送的通知類Portal報文,其源IP地址為配置的BAS-IP,否則為Portal報文出接口IP地址。
接口上開啟了二次地址分配認證方式的Portal認證時,如果Portal認證服務器上指定的設備IP不是Portal報文出接口IP地址,則必須通過本命令配置相應的BAS-IP或BAS-IPv6屬性,使其值與Portal認證服務器上指定的設備IP一致,否則Portal用戶無法認證成功。
使用iMC的Portal認證服務器的情況下,如果Portal服務器上指定的設備IP不是設備上Portal報文出接口的IP地址,則開啟了Portal認證的接口上必須配置BAS-IP或者BAS-IPv6屬性。
【舉例】
# 配置接口Vlan-interface100發送Portal報文的BAS-IP屬性值為2.2.2.2。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2
【相關命令】
· display portal
portal { ipv4-max-user | ipv6-max-user | max-user }命令用來配置接口上的Portal最大用戶數。
undo portal { ipv4-max-user | ipv6-max-user | max-user }命令用來恢複缺省情況。
【命令】
portal { ipv4-max-user | ipv6-max-user | max-user } max-number
undo portal { ipv4-max-user | ipv6-max-user | max-user }
【缺省情況】
接口上的Portal最大用戶數不受限製。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-max-user:表示接口上允許的最大IPv4 Portal用戶數。
ipv6-max-user:表示接口上允許的最大IPv6 Portal用戶數。
max-user:表示接口上允許的最大Portal用戶數。
max-number:接口上允許的最大Portal用戶數,取值範圍為1~4294967295。
【使用指導】
如果接口上配置的Portal最大用戶數小於當前接口上已經在線的Portal用戶數,則該配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該接口接入。
建議接口上配置的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和不超過配置的接口最大Portal用戶數,否則會有部分Portal用戶因為接口最大用戶數已達到上限而無法上線。
設備支持多種方式配置Portal最大用戶數,多種方式同時配置時,具體生效情況如下:
· 如果設備接口上未開啟Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大IPv4或IPv6 Portal用戶數。
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
· 如果設備接口上開啟了Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
【舉例】
# 在接口Vlan-interface100上配置IPv4 Portal最大用戶數為100。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv4-max-user 100
【相關命令】
· display portal
· display portal user
· portal dual-stack enable
· portal max-user
portal access-info trust命令用來指定通過查詢ARP/ND表項來獲取Portal用戶信息。
undo portal access-info trust命令用來恢複缺省情況。
【命令】
portal access-info trust { arp | nd }
undo portal access-info trust { arp | nd }
【缺省情況】
設備通過查詢FIB表項來獲取Portal用戶信息。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
arp:表示通過查詢ARP表項來獲取IPv4 Portal用戶信息。
nd:表示通過查詢ND表項來獲取IPv6 Portal用戶信息。
【使用指導】
在遠程Web認證組網中,設備收到Portal認證服務器發送的Portal協議報文時,通過查詢FIB表項無法獲取用戶的MAC地址和二層接入接口等信息,從而導致用戶無法通過Web認證。
為了解決這個問題,需要指定設備通過查詢ARP/ND表項來獲取用戶的接入信息,從而保證用戶正常上線。
【舉例】
# 指定通過查詢ARP表項來獲取Portal用戶信息。
<Sysname> system-view
[Sysname] portal access-info trust arp
portal apply web-server命令用來引用Portal Web服務器,設備會將Portal用戶的HTTP請求報文重定向到該Web服務器。
undo portal apply web-server命令用來刪除指定的Portal Web服務器。
【命令】
portal [ ipv6 ] apply web-server server-name [ fail-permit | secondary ]
undo portal [ ipv6 ] apply web-server [ server-name ]
【缺省情況】
未引用Portal Web服務器。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Portal Web服務器。若不指定該參數,則表示IPv4 Portal Web服務器。
server-name:被引用的Portal Web服務器的名稱,為1~32個字符的字符串,區分大小寫,且必須已經存在。
fail-permit:開啟Portal Web服務器不可達時的Portal用戶逃生功能,即設備探測到Portal Web服務器不可達時取消接口上的Portal認證功能,允許用戶不經過Portal認證即可自由訪問網絡。
secondary:表示備份Portal Web服務器。若不指定該參數,則表示主Portal Web服務器。
【使用指導】
一個接口上可以同時開啟IPv4 Portal認證和IPv6 Portal認證,因此也可以同時引用IPv4 Portal Web服務器和IPv6 Portal Web認證服務器。
如果接口上同時開啟了Portal認證服務器逃生功能和Portal Web服務器逃生功能,則當任意一個服務器不可達時,即取消接口Portal認證功能,當兩個服務器均恢複正常通信後,再重新啟動Portal認證功能。
Portal認證開啟後,可以同時引用一個主Portal Web服務器和一個備份Portal Web服務器。
設備優先使用主Portal Web服務器進行Portal認證。當主Portal Web服務器不可達時,如果備份Portal Web服務器可達,設備將切換到備份Portal Web服務器進行Portal認證。當主Portal Web服務器恢複可達時,設備將強製切換回主Portal Web服務器進行Portal認證。
要實現主、備Portal Web服務器的自動切換,需要分別對引用的主、備Portal Web服務器配置Portal Web服務器可達性探測功能。
通過此命令配置Portal Web服務器逃生功與配置備份Portal Web服務器互斥,不可同時配置。
【舉例】
# 在接口Vlan-interface100上引用名稱為wbs的Portal Web服務器作為用戶認證時使用的主Web服務器。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal apply web-server wbs
【相關命令】
· display portal
· portal fail-permit web-server
· portal web-server
portal authorization strict-checking命令用來開啟Portal授權信息的嚴格檢查模式。
undo portal authorization strict-checking命令用來關閉Portal授權信息的嚴格檢查模式。
【命令】
portal authorization { acl | user-profile } strict-checking
undo portal authorization { acl | user-profile } strict-checking
【缺省情況】
缺省為非嚴格檢查授權信息模式,當服務器下發的授權ACL、User Profile在設備上不存在或者下發失敗時,用戶保持在線。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
acl:表示開啟對授權ACL的嚴格檢查。
user-profile:表示開啟對授權User Profile的嚴格檢查。
【使用指導】
· 接口上開啟Portal授權信息的嚴格檢查模式後,當服務器給用戶下發的授權ACL、User Profile在設備上不存在或者下發失敗時,設備將強製該用戶下線。
· 可同時開啟對授權ACL和授權User Profile的嚴格檢查模式。若同時開啟了對授權ACL和對授權User Profile的嚴格檢查模式,則隻要其中任意一個授權屬性未通過嚴格授權檢查,則用戶就會下線。
【舉例】
# 在接口Vlan-interface100上開啟對授權ACL的嚴格檢查模式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] portal authorization acl strict-checking
【相關命令】
· display portal
portal delete-user命令用來強製在線Portal用戶下線。
【命令】
portal delete-user { ipv4-address | all | auth-type { cloud | local | normal } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:在線Portal用戶的IPv4地址。
all:所有接口下的在線IPv4 Portal用戶和IPv6 Portal用戶。
auth-type:在線Portal用戶的認證類型。
cloud:Portal認證類型為雲端認證,即Portal服務器在雲端對用戶進行Portal認證。
local:Portal認證類型為本地認證。
normal:Portal認證類型為普通認證,即采用遠程Portal認證服務器進行正常Portal認證。
interface interface-type interface-number:指定接口下的所有在線Portal用戶,包括IPv4 Portal用戶和IPv6 Portal用戶。interface-type interface-number為接口類型和接口編號。
ipv6 ipv6-address:指定在線IPv6 Portal用戶的地址。
mac mac-address:指定在線Portal用戶的MAC地址。mac-address格式為H-H-H。
【舉例】
# 強製IP地址為1.1.1.1的在線Portal用戶下線。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
# 強製MAC地址為000d-88f8-0eab的在線Portal用戶下線。
<Sysname> system-view
[Sysname] portal delete-user mac 000d-88f8-0eab
# 強製所有通過雲端認證的用戶下線。
<Sysname> system-view
[Sysname] portal delete-user auth-type cloud
【相關命令】
· display portal user
portal device-id命令用來配置設備ID。
undo portal device-id命令用來恢複缺省情況。
【命令】
portal device-id device-id
undo portal device-id
【缺省情況】
未配置任何設備ID。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
device-id:設備ID,為1~63個字符的字符串,區分大小寫。
【使用指導】
通過配置設備ID,使得設備向Portal服務器發送的協議報文中攜帶一個屬性,此屬性用於向Portal服務器標識發送協議報文的接入設備。
不同設備的設備ID不能相同。
【舉例】
# 配置設備的ID名為0002.0010.100.00。
<Sysname> system-view
