04-Portal命令
本章节下载: 04-Portal命令 (248.64 KB)
目 录
1.1.1 display portal interface
1.1.2 display portal packet statistics
1.1.6 display portal web-server
1.1.10 portal { bas-ip | bas-ipv6 }
1.1.11 portal apply web-server
1.1.15 portal fail-permit server
1.1.16 portal free-all except destination
1.1.18 portal free-rule source
1.1.19 portal ipv6 free-all except destination
1.1.20 portal ipv6 layer3 source
1.1.21 portal ipv6 user-detect
1.1.29 reset portal packet statistics
1.1.30 server-detect (portal server view)
Portal功能中所指的“接口”为三层接口,包括VLAN接口等。
display portal interface命令用来显示指定接口上的Portal配置信息和Portal运行状态信息。
display portal interface interface-type interface-number
interface-type interface-number:表示接口类型和接口编号。
# 显示接口Vlan-interface2的Portal配置信息。
<Sysname> display portal interface vlan-interface 2
Portal information of Vlan-interface2
Nas id profile: Not configured
IPv4:
Portal status: Enabled
Authentication type: Direct
Portal Web server : wbs
Authentication domain: my-domain
Bas-ip: Not configured
User detection : Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
Destination authentication subnet:
IP address Mask
2.2.2.2 255.255.255.0
IPv6:
portal status: Enabled
Authentication type: Direct
Portal Web server: wbsv6
Authentication domain: my-domain
Bas-ipv6:Not configured
User detection: Type: ICMPv6 Interval: 300s Attempts: 5 Idle time: 180s
Action for server detection:
Server type Server name Action
Web server wbsv6 fail-permit
Portal server ptsv6 fail-permit
Layer3 source network:
IP address Prefix length
11::5 64
Destination authentication subnet:
IP address Prefix length
表1-1 display portal interface命令显示信息描述表
IPv4 Portal的相关信息 |
|
IPv6 Portal的相关信息 |
|
接口上Portal认证的运行状态,包括以下取值: · Disabled:Portal认证未使能 · Enabled:Portal认证已使能 · Authorized:Portal认证服务器或者Portal Web服务器不可达,端口自动开放 |
|
· Direct:直接方式 · Redhcp:二次地址方式 · Layer3:可跨三层路由方式 |
|
接口上配置的Portal Web服务器的名称 |
|
接口上的Portal强制认证域 |
|
发送给Portal认证服务器的Portal报文的BAS-IP属性 |
|
发送给Portal认证服务器的Portal报文的BAS-IPv6属性 |
|
接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间 |
|
· Server type:服务器类型,包括Portal server和Web server,分别表示Portal认证服务器和Portal Web服务器 · Server name:服务器名称 · Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit) |
|
Portal源认证网段信息 |
|
Portal目的认证网段认证信息 |
|
Portal认证网段的IP地址 |
|
Portal认证网段的子网掩码 |
|
Portal IPv6认证网段的地址前缀长度 |
· portal free-all except destination
· portal ipv6 free-all except destination
display portal packet statistics命令用来显示Portal认证服务器的报文统计信息,包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息。
display portal packet statistics [ server server-name ]
server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
若不指定参数server,则依次显示所有Portal认证服务器的报文统计信息。
# 显示名字为pts的Portal认证服务器的报文统计信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
表1-2 display portal server statistics命令显示信息描述表
Portal认证服务器名称 |
|
Portal认证服务器向接入设备发送的challenge请求报文 |
|
接入设备对Portal认证服务器challenge请求的响应报文 |
|
Portal认证服务器向接入设备发送的请求认证报文 |
|
接入设备对Portal认证服务器认证请求的响应报文 |
|
Portal认证服务器向接入设备发送的下线请求报文 |
|
接入设备对Portal认证服务器下线请求的响应报文 |
|
Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文 |
|
接入设备发送给Portal认证服务器,用户被强制下线的通知报文 |
|
Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文 |
|
接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文 |
|
Portal认证服务器通知接入设备对用户表项的IP切换已成功报文 |
|
Portal认证服务器对强制下线通知的响应报文 |
|
接入设备收到的从Portal认证服务器发送的用户同步报文 |
|
接入设备向Portal认证服务器回应的用户同步响应报文 |
|
Portal认证服务器周期性向接入设备发送的服务器心跳报文 |
|
接入设备向Portal认证服务器发送的challenge请求报文 |
|
接入设备向Portal认证服务器发送的用户消息通知报文 |
|
Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文 |
· reset portal packet statistics
display portal rule命令用来显示指定接口上用于报文匹配的Portal过滤规则信息。
all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则。
dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口。
static:显示静态Portal规则信息,即使能Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作。
interface interface-type interface-number:显示指定接口的Portal规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:显示指定成员设备上指定接口的Portal规则信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示显示所有成员设备上指定接口的Portal规则信息。
# 显示接口Vlan-interface10上所有Portal过滤规则的信息。
<Sysname> display portal rule all interface vlan-interface 10
Slot 1:
