i目录1Portal1-11.
1Portal配置命令·1-11.
1.
1aging-time·1-11.
1.
2app-id1-21.
1.
3app-key1-21.
1.
4authentication-timeout1-31.
1.
5auth-url·1-41.
1.
6binding-retry1-51.
1.
7captive-bypassenable1-61.
1.
8default-logon-page·1-61.
1.
9displayportal1-71.
1.
10displayportalextend-auth-server·1-141.
1.
11displayportallocal-bindingmac-address1-151.
1.
12displayportalmac-trigger-server1-161.
1.
13displayportalpacketstatistics·1-181.
1.
14displayportalredirectstatistics·1-201.
1.
15displayportalrule·1-211.
1.
16displayportalsafe-redirectstatistics·1-321.
1.
17displayportalserver1-341.
1.
18displayportaluser·1-361.
1.
19displayportalweb-server1-421.
1.
20displayweb-redirectrule·1-431.
1.
21exclude-attribute1-471.
1.
22free-trafficthreshold·1-491.
1.
23if-match1-501.
1.
24ip(MACbindingserverview)1-511.
1.
25ip(Portalauthenticationserverview)1-521.
1.
26ipv6·1-531.
1.
27local-bindingaging-time·1-541.
1.
28local-bindingenable·1-551.
1.
29logon-pagebind·1-561.
1.
30mail-protocol1-571.
1.
31nas-port-type·1-58ii1.
1.
32port(MACbindingserverview)1-581.
1.
33port(portalauthenticationserverview)1-591.
1.
34portal{bas-ip|bas-ipv61-601.
1.
35portal{ipv4-max-user|ipv6-max-user1-611.
1.
36portalapplymac-trigger-server·1-621.
1.
37portalapplyweb-server1-631.
1.
38portalauthorizationstrict-checking·1-641.
1.
39portaldelete-user·1-651.
1.
40portaldevice-id·1-661.
1.
41portaldomain1-661.
1.
42portalenable·1-671.
1.
43portalextend-authdomain1-691.
1.
44portalextend-auth-server·1-691.
1.
45portalfail-permitserver·1-701.
1.
46portalfail-permitweb-server1-711.
1.
47portalfree-allexceptdestination·1-731.
1.
48portalfree-rule·1-731.
1.
49portalfree-ruledestination1-751.
1.
50portalfree-rulesource·1-761.
1.
51portalhost-checkenable·1-771.
1.
52portalipv6free-allexceptdestination·1-781.
1.
53portalipv6layer3source·1-791.
1.
54portalipv6user-detect·1-801.
1.
55portallayer3source·1-811.
1.
56portallocal-web-server·1-821.
1.
57portalmac-trigger-server1-831.
1.
58portalmax-user1-841.
1.
59portalnas-id-profile·1-851.
1.
60portalnas-port-idformat1-851.
1.
61portalnas-port-type1-881.
1.
62portaloutbound-filterenable1-901.
1.
63portalpacketlogenable1-901.
1.
64portalpre-authdomain1-911.
1.
65portalpre-authip-pool·1-921.
1.
66portalredirectlogenable1-931.
1.
67portalrefreshenable·1-94iii1.
1.
68portalroamingenable1-941.
1.
69portalsafe-redirectenable1-951.
1.
70portalsafe-redirectforbidden-url·1-961.
1.
71portalsafe-redirectmethod1-961.
1.
72portalsafe-redirectuser-agent1-971.
1.
73portalserver·1-981.
1.
74portaltemp-passenable1-991.
1.
75portaltraffic-accountingdisable·1-1001.
1.
76portaluser-detect·1-1011.
1.
77portaluser-dhcp-only1-1021.
1.
78portaluser-logoffafter-client-offlineenable1-1031.
1.
79portaluserlogenable1-1041.
1.
80portalweb-server1-1051.
1.
81redirect-url·1-1051.
1.
82resetportalpacketstatistics1-1061.
1.
83resetportalredirectstatistics1-1071.
1.
84resetportalsafe-redirectstatistics·1-1081.
1.
85server-detect(portalserverview)1-1081.
1.
86server-detect(portalweb-serverview)1-1091.
1.
87server-type(MACbindingserverview)1-1101.
1.
88server-type(portalserverview/portalweb-serverview)1-1111.
1.
89tcp-port1-1121.
1.
90url·1-1131.
1.
91url-parameter1-1131.
1.
92user-sync1-1151.
1.
93version1-1161.
1.
94vpn-instance1-1171.
1.
95web-redirecturl·1-1181-11PortalMSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/2600-10-X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5620/5660/5680路由器使用分布式命令行.
仅MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/5620/5660/5680路由器不支持WLAN功能.
1.
1Portal配置命令1.
1.
1aging-timeaging-time命令用来配置MAC-Trigger表项的老化时间.
undoaging-time命令用来恢复缺省情况.
【命令】aging-timesecondsundoaging-time【缺省情况】MAC-Trigger表项老化时间为300秒.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒.
【使用指导】开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLANID、流量、定时器等信息.
当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项.
【举例】#指定MAC-Trigger表项老化时间为300秒.
system-view1-2[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]aging-time300【相关命令】displaymac-trigger-server1.
1.
2app-idapp-id命令用来配置QQ认证服务时用户的唯一标识.
undoapp-id命令用来恢复缺省情况.
【命令】app-idapp-idundoapp-id【缺省情况】存在一个预定义的唯一标识.
【视图】QQ认证服务器视图【缺省用户角色】network-admin【参数】app-id:用户的唯一标识.
【使用指导】终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.
qq.
com/intro/login进行应用接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给PortalWeb服务器,PortalWeb服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证.
【举例】#配置QQ认证服务时用户的唯一标识为101235509.
system-view[Sysname]portalextend-auth-serverqq[Sysname-portal-extend-auth-server-qq]app-id101235509【相关命令】displayportalextend-auth-server1.
1.
3app-keyapp-key命令用来配置app-id对应的密钥.
undoapp-key命令用来恢复缺省情况.
1-3【命令】app-key{cipher|simple}app-keyundoapp-key【缺省情况】存在一个预定义的密钥.
【视图】QQ认证服务器视图【缺省用户角色】network-admin【参数】cipher:表示以密文方式设置密钥.
simple:表示以明文方式设置密钥.
key-string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
【使用指导】终端用户采用QQ认证服务时,网络管理员必须先到QQ互联平台http://connect.
qq.
com/intro/login进行应用接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置),申请验证通过后网络管理员可获得app-id和app-key,当终端用户通过QQ认证后,QQ认证服务器会发送授权码给PortalWeb服务器,PortalWeb服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证.
【举例】#配置QQ认证服务的授权登录密钥为8a5428e6afdc3e2a2843087fe73f1507.
system-view[Sysname]portalextend-auth-serverqq[Sysname-portal-extend-auth-server-qq]app-keysimple8a5428e6afdc3e2a2843087fe73f1507【相关命令】displayportalextend-auth-server1.
1.
4authentication-timeoutauthentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间.
undoauthentication-timeout命令用来恢复缺省情况.
【命令】authentication-timeoutminutesundoauthentication-timeout1-4【缺省情况】设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟.
【使用指导】设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间.
如果在定时器超时前,用户成功完成Portal认证,设备将立即删除该用户的MAC-Trigger表项;如果在定时器超时后,用户仍未完成Portal认证,则设备在等待该用户的MAC-Trigger表项到达老化时间后,删除该MAC-Trigger表项.
【举例】#配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]authentication-timeout10【相关命令】displaymac-trigger-server1.
1.
5auth-urlauth-url命令用来配置QQ认证服务器的地址.
undoauth-url命令用来删除QQ认证服务器的地址.
【命令】auth-urlurl-stringundoauth-url【缺省情况】QQ认证服务器的地址为https://graph.
qq.
com.
【视图】QQ认证服务器视图【缺省用户角色】network-admin【参数】url-string:QQ认证服务器的URL,为1~256个字符的字符串,区分大小写.
1-5【举例】#配置QQ认证服务器的地址为http://oauth.
qq.
com.
system-view[Sysname]portalextend-auth-serverqq[Sysname-portal-extend-auth-server-qq]auth-urlhttp://oauth.
qq.
com【相关命令】displayportalextend-auth-server1.
1.
6binding-retrybinding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔.
undobinding-retry命令用来恢复缺省情况.