[Sysname] portal device-id 0002.0010.100.00
portal [ ipv6 ] domain命令用於指定Portal用戶使用的認證域,使得所有從該接口接入的Portal用戶強製使用該認證域。
undo portal [ ipv6 ] domain命令用來刪除Portal用戶使用的認證域。
【命令】
portal [ ipv6 ] domain domain-name
undo portal [ ipv6 ] domain
【缺省情況】
未指定Portal用戶使用的認證域。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 Portal用戶使用的認證域。若不指定本參數,則表示指定IPv4 Portal用戶使用的認證域。
domain-name:ISP認證域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
接口上可以同時指定IPv4 Portal用戶和IPv6 Portal用戶的認證域。
如果不指定ipv6參數,則表示配置或者刪除IPv4 Portal用戶使用的認證域。
【舉例】
# 指定從接口Vlan-interface100上接入的IPv4 Portal用戶使用認證域為my-domain。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
【相關命令】
· display portal
portal m-lag load-sharing-mode命令用來配置在M-LAG組網中,M-LAG接口上Portal用戶認證的負載分擔模式。
undo portal m-lag load-sharing-mode命令用來恢複缺省情況。
【命令】
portal m-lag load-sharing-mode { centralized | distributed { even-ip | odd-ip } }
undo portal m-lag load-sharing-mode
【缺省情況】
M-LAG接口上Portal用戶認證的負載分擔模式為集中處理模式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
centralized:集中處理模式,本端和對端M-LAG接口上的Portal用戶認證均由M-LAG主設備進行處理。
distributed { even-ip | odd-ip }:分布處理模式及分布規則,M-LAG接口上的Portal用戶認證根據分布規則分布到兩台M-LAG設備上處理。
· even-ip:本端和對端M-LAG接口上的IP地址為偶數的Portal用戶的認證報文均在本端M-LAG設備處理。
· odd-ip:本端和對端M-LAG接口上的IP地址為奇數的Portal用戶的認證報文均在本端M-LAG設備處理。
【使用指導】
在M-LAG組網中,若Portal用戶在本端M-LAG設備上通過認證,本端M-LAG設備會將用戶數據同步發送到對端M-LAG設備進行備份。當一端M-LAG設備發生故障時,對端M-LAG設備可以使用備份的用戶數據接替處理業務,從而保證用戶業務的正常運行。
當Portal用戶數量較多時,為了提高Portal用戶認證上線的處理效率,推薦使用該命令來配置M-LAG接口上Portal用戶認證的負載分擔模式。
請勿同時將兩台M-LAG設備的M-LAG接口上Portal用戶認證的負載分擔模式同時設置為even-ip模式或odd-ip模式,否則可能導致Portal用戶無法上線。
當M-LAG組網中已有Portal用戶上線成功後,不允許使用本命令更改M-LAG接口上Portal用戶認證的負載分擔模式。
如果多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置在M-LAG組網中,M-LAG接口上Portal用戶認證的負載分擔模式為odd-ip。
<Sysname> system-view
[Sysname] portal m-lag load-sharing-mode distributed odd-ip
portal m-lag traffic backup命令用來在M-LAG組網中,配置Portal用戶流量備份時間或備份流量閾值。
undo portal m-lag traffic backup命令用來恢複缺省情況。
【命令】
portal m-lag traffic backup { interval interval-value | threshold threshold-value } *
undo portal m-lag traffic backup
【缺省情況】
Portal用戶流量備份的時間間隔和流量閾值分別為10分鍾和50MB。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval interval-value:Portal用戶流量備份的時間間隔,取值範圍為0~1440,單位為分鍾。
threshold threshold-value:Portal用戶流量備份的流量閾值,取值範圍為0~100000,單位為兆字節。當M-LAG設備收到總的Portal用戶流量數值與上次備份的流量數值差值達到該閾值時,將觸發本端設備將用戶流量備份給對端M-LAG設備。
【使用指導】
在M-LAG組網中,為了避免頻繁觸發Portal用戶流量統計信息在M-LAG設備之間的備份,可以使用此命令配置Portal用戶流量備份的時間間隔或流量閾值。
如果同時配置了流量備份的時間間隔和流量閾值,一旦滿足兩者中的任意一個條件,即可觸發備份。
當流量備份的時間間隔和流量閾值均為0時,表示關閉Portal用戶流量備份功能。
如果多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置Portal用戶流量備份的流量閾值為10240MB。
<Sysname> system-view
[Sysname] portal m-lag traffic backup threshold 10240
portal dual-stack enable命令用來開啟Portal支持雙協議棧功能。
undo portal dual-stack enable命令用來關閉Portal支持雙協議棧功能。
【命令】
portal dual-stack enable
undo portal dual-stack enable
【缺省情況】
Portal支持雙協議棧功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
用戶主機同時支持IPv4和IPv6兩種協議時,可能會產生兩種協議類型的流量。如果用戶隻通過IPv4 Portal或IPv6 Portal其中一種認證,就隻能訪問對應協議棧的網絡資源。例如,用戶通過IPv4 Portal認證後隻能訪問IPv4協議棧的網絡資源,不能訪問IPv6協議棧的網絡資源。在同時配置了IPv4 Portal直接認證和IPv6 Portal直接認證的接口上,開啟本功能後,用戶隻需要通過IPv4 Portal或IPv6 Portal認證其中任何一種,就可以訪問IPv4和IPv6兩種協議棧對應的網絡資源。
僅當接口上同時開啟直接認證方式的IPv4 和IPv6 Portal認證功能時,開啟本功能才生效。
【舉例】
# 在接口Vlan-interface100上開啟Portal支持雙棧功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal dual-stack enable
【相關命令】
· portal enable (interface view)
portal [ ipv6 ] enable命令用來開啟Portal認證功能,並指定認證方式。
undo portal [ ipv6 ] enable命令用來關閉Portal認證功能。
【命令】
portal enable method { direct | layer3 | redhcp }
portal ipv6 enable method { direct | layer3 }
undo portal [ ipv6 ] enable
【缺省情況】
Portal認證功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Portal認證。若不指定該參數,則表示IPv4 Portal認證。
method:認證方式。
· direct:直接認證方式。
· layer3:可跨三層認證方式。
· redhcp:二次地址分配認證方式。
【使用指導】
不能通過重複執行本命令來修改Portal認證方式。如需修改Portal的認證方式,請先通過undo portal [ ipv6 ] enable命令取消Portal認證功能,再執行portal [ ipv6 ] enable命令。
開啟IPv6 Portal認證功能之前,需要保證設備支持IPv6 ACL和IPv6轉發功能。
IPv6 Portal認證不支持二次地址分配方式。
允許在接口上同時開啟IPv4 Portal認證和IPv6 Portal認證功能。
【舉例】
# 在接口Vlan-interface100上開啟IPv4 Portal認證,且指定為直接認證方式。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct
【相關命令】
· display portal
portal [ ipv6 ] fail-permit server命令用來開啟Portal認證服務器不可達時的Portal用戶逃生功能。
undo portal [ ipv6 ] fail-permit server命令用來關閉Portal認證服務器不可達時的Portal用戶逃生功能。
【命令】
portal [ ipv6 ] fail-permit server server-name
undo portal [ ipv6 ] fail-permit server
【缺省情況】
Portal認證服務器不可達時的Portal用戶逃生功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Portal認證服務器。若不指定該參數,則表示IPv4 Portal認證服務器。
server-name:Portal認證服務器名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
如果接口上同時開啟了Portal認證服務器不可達時的Portal用戶逃生功能和Portal Web服務器不可達時的Portal用戶逃生功能,則當任意一個服務器不可達時,立即放開接口控製,允許用戶不經過Portal認證即可自由訪問網絡;當兩個服務器均恢複可達後,再重新啟動接口的Portal認證功能。重新啟動接口的Portal認證功能之後,未通過認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的用戶可繼續訪問網絡資源。
一個接口上,最多同時可以開啟一個Portal認證服務器不可達時的Portal用戶逃生功能和一個Portal Web服務器不可達時的Portal用戶逃生功能。
Portal雙棧認證組網中,本配置僅對第一協議棧用戶生效,對第二協議棧用戶不生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在接口Vlan-interface100上啟用Portal認證服務器 pts1不可達時的Portal用戶逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit server pts1
【相關命令】
· display portal
· portal fail-permit web-server
portal fail-permit web-server命令用來開啟Portal Web服務器不可達時的Portal用戶逃生功能,即設備探測到Portal Web服務器不可達時暫停接口上的Portal認證功能,允許用戶不經過Portal認證即可自由訪問網絡。
undo portal fail-permit web-server命令用來關閉Portal Web服務器不可達時的Portal用戶逃生功能。
【命令】
portal [ ipv6 ] fail-permit web-server
undo portal [ ipv6 ] fail-permit web-server
【缺省情況】
Portal Web服務器不可達時的Portal用戶逃生功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Portal Web服務器。若不指定該參數,則表示IPv4 Portal Web服務器。
【使用指導】