IPv4 portal rules on Vlan-interface10:
Rule 1:
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
MAC : 0000-0000-0000
Interface : Vlan-interface10
VLAN : 10
Destination:
IP : 5.1.0.6
Mask : 255.255.255.255
Port : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface10
VLAN : 10
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 3:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : Vlan-interface10
VLAN : 10
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
表1-3 display portal rule命令显示信息描述表
Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号 |
|
Portal过滤规则的类型,包括以下取值: · Static:静态类型 · Dynamic:动态类型 |
|
Portal过滤规则的匹配动作,包括以下取值: · Permit:允许报文通过 · Redirect:重定向报文 · Deny:拒绝报文通过 |
|
Portal过滤规则的传输层协议,包括以下取值: · Any:不限制传输层协议类型 · TCP:TCP传输类型 · UDP:UDP传输类型 |
|
Portal过滤规则下发的状态,包括以下取值: · Active:表示规则已生效 · Unactuated:表示规则未生效 |
|
Portal过滤规则的源信息 |
|
源IP地址 |
|
源IPv4地址子网掩码 |
|
源IPv6地址前缀 |
|
源MAC地址 |
|
Portal过滤规则应用的二层或三层接口 |
|
Portal规则的协议类型 |
|
Portal规则的目的信息 |
|
目的IP地址 |
|
目的IPv4地址子网掩码 |
|
目的IPv6地址前缀 |
|
Portal过滤规则的授权ACL,该字段仅在Type为Dynamic时才显示 |
|
授权ACL号,即AAA服务器下发给用户的ACL编号,None表示服务器未下发ACL |
display portal server命令用来显示Portal认证服务器信息。
display portal server [ server-name ]
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
若不指定参数server-name,则显示所有Portal认证服务器信息。
# 显示Portal认证服务器pts的信息。
<Sysname> display portal server pts
Portal server: pts
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log, trap
User synchronization : Timeout 200s
Status : Up
表1-4 display portal server命令显示信息描述表
Portal认证服务器名称 |
|
Portal认证服务器的IP地址 |
|
Portal认证服务器的监听端口 |
|
Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap) |
|
Portal用户信息同步功能的参数,包括超时时间(单位:秒) |
|
Portal认证服务器当前状态,其取值如下: · N/A:服务器可达性探测功能未开启,可达状态未知 · Up:服务器可达性探测功能已开启,探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达 |
· server-detect (portal server view)
display portal user命令用来显示Portal用户的信息。
display portal user { all | interface interface-type interface-number }
all:显示所有Portal用户的信息。
interface interface-type interface-number:显示指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Total portal users: 2
Username: abc
Portal server: pts
State: Online
Authorization ACL: None
VPN instance: --
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 100 Vlan-interface100
Username: def
Portal server: pts
State: Online
Authorization ACL: 3000
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 200 Vlan-interface200
表1-5 display portal user命令显示信息描述表
总计的Portal用户数目 |
|
Portal用户的当前状态,包括以下取值: · Initialized:初始化完成后的待认证状态 · Authenticating:正在认证状态 · Authorizing:正在授权状态 · Online:在线状态 |
|
用户认证所使用的Portal认证服务器的名称 |
|
Portal用户的授权ACL。若用户无授权ACL,则显示为“None” |
|
Portal用户的MAC地址 |
|
Portal用户的IP地址 |
|
Portal用户所在的VLAN |
|
Portal用户接入的接口 |
display portal web-server命令用来显示Portal Web服务器信息。
display portal web-server [ server-name ]
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
若不指定参数server-name,则显示所有Portal Web服务器信息。
# 显示Portal Web服务器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
URL : http://www.test.com/portal
URL parameters : userurl=http://www.test.com/welcome
userip=source-address
VPN instance : Not configured
Server detection : Interval: 120s Attempts: 5 Action: log, trap
IPv4 Status : Up
IPv6 Status : N/A
表1-6 display portal web-server命令显示信息描述表
Portal Web服务器名称 |
|
Portal Web服务器的URL地址以及携带的参数 |
|
Portal Web服务器的URL携带的参数信息 |
|
Portal Web服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap) |
|
Portal web服务器当前状态,其取值如下: · N/A:服务器可达性探测功能未开启,可达状态未知 · Up:服务器可达性探测功能已开启,且探测结果为该服务器当前可达 · Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达 |
· server-detect (portal web-server view)
ip命令用来指定Portal认证服务器的IPv4地址。
undo ip命令用来删除指定的Portal认证服务器的IPv4地址。
ip ipv4-address [ key { cipher | simple } key-string ]
没有指定Portal认证服务器的IPv4地址。
Portal认证服务器视图
ipv4-address:Portal认证服务器的IPv4地址。
key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。
· 一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的。
· 不同的Portal认证服务器不允许IP地址的配置都相同。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
ipv6命令用来指定Portal认证服务器的IPv6地址。
undo ipv6命令用来删除指定的Portal认证服务器的IPv6地址。
ipv6 ipv6-address [ key { cipher | simple } key-string ]
没有指定Portal认证服务器的IPv6地址。
Portal认证服务器视图