【命令】binding-retry{retries|intervalinterval}*undobinding-retry【缺省情况】设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】retries:最大尝试次数,取值范围为1~10.
intervalinterval:查询时间间隔,取值范围为1~60,单位为秒.
【使用指导】如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达.
设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证.
在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效.
【举例】#配置失败向MAC绑定服务器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]binding-retry3interval60【相关命令】displaymac-trigger-server1-61.
1.
7captive-bypassenablecaptive-bypassenable命令用来开启Portal被动Web认证功能.
undocaptive-bypassenable命令用来关闭Portal被动Web认证功能.
【命令】captive-bypass[optimize]enableundocaptive-bypass[optimize]enable【缺省情况】Portal被动Web认证功能功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】optimize:开启Portal被动Web认证的优化功能.
【使用指导】iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面.
开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面.
Portal被动Web认证优化功能仅针对iOS移动终端有效,当iOS移动终端接入网络后会自动弹出Portal认证页面,在不认证的情况下,按home键返回桌面时Wi-Fi连接不会断开.
【举例】#开启Portal被动Web认证功能.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]captive-bypassenable#开启Portal被动Web认证优化功能.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]captive-bypassoptimizeenable【相关命令】displayportalweb-server1.
1.
8default-logon-pagedefault-logon-page命令用来配置本地PortalWeb服务器提供的缺省认证页面文件.
undodefault-logon-page命令用来恢复缺省情况.
1-7【命令】default-logon-pagefile-nameundodefault-logon-page【缺省情况】本地PortalWeb服务器未提供缺省认证页面文件.
【视图】本地PortalWeb服务器视图【缺省用户角色】network-admin【参数】file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线.
【使用指导】指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下.
配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地PortalWeb服务器为用户进行Portal认证提供的缺省认证页面文件.
【举例】#配置本地PortalWeb服务器提供的缺省认证页面文件为pagefile1.
zip.
system-view[Sysname]portallocal-web-serverhttp[Sysname-portal-local-websvr-http]default-logon-pagepagefile1.
zip【相关命令】portallocal-web-server1.
1.
9displayportaldisplayportal命令用来显示Portal配置信息和Portal运行状态信息.
【命令】displayportal{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】apap-name:显示接入指定AP的所有Portal配置信息和运行状态信息.
ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、[、]、/及-.
1-8radioradio-id:显示接入指定射频的Portal配置信息和运行状态信息.
radio-id表示射频编号,取值范围与设备型号有关.
若不指定本参数,则表示显示接入该AP下所有射频的Portal配置信息和运行状态信息.
设备各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:型号参数描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKapap-name[radioradio-id]MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持interface-typeinterface-number:表示接口类型和接口编号.
【举例】路由应用#显示接口GigabitEthernet1/0/1的Portal配置信息和Portal运行状态信息.
displayportalinterfacegigabitEthernet1/0/1PortalinformationofGigabitEthernet1/0/1NAS-IDprofile:aaaVSRPinstance:instance1VSRPstate:MasterAuthorization:StrictcheckingACL:EnabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:Layer3PortalVSRPstatus:M_DelayPortalWebserver:wbs(active)SecondaryportalWebserver:wbssecPortalmac-trigger-server:mtsAuthenticationdomain:my-domainPre-authdomain:abcExtend-authdomain:abcUser-dhcp-only:EnabledPre-authIPpool:abMaxportalusers:Notconfigured1-9Bas-ip:NotconfiguredUserdetection:Type:ICMPInterval:300sAttempts:5Idletime:180sPortaltemp-pass:EnabledPeriod:30sActionforseverdetection:ServertypeServernameActionWebserverwbsfail-permitPortalserverptsfail-permitLayer3sourcenetwork:IPaddressMask1.
1.
1.
1255.
255.
0.
0Destinationauthenticationsubnet:IPaddressMask2.
2.
2.
2255.
255.
255.
0IPv6:Portalstatus:enabledAuthenticationtype:Layer3PortalVSRPstatus:M_AlonePortalWebserver:wbsv6(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:my-domainPre-authdomain:abcExtend-authdomain:NotconfiguredUser-dhcp-only:EnabledPre-authIPpool:abMaxPortalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:Type:ICMPv6Interval:300sAttempts:5Idletime:180sPortaltemp-pass:DisabledActionforseverdetection:ServertypeServernameActionWebserverwbsv6fail-permitPortalserverptsv6fail-permitLayer3sourcenetwork:IPaddressPrefixlength11::564Destinationauthenticationsubnet:IPaddressPrefixlength无线应用#显示ap1下的Portal配置信息.
displayportalapap1Portalinformationofap1RadioID:1SSID:portalAuthorization:StrictcheckingACL:Disable1-10Userprofile:DisableIPv4:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:wbs(active)SecondaryportalWebserver:wbssecPortalmac-trigger-server:mtsAuthenticationdomain:my-domainExtend-authdomain:defUser-dhcp-only:EnabledMaxportalusers:1024Bas-ip:2.
2.
2.
2Actionforseverdetection:ServertypeServernameActionWebserverwbsfail-permitPortalserverptsfail-permitDestinationauthenticationsubnet:IPaddressMask2.
2.
2.
2255.
255.
0.
0IPv6:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:wbsv6(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:my-domainExtend-authdomain:NotconfiguredUser-dhcp-only:DisabledMaxportalusers:512Bas-ipv6:2000::1Actionforseverdetection:ServertypeServernameActionWebserverwbsv6fail-permitPortalserverptsv6fail-permitDestinationauthenticationsubnet:IPaddressPrefixlength3000::164#显示VLAN接口下的Portal配置信息.
displayportalinterfaceVlan-interface30PortalinformationofVlan-interface30NAS-IDprofile:NotconfiguredAuthorization:StrictcheckingACL:DisableUserprofile:DisableIPv4:Portalstatus:EnabledPortalauthenticationmethod:DirectPortalWebserver:pt(active)SecondaryportalWebserver:wbssec1-11Authenticationdomain:testPre-authdomain:NotconfiguredExtend-authdomain:defUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:NotconfiguredUserdetection:NotconfiguredPortaltemp-pass:Enabled,Period:30sActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticationsubnet:IPaddressMaskIPv6:Portalstatus:DisabledPortalauthenticationmethod:DisabledPortalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredSecondaryportalWebserver:NotconfiguredPre-authdomain:NotconfiguredExtend-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredPortaltemp-pass:DisabledActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticationsubnet:IPaddressPrefixlength表1-1displayportalinterface命令显示信息描述表字段描述Portalinformationofinterface接口上的Portal信息RadioID射频IDSSID服务集标识符NAS-IDprofile接口上引用的NAS-IDprofile1-12字段描述VSRPinstance接口上引用的VSRP实例名称VSRPstate接口的VSRP状态,包括以下取值:Master:表示在该VSRP实例中,本设备为主用设备Backup:表示在该VSRP实例中,本设备为备用设备Down:表示在该VSRP实例中,本设备不运行(在下面两种情况下设备会处于Down状态:一是当VRRP备份组处于init状态时,互相备份的两台设备在对应VSRP实例中都处于无法运行状态;二是本端VSRP实例不存在或者配置不完整)N/A:表示接口上未引用VSRP实例Authorization服务器下发给Portal用户的授权信息类型,包括ACL和UserprofileStrictcheckingPortal授权信息的严格检查模式是否开启IPv4IPv4Portal的相关信息IPv6IPv6Portal的相关信息Portalstatus接口上Portal认证的运行状态,包括以下取值:Disabled:Portal认证未开启Enabled:Portal认证已开启Authorized:Portal认证服务器或者PortalWeb服务器不可达,端口自动开放PortalVSRPstatus接口的PortalVSRP状态,包括如下取值:M_Initial:主用设备的初始化状态M_Delay:主用设备的延迟状态(主用设备延迟一段时间后切换为主状态)M_Alone:主用设备的单机状态(备份数据链路断开等原因,导致双机通信失败)M_Hello:主用设备处于和备用设备进行握手的状态(协商VSRP状态和接口的Portal开启状态)M_Collect:主用设备处于等待备用设备发送Portal用户信息的状态M_Sync:主用设备处于向备用设备发送Portal用户信息的状态M_Synced:主用设备已经完成向备用设备备份Portal用户信息B_Initial:备用设备的初始化状态B_Alone:备用设备的单机状态(备份数据链路断开等原因,导致双机通信失败)B_Hello:备用设备处于和主用设备进行握手的状态(协商VSRP状态和接口的Portal开启状态)B_Report:备用设备处于向主用设备发送Portal用户信息的状态B_Sync:备用设备处于接收主用设备发送Portal用户信息的状态B_Synced:备用设备已经完成Portal用户信息的备份Down:未运行VSRP状态接口未开启Portal或者未引用VSRP实例时不显示该字段1-13字段描述Authenticationtype接口上配置的认证方式,包括以下取值:Direct:直接认证方式Redhcp:二次地址分配认证方式Layer3:可跨三层认证方式PortalWebserver接口上配置的主PortalWeb服务器的名称.