如果接口上同時開啟了Portal認證服務器和Portal Web服務器不可達時的Portal用戶逃生功能,則當所有的Portal Web服務器都不可達或者指定的Portal認證服務器不可達時,暫停接口上的Portal認證功能;當指定的Portal認證服務器與至少一個Portal Web服務器均恢複可達後,接口上的Portal認證功能將重新啟動。在Portal認證功能重新啟動之後,服務器不可達之前以及逃生期間未認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的Portal用戶不受影響。
同一個接口上,隻有當主Portal Web服務器和備份Portal Web服務器都不可達的時候,設備才會認為Portal Web服務器不可達。
【舉例】
# 在接口Vlan-interface100上啟用Portal Web服務器不可達時的Portal用戶逃生功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit web-server
【相關命令】
· display portal
· portal fail-permit server
portal free-all except destination命令用來配置IPv4 Portal目的認證網段。
undo portal free-all except destination命令用來刪除IPv4 Portal目的認證網段。
【命令】
portal free-all except destination ipv4-network-address { mask-length | mask }
undo portal free-all except destination [ ipv4-network-address ]
【缺省情況】
未配置IPv4 Portal目的網段認證,表示對訪問任意目的網段的用戶都進行Portal認證。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-network-address:IPv4 Portal認證網段地址。
mask-length:子網掩碼長度,取值範圍為0~32。
mask:子網掩碼,點分十進製格式。
【使用指導】
接口上僅要求Portal用戶訪問指定目的認證網段(除免認證規則中指定的目的IP地址或網段)時才需要進行Portal認證,訪問其它網段訪問時不需要進行Portal認證。
可以通過多次執行本命令,配置多條目的認證網段。
如果undo命令中不攜帶IP地址參數,則表示刪除所有的IPv4 Portal目的認證網段。
目的網段認證對二次地址分配認證方式的Portal認證不生效。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段配置不會生效。
【舉例】
# 在接口Vlan-interface2上配置IPv4 Portal目的認證網段為11.11.11.0/24,僅允許訪問11.11.11.0/24網段的用戶觸發Portal認證,其它目的網段可以直接訪問。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24
【相關命令】
· display portal
portal free-rule命令用來配置基於IP地址的Portal免認證規則。
undo portal free-rule命令用來刪除指定的或所有Portal免認證規則。
【命令】
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
undo portal free-rule { rule-number | all }
【缺省情況】
不存在基於IP地址的Portal免認證規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rule-number:免認證規則編號。取值範圍為0~4294967295。
destination:指定目的信息。
source:指定源信息。
ip ipv4-address:免認證規則的IPv4地址。
{ mask-length | mask }:免認證規則的IP地址掩碼。其中,mask-length為子網掩碼長度,取值範圍為0~32;mask為子網掩碼,點分十進製格式。
ipv6 ipv6-address:免認證規則的IPv6地址。
prefix-length:免認證規則的IPv6地址前綴長度,取值範圍為0~128。
ip any:任意IPv4地址。
ipv6 any:任意IPv6地址。
tcp tcp-port-number:免認證規則的TCP端口號,取值範圍為0~65535。
udp udp-port-number:免認證規則的UDP端口號,取值範圍為0~65535。
all:所有免認證規則。
interface interface-type interface-number:免認證規則生效的三層接口。
【使用指導】
可以同時指定源和目的參數,或者僅指定其中一個參數,後者表示另外一個地址不受限製。
如果免認證規則中同時配置了源端口號和目的端口號,則要求源和目的端口號所屬的傳輸層協議類型保持一致。
未指定三層接口的情況下,免認證規則對所有開啟Portal的接口生效;指定三層接口的情況下,免認證規則隻對指定的三層接口生效。
相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
【舉例】
# 配置一條基於IPv4地址的Portal免認證規則:編號為1、源地址為10.10.10.1/24、目的地址為20.20.20.1、目的TCP端口號為23、生效接口為Vlan-interface1。該規則表示在Vlan-interface1接口上,10.10.10.1/24網段地址的用戶不需要經過Portal認證即可以訪問地址為20.20.20.1的主機在TCP端口23上提供的服務。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 1
# 配置一條基於IPv6地址的Portal免認證規則:編號為2、源地址為2000::1/64、目的地址為2001::1、目的TCP端口號為23、生效接口為Vlan-interface1。該規則表示在Vlan-interface1接口上,2000::1/64網段地址的用戶不需要經過Portal認證即可以訪問目的地址為2001::1的主機在TCP端口23上提供的服務。
<Sysname> system-view
[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ipv6 2000::1 64 interface vlan-interface 1
【相關命令】
· display portal rule
portal free-rule destination命令用來配置基於目的的Portal免認證規則,這裏的目的指的是主機名。
undo portal free-rule命令用來刪除指定的或所有Portal免認證規則。
【命令】
portal free-rule rule-number destination host-name
undo portal free-rule { rule-number | all }
【缺省情況】
不存在基於目的的Portal免認證規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rule-number:免認證規則編號。取值範圍為0~4294967295。
destination:指定目的信息。
host-name:主機名,為1~253個字符的字符串,不區分大小寫,字符串中可以包含字母、數字、“-”、“_”、“.”和通配符“*”,且不能為“i”、“ip”、“ipv”和“ipv6”。
all:所有免認證規則。
【使用指導】
基於目的Portal免認證規則支持如下兩種配置方式:
· 精確匹配:即完整匹配主機名。例如配置的主機名為abc.com.cn,其含義為隻匹配abc.com.cn的主機名,如果報文中攜帶的主機名為dfabc.com.cn,則匹配失敗。
· 模糊匹配:即使用通配符配置主機名,通配符隻能位於主機名字符串之首或末尾,例如配置的主機名為*abc.com.cn、abc*和*abc*,其含義分別為匹配所有以abc.com.cn結尾的主機名、匹配所有以abc開頭的主機名和匹配所有含有abc字符串的主機名。
配置基於目的Portal免認證規則時,需要注意的是:
· 配置本功能前,請確保組網中已部署DNS服務器。
· 通配符“*”表示任意個數字符,設備會將已配置的多個連續的通配符識別為一個通配符。
· 配置的主機名不能隻有通配符。
· 相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
· 目前,隻有用戶瀏覽器發起的HTTP/HTTPS請求報文,支持模糊匹配的免認證規則。
【舉例】
# 配置一條基於目的的Portal免認證規則:編號為4、主機名為www.abc.com。該規則表示用戶的HTTP/HTTPS請求報文中的主機名必須是www.abc.com時,該用戶才可以不需要經過Portal認證即可以訪問網絡資源。
<Sysname> system-view
[Sysname] portal free-rule 4 destination www.abc.com
【相關命令】
· display portal rule
portal free-rule source命令用來配置基於源的Portal免認證規則,這裏的源可以是源MAC地址、源接口或者源VLAN。
undo portal free-rule命令用來刪除指定的或所有Portal免認證規則。
【命令】
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo portal free-rule { rule-number | all }
【缺省情況】
未配置基於源的Portal免認證規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rule-number:免認證規則編號。取值範圍為0~4294967295。
interface interface-type interface-number:免認證規則的源接口。interface-type interface-number為接口類型和接口編號。
mac mac-address:免認證規則的源MAC地址,為H-H-H的形式。
vlan vlan-id:免認證規則的源VLAN編號。配置本關鍵字僅對通過VLAN接口接入的Portal用戶生效。
all:所有免認證規則。
【使用指導】
如果免認證規則中同時指定了源VLAN和二層源接口,則要求該接口屬於對應的VLAN,否則該規則無效。
【舉例】
# 配置一條Portal免認證規則:編號為3、源MAC地址為1-1-1、源VLAN為VLAN 10。該規則表示MAC地址為1-1-1,屬於VLAN 10的用戶不需要經過Portal認證即可以訪問網絡資源。
<Sysname> system-view
[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10
【相關命令】
· display portal rule
portal ipv6 free-all except destination命令用來配置IPv6 Portal目的網段認證。
undo portal ipv6 free-all except destination命令用來刪除IPv6 Portal目的認證網段。
【命令】
portal ipv6 free-all except destination ipv6-network-address prefix-length
undo portal ipv6 free-all except destination [ ipv6-network-address ]
【缺省情況】
未配置IPv6 Portal目的網段認證,表示對訪問任意IPv6目的網段的用戶都進行Portal認證。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-network-address:IPv6 Portal認證網段地址。
prefix-length:IPv6地址前綴長度,取值範圍為0~128。
【使用指導】
接口上僅要求在Portal用戶訪問指定目的認證網段(除免認證規則中指定的目的IP地址或網段)時才需要進行Portal認證,訪問其它網段訪問時不需要進行Portal認證。
可以通過多次執行本命令,配置多條目的認證網段。
如果undo命令中不攜帶IP地址參數,則表示刪除所有的IPv6 Portal目的認證網段。
目的網段認證對二次地址分配認證方式的Portal認證不生效。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段配置不會生效。
【舉例】
# 在接口Vlan-interface2上配置IPv6 Portal目的認證網段為1::2/16,僅要求訪問1::2/16網段的用戶必須進行Portal認證。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16
【相關命令】