ipv6-address:Portal认证服务器的IPv6地址。
key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串。
· 一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的。
· 不同的Portal认证服务器不允许IP地址的配置都相同。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。
[Sysname] portal server pts
[Sysname-portal-server-pts] ipv6 2000::1 key simple portal
port命令用来配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。
undo port命令用来恢复缺省情况。
接入设备主动发送Portal报文时使用的UDP端口号为50100。
Portal认证服务器视图
port-id:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。
本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。
# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性。
undo portal { bas-ip | bas-ipv6 }命令用来删除接口下指定的BAS-IP或BAS-IPv6属性。
portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }
undo portal { bas-ip | bas-ipv6 }
对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IP地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IP地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。
· 设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。
· 配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址。
· 接口上使能了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则用户认证无法成功。
· 使用H3C iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则使能了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性。
# 配置接口Vlan-interface100发送Portal报文的BAS-IP属性值为2.2.2.2。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal bas-ip 2.2.2.2
· display portal interface
portal [ ipv6 ] apply web-server命令用来在接口上引用Portal Web服务器,设备会将Portal用户的HTTP请求报文重定向到该Web服务器。
undo portal [ ipv6 ] apply web-server命令用来取消接口上引用的Portal Web服务器。
portal [ ipv6 ] apply web-server server-name [ fail-permit ]
undo portal [ ipv6 ] apply web-server
ipv6:表示IPv6 Portal Web服务器。若不指定该参数,则表示IPv4 Portal Web服务器。
server-name:被引用的Portal Web服务器的名字,为1~32个字符的字符串,区分大小写,且必须已经存在。
fail-permit:开启Portal Web服务器不可达时的Portal用户逃生功能,即设备探测到Portal Web服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络。
一个接口上可以同时使能IPv4 Portal认证和IPv6 Portal认证,因此也可以同时引用一个IPv4 Portal Web服务器和一个IPv6 Portal Web认证服务器。
如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即放开接口控制,当两个服务器均恢复可达性后,再重新启动Portal认证功能。
# 在接口Vlan-interface100上引用名称为wbs的Portal Web服务器作为用户认证时使用的Web服务器。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal apply web-server wbs
portal delete-user命令用来强制Portal用户下线。
ipv4-address:Portal用户的IPv4地址。
all:所有接口下的IPv4 Portal用户和IPv6 Portal用户。
interface interface-type interface-number:指定接口下的所有Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定IPv6 Portal用户的地址。
# 强制IP地址为1.1.1.1的Portal用户下线。
[Sysname] portal delete-user 1.1.1.1
portal [ ipv6 ] domain命令用于指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域。
undo portal [ ipv6 ] domain命令用来删除指定的Portal用户使用的认证域。
portal [ ipv6 ] domain domain-name
未指定Portal用户使用的认证域。
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则表示指定IPv4 Portal用户使用的认证域。
domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写。
· 接口上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。
· 如果不指定ipv6参数,则表示配置或者删除IPv4 Portal用户使用的认证域。
# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域为my-domain。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal domain my-domain
· display portal interface
portal [ ipv6 ] enable method命令用来在接口上使能Portal认证,并指定认证方式。
undo portal [ ipv6 ] enable method命令用来在指定接口上取消指定的Portal认证。
portal enable method { direct | layer3 | redhcp }
portal ipv6 enable method { direct | layer3 }
ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。
method:认证方式。
· direct:直接认证方式。
· layer3:可跨三层认证方式。
· redhcp:二次地址分配认证方式。
· 使能IPv6 Portal功能之前,需要保证设备支持IPv6 ACL和IPv6转发功能。
· IPv6 Portal认证不支持二次地址分配方式。
· 为使接口上的Portal功能生效,使能Portal的接口不能加入聚合组。
· 允许在接口上同时使能IPv4 Portal认证和IPv6 Portal认证。
# 在接口Vlan-interface100上使能IPv4 Portal认证,且指定为直接认证方式。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal enable method direct
portal [ ipv6 ] fail-permit server命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络。
undo portal [ ipv6] fail-permit server命令用来关闭指定的Portal认证服务器逃生功能。
portal [ ipv6 ] fail-permit server server-name
undo portal [ ipv6] fail-permit server
设备探测到Portal认证服务器不可达时,不允许Portal用户逃生。
ipv6:表示IPv6 Portal认证服务器。若不指定该参数,则表示IPv4 Portal认证服务器。
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。