active表示正在使用此PortalWeb服务器SecondaryportalWebserver接口上配置的备份PortalWeb服务器的名称.
active表示正在使用此PortalWeb服务器Portalmac-trigger-server接口上配置MAC绑定服务器的名称Authenticationdomain接口上的Portal强制认证域Extend-authdomain接口上或无线服务模板上配置的的第三方认证域Pre-authdomain接口上的Portal认证前域,即Portal认证前用户使用的认证域User-dhcp-only仅允许通过DHCP方式获取IP地址的客户端上线功能Enabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于开启状态,表示仅允许通过DHCP方式获取IP地址的客户端上线Disabled:仅允许通过DHCP方式获取IP地址的客户端上线功能处于关闭状态,表示通过DHCP方式获取IP地址的客户端和静态配置IP地址的客户端都可以上线Pre-authip-pool为认证前的Portal用户指定的IP地址池名称Maxportalusers接口上配置的最大用户数Bas-ip发送给Portal认证服务器的Portal报文的BAS-IP属性Bas-ipv6发送给Portal认证服务器的Portal报文的BAS-IPv6属性Userdetection接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间Portaltemp-pass临时放行功能状态Enabled:开启Disabled:关闭Period:临时放行时间.
此字段仅在临时放行功能开启时显示Actionforserverdetection服务器可达性探测功能对应的端口控制配置:Servertype:服务器类型,包括Portalserver和Webserver,分别表示Portal认证服务器和PortalWeb服务器Servername:服务器名称Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)Layer3sourcesubnetPortal源认证网段信息DestinationauthenticationsubnetPortal目的认证网段认证信息IPaddressPortal认证网段的IP地址1-14字段描述MaskPortal认证网段的子网掩码PrefixlengthPortalIPv6认证网段的地址前缀长度1.
1.
10displayportalextend-auth-serverdisplayportalextend-auth-server命令用来显示第三方认证服务器信息.
【命令】displayportalextend-auth-server{all|qq|mail}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有第三方认证服务器信息.
qq:显示QQ认证服务器信息.
mail:显示邮箱认证服务器信息.
【举例】#显示所有第三方认证服务器信息.
displayportalextend-auth-serverallPortalextend-auth-server:qqAuthenticationURL:http://graph.
qq.
comAPPID:101235509APPkey:******RedirectURL:http://h3crd-lvzhou3.
chinacloudapp.
cn/portal/qqlogin.
htmlPortalextend-auth-server:mailMailprotocol:POP3表1-2displayportalextend-auth-server命令显示信息描述表字段描述Portalextend-auth-server第三方认证服务器的类型AuthenticationURL第三方认证服务器的地址APPIDQQ认证服务时用户的唯一标识APPkeyQQ认证服务授权登录的密钥RedirectURLQQ认证成功之后的重定向地址Mailprotocol邮箱认证服务支持的协议类型1-15【相关命令】portalextend-auth-server1.
1.
11displayportallocal-bindingmac-addressdisplayportallocal-bindingmac-address命令用来显示本地MAC-trigger绑定表项信息.
【命令】displayportallocal-bindingmac-address{mac-address|all}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】mac-address:用户的MAC地址,格式为H-H-H.
all:显示本地MAC-trigger绑定表项的所有信息.
【举例】#显示本地MAC-trigger绑定表项中的所有信息.
displayportallocal-bindingmac-addressallTotalMACaddresses:5MACaddressUsername0015-e9a6-7cfewlan_user10000-e27c-6e80wlan_user2000f-e212-ff01wlan_user3001c-f08f-f804wlan_user4000f-e233-9000wlan_user5#显示本地MAC-trigger表项中MAC地址为0015-e9a6-7cfe的信息.
displayportallocal-bindingmac-address0015-e9a6-7cfeTotalMACaddresses:1Mac-addressUser-name0015-e9a6-7cfewlan_user1表1-3displayportallocal-bindingmac-address命令显示信息描述表字段描述Mac-addressMAC地址,格式为H-H-HUser-name用户名【相关命令】local-bindingenable1-161.
1.
12displayportalmac-trigger-serverdisplayportalmac-trigger-server命令用来显示MAC绑定服务器信息.
【命令】displayportalmac-trigger-server{all|nameserver-name}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有MAC绑定服务器信息nameserver-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写.
【举例】#显示全部MAC绑定服务器的信息.
displayportalmac-trigger-serverallPortalmac-triggerserver:ms1Version:2.
0Servertype:CMCCIP:10.
1.
1.
1Port:100VPNinstance:vpn1Agingtime:120secondsFree-trafficthreshold:1000bytesNAS-Port-Type:255Bindingretrytimes:5Bindingretryinterval:2secondsAuthenticationtimeout:5minutesLocal-binding:DisabledLocal-bindingagingtime:12hoursPortalmac-triggerserver:mtsVersion:1.
0Servertype:IMCIP:4.
4.
4.
2Port:50100VPNinstance:NotconfiguredAgingtime:300secondsFree-trafficthreshold:0bytesNAS-Port-Type:NotconfiguredBindingretrytimes:3Bindingretryinterval:1secondsAuthenticationtimeout:3minutes1-17Local-binding:DisabledLocal-bindingagingtime:12hours#显示名字为ms1的MAC绑定服务器的信息.
displayportalmac-trigger-servernamems1Portalmac-triggerserver:ms1Version:2.
0Servertype:CMCCIP:10.
1.
1.
1Port:100VPNinstance:vpn1Agingtime:120secondsFree-trafficthreshold:1000bytesNAS-Port-Type:255Bindingretrytimes:5Bindingretryinterval:2secondsAuthenticationtimeout:5minutesLocal-binding:DisabledLocal-bindingagingtime:12hours表1-4displayportalmac-trigger-server命令显示信息描述表字段描述Portalmac-trigger-serverMAC绑定服务器的名称VersionPortal协议报文的版本,取值包括:1.
0:版本12.
0:版本23.
0:版本3ServertypeMAC绑定服务器的服务类型,取值包括:CMCC:CMCCPortal服务器iMC:H3CiMCPortal服务器或H3CCAMSPortal服务器IPMAC绑定服务器的IP地址Port设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号VPNinstanceMAC绑定服务器所属的VPNAgingtimeMAC-trigger表项老化时间,单位为秒Free-trafficthreshold用户免认证流量阈值,单位为字节NAS-Port-Type发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值Bindingretrytimes设备向MAC绑定服务器发起MAC查询的最大尝试次数Bindingretryinterval设备向MAC绑定服务器发起MAC查询的时间间隔Authenticationtimeout设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间1-18字段描述Local-bindingPortal本地MAC-trigger认证功能状态Disabled:关闭状态Enabled:开启状态Local-bindingaging-time本地MAC-trigger绑定表项老化时间,单位为小时1.
1.
13displayportalpacketstatisticsdisplayportalpacketstatistics命令用来显示Portal认证服务器和MAC绑定服务器的报文统计信息.
【命令】displayportalpacketstatistics[mac-trigger-serverserver-name|serverserver-name]*【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】mac-trigger-serverserver-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写.
若未指定本参数,则表示显示指定的Portal认证服务器的报文统计信息.
serverserver-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
若未指定本参数,则表示显示指定的MAC绑定服务器的报文统计信息.
【使用指导】若未指定任何参数,则依次显示所有Portal认证服务器和MAC绑定服务器的报文统计信息.