· display portal
portal ipv6 layer3 source命令用來配置IPv6 Portal源認證網段。
undo portal ipv6 layer3 source命令用來刪除IPv6 Portal源認證網段。
【命令】
portal ipv6 layer3 source ipv6-network-address prefix-length
undo portal ipv6 layer3 source [ ipv6-network-address ]
【缺省情況】
未配置IPv6 Portal源認證網段,表示對來自任意網段的IPv6用戶都進行Portal認證。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-network-address:IPv6 Portal源認證網段地址。
prefix-length:IPv6地址前綴長度,取值範圍為0~128。
【使用指導】
配置此功能後,接口上隻允許在源認證網段範圍內的IPv6用戶報文才能觸發Portal認證,否則丟棄。
如果undo命令中不攜帶IP地址參數,則表示刪除所有的IPv6 Portal源認證網段。
源認證網段僅對Portal的可跨三層認證方式(layer3)生效。
如果接口上同時配置了源認證網段和目的網段認證,則源認證網段配置不會生效。
【舉例】
# 在接口Vlan-interface2上配置一條IPv6 Portal源認證網段為1::1/16,僅允許來自1::1/16網段的用戶觸發Portal認證。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16
【相關命令】
· display portal
· portal ipv6 free-all except destination
portal ipv6 user-detect命令用來開啟IPv6 Portal用戶在線探測功能。
undo portal user-detect命令用來關閉IPv6 Portal用戶在線探測功能。
【命令】
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
undo portal ipv6 user-detect
【缺省情況】
IPv6 Portal用戶在線探測功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
type:指定探測類型。
· icmpv6:表示探測類型為ICMPv6。
· nd:表示探測類型為ND。
retry retries:探測次數,取值範圍為1~10,缺省值為3。
interval interval:探測間隔,取值範圍為1~1200,單位為秒,缺省值為3。
idle time:用戶在線探測閑置時長,即閑置多長時間後發起探測,取值範圍為60~3600,單位為秒,缺省值為180。
【使用指導】
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMPv6時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送探測報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ND時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ND請求報文。設備定期(interval interval)檢測用戶ND表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ND表項被刷新過,則認為用戶在線,且停止檢測用戶ND表項,重複這個過程,否則,強製其下線。
請根據配置的認證方式選擇合適的探測方法,如果配置了直接方式或者二次地址分配方式,則可以使用ND或ICMPv6探測方式,如果配置了可跨三層認證方式,則可以使用ICMPv6探測方式,若配置了ND探測方式,則探測功能不生效。
若接口上需要使用ICMPv6探測方式,請保證用戶接入設備不會過濾掉ICMPv6報文,否則接口上的ICMPv6探測方式可能會失敗,從而導致接口上的Portal用戶非正常下線。
【舉例】
# 在接口Vlan-interface100上開啟IPv6 Portal用戶在線探測功能:探測類型為ND,檢測用戶ND表項的探測次數為5次,探測間隔為10秒,閑置時間為300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300
【相關命令】
· display portal
portal layer3 source命令用來配置IPv4 Portal源認證網段。
undo portal layer3 source命令用來刪除IPv4 Portal源認證網段。
【命令】
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
【缺省情況】
未配置IPv4 Portal源認證網段,表示對來自任意網段的IPv4用戶都進行Portal認證。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-network-address:IPv4 Portal認證網段地址。
mask-length:子網掩碼長度,取值範圍為0~32。
mask:子網掩碼,點分十進製格式。
【使用指導】
配置此功能後,接口上隻允許在源認證網段範圍內的IPv4用戶報文才能觸發Portal認證,否則丟棄。
如果undo命令中不攜帶IP地址參數,則表示刪除所有的IPv4 Portal源認證網段。
源認證網段僅對Portal的可跨三層認證方式(layer3)生效。
如果接口上同時配置了源認證網段和目的網段認證,則源認證網段配置不會生效。
【舉例】
# 在接口Vlan-interface2上配置一條IPv4 Portal源認證網段為10.10.10.0/24,僅允許來自10.10.10.0/24網段的用戶觸發Portal認證。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24
【相關命令】
· display portal
· portal free-all except destination
portal local-web-server命令用來開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
undo portal local-web-server命令用來關閉本地Portal服務功能。
【命令】
portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }
undo portal local-web-server { http | https }
【缺省情況】
本地Portal服務功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
http:指定本地Portal Web服務使用HTTP協議和客戶端交互認證信息。
https:指定本地Portal Web服務使用HTTPS協議和客戶端交互認證信息。
ssl-server-policy policy-name:指定HTTPS服務關聯的SSL服務器端策略。policy-name為SSL服務器端策略的名稱,為1~31個字符的字符串,不區分大小寫,且必須已經存在。
tcp-port port-number:指定本地Portal Web服務的HTTPS服務偵聽的TCP端口號,取值範圍為1~65535,缺省值為443。
【使用指導】
本地Portal服務功能是指,Portal認證係統中不采用外部獨立的Portal Web服務器和Portal認證服務器,而由接入設備實現Portal Web服務器和Portal認證服務器功能。
隻有接口上引用的Portal Web服務器中的URL同時滿足以下兩個條件時,接口上才會使用本地Portal Web服務功能。條件如下:
· 該URL中的IP地址是設備本機上的IP地址(除127.0.0.1以外)。
· 該URL以/portal/結尾,例如:http://1.1.1.1/portal/。
配置本地Portal Web服務功能時,需要注意的是:
· 已經被HTTPS服務關聯的SSL服務器端策略不能被刪除。
· 不能通過重複執行本命令來修改HTTPS服務關聯的SSL服務器端策略,如需修改,請先通過undo portal local-web-server https命令刪除已創建的本地Portal Web服務,再執行portal local-web-server https ssl-server-policy命令。
配置本地Portal Web服務參數時,需要注意的是:
· 如果本地Portal Web服務引用的SSL服務器端策略與HTTPS服務引用的SSL服務器端策略相同,則本地Portal Web服務使用的TCP端口號可以與HTTPS服務器使用的TCP端口號相同,否則不能使用相同的TCP端口號。
· 除了HTTPS協議默認的端口號,本地Portal Web服務的TCP端口號不能與知名協議使用的端口號或者設備上其它服務已使用的TCP端口號配置一致,如HTTP的端口號80;Telnet的端口號23,否則會造成本地Portal Web服務無法向Portal用戶推送認證頁麵。
· 使用HTTP協議和HTTPS協議的本地Portal Web服務偵聽的TCP端口號不能配置一致,比如不能都配置為8080,否則會導致本地Web服務無法正常使用。
【舉例】
# 開啟本地Portal服務,並進入基於HTTP協議的本地Portal Web服務視圖。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] quit
# 開啟本地Portal服務,並進入基於HTTPS協議的本地Portal Web服務視圖,引用的SSL服務器端策略為policy1。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1
[Sysname-portal-local-websvr-https] quit
# 更改引用的SSL服務器端策略為policy2。
[Sysname] undo portal local-web-server https
[Sysname] portal local-web-server https ssl-server-policy policy2
[Sysname-portal-local-websvr-https] quit
# 使用HTTPS協議和客戶端交互認證信息的方式創建本地Portal Web服務,引用的SSL服務器端策略為policy1,指定偵聽的端口號為442。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442
[Sysname-portal-local-websvr-https] quit
【相關命令】
· default-logon-page
· portal local-web-server
· ssl server-policy(安全命令參考/SSL)
portal log enable命令用來開啟Portal用戶上/下線日誌功能。
undo portal log enable命令用來關閉Portal用戶上/下線日誌功能。
【命令】
portal log enable
undo portal log enable
【缺省情況】
Portal用戶上/下線日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟本功能後,設備會對用戶上線和下線時的信息進行記錄,包括用戶名、IP地址、接口名稱、VLAN、用戶MAC地址、上線失敗原因等。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟Portal用戶上/下線日誌功能。
<Sysname> system-view
[Sysname] portal log enable
portal max-user命令用來配置全局Portal最大用戶數。
undo portal max-user命令用來恢複缺省情況。
【命令】
portal max-user max-number
undo portal max-user
【缺省情況】
全局Portal最大用戶數不受限製。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-number:係統中允許同時在線的最大Portal用戶數,取值範圍為1~4294967295。
【使用指導】
如果配置的全局Portal最大用戶數小於當前已經在線的Portal用戶數,則該命令可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
該命令指定的最大用戶數是指IPv4 Portal和IPv6 Portal用戶的總數。