如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,立即放开接口控制;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
一个接口上,最多同时可以开启一个Portal认证服务器逃生功能和一个Portal Web服务器逃生功能。
# 在接口Vlan-interface100上启用Portal认证服务器 pts1不可达时的Portal用户逃生功能。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal fail-permit server pts1
· display portal interface
portal free-all except destination命令用来配置IPv4 Portal目的认证网段。
undo portal free-all except destination命令用来删除配置的IPv4 Portal目的认证网段。
portal free-all except destination ipv4-network-address { mask-length | mask }
undo portal free-all except destination [ ipv4-network-address ]
没有配置IPv4 Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证。
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
· 接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
· 如果undo命令中不携带IP地址参数,则表示删除所有制定的IPv4 Portal目的认证网段。
· 目的网段认证对二次地址分配认证方式的Portal认证不生效。
· 如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
# 在接口Vlan-interface2上配置IPv4 Portal目的认证网段为11.11.11.0/24,仅允许访问11.11.11.0/24网段的用户触发Portal认证,其它目的网段可以直接访问。
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal free-all except destination 11.11.11.0 24
· display portal interface
portal free-rule命令用来配置基于IP地址的Portal免认证规则。
undo portal free-rule命令用来删除指定的或所有Portal免认证规则。
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } *
undo portal free-rule { rule-number | all }
不存在基于IP地址的Portal免认证规则。
rule-number:免认证规则编号。取值范围为0~4294967295。
destination:指定源信息。
source:指定目的信息。
ip ip-address:免认证规则的IPv4地址。
{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式。
ipv6 ipv6-address:免认证规则的IPv6地址。
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128。
ip any:任意IPv4地址。
ipv6 any:任意IPv6地址。
tcp tcp-port-number:免认证规则的TCP端口号,取值范围为0~65535。
udp udp-port-number:免认证规则的UDP端口号,取值范围为0~65535。
all:所有免认证规则。
· 可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制。
· 如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23。该规则表示10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24
# 配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23。该规则表示2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务。
[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64
portal free-rule source命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN。
undo portal free-rule命令用来删除免认证规则。
undo portal free-rule { rule-number | all }
没有配置基于源的Portal免认证规则。
rule-number:免认证规则编号。取值范围为0~4294967295。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
vlan vlan-id:免认证规则的源VLAN编号。
all:所有免认证规则。
如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效。
# 配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN 10。该规则表示MAC地址为1-1-1,属于VLAN 10的用户不需要经过Portal认证即可以访问网络资源。
[Sysname] portal free-rule 3 source mac 1-1-1 vlan 10
portal ipv6 free-all except destination命令用来配置IPv6 Portal目的网段认证。
undo portal ipv6 free-all except destination命令用来删除配置的IPv6 Portal目的认证网段。
portal ipv6 free-all except destination ipv6-network-address prefix-length
undo portal ipv6 free-all except destination [ ipv6-network-address ]
没有配置IPv6 Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证。
ipv6-network-address:IPv6 Portal认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
· 接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证。
· 如果undo命令中不携带IP地址参数,则表示删除所有制定的IPv6 Portal目的认证网段。
· 目的网段认证对二次地址分配认证方式的Portal认证不生效。
· 如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效。
# 在接口Vlan-interface2上配置IPv6 Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证。
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 free-all except destination 1::2 16
· display portal interface
portal ipv6 layer3 source命令用来配置IPv6 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃。
undo portal ipv6 layer3 source命令用来删除配置的IPv6 Portal源认证网段。
portal ipv6 layer3 source ipv6-network-address prefix-length
undo portal ipv6 layer3 source [ ipv6-network-address ]
没有配置IPv6 Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证。
ipv6-network-address:IPv6 Portal源认证网段地址。
prefix-length:IPv6地址前缀长度,取值范围为0~128。
· 如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv6 Portal源认证网段。
· 源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
· 如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