【举例】#显示名称为pts的Portal认证服务器的报文统计信息.
displayportalpacketstatisticsserverptsPortalserver:ptsInvalidpackets:0Pkt-TypeTotalDropsErrorsREQ_CHALLENGE300ACK_CHALLENGE300REQ_AUTH300ACK_AUTH300REQ_LOGOUT100ACK_LOGOUT100AFF_ACK_AUTH300NTF_LOGOUT100REQ_INFO6001-19ACK_INFO600NTF_USERDISCOVER000NTF_USERIPCHANGE000AFF_NTF_USERIPCHAN000ACK_NTF_LOGOUT100NTF_HEARTBEAT000NTF_USER_HEARTBEAT200ACK_NTF_USER_HEARTBEAT000NTF_CHALLENGE000NTF_USER_NOTIFY000AFF_NTF_USER_NOTIFY000#显示名字为newpt的MAC绑定服务器的报文统计信息.
displayportalpacketstatisticsmac-trigger-servernewptMAC-triggerserver:newptInvalidpackets:0Pkt-TypeTotalDropsErrorsREQ_MACBIND100ACK_MACBIND100NTF_MTUSER_LOGON100NTF_MTUSER_LOGOUT000REQ_MTUSER_OFFLINE000表1-5displayportalserverstatistics命令显示信息描述表字段描述PortalserverPortal认证服务器名称Invalidpackets无效报文的数目Pkt-Type报文的类型Total报文的总数Drops丢弃报文数Errors携带错误信息的报文数REQ_CHALLENGEPortal认证服务器向接入设备发送的challenge请求报文ACK_CHALLENGE接入设备对Portal认证服务器challenge请求的响应报文REQ_AUTHPortal认证服务器向接入设备发送的请求认证报文ACK_AUTH接入设备对Portal认证服务器认证请求的响应报文REQ_LOGOUTPortal认证服务器向接入设备发送的下线请求报文ACK_LOGOUT接入设备对Portal认证服务器下线请求的响应报文AFF_ACK_AUTHPortal认证服务器收到认证成功响应报文后向接入设备发送的确认报文NTF_LOGOUT接入设备发送给Portal认证服务器,用户被强制下线的通知报文REQ_INFO信息询问报文ACK_INFO信息询问的响应报文1-20字段描述NTF_USERDISCOVERPortal认证服务器向接入设备发送的发现新用户要求上线的通知报文NTF_USERIPCHANGE接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文AFF_NTF_USERIPCHANPortal认证服务器通知接入设备对用户表项的IP切换已成功报文ACK_NTF_LOGOUTPortal认证服务器对强制下线通知的响应报文NTF_HEARTBEATPortal认证服务器周期性向接入设备发送的服务器心跳报文NTF_USER_HEARTBEAT接入设备收到的从Portal认证服务器发送的用户同步报文ACK_NTF_USER_HEARTBEAT接入设备向Portal认证服务器回应的用户同步响应报文NTF_CHALLENGE接入设备向Portal认证服务器发送的challenge请求报文NTF_USER_NOTIFY接入设备向Portal认证服务器发送的用户消息通知报文AFF_NTF_USER_NOTIFYPortal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文MAC-triggerserverMAC绑定服务器名称REQ_MACBIND接入设备向MAC绑定服务器发起的MAC绑定查询报文ACK_MACBINDMAC绑定服务器回应接入设备的MAC绑定查询应答报文NTF_MTUSER_LOGON接入设备通知MAC绑定服务器通知用户上线报文NTF_MTUSER_LOGOUT接入设备通知MAC绑定服务器通知用户下线报文REQ_MTUSER_OFFLINEMAC绑定服务器向接入设备发送的要求用户强制下线报文【相关命令】resetportalpacketstatistics1.
1.
14displayportalredirectstatisticsdisplayportalredirectstatistics命令用来显示Portal重定向报文统计信息.
【命令】集中式设备—独立运行模式:displayportalredirectstatistics分布式设备—独立运行模式/集中式设备—IRF模式:displayportalredirectstatistics[slotslot-number]分布式设备—IRF模式:displayportalredirectstatistics[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-21【参数】slotslot-number:显示指定单板上的Portal重定向报文统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上的Portal重定向报文统计信息.
(分布式设备-独立运行模式)slotslot-number:显示指定成员设备上的Portal重定向报文统计信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则表示所有成员设备上的Portal重定向报文统计信息.
(集中式设备—IRF模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的Portal重定向报文统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上的Portal重定向报文统计信息.
(分布式设备-IRF模式)【举例】#显示Portal重定向报文统计信息.
(集中式设备—独立运行模式)displayportalredirectstatisticsHttpReq:1HttpResp:1HttpsReq:0HttpsResp:0#显示指定slot上Portal重定向报文统计信息.
(分布式设备—独立运行模式/集中式设备—IRF模式)displayportalredirectstatisticsslot1Slot1:HttpReq:3HttpResp:3HttpsReq:6HttpsResp:6表1-6displayportalredirectstatistics命令显示信息描述表字段描述HttpReqHTTP重定向请求报文的数目HttpRespHTTP重定向回应报文的数目HttpsReqHTTPS重定向请求报文的数目HttpsRespHTTPS重定向回应报文的数目【相关命令】resetportalredirectstatistics1.
1.
15displayportalruledisplayportalrule命令用来显示用于报文匹配的Portal过滤规则信息.
【命令】集中式设备-独立运行模式:1-22displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}分布式设备-独立运行模式/集中式设备-IRF模式:displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[slotslot-number]}分布式设备-IRF模式:displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则.
dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口.
static:显示静态Portal规则信息,即开启Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作.
apap-name:显示接入指定AP的所有Portal规则信息.
ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、"["、"]"、"/"及"-".
radioradio-id:显示接入指定射频的Portal规则信息.
radio-id表示射频编号,取值范围与设备型号有关.
若不指定本参数,则表示显示接入AP下所有射频的Portal规则信息.
设备各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:型号参数描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKapap-name[radioradio-id]MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持1-23interfaceinterface-typeinterface-number:显示指定接口的Portal规则信息.
interface-typeinterface-number为接口类型和接口编号.
slotslot-number:显示指定单板上的Portal规则信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-独立运行模式)slotslot-number:显示指定成员设备上的Portal规则信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则表示所有成员设备.
(集中式设备-IRF模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的Portal规则信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-IRF模式)【举例】路由应用#显示接口GigabitEthernet1/0/1上所有Portal过滤规则的信息.
(集中式设备—独立运行模式)displayportalruleallinterfacegigabitethernet1/0/1IPv4portalrulesonGigabitEthernet1/0/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:192.
168.
0.
111Mask:255.
255.
255.
255Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:IP:2.
2.
2.
2MAC:000d-88f8-0eabInterface:GigabitEthernet1/0/1VLAN:AnyAuthorACL:Number:3001Rule3Type:StaticAction:Redirect1-24Status:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet1/0/1VLAN:AnyProtocol:TCPDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0IPv6portalrulesonGigabitEthernet1/0/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:::Prefixlength:0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:3000::1Prefixlength:64Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:1-25IP:3000::1MAC:0015-e9a6-7cfeInterface:GigabitEthernet1/0/1VLAN:AnyAuthorACL:Number:3001Rule3Type:StaticAction:RedirectStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet1/0/1VLAN:AnyProtocol:TCPDestination:IP:::Prefixlength:0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:::Prefixlength:0Rule5:Type:StaticAction:Matchpre-authACLStatus:ActiveSource:Interface:GigabitEthernet1/0/1Pre-authACL:Number:3002无线应用#显示ap1上的所有Portal过滤规则.
(集中式设备—独立运行模式)displayportalruleallapap1Slot1:IPv4portalrulesonap1:1-26RadioID:1SSID:portalRule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:23MAC:0000-0000-0000Interface:WLAN-BSS1/0/1VLAN:anyDestination:IP:192.
168.
0.
111Mask:255.
255.
255.
255Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:IP:2.
2.
2.
2MAC:000d-88f8-0eabInterface:WLAN-BSS1/0/1VLAN:2AuthorACL:Number:N/ARule3Type:StaticAction:RedirectStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:WLAN-BSS1/0/1VLAN:anyProtocol:TCPDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:80Rule4:Type:Static1-27Action:DenyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:WLAN-BSS1/0/1VLAN:AnyDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0路由应用#显示接口GigabitEthernet1/0/1上所有Portal过滤规则的信息.
(分布式设备—独立运行模式/集中式设备—IRF模式)displayportalruleallinterfacegigabitethernet1/0/1slot1Slot1:IPv4portalrulesonGigabitEthernet1/0/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:192.
168.
0.