建議所有開啟Portal的接口上的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和不超過配置的全局最大Portal用戶數,否則會有部分Portal用戶因為全局最大用戶數已達到上限而無法上線。
設備支持多種方式配置Portal最大用戶數,多種方式同時配置時,具體生效情況如下:
· 如果設備接口上未開啟Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大IPv4或IPv6 Portal用戶數。
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
· 如果設備接口上開啟了Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
【舉例】
# 配置全局Portal最大用戶數為100。
<Sysname> system-view
[Sysname] portal max-user 100
【相關命令】
· display portal user
· portal { ipv4-max-user | ipv6-max-user | max-user }
· portal dual-stack enable
portal nas-id-profile命令用來指定接口引用的NAS-ID Profile。
undo portal nas-id-profile命令用來恢複缺省情況。
【命令】
portal nas-id-profile profile-name
undo portal nas-id-profile
【缺省情況】
未指定引用的NAS-ID Profile。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:標識指定VLAN和NAS-ID綁定關係的Profile名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
本命令引用的NAS-ID Profile由命令aaa nas-id profile配置,具體情況請參考“安全命令參考”中的“AAA”。
對於QinQ報文,Portal接入隻能匹配內層VLAN。有關QinQ的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“QinQ”。
如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果接口上未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
【舉例】
# 在接口Vlan-interface 2上指定名為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
【相關命令】
· aaa nas-id profile(安全命令參考/AAA)
portal nas-port-id format命令用來配置NAS-Port-ID屬性的格式。
undo portal nas-port-id format命令用來恢複缺省情況。
【命令】
portal nas-port-id format { 1 | 2 | 3 | 4 }
undo portal nas-port-id format
【缺省情況】
NAS-Port-ID的消息格式為格式2。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
1:表示格式1,具體為{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。
2:表示格式2,具體為SlotID00IfNOVlanID。
3:表示格式3,具體為在格式2的內容後麵添加Option82或者Option18。
4:表示格式4,具體為slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。
【使用指導】
可通過本命令修改設備為Portal用戶發送的RADIUS報文中填充的NAS-Port-ID屬性的格式。
不同廠商的RADIUS服務器要求不同的格式,通常中國電信的RADIUS服務器要求采用格式1。
{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]
各項含義如下:
· {atm|eth|trunk}:BRAS端口類型,包括ATM接口、以太接口或trunk類型的以太網接口。
· NAS_slot:BRAS槽號,取值為0~31。
· NAS_subslot:BRAS子槽號,取值為0~31。
· NAS_Port:BRAS端口號,取值為0~63。
· XPI:如果接口類型為atm,則XPI對應VPI,取值為0~255;如果接口類型為eth或trunk,則XPI對應PVLAN,XPI取值為0~4095。
· XCI:如果接口類型為atm,則XCI對應VCI,取值為0~65535;如果接口類型為eth或trunk,XCI對應於CVLAN,XCI取值為0~4095。
· AccessNodeIdentifier:接入節點標識(例如DSLAM設備),為不超過50個字符的字符串,字符串中不能包括空格。
· ANI_rack:接入節點機架號(如支持緊耦合的DSLAM設備),取值為0~15。
· ANI_frame:接入節點機框號,取值為0~31。
· ANI_slot:接入節點槽號,取值為0~127。
· ANI_subslot:接入節點子槽號,取值為0~31。
· ANI_port:接入節點端口號,取值為0~255。
· ANI_XPI.ANI_XCI:可選項,主要用於攜帶CPE側的業務信息,可用於標識未來的業務類型需求,如在多PVC應用場合下可標識具體的業務。其中,如果接口類型為atm,則ANI_XPI對應VPI,取值為0~255,ANI_XCII對應VCI,取值為0~65535;如果接口類型為eth或trunk,則ANI_XPI對應PVLAN,取值為0~4095,則ANI_XCI對應CVLAN,取值為0~4095。
字符串之間用一個空格隔開,要求字符串中間不能有空格。花括號中的內容是必選的,|表示並列的關係,多選一。[]表示可選項。對於某些設備沒有機架、框、子槽的概念,相應位置應統一填0,對於無效的VLAN ID值都填4096。
如接口類型為ATM,則AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可統一填0。
如運營商未使用SVLAN技術,則XPI=4096,XCI=VLAN,取值為0~4095。
如運營商未使用VLAN技術區分用戶(用戶PC直連BAS端口),則XPI=4096,XCI=4096。
對於接入節點設備(如DSLAM),按如上格式上報本接入節點的接入線路信息,對於與接入設備相關的接入線路信息可統一填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”。
其含義是DSLAM節點標識為guangzhou001、DSLAM的機架號為0(沒有機架)、DSLAM的框號為31、DSLAM的槽號為63、DSLAM的子槽號為31、DSLAM的端口號為127、VLAN ID號為1234,BRAS接入線路信息為未知。
對於接入設備,在獲取接入節點設備(如DSLAM)的接入線路信息後,根據BRAS的配置可透傳接入線路信息,也可修改添加接入線路信息中與接入設備相關的線路信息,形成完整的接入線路信息,如:“eth 31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。
格式1的解釋示例如下:
· 例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”
含義:接入設備的用戶接口類型為ATM接口,BRAS槽號為31,BRAS子槽號為31,BRAS端口號為7,VPI為255,VCI為65535。
· 例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”
含義:接入設備的用戶接口類型為以太接口,BRAS槽號為31,BRAS子槽號為31,BRAS端口號為7,PVLAN ID為1234,CVLAN ID為2345。
· 例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”
含義:接入設備的用戶接口類型為以太接口,BRAS槽號為31,BRAS子槽號為31,BRAS端口號為7,VLAN ID為2345。
· 例4:NAS_PORT_ID =“eth 31/31/7:4096.2345 guangzhou001/1/31/63/31/127”
含義:接入設備的用戶接口類型為以太接口,BRAS槽號為31,BRAS子槽號為31,BRAS端口號為7,VLAN ID為2345,接入節點DSLAM的標識為guangzhou001,DSLAM的機架號為1,DSLAM的框號為31,DSLAM的槽號為63,DSLAM的子槽號為31,DSLAM的端口號為127。
SlotID00IfNOVlanID
各項含義如下:
· SlotID:用戶接入的槽位號,為兩個字符的字符串。
· IfNO:用戶接入的接口編號,為3個字符的字符串。
· VlanID:用戶接入的VLAN ID,為9個字符的字符串。
其格式為在格式2的NAS-Port-ID內容後麵添加用戶DHCP報文中指定Option的內容:對於IPv4用戶,此處添加的是DHCP Option82的內容。對於IPv6用戶,此處添加的是DHCP Option18的內容。
其格式為slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具體情況如下:
· 對於非VLAN接口,其格式為slot=**;subslot=**;port=**;vlanid=0。
· 對於隻終結了一層VLAN Tag的接口,其格式為slot=**;subslot=**;port=**;vlanid=**。
【舉例】
# 配置NAS-Port-ID屬性的格式為format 1。
<Sysname> system-view
[Sysname] portal nas-port-id format 1
portal nas-port-type命令用來配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型。
undo portal nas-port-type命令用來恢複缺省情況。
【命令】
portal nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
undo portal nas-port-type
【缺省情況】
接入設備發送的RADIUS請求報文中的NAS-Port-Type屬性類型為Ethernet,屬性值為15。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
802.11:指定NAS-Port-Type屬性類型為Wireless-IEEE 802.11,屬性值為19。
adsl-cap:指定NAS-Port-Type屬性類型為ADSL-CAP,屬性值為12。
adsl-dmt:指定NAS-Port-Type屬性類型為ADSL-DMT,屬性值為13。
async:指定NAS-Port-Type屬性類型為Async,屬性值為0。
cable:指定NAS-Port-Type屬性類型為Cable,屬性值為17。
ethernet:指定NAS-Port-Type屬性類型為Ethernet,屬性值為15。
g.3-fax:指定NAS-Port-Type屬性類型為G.3 Fax,屬性值為10。
hdlc:指定NAS-Port-Type屬性類型為HDLC Clear Channel,屬性值為7。
idsl:指定NAS-Port-Type屬性類型為IDSL,屬性值為14。
isdn-async-v110:指定NAS-Port-Type屬性類型為ISDN Async V.110,屬性值為4。
isdn-async-v120:指定NAS-Port-Type屬性類型為ISDN Async V.120,屬性值為3。
isdn-sync:指定NAS-Port-Type屬性類型為ISDN Sync,屬性值為2。
piafs:指定NAS-Port-Type屬性類型為PIAFS,屬性值為6。
sdsl:指定NAS-Port-Type屬性類型為SDSL,屬性值為11。
sync:指定NAS-Port-Type屬性類型為Sync,屬性值為1。
virtual:指定NAS-Port-Type屬性類型為Virtual,屬性值為5。
wireless-other:指定NAS-Port-Type屬性類型為Wireless-Other,屬性值為18。
x.25:指定NAS-Port-Type屬性類型為X.25,屬性值為8。
x.75:指定NAS-Port-Type屬性類型為X.75,屬性值為9。
xdsl:指定NAS-Port-Type屬性類型為xDSL,屬性值為16。