# 在接口Vlan-interface2上配置一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal ipv6 layer3 source 1::1 16
· display portal interface
· portal ipv6 free-all except destination
portal ipv6 user-detect命令用来开启IPv6 Portal用户在线探测功能。
undo portal user-detect命令用来恢复缺省情况。
portal ipv6 user-detect type { nd | icmpv6 } [ retry retries] [ interval interval ] [ idle time ]
接口上的IPv6 Portal用户在线探测功能处于关闭状态。
type:指定探测报文的类型。
· nd:表示探测报文的类型为ND。
· icmpv6:表示探测报文的类型为ICMPv6。
retry retries:探测报文发送的次数,即允许探测无响应的次数,取值范围为1~10,缺省3次。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。
interval interval:探测报文发送的间隔,取值范围为1~1200,单位为秒,缺省3秒。
idle time:用户在线探测闲置时长,即闲置多长时间后再发起探测,取值范围为60~3600,单位为秒,缺省180秒。
· 接口上开启了该功能后,设备会主动向Portal在线用户定期发送指定类型的探测报文(见user-detect type参数配置)来确认该用户是否在线。具体的探测过程为:若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则向该用户发送探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,重复这个过程。
· 请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效。
· 如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文。
# 在接口Vlan-interface100上开启IPv6 Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal ipv6 user-detect type nd retry 5 interval 10 idle 300
· display portal interface
portal layer3 source命令用来配置IPv4 Portal源认证网段,即接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃。
undo portal layer3 source命令用来删除配置的IPv4 Portal源认证网段。
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
没有配置IPv4 Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证。
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值范围为0~32。
mask:子网掩码,点分十进制格式。
· 如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv4 Portal源认证网段。
· 源认证网段仅对Portal的可跨三层认证方式(layer3)生效。
· 如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效。
# 在接口Vlan-interface2上配置一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
[Sysname] interface vlan-interface 2
[Sysname–Vlan-interface2] portal layer3 source 10.10.10.0 24
· display portal interface
· portal free-all except destination
portal nas-id-profile命令用来指定接口的NAS-ID Profile。
undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。
portal nas-id-profile profile-name
profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写。该Profile由命令aaa nas-id profile配置,具体情况请参考“安全命令参考”中的“AAA”。
需要注意的是,如果接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,则使用设备名作为NAS-ID。
# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile 。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] portal nas-id-profile aaa
portal max-user命令用来配置Portal最大用户数。
undo portal max-user命令用来恢复缺省情况。
Portal最大用户数不受限制。
max-number:允许同时在线的最大Portal用户数。取值范围为1~4294967295。
· 如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
· 该命令指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总数。
# 配置Portal最大用户数为100。
[Sysname] portal max-user 100
· display portal user
portal roaming enable命令用来使能Portal用户漫游功能。
undo portal roaming enable命令用来关闭Portal用户漫游功能。
Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游。
· 该命令只对通过VLAN接口上线的Portal用户有效。
· 如果使能了Portal用户漫游功能,则Portal用户上线后可以在使能Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源。
# 使能Portal用户漫游功能。
[Sysname] portal roaming enable
portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。
undo portal server命令用来删除指定的Portal认证服务器。
undo portal server server-name
没有配置任何Portal认证服务器。
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写。
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,设备和服务器间通信的预共享密钥,服务器探测功能等。
可以配置多个Portal认证服务器。
# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。
[Sysname] portal server pts
[Sysname-portal-server-pts]
portal user-detect命令用来开启IPv4 Portal用户在线探测功能。
undo portal user-detect命令用来恢复缺省情况。
portal user-detect type { arp | icmp } [ retry retries] [ interval interval ] [ idle time ]
接口上的IPv4 Portal用户在线探测功能处于关闭状态。
type:指定探测报文的类型。
· arp:表示探测报文的类型为ARP请求。
· icmp:表示探测报文的类型为ICMP。
retry retries:探测报文发送的次数,即允许探测无响应的次数,取值范围为1~10,缺省3次。在探测次数达到该值时,若设备仍未收到Portal用户的响应报文,则将强制该用户下线。
interval interval:探测报文发送的间隔,取值范围为1~1200,单位为秒,缺省3秒。
idle time:用户在线探测闲置时长,即闲置多长时间后再发起探测,取值范围为60~3600,单位为秒,缺省180秒。
· 配置了该功能的设备,通过主动向Portal在线用户定期发送指定类型的探测报文(见user-detect type参数配置)来确认该用户是否在线。具体的探测过程为:若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则向该用户发送探测报文,若在探测次数达到指定值时,设备仍未收到该用户的响应报文,则将强制其下线。如果在指定的探测次数到达之前,设备收到了该用户的响应报文,则停止发送探测报文,重复这个过程。