111Mask:255.
255.
255.
255Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:IP:2.
2.
2.
2MAC:000d-88f8-0eabInterface:GigabitEthernet1/0/1VLAN:AnyAuthorACL:Number:3001Rule3Type:StaticAction:Redirect1-28Status:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet1/0/1VLAN:AnyProtocol:TCPDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0IPv6portalrulesonGigabitEthernet1/0/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:::Prefixlength:0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:3000::1Prefixlength:64Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:1-29IP:3000::1MAC:0015-e9a6-7cfeInterface:GigabitEthernet1/0/1VLAN:AnyAuthorACL:Number:3001Rule3Type:StaticAction:RedirectStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet1/0/1VLAN:AnyProtocol:TCPDestination:IP:::Prefixlength:0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet1/0/1VLAN:AnyDestination:IP:::Prefixlength:0Rule5:Type:StaticAction:Matchpre-authACLStatus:ActiveSource:Interface:GigabitEthernet1/0/1Pre-authACL:Number:3002无线应用#显示ap1上的所有Portal过滤规则.
(分布式设备—独立运行模式/集中式设备—IRF模式)displayportalruleallapap1Slot1:IPv4portalrulesonap1:1-30RadioID:1SSID:portalRule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:23MAC:0000-0000-0000Interface:WLAN-BSS1/0/1VLAN:anyDestination:IP:192.
168.
0.
111Mask:255.
255.
255.
255Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:IP:2.
2.
2.
2Mask:255.
255.
255.
255MAC:000d-88f8-0eabInterface:WLAN-BSS1/0/1VLAN:2AuthorACL:Number:N/ARule3Type:StaticAction:RedirectStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:AnyMAC:0000-0000-0000Interface:WLAN-BSS1/0/1VLAN:anyProtocol:TCPDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:801-31Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:WLAN-BSS1/0/1VLAN:AnyDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0表1-7displayportalrule命令显示信息描述表字段描述RadioID射频IDSSID服务集标识符RulePortal过滤规则编号.
IPv4过滤规则和IPv6过滤规则分别编号TypePortal过滤规则的类型,包括以下取值:Static:静态类型Dynamic:动态类型ActionPortal过滤规则的匹配动作,包括以下取值:Permit:允许报文通过Redirect:重定向报文Deny:拒绝报文通过Matchpre-authACL:匹配认证前域中的授权ACL规则ProtocolPortal过滤规则的传输层协议,包括以下取值:Any:不限制传输层协议类型TCP:TCP传输类型UDP:UDP传输类型StatusPortal过滤规则下发的状态,包括以下取值:Active:表示规则已生效Unactuated:表示规则未生效SourcePortal过滤规则的源信息IP源IP地址Mask源IPv4地址子网掩码Prefixlength源IPv6地址前缀Port源传输层端口号MAC源MAC地址1-32字段描述InterfacePortal过滤规则应用的三层接口VLAN源VLANProtocolPortal规则的协议类型DestinationPortal规则的目的信息IP目的IP地址Port目的传输层端口号Mask目的IPv4地址子网掩码Prefixlength目的IPv6地址前缀AuthorACLPortal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才显示Pre-authACLPortal用户认证前的授权ACL,该字段仅在Action为Matchpre-authACL时显示Number授权ACL编号,N/A表示AAA未授权ACL1.
1.
16displayportalsafe-redirectstatisticsdisplayportalsafe-redirectstatistics命令用来显示Portal安全重定向功能的报文统计信息.
【命令】集中式设备—独立运行模式:displayportalsafe-redirectstatistics分布式设备—独立运行模式/集中式设备—IRF模式:displayportalsafe-redirectstatistics[slotslot-number]分布式设备—IRF模式:displayportalsafe-redirectstatistics[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】slotslot-number:显示指定单板上的Portal安全重定向功能的报文统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-独立运行模式)slotslot-number:显示指定成员设备上的Portal安全重定向功能的报文统计信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则表示所有成员设备.
(集中式设备-IRF模式)1-33chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的Portal安全重定向功能的报文统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-IRF模式)【举例】#显示Portal安全重定向功能的报文统计信息.
(集中式设备—独立运行模式)displayportalsafe-redirectstatisticsRedirectstatistics:Success:5Failure:6Total:11Methodstatistics:Get:6Post:2Others:3Useragentstatistics:Safari:3Chrome:2UserURLstatistics:http://www.
abc.
com:0#显示指定slot上Portal安全重定向功能的报文统计信息.
(分布式设备—独立运行模式/集中式设备-IRF模式)displayportalsafe-redirectstatisticsslot1Slot1:Redirectstatistics:Success:7Failure:8Total:15Methodstatistics:Get:11Post:1Others:3Useragentstatistics:Safari:3Chrome:2UserURLstatistics:www.
qq.
com:4#显示chassis1slot0上Portal安全重定向功能的报文统计信息.
(分布式设备—IRF模式)displayportalsafe-redirectstatisticschassis1slot0Slot0inchassis1:Redirectstatistics:Success:3Failure:5Total:81-34Methodstatistics:Get:11Post:3Others:7Useragentstatistics:Safari:3Chrome:2UserURLstatistics:http://www.
abc.
com:0表1-8displayportalsafe-redirectstatistics命令显示信息描述表字段描述Success重定向成功报文的数目Failure重定向失败报文的数目Total报文的总数Methodstatistics协议请求方法的报文统计Get请求方法为get的报文数量Post请求方法为post的报文数量Other请求方法为其它类型的报文数量Useragentstatistics匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型以及报文统计UserURLstatisticsPortal安全重定向禁止的URL地址以及报文统计【相关命令】resetportalsafe-redirectstatistics1.
1.
17displayportalserverdisplayportalserver命令用来显示Portal认证服务器信息.
【命令】displayportalserver[server-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-35【参数】server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server-name,则显示所有Portal认证服务器信息.
【举例】#显示Portal认证服务器pts的信息.
displayportalserverptsPortalserver:ptsType:IMCIP:192.
168.
0.
111VPNinstance:vpn1Port:50100Serverdetection:Timeout60sAction:log,trapUsersynchronization:Timeout200sStatus:UpExclude-attribute:Notconfigured表1-9displayportalserver命令显示信息描述表字段描述TypePortal认证服务器类型,其取值如下:CMCC:符合中国移动标准规范的服务器iMC:符合iMC标准规范的服务器PortalserverPortal认证服务器名称IPPortal认证服务器的IP地址VPNinstancePortal认证服务器所属的MPLSL3VPNPortPortal认证服务器的监听端口ServerdetectionPortal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log、trap)UsersynchronizationPortal用户用户信息同步功能的参数,包括超时时间(单位:秒)StatusPortal认证服务器当前状态,其取值如下:N/A:服务器可达性探测功能未开启,可达状态未知Up:服务器可达性探测功能已开启,探测结果为该服务器当前可达Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达Exclude-attribute向Portal认证服务器发送的Portal协议报文中不携带的属性字段【相关命令】portalenableportalserverserver-detect(portalserverview)1-36user-sync1.
1.
18displayportaluserdisplayportaluser命令用来显示Portal用户的信息.
【命令】displayportaluser{all|apap-name[radioradio-id]|interfaceinterface-typeinterface-number|ipipv4-address|ipv6ipv6-address|pre-auth[interfaceinterface-typeinterface-number|ipipv4-address|ipv6ipv6-address]}[verbose]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有Portal用户的信息.
apap-name:显示接入指定AP的所有Portal用户信息.
ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、"["、"]"、"/"及"-".
radioradio-id:显示接入指定射频的Portal用户信息.
radio-id表示射频编号,取值范围与设备型号有关.
若不指定本参数,则表示显示接入AP下所有射频的Portal用户信息.
设备各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:型号参数描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKapap-name[radioradio-id]MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持interfaceinterface-typeinterface-number:显示指定接口上的Portal用户信息.
interface-typeinterface-number为接口类型和接口编号.
ipipv4-address:显示指定IPv4地址的Portal用户信息.
ipv6ipv6-address:显示指定IPv6地址的Portal用户信息.
1-37pre-auth:显示Portal认证前用户信息.
若不指定该参数,则显示Portal用户的信息.
verbose:显示指定Portal用户的详细信息.
【举例】路由应用#显示所有Portal用户的信息.
displayportaluserallTotalportalusers:2Username:abcPortalserver:ptsState:OnlineVPNinstance:N/AMACIPVLANInterface000d-88f8-0eab2.