【舉例】
# 在接口Vlan-interface20上配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型為SDSL。
<Sysname> system-view
[Sysname] interface vlan-interface 20
[Sysname-Vlan-interface20] portal nas-port-type sdsl
portal oauth user-sync interval命令用來配置當Portal用戶采用OAuth認證時用戶信息同步的時間間隔。
undo portal oauth user-sync interval命令用來恢複缺省情況。
【命令】
portal oauth user-sync interval interval
undo portal oauth user-sync interval
【缺省情況】
Portal OAuth認證用戶信息同步的時間間隔為60秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:用戶信息同步的時間間隔,取值範圍為0、60~3600,單位為秒。
【使用指導】
本命令用來配置當Portal用戶采用OAuth認證時用戶信息由設備向服務器同步的時間間隔。如果時間間隔配置為0,則表示關閉Portal OAuth認證用戶同步功能。
【舉例】
# 配置Portal OAuth認證用戶信息同步時間間隔為120秒。
<Sysname> system-view
[Sysname] portal oauth user-sync interval 120
portal [ ipv6 ] pre-auth ip-pool命令用來配置Portal認證前用戶使用的地址池。
undo portal [ ipv6 ] pre-auth ip-pool命令用來恢複缺省情況。
【命令】
portal [ ipv6 ] pre-auth ip-pool pool-name
undo portal [ ipv6 ] pre-auth ip-pool
【缺省情況】
未配置Portal認證前用戶使用的地址池。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Portal用戶。若不指定該參數,則表示IPv4 Portal用戶。
pool-name:表示IP地址池的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
在Portal用戶通過設備的子接口接入網絡的組網環境中,當子接口上未配置IP地址,且用戶需要通過DHCP獲取地址時,就必須通過本命令指定一個地址池,並在用戶進行Portal認證之前為其分配一個IP地址使其可以進行Portal認證。
僅當接口使用直接認證方式的情況下,接口上為認證前的Portal用戶指定的IP地址池才能生效。
當使用接口上指定的IP地址池為認證前的Portal用戶分配IP地址時,該指定的IP地址池必須存在且配置完整,否則無法為Portal用戶分配IP地址,並導致用戶無法進行Portal認證。
【舉例】
# 在接口Vlan-interface100上為認證前的Portal用戶指定IPv4地址池為abc。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal pre-auth ip-pool abc
【相關命令】
· dhcp server ip-pool(三層技術-IP業務命令參考/DHCP)
· display portal
· ipv6 dhcp pool(三層技術-IP業務命令參考/DHCP)
portal refresh { arp | nd } enable命令用來開啟Portal客戶端Rule ARP/ND表項生成功能。
undo portal refresh { arp | nd } enable命令用來關閉Portal客戶端Rule ARP/ND表項生成功能。
【命令】
portal refresh { arp | nd } enable
undo portal refresh { arp | nd } enable
【缺省情況】
Portal客戶端Rule ARP表項、ND表項生成功能均處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
arp:表示ARP表項。
nd:表示ND表項。
【使用指導】
Portal客戶端的Rule ARP/ND表項生成功能處於開啟狀態時,Portal客戶端上線後,其ARP/ND表項為Rule表項,在Portal客戶端下線後,其ARP/ND表項會被刷新為動態表項,按老化時間正常老化。
此功能的開啟和關閉不影響已經在線的Portal客戶端的ARP/ND表項類型。
當Portal客戶端和Portal服務器屬於不同的VPN實例時,請通過undo portal refresh arp enable命令關閉Portal客戶端的Rule ARP表項生成功能,否則會導致Portal客戶端異常下線。
【舉例】
# 關閉Portal客戶端Rule ARP表項生成功能。
<Sysname> system-view
[Sysname] undo portal refresh arp enable
portal roaming enable命令用來開啟Portal用戶漫遊功能。
undo portal roaming enable命令用來關閉Portal用戶漫遊功能。
【命令】
portal roaming enable
undo portal roaming enable
【缺省情況】
Portal用戶漫遊功能處於關閉狀態,即Portal用戶上線後不能在所在的VLAN內漫遊。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
Portal用戶漫遊功能隻對通過VLAN接口上線的Portal用戶有效。
設備上有用戶在線的情況下,不能配置此命令。
如果開啟了Portal用戶漫遊功能,則Portal用戶上線後可以在開啟Portal的VLAN內漫遊,即用戶通過VLAN內的任何二層端口都可以訪問網絡資源;否則用戶隻能通過認證成功的二層端口訪問網絡資源。
Portal用戶漫遊功能需要在關閉Portal客戶端Rule ARP/ND表項生成功能(通過命令undo portal refresh { arp | nd } enable)的情況下才能生效。
【舉例】
# 開啟Portal用戶漫遊功能。
<Sysname> system-view
[Sysname] portal roaming enable
portal server命令用來創建Portal認證服務器,並進入Portal認證服務器視圖。如果指定的Portal認證服務器已經存在,則直接進入Portal認證服務器視圖。
undo portal server命令用來刪除指定的Portal認證服務器。
【命令】
portal server server-name
undo portal server server-name
【缺省情況】
不存在Portal認證服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:Portal認證服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
Portal認證服務器視圖用於配置Portal認證服務器的相關參數,包括服務器的IP地址、端口號,服務器所在的VPN實例,設備和服務器間通信的預共享密鑰,服務器探測功能等。
可以配置多個Portal認證服務器。
【舉例】
# 創建名稱為pts的Portal認證服務器,並進入Portal認證服務器視圖。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts]
【相關命令】
· display portal server
portal user-detect命令用來開啟IPv4 Portal用戶在線探測功能。
undo portal user-detect命令用來關閉IPv4 Portal用戶在線探測功能。
【命令】
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
undo portal user-detect
【缺省情況】
IPv4 Portal用戶在線探測功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
type:指定探測類型。
· arp:表示探測類型為ARP。
· icmp:表示探測類型為ICMP。
retry retries:探測次數,取值範圍為1~10,缺省值為3。
interval interval:探測間隔,取值範圍為1~1200,單位為秒,缺省值為3。
idle time:用戶在線探測閑置時長,即閑置多長時間後發起探測,取值範圍為60~3600,單位為秒,缺省值為180。
【使用指導】
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMP時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送探測報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ARP時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ARP請求報文。設備定期(interval interval)檢測用戶ARP表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ARP表項被刷新過,則認為用戶在線,且停止檢測用戶ARP表項,重複這個過程,否則,強製其下線。
請根據配置的認證方式選擇合適的探測方法,如果配置了直接方式或者二次地址分配方式,則可以使用ARP或ICMP探測方式,如果配置了可跨三層認證方式,則僅可以使用ICMP探測方式,若配置了ARP探測方式,則探測功能不生效。
若接口上需要使用ICMP探測方式,請保證用戶接入設備不會過濾掉ICMP報文,否則接口上的ICMP探測方式可能會失敗,從而導致接口上的Portal用戶非正常下線。
【舉例】
# 在接口Vlan-interface100上開啟Portal用戶在線探測功能:探測類型為ARP,檢測用戶ARP表項的探測次數為5次,探測間隔為10秒,閑置時間為300秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300
【相關命令】
· display portal
portal user-dhcp-only命令用來開啟僅允許通過DHCP方式獲取IP地址的客戶端上線的功能。
undo portal user-dhcp-only命令用來關閉僅允許通過DHCP方式獲取IP地址的客戶端上線的功能。
【命令】
portal [ ipv6 ] user-dhcp-only
undo portal [ ipv6 ] user-dhcp-only
【缺省情況】
僅允許通過DHCP方式獲取IP地址的客戶端上線的功能處於關閉狀態,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示允許上線的客戶端的IP地址為IPv6地址,如果不指定本參數,則表示允許上線的客戶端的IP地址為IPv4地址。
【使用指導】
· 配置本命令後,配置靜態IP地址的Portal認證用戶不能上線。
· 在IPv6網絡中,配置本命令後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以必須關閉臨時IPv6地址。
Portal雙棧認證組網中,本配置僅對第一協議棧用戶生效,對第二協議棧用戶不生效。
【舉例】
# 在接口Vlan-interface100上配置僅允許通過DHCP獲取IP地址的客戶端上線功能。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-dhcp-only
【相關命令】
· display portal
portal user-rule assign-check enable命令用來開啟第二類Portal過濾規則下發的完整性檢查功能。
undo portal user-rule assign-check enable命令用來關閉第二類Portal過濾規則下發的完整性檢查功能。
【命令】
portal user-rule assign-check enable
undo portal user-rule assign-check enable
【缺省情況】
第二類Portal過濾規則下發的完整性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
下發的第二類Portal過濾規則,可通過display portal rule dynamic命令查看。
【舉例】
# 開啟第二類Portal過濾規則下發的完整性檢查功能。
<Sysname> system-view