· 请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效。
· 如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线。因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文。
# 在接口Vlan-interface100上开启Portal用户在线探测功能:探测报文为ARP请求报文,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒。
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] portal user-detect type arp retry 5 interval 10 idle 300
· display portal interface
portal web-server命令用来创建Portal Web服务器,并进入Portal Web服务器视图。
undo portal web-server命令用来删除Portal Web服务器。
undo portal web-server server-name
没有配置任何Portal Web服务器。
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器。Portal Web服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置Portal Web服务器探测等功能。
# 创建名称为wbs的Portal Web服务器,并进入Portal Web服务器视图。
[Sysname] portal web-server wbs
New portal web-server added.
[Sysname-portal-websvr-wbs]
· portal apply web-server
reset portal packet statistics命令用来清除Portal报文的统计信息。
reset portal packet statistics [ server server-name ]
server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。
若不指定参数server,则清除所有Portal认证服务器的报文统计信息。
# 清除名字为st上的Portal认证服务器的统计信息。
<Sysname> reset portal packet statistics server pts
· display portal packet statistics
server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。
undo server-detect命令用来恢复缺省情况。
server-detect [ timeout timeout ] log
Portal认证服务器的可达性探测功能处于关闭状态。
Portal认证服务器视图
timeout timeout:探测超时时间,取值范围10~3600,单位为秒,缺省值为60。
log:设备探测到Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。
若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。
# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息。
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log
server-detect命令用来开启Portal Web服务器的可达性探测功能。
undo server-detect命令用来恢复缺省情况。
server-detect [ interval interval ] [ retry retries ] log
当前Portal Web服务器的可达性探测功能处于关闭状态。
Portal Web服务器视图
interval interval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20。
retry retries:连续探测失败的最大次数,取值范围为1~10,缺省值为3。若连续探测失败数目达到此值,则认为服务器不可达。
log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
该探测方法可由设备独立完成,不需要Portal Web服务器端的任何配置来配合。
# 配置对Portal Web服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送日志信息。
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log
url命令用来指定Portal Web服务器的URL。
undo url命令用来删除指定的Portal Web服务器的URL。
没有指定Portal Web服务器的URL。
Portal Web服务器视图
url-string:Portal Web服务器的URL,为1~256个字符的字符串,区分大小写。
本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头。如果该URL未以http://或者https://开头,则缺省认为是以http://开头。
# 配置Portal Web服务器wbs的URL为http://www.test.com/portal。
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url http://www.test.com/portal
url-parameter命令用来配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
undo url-parameter命令用来删除配置的Portal Web服务器URL携带的参数信息。
url-parameter param-name { original-url | source-address | source-mac | value expression }
未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
Portal Web服务器视图
param-name:URL参数名,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由param-name后的参数指定。
original-url:用户初始访问的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
value expression:自定义字符串,为1~256个字符的字符串,区分大小写。
对于同一个参数名param-name后的参数设置,最后配置的生效。
该命令用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时配置如下两个参数信息:url-parameter userip source-address和url-parameter userurl value http://www.test.com/welcome,则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl= http://www.test.com/welcome。
# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.test.com/welcome。
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value http://www.test.com/welcome
user-sync命令用来配置开启Portal用户信息同步功能。配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。
undo user-sync命令用来恢复缺省情况。
当前Portal认证服务器的Portal用户信息同步功能处于关闭状态。
Portal认证服务器视图
timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒,缺省值为1200。
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
· 在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。
· 对同一服务器多次执行用户信息同步功能的配置时,新的配置将覆盖原有的配置。
· 对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。
· 如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。
# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!