2.
2.
2--GigabitEthernet1/0/1Authorizationinformation:DHCPIPpool:N/AUserprofile:abc(active)ACLnumber:N/AInboundCAR:N/AOutboundCAR:N/AUsername:defPortalserver:ptsState:OnlineVPNinstance:vpn1MACIPVLANInterface000d-88f8-0eac3.
3.
3.
3--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/AACLnumber:3000InboundCAR:CIR3072bpsPIR3072bpsOutboundCAR:CIR3072bpsPIR3072bps#显示IP地址为50.
50.
50.
3的Portal用户的详细信息.
displayportaluserip50.
50.
50.
3verboseBasic:CurrentIPaddress:50.
50.
50.
3OriginalIPaddress:30.
30.
30.
2Username:user1@hrssUserID:0x28000002Accessinterface:eth3/2/2Service-VLAN/Customer-VLAN:-/-MACaddress:0000-0000-0001Domain:hrssVPNinstance:123Status:OnlinePortalserver:testPortalauthenticationmethod:Direct1-38AAA:Realtimeaccountinginterval:60s,retrytimes:3Idle-cut:180sec,10240bytesSessionduration:500sec,remaining:300secRemainingtraffic:10240000bytesLogintime:2014-01-192:42:3UTCITApolicyname:testDHCPIPpool:abcACL&QoS&Multicast:InboundCAR:CIR64000bpsPIR640000bpsOutboundCAR:CIR64000bpsPIR640000bpsACLnumber:3000(inactive)Userprofile:portal(active)Maxmulticastaddresses:4Multicastaddresslist:1.
2.
3.
1,1.
34.
33.
1,3.
123.
123.
3,4.
5.
6.
72.
2.
2.
2,3.
3.
3.
3,4.
4.
4.
4Flowstatistic:Uplinkpackets/bytes:7/546Downlinkpackets/bytes:0/0ITA:level-1uplinkpackets/bytes:4/32downlinkpackets/bytes:2/12level-2uplinkpackets/bytes:0/0downlinkpackets/bytes:0/0无线应用#显示所有Portal用户的信息.
displayportaluserallTotalportalusers:1Username:defAPname:ap1RadioID:1SSID:portalPortalserver:ptsState:OnlineVPNinstance:vpn1MACIPVLANInterface000d-88f8-0eac4.
4.
4.
42Bss1/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/AACLnumber:3000InboundCAR:CIR3072bpsPIR3072bpsOutboundCAR:CIR3072bpsPIR3072bps#显示IP地址为18.
18.
0.
20的Portal用户的详细信息displayportaluserip18.
18.
0.
20verboseBasic:APname:ap1RadioID:11-39SSID:portalCurrentIPaddress:18.
18.
0.
20OriginalIPaddress:18.
18.
0.
20Username:chap1UserID:0x10000001Accessinterface:WLAN_BSS1/0/1Service-VLAN/Customer-VLAN:50/-MACaddress:7854-2e1c-c59eDomainname:portalVPNinstance:N/AStatus:OnlinePortalserver:ptPortalauthenticationmethod:DirectAAA:Realtimeaccountinginterval:720s,retrytimes:5Idlecut:N/ASessionduration:0sec,remaining:0secRemainingtraffic:N/AOnlineduration(hh:mm:ss):1:53:7Logintime:2014-12-2510:47:53UTCDHCPIPpool:N/AACL&QoS&Multicast:InboundCAR:N/AOutboundCAR:N/AACLnumber:N/AUserprofile:N/AMaxmulticastaddresses:4Flowstatistic:Uplinkpackets/bytes:6/412Downlinkpackets/bytes:0/0表1-10displayportaluser命令显示信息描述表字段描述Totalportalusers总计的Portal用户数目Username用户名APnameAP名称RadioID射频IDSSID服务集标识符Portalserver用户认证所使用的Portal认证服务器的名称1-40字段描述StatePortal用户的当前状态,包括以下取值:Initialized:初始化完成后的待认证状态Authenticating:正在认证状态Waiting_SetRule:等待下发用户授权信息Authorizing:正在授权状态Online:在线状态Waiting_Traffic:等待获取用户最后一次流量StopAccounting:停止计费Done:下线结束VPNinstancePortal用户所属的MPLSL3VPN.
若用户属于公网,则显示为N/AMACPortal用户的MAC地址IPPortal用户的IP地址VLANPortal用户所在的VLANInterfacePortal用户接入的接口AuthorizationinformationPortal用户的授权信息DHCPIPpoolPortal用户的授权地址池名称.
若无授权地址池,则显示为N/AUserprofilePortal用户的授权UserProfile名称.
若未授权UserProfile,则显示为N/A.
授权状态包括如下:active:AAA授权Userprofile成功inactive:AAA授权Userprofile失败或者设备上不存在该UserprofileACLnumberPortal用户的授权ACL编号.
若未授权ACL,则显示为N/A.
授权状态包括如下:active:AAA授权ACL成功inactive:AAA授权ACL失败或者设备上不存在该ACLInboundCAR授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权入方向CAR,则显示为N/AOutboundCAR授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权出方向CAR,则显示为N/A表1-11displayportaluserverbose命令显示信息描述表字段描述APnameAP名称RadioID射频IDSSID服务集标识符CurrentIPaddressPortal用户当前的IP地址OriginalIPaddressPortal用户认证时的IP地址1-41字段描述UsernamePortal用户上线时使用的用户名UserIDPortal用户IDAccessinterfacePortal用户接入的接口Service-VLAN/Customer-VLANPortal用户所在的公网VLAN/私网VLAN("-"表示没有VLAN信息)MACaddress用户的MAC地址Domain用户认证时使用的ISP域名VPNinstance用户所属的MPLSL3VPN实例,N/A表示用户属于公网StatusPortal用户的当前状态,包括以下取值:Authenticating:正在认证状态Authorizing:正在授权状态Waiting_SetRule:正在下发Portal规则状态Online:在线状态Waiting_Traffic:正在等待用户流量状态StopAccounting:正在停止计费状态Done:用户下线完成状态PortalserverPortal服务器名称Portalauthenticationmethod接入接口上的Portal认证方式,包括如下取值:Direct:直接认证方式Redhcp:二次地址分配认证方式Layer3:可跨三层认证方式AAAPortal用户的AAA授权信息Realtimeaccountinginterval授权的实时计费间隔和重传次数.
若未授权,则显示为N/AIdle-cut授权的闲置切断时长和流量.
若未授权,则显示为N/ASessionduration授权的会话时长以及剩余的会话时长.
若未授权,则显示为N/ARemainingtraffic授权的剩余流量.
若未授权,则显示为N/ALogintime用户登录时间,即用户授权成功的时间,格式为设备时间,如:2023-1-192:42:30UTCOnlineduration(hh:mm:ss)用户在线时长(时:分:秒)ITApolicyname授权的ITA(IntelligentTargetAccounting,智能靶向计费)策略名称DHCPIPpool授权的DHCP地址池名称.
若未授权DHCP地址池,则显示为N/AInboundCAR授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权入方向CAR,则显示为N/AOutboundCAR授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权出方向CAR,则显示为N/A1-42字段描述ACLnumber授权的ACL编号.
若未授权ACL,则显示为N/A.
授权状态包括如下:active:AAA授权ACL成功inactive:AAA授权ACL失败或者设备上不存在该ACLUserprofile授权的Userprofile名称.
若未授权Userprofile,则显示为N/A.
授权状态包括如下:active:AAA授权Userprofile成功inactive:AAA授权Userprofile失败或者设备上不存在该UserprofileMaxmulticastaddresses授权Portal用户可加入的组播组的最大数目Multicastaddresslist授权Portal用户可加入的的组播组列表.
若未授权组播组列表,则显示为N/AFlowstatisticPortal用户流量统计信息Uplinkpackets/bytes上行流量报文数/字节数Downlinkpackets/bytes下行流量报文数/字节数ITAPortal用户的ITA业务流量统计信息level-nuplinkpackets/bytes计费等级为n的上行流量报文数/字节数,n的取值范围为1~8level-ndownlinkpackets/bytes计费等级为n的下行流量报文数/字节数,n的取值范围为1~8【相关命令】portalenable1.
1.
19displayportalweb-serverdisplayportalweb-server命令用来显示PortalWeb服务器信息.