[Sysname] portal user-rule assign-check enable
【相關命令】
portal web-proxy port命令用來配置允許觸發Portal認證的Web代理服務器端口。
undo portal web-proxy port命令用來刪除指定或所有的Web代理服務器端口。
【命令】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【缺省情況】
不存在允許觸發Portal認證的Web代理服務器端口。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:Portal認證的Web代理服務器的TCP端口號,取值範圍為1~65535。
all:指定所有Portal認證的Web代理服務器的TCP端口號。
【使用指導】
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP請求才能觸發Portal認證。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證。
多次配置本命令可以添加多個Web代理服務器的TCP端口號。
配置Portal認證Web代理服務器端口號,需要注意的是:
· 如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,則不僅需要網絡管理員在設備上添加Web代理服務器端口,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 除了需要網絡管理員在設備上添加指定的Web代理服務器端口,還需要用戶在瀏覽器上將Portal認證服務器的IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給Portal認證服務器的HTTP報文被發送到Web代理服務器上,從而影響正常的Portal認證。
· 目前不支持配置Portal認證Web代理服務器的端口號為443。
【舉例】
# 配置允許觸發Portal認證的Web代理服務器端口號為8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【相關命令】
· portal enable method
portal web-server命令用來創建Portal Web服務器,並進入Portal Web服務器視圖。如果指定的Portal Web服務器已經存在,則直接進入Portal Web服務器視圖。
undo portal web-server命令用來刪除Portal Web服務器。
【命令】
portal web-server server-name
undo portal web-server server-name
【缺省情況】
不存在Portal Web服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:Portal Web服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
Portal Web服務器是指Portal認證過程中向用戶推送認證頁麵的Web服務器,也是設備強製重定向用戶HTTP請求報文時所指的Web服務器。Portal Web服務器視圖用於配置該Web服務器的URL地址及配置設備重定向該URL地址給用戶時URL地址所攜帶的參數,同時該視圖還用於配置Portal Web服務器探測等功能。
【舉例】
# 創建名稱為wbs的Portal Web服務器,並進入Portal Web服務器視圖。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs]
【相關命令】
· display portal web-server
· portal apply web-server
reset portal packet statistics命令用來清除Portal報文的統計信息。
【命令】
reset portal packet statistics server server-name
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server-name:Portal認證服務器的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
若不指定參數server,則清除所有Portal認證服務器的報文統計信息。
【舉例】
# 清除名稱為st上的Portal認證服務器的統計信息。
<Sysname> reset portal packet statistics server pts
【相關命令】
· display portal packet statistics
server-detect命令用來開啟Portal認證服務器的可達性探測功能。開啟Portal認證服務器的可達性探測功能後,設備會定期檢測Portal認證服務器發送的Portal報文來判斷服務器的可達狀態。
undo server-detect命令用來關閉Portal認證服務器的可達性探測功能。
【命令】
server-detect [ timeout timeout ] log
undo server-detect
【缺省情況】
Portal認證服務器的可達性探測功能處於關閉狀態。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
timeout timeout:探測超時時間,取值範圍為10~3600,單位為秒,缺省值為60。
log:Portal認證服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。
【使用指導】
隻有當設備上存在開啟Portal認證的接口時,Portal認證服務器的可達性探測功能才生效。
隻有在支持Portal服務器心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。
若設備在指定的探測超時時間(timeout timeout)內收到Portal報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次服務器不可達。
設備配置的探測超時時間(timeout timeout)必須大於服務器上配置的逃生心跳間隔時間。
【舉例】
# 開啟對Portal認證服務器pts的探測功能,探測超時時間為600秒,若服務器狀態改變,則發送日誌信息。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log
【相關命令】
· portal server
server-detect命令用來開啟Portal Web服務器的可達性探測功能。
undo server-detect命令用來關閉Portal Web服務器的可達性探測功能。
【命令】
server-detect [ interval interval ] [ retry retries ] log
undo server-detect
【缺省情況】
Portal Web服務器的可達性探測功能處於關閉狀態。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
interval interval:進行探測嚐試的時間間隔,取值範圍為10~1200,單位為秒,缺省值為20。
retry retries:連續探測失敗的最大次數,取值範圍為1~10,缺省值為3。若連續探測失敗數目達到此值,則認為服務器不可達。
log:Portal Web服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。
【使用指導】
該探測方法可由設備獨立完成,不需要Portal Web服務器端的任何配置來配合。
隻有當配置了Portal Web服務器的URL地址,且設備上存在開啟Portal認證接口時,該Portal Web服務器的可達性探測功能才生效。
【舉例】
# 配置對Portal Web服務器wbs的探測功能,每次探測間隔時間為600秒,若連續二次探測均失敗,則發送服務器不可達的日誌信息。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log
【相關命令】
· portal web-server
server-register命令用來配置設備定期向Portal認證服務器發送注冊報文。
undo server-register命令用來恢複缺省情況。
【命令】
server-register [ interval interval-value ]
undo server-register
【缺省情況】
設備不會定期向Portal認證服務器發送注冊報文。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
interval interval-value:設備定期向Portal認證服務器發送注冊報文的時間間隔,取值範圍為1~3600,單位為秒,缺省值為600。
【使用指導】
Portal服務器與接入設備認證交互時,如果二者之間有NAT設備,為了使Portal服務器能夠訪問該接入設備,在NAT設備上需配置靜態NAT表項,該靜態NAT表項中記錄了接入設備的IP地址以及與Portal服務器交互時使用的轉換後的IP地址。當有大量的接入設備需要與Portal服務器進行認證交互時,則需要在NAT設備上配置大量的靜態NAT表項。開啟本功能後,接入設備會主動向Portal服務器發送注冊報文,該報文中攜帶了接入設備的名稱。Portal服務器收到該注冊報文,記錄下接入設備的名稱、地址轉換後的IP地址以及端口號等信息後,後續這些信息用於與接入設備進行認證交互。接入設備通過定期發送注冊報文更新Portal服務器上維護的注冊信息。
需要注意的是,本功能僅用於和CMCC類型的Portal服務器配合使用。
【舉例】
# 配置設備每隔120秒向Portal認證服務器發送注冊報文。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-register interval 120
【相關命令】
· server-type
server-type命令用來配置Portal認證服務器或Portal Web服務器的類型。
undo server-type命令用來恢複缺省情況。
【命令】
server-type { cmcc | imc }
undo server-type
【缺省情況】
Portal認證服務器或Portal Web服務器的類型為iMC服務器。
【視圖】
Portal認證服務器視圖
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
cmcc:表示Portal服務器類型為符合中國移動標準規範的服務器。
imc:表示Portal服務器類型為符合iMC標準規範的服務器。
ise:表示Portal Web服務器類型為符合ISE標準規範的服務器。本參數僅支持在Portal Web服務器視圖配置。
【使用指導】
設備配置的Portal服務器類型必須保證與設備所使用的服務器類型保持一致。
【舉例】
# 配置Portal認證服務器類型為imc。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-type imc
# 配置Portal Web服務器類型為imc。
<Sysname> system-view
[Sysname] portal web-server pts
[Sysname-portal-websvr-pts] server-type imc
【相關命令】
· display portal server
tcp-port命令用來配置本地Portal Web服務的HTTP/HTTPS服務偵聽的TCP端口號。
undo tcp-port命令用來恢複缺省情況。
【命令】
tcp-port port-number
undo tcp-port
【缺省情況】
HTTP服務偵聽的TCP端口號為80,HTTPS服務偵聽的TCP端口號為portal local-web-serve命令指定的TCP端口號。
【視圖】
本地Portal Web服務視圖
【缺省用戶角色】
network-admin
【參數】
port-number:表示偵聽的TCP端口號,取值範圍為1~65535。
【使用指導】
接口上指定的Portal Web服務器的URL中配置的端口號,應該與本地Portal Web服務視圖下指定的偵聽端口號保持一致。
配置本地Portal Web服務的HTTP/HTTPS服務偵聽的TCP端口號時,需要注意的是:
· 除了HTTP和HTTPS協議默認的端口號,本地Portal Web服務的TCP端口號不能與知名協議使用的端口號配置一致,如FTP的端口號21;Telnet的端口號23,否則會造成本地Web Server無法收到用戶的認證或下線請求數據。