【命令】displayportalweb-server[server-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】server-name:PortalWeb服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server-name,则显示所有PortalWeb服务器信息.
【举例】#显示PortalWeb服务器wbs的信息.
displayportalweb-serverwbs1-43PortalWebserver:wbsType:IMCURL:http://www.
test.
com/portalURLparameters:userurl=http://www.
test.
com/welcomeuserip=source-addressVPNinstance:NotconfiguredServerdetection:Interval:120sAttempts:5Action:log,trapIPv4status:UpIPv6status:N/ACaptive-bypass:EnabledIf-match:original-url:http://2.
2.
2.
2,redirect-url:http://192.
168.
56.
2表1-12displayportalweb-server命令显示信息描述表字段描述TypePortalWeb服务器类型,其取值如下:CMCC:符合中国移动标准规范的服务器iMC:符合iMC标准规范的服务器PortalWebserverPortalWeb服务器名称URLPortalWeb服务器的URL地址以及携带的参数URLparametersPortalWeb服务器的URL携带的参数信息VPNinstancePortalWeb服务器所属的MPLSL3VPN实例名称ServerdetectionPortalWeb服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(log、trap)IPv4/IPv6statusPortalweb服务器当前状态,其取值如下:N/A:服务器可达性探测功能未开启,可达状态未知Up:服务器可达性探测功能已开启,且探测结果为该服务器当前可达Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达Captive-bypassPortal被动Web认证功能状态,其取值如下:Disabled:未开启Enabled:已开启OptimizeEnabled:优化功能已开启If-match配置的URL重定向匹配规则,未配置时则显示Notconfigured【相关命令】portalenableportalweb-serverserver-detect(portalweb-serverview)1.
1.
20displayweb-redirectruledisplayweb-redirectrule命令用来显示Web重定向过滤规则信息.
1-44【命令】集中式设备-独立运行模式:displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}分布式设备—独立运行模式/集中式设备-IRF模式:displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[slotslot-number]}分布式设备—IRF模式:displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】apap-name:显示指定AP的所有Web重定向过滤规则信息.
ap-name表示AP的名称,为1~64个字符的字符串,不区分大小写,可以包含字母、数字、下划线、"["、"]"、"/"及"-".
radioradio-id:显示指定射频的Web重定向过滤规则信息.
radio-id表示射频编号,取值范围与AP设备的型号有关,请以设备的实际情况为准.
若不指定本参数,则表示显示接入AP下所有射频的Web重定向过滤规则信息.
设备各款型对于本节所描述的参数的支持情况有所不同,详细差异信息如下:型号参数描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKapap-name[radioradio-id]MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持interfaceinterface-typeinterface-number:显示指定接口的Web重定向过滤规则信息.
interface-typeinterface-number为接口类型和接口编号.
1-45slotslot-number:显示指定单板上指定接口的Web重定向过滤规则信息.
slot-number表示单板所在槽位号.
若不指定该参数,则显示主用主控板上的Web重定向过滤规则信息.
(分布式设备-独立运行模式)slotslot-number:显示指定成员设备上指定接口的Web重定向过滤规则信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则显示主用设备上的Web重定向过滤规则信息.
(集中式设备-IRF模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上指定接口的Web重定向过滤规则.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在槽位号.
若不指定该参数,则显示全局主用主控板上的Web重定向过滤规则信息.
(分布式设备-IRF模式)【举例】#显示接口GigabitEthernet1/0/1上的所有Web重定向过滤规则.
displayweb-redirectruleinterfacegigabitethernet1/0/1IPv4web-redirectrulesonGigabitEthernet1/0/1:Rule1:Type:DynamicAction:PermitStatus:ActiveSource:IP:192.
168.
2.
114VLAN:AnyRule2:Type:StaticAction:RedirectStatus:ActiveSource:VLAN:AnyProtocol:TCPDestination:Port:80IPv6web-redirectrulesonGigabitEthernet1/0/1:Rule1:Type:StaticAction:RedirectStatus:ActiveSource:VLAN:AnyProtocol:TCPDestination:Port:80无线应用#显示ap1上的所有Web重定向过滤规则.
displayweb-redirectruleapap1IPv4web-redirectrulesonap1:1-46RadioID:1SSID:portalRule1:Type:DynamicAction:PermitStatus:ActiveSource:IP:192.
168.
2.
114VLAN:AnyRule2:Type:StaticAction:RedirectStatus:ActiveSource:VLAN:AnyProtocol:TCPDestination:Port:80表1-13displayweb-redirectrule命令显示信息描述表字段描述RadioID射频IDSSID服务集标识符RuleWeb重定向规则编号TypeWeb重定向规则的类型,包括以下取值:Static:静态类型.
该类型的规则在Web重定向功能生效时生成Dynamic:动态类型.
该类型的规则在用户访问重定向页面时生成ActionWeb重定向规则的匹配动作,包括以下取值:Permit:允许报文通过Redirect:重定向报文StatusWeb重定向规则下发的状态,包括以下取值:Active:表示规则已生效Deactive:表示规则未生效SourceWeb重定向规则的源信息IP源IP地址Mask源IPv4地址子网掩码Prefixlength源IPv6地址前缀VLAN源VLAN,如果未指定,显示为Any1-47字段描述ProtocolWeb重定向规则的传输层协议类型,包括以下取值:Any:不限制传输层协议类型TCP:TCP传输类型DestinationWeb重定向规则的目的信息Port目的传输层端口号,默认为801.
1.
21exclude-attributeexclude-attribute命令用来配置Portal协议报文中不携带的属性字段.
undoexclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段.
【命令】exclude-attributenumber{ack-auth|ack-logout|ntf-logout}undoexclude-attributenumber{ack-auth|ack-logout|ntf-logout}【缺省情况】未配置Portal协议报文中不携带的属性字段.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】number:Portal协议报文属性字段中属性类型编号,取值范围1~255.
ack-auth:Portal协议报文类型为ACK_AUTH.
ack-logout:Portal协议报文类型为ACK_LOGOUT.
ntf-logout:Portal协议报文类型为NTF_LOGOUT.
【使用指导】由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信.
可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败.
Portal协议所有属性的详细描述如表1-14所示.
表1-14Portal协议所有属性详细描述属性名称属性编号属性含义UserName1用户名PassWord2用户提交的明文密码1-48属性名称属性编号属性含义Challenge3用于CHAP方式加密的随机数ChapPassWord4通过MD5算法加密后的密码TextInfo5该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器.
属性的内容可以为任意字符串,但是不包括字符串结束符'\0'.
该属性可以存在于从设备到Portal服务器的任何报文中.
同一个报文中允许有多个该属性,建议只携带1个UpLinkFlux6表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KBDownLinkFlux7表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KBPort8端口信息,内容为一个字符串(无'\0'结束符)IP-Config9在不同报文类型中含义不同:在ACK_AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址BAS-IP10用于标识用户接入设备的IP地址,所有接入设备发送的报文都应该携带该属性.
对于二次地址方式,其值为接入设备的公网IP地址Session-ID11用户标识,通常使用用户的MAC地址作为标识Delay-Time12报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中User-List13用户IP地址列表EAP-Message14需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个User-Notify15需要透传的RADIUS计费回应报文中的hw_User_Notify内容BAS-IPv6100标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性UserIPv6-List101用户IPv6地址列表【举例】#在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]exclude-attribute6ack-auth【相关命令】displayportalserver1-491.
1.
22free-trafficthresholdfree-trafficthreshold命令用来配置用户免认证流量的阈值.
undofree-trafficthreshold命令用来恢复缺省情况.
【命令】free-trafficthresholdvalueundofree-trafficthreshold【缺省情况】用户免认证流量的阈值为0字节.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节.
如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证.
【使用指导】设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量.
设备会在MAC-trigger表项老化之前实时检测Portal用户收发的流量.
当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证.
用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-trigger表项老化后,将该用户的流量统计清零.
如果在MAC-trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-trigger表项,重复以上过程.
无线客户端数据报文转发位置在AP上,且AC上配置了基于MAC地址的快速认证时,当AP给AC上报流量统计信息的时间间隔(可通过portalclient-traffic-reportinterval命令配置)超时后,AC才会感知到用户收发的流量是否达到设定的阈值.