· 不能把使用HTTP協議的本地Portal Web服務偵聽的TCP端口號配置成HTTPS的默認端口號443,反之亦然。
· 使用HTTP協議和HTTPS協議的本地Portal Web服務偵聽的TCP端口號不能配置一致,比如不能都配置為8080,否則會導致本地Web服務無法正常使用。
· 如果本地Portal Web服務引用的SSL服務器端策略與HTTPS服務引用的SSL服務器端策略相同,則本地Portal Web服務使用的TCP端口號可以與HTTPS服務器使用的TCP端口號相同;否則使用TCP端口號不能相同。
【舉例】
# 配置本地Portal Web服務的HTTP服務偵聽的TCP端口號為2331。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] tcp-port 2331
【相關命令】
· portal local-web-server
url命令用來指定Portal Web服務器的URL。
undo url命令用來恢複缺省情況。
【命令】
url url-string
undo url
【缺省情況】
未指定Portal Web服務器的URL。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
url-string:Portal Web服務器的URL,為1~256個字符的字符串,區分大小寫。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
【使用指導】
本命令指定的URL是可用標準HTTP或者HTTPS協議訪問的URL,它以http://或者https://開頭。如果該URL未以http://或者https://開頭,則缺省認為是以http://開頭。
【舉例】
# 配置Portal Web服務器wbs的URL為http://www.test.com/portal。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url http://www.test.com/portal
【相關命令】
· display portal web-server
url-parameter命令用來配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
undo url-parameter命令用來刪除配置的Portal Web服務器URL攜帶的參數信息。
【命令】
url-parameter param-name { original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression }
undo url-parameter param-name
【缺省情況】
未配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
param-name:URL參數名,為1~32個字符的字符串,區分大小寫。URL參數名對應的參數內容由param-name後的參數指定。
original-url:用戶初始訪問的Web頁麵的URL。
source-address:用戶的IP地址。
source-mac:用戶的MAC地址。
format:指定MAC地址格式。
section:指定MAC地址分段數。
1:MAC地址被分為1段,如XXXXXXXXXXXX。
3:MAC地址被分為3段,如XXXX-XXXX-XXXX。
6:MAC地址被分為6段,如XX-XX-XX-XX-XX-XX。
lowercase:MAC地址格式為小寫。
uppercase:MAC地址格式為大寫。
encryption:表示以密文的方式攜帶用戶的MAC地址。
aes:指定加密算法為AES算法。
des:指定加密算法為DES算法。
cipher:以密文方式設置密鑰。
key:指定加密密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。密鑰的長度範圍和選擇的加密方式有關。具體關係如下:
· 對於des cipher,密鑰為41個字符的字符串。
· 對於des simple,密鑰為8個字符的字符串。
· 對於aes cipher,密鑰為1~73個字符的字符串。
· 對於aes simple,密鑰為1~31個字符的字符串。
value expression:自定義字符串,為1~256個字符的字符串,區分大小寫。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
【使用指導】
可以通過多次執行本命令配置多條參數信息。
對於同一個參數名param-name後的參數設置,最後配置的生效。
該命令用於配置用戶訪問Portal Web服務器時,要求攜帶的一些參數,比較常用的是要求攜帶用戶的IP地址、MAC地址、用戶原始訪問的URL信息。用戶也可以手工指定,攜帶一些特定的字符信息。配置完成後,在設備給用戶強製重定向URL時會攜帶這些參數,例如配置Portal Web服務器的URL為:http://www.test.com/portal,若同時配置如下兩個參數信息:url-parameter userip source-address和url-parameter userurl value http://www.abc.com/welcome,則設備給源IP為1.1.1.1的用戶重定向時回應的URL格式即為:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
param-name這個URL參數名必須與具體應用環境中的Portal服務器所支持的URL參數名保持一致,不同的Portal服務器支持URL參數名是不一樣的,請根據具體情況配置URL參數名。例如iMC服務器支持的URL參數名如下:
· userurl:表示original-url
· userip:表示source-address
· usermac:表示source-mac
在Portal服務器為iMC服務器的組網環境中,如果設備重定向給用戶的Portal Web服務器的URL中需要攜帶用戶的IP地址參數信息時,必須把param-name參數配置成userip,否則,iMC服務器不能識別用戶的IP地址。
如果給某個參數配置了加密方式,則重定向URL中攜帶的將是其加密後的值。例如在上述配置的基礎上,再配置url-parameter usermac source-mac encryption des key simple 12345678,則設備給源MAC地址為1111-1111-1111的用戶重定向時回應的URL格式即為:http://www.test.com/portal?usermac=xxxxxxxxx&userip=1.1.1.1&userurl= http://www.test.com/welcome,其中xxxxxxxxx為加密後的用戶mac地址。
【舉例】
# 為設備重定向給用戶的Portal Web服務器wbs的URL中配置兩個參數userip和userurl,其值分別為用戶IP地址和自定義字符串http://www.abc.com/welcome。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.abc.com/welcome
# 為設備重定向給用戶的Portal Web服務器wbs的URL中配置參數usermac,其值為用戶mac地址,並使用des算法進行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678
【相關命令】
· display portal web-server
· url
user-sync命令用來配置開啟Portal用戶信息同步功能。
undo user-sync命令用來關閉Portal用戶信息同步功能。
【命令】
user-sync timeout timeout
undo user-sync
【缺省情況】
Portal認證服務器的Portal用戶信息同步功能處於關閉狀態。
【視圖】
Portal認證服務器視圖
【缺省用戶角色】
network-admin
【參數】
timeout timeout:檢測用戶同步報文的時間間隔,取值範圍為60~18000,單位為秒。
【使用指導】
配置此功能後,設備會響應並周期性地檢測指定的Portal認證服務器發來的用戶同步報文,以保持設備與該服務器上在線用戶信息的一致性。
隻有在支持Portal用戶心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal認證服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於等於設備上配置的檢測超時時間。
在設備上刪除Portal認證服務器時將會同時刪除該服務器的用戶信息同步功能配置。
對同一服務器多次執行本命令,最後一次執行的命令生效。
對於設備上多餘的用戶信息,即在檢測用戶同步報文的時間間隔timeout到達後被判定為Portal認證服務器上已不存在的用戶信息,設備會在timeout後的某時刻將其刪除掉。
如果服務器同步過來的用戶信息在設備上不存在,則設備會將這些用戶的IP地址封裝在用戶心跳回應報文中發送給服務器,由服務器刪除多餘的用戶。
【舉例】
# 配置對Portal認證服務器pts的Portal用戶信息同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在600秒內未在該Portal認證服務器發送的同步報文中出現,設備將強製該用戶下線。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
【相關命令】
· portal server
vpn-instance命令用來配置Portal Web服務器所屬的VPN實例。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
Portal Web服務器位於公網中。
【視圖】
Portal Web服務器視圖
【缺省用戶角色】
network-admin
【參數】
vpn-instance-name:Portal Web服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
一個Portal Web服務器隻能屬於一個VPN實例。
【舉例】
# 配置Portal Web服務器wbs所屬的VPN實例為abc。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] vpn-instance abc
web-redirect url命令用來配置Web重定向功能。
undo web-redirect命令用來關閉Web重定向功能。
【命令】
web-redirect [ ipv6 ] url url-string [ interval interval ]
undo web-redirect [ ipv6 ]
【缺省情況】
Web重定向功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示IPv6 Web重定向功能。若不指定該參數,則表示IPv4 Web重定向功能。
url url-string:Web重定向的地址,即用戶的Web訪問請求被重定向的URL地址,為1~256個字符的字符串,必須是以http://或者https://開頭的完整URL路徑。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
interval interval:對用戶訪問的Web頁麵進行重定向的周期,取值範圍為60~86400,單位為秒,缺省值為86400。
【使用指導】
接口上配置了Web重定向功能後,當該接口上接入的用戶初次通過Web頁麵訪問外網時,設備會將用戶的初始訪問頁麵重定向到指定的URL頁麵,之後用戶才可以正常訪問外網,經過一定時長(interval)後,設備又可以對用戶要訪問的網頁或者正在訪問的網頁重定向到指定的URL頁麵。
如果設備支持以太網通道接口(Eth-channel),則該設備所有支持Web重定向和Portal功能的接口下可以同時開啟Web重定向功能和Portal功能,否則當接口下同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
【舉例】
# 在接口Vlan-interface100上配置IPv4 Web重定向功能:Web重定向地址為http://192.0.0.1,Web重定向周期為3600秒。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] web-redirect url http://192.0.0.1 interval 3600
【相關命令】
· display web-redirect rule
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