【举例】#为MAC绑定服务器mts配置用户免认证流量的阈值为10240字节.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]free-trafficthreshold10240【相关命令】displaymac-trigger-server1-501.
1.
23if-matchif-match命令用来配置重定向URL的匹配规则.
undoif-match命令用来删除配置的重定向URL匹配规则.
【命令】if-match{original-urlurl-stringredirect-urlurl-string[url-param-encryption{aes|des}key{cipher|simple}string]|user-agentstringredirect-urlurl-string}undoif-match{original-urlurl-string|user-agentuser-agent}【缺省情况】不存在重定向URL的匹配规则.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】original-urlurl-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是用户Web访问请求的URL地址,为1~256个字符的字符串,区分大小写.
该URL地址必须是以http://或者https://开头的完整URL路径.
redirect-urlurl-string:Web访问请求被重定向后的地址,为1~256个字符的字符串,区分大小写.
该URL地址必须是以http://或者https://开头的完整URL路径.
url-param-encryption:对设备重定向给用户的PortalWeb服务器URL中携带的所有参数信息进行加密.
如果未指定本参数,则表示不对携带的所有参数信息进行加密.
aes:加密算法为AES算法.
des:加密算法为DES算法.
key:设置密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
密钥的长度范围和选择的加密方式有关.
具体关系如下:对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串.
对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串.
user-agentuser-agent:根据用户HTTP/HTTPS请求报文中的UserAgent信息进行匹配,其中user-agent是HTTPUserAgent信息内容,为1~255个字符的字符串,区分大小写.
HTTPUserAgent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容.
【使用指导】重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息.
为了让用户能够成功访问重定向后的地址,需要通过portalfree-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文.
与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS1-51请求重定向到PortalWeb服务器进行Portal认证.
在二者同时存在时,if-match命令优先进行地址的重定向.
如果配置了对URL中携带的参数信息进行加密,则通过redirect-urlurl-string参数指定重定向地址时,需要在域名之后增加加密提示字段.
例如要将Web访问请求重定向到10.
1.
1.
1,并配置了对URL参数信息进行加密,则重定向URL的格式为:http://10.
1.
1.
1yyyy=,其中yyyy的值与PortalWeb服务器的配置有关,具体请参见服务器的配置指导.
【举例】#配置URL地址为http://www.
abc.
com.
cn的匹配规则,访问此地址的报文被重定向到http://192.
168.
0.
1.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]if-matchoriginal-urlhttp://www.
abc.
com.
cnredirect-urlhttp://192.
168.
0.
1#配置用户代理信息为5.
0(WindowsNT6.
1)AppleWebKit/537.
36(KHTML,likeGecko)Chrome/36.
0.
1985.
125Safari/537.
36的匹配规则,访问此地址的报文被重定向到http://192.
168.
0.
1.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]if-matchuser-agent5.
0(WindowsNT6.
1)AppleWebKit/537.
36(KHTML,likeGecko)Chrome/36.
0.
1985.
125Safari/537.
36redirect-urlhttp://192.
168.
0.
1【相关命令】displayportalweb-serverportalfree-ruleurlurl-parameter1.
1.
24ip(MACbindingserverview)ip命令用来配置MAC绑定服务器的IP地址.
undoip命令用来恢复缺省情况.
【命令】ipipv4-address[vpn-instanceipv4-vpn-instance-name][key{cipher|simple}string]undoip【缺省情况】未配置MAC绑定服务器的IP地址.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin1-52【参数】ipv4-address:MAC绑定服务器的IPv4地址.
vpn-instanceipv4-vpn-instance-name:MAC绑定服务器所属的VPN.
ipv4-vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示MAC绑定服务器位于公网中.
key:设备与MAC绑定服务器通信时使用的共享密钥.
设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性.
如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验.
cipher:以密文方式设置共享密钥.
simple:以明文方式设置共享密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串.
【使用指导】在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效.
【举例】#配置MAC绑定服务器mts的IP地址为192.
168.
0.
111,共享密钥为明文portal.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]ip192.
168.
0.
111keysimpleportal【相关命令】displaymac-trigger-server1.
1.
25ip(Portalauthenticationserverview)ip命令用来指定Portal认证服务器的IPv4地址.
undoip命令用来恢复缺省情况.
【命令】ipipv4-address[vpn-instancevpn-instance-name][key{cipher|simple}string]undoip【缺省情况】未指定Portal认证服务器的IPv4地址.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】ipv4-address:Portal认证服务器的IPv4地址.
1-53vpn-instancevpn-instance-name:Portal认证服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示Portal认证服务器位于公网中.
key:与Portal认证服务器通信时使用的共享密钥.
设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密码字符串,区分大小写.
明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串.
【使用指导】一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址.
多次执行本命令,最后一次执行的命令生效.
不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同.
【举例】#指定Portal认证服务器pts的IPv4地址为192.
168.
0.
111、共享密钥为明文portal.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]ip192.
168.
0.
111keysimpleportal【相关命令】portalserverdisplayportalserver1.
1.
26ipv6ipv6命令用来指定Portal认证服务器的IPv6地址.
undoipv6命令用来恢复缺省情况.
【命令】ipv6ipv6-address[vpn-instanceipv6-vpn-instance-name][key{cipher|simple}string]undoipv6【缺省情况】未指定Portal认证服务器的IPv6地址.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】ipv6-address:Portal认证服务器的IPv6地址.
1-54vpn-instancevpn-instance-name:Portal认证服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示Portal认证服务器位于公网中.
key:与Portal认证服务器通信需要的共享密钥.
设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密码字符串,区分大小写.
明文密钥为1~64个字符的字符串,密文密钥为33~117个字符的字符串.
【使用指导】一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址.
多次执行本命令,最后一次执行的命令生效.
不同的Portal认证服务器不允许IPv6地址和VPN的配置都相同.
【举例】#指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]ipv62000::1keysimpleportal【相关命令】portalserverdisplayportalserver1.
1.
27local-bindingaging-timelocal-bindingaging-time命令用来配置本地MAC-trigger绑定表项的老化时间.
undolocal-bindingaging-time命令用来恢复缺省情况.
【命令】local-bindingaging-timehoursundolocal-bindingaging-time【缺省情况】本地MAC-trigger绑定表项的老化时间为12小时.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】hours:本地MAC-trigger绑定表项的老化时间,取值范围为1~2160,单位为小时.
1-55【使用指导】当某条本地MAC-trigger绑定表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立本地MAC-trigger绑定表项.
关闭本地MAC-trigger功能后,设备上已有的本地MAC-trigger表项不会立即删除,一直到设定的老化时间后才会删除.
【举例】#在MAC绑定服务器mts视图下,指定本地MAC-trigger绑定表项老化时间为24小时.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]local-bindingaging-time24【相关命令】displaymac-trigger-serverlocal-bindingenable1.
1.
28local-bindingenablelocal-bindingenable命令用来开启Portal本地MAC-trigger认证功能.
undolocal-bindingenable命令用来关闭Portal本地MAC-trigger认证功能.
【命令】local-bindingenableundolocal-bindingenable【缺省情况】Portal本地MAC-trigger认证功能处于关闭状态.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【使用指导】开启本功能后,当用户进行本地Portal认证时,无需手工输入认证信息便可以自动完成Portal认证,此时接入设备作为MAC绑定服务器,接入设备在检测到用户首次上线的流量后,会生成本地MAC-trigger绑定表项,用于记录用户的MAC地址、用户名、密码.
【举例】#在MAC绑定服务器mts视图下,开启Portal本地MAC-trigger认证功能.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]local-bindingenable【相关命令】local-bindingaging-timedisplaymac-trigger-server1-561.
1.
29logon-pagebindlogon-pagebind命令用来配置SSID或终端设备类型与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能.
undologon-pagebind命令用来取消指定SSID或终端设备类型与认证页面的绑定关系.
【命令】logon-pagebind{device-typetype-name|ssidssid-name}*filefile-nameundologon-pagebind{all|device-typetype-name|ssidssid-name}*【缺省情况】未配置SSID或终端设备类型与任何认证页面文件的绑定关系.
【视图】本地PortalWeb服务器视图【缺省用户角色】network-admin【参数】all:表示所有绑定的SSID或终端设备类型.
device-typetype-name:表示绑定的终端设备类型.
type-name为终端设备类型的名称,为1~127个字符的字符串,区分大小写.
指定的终端设备类型必须为设备指纹库中已定义的设备类型,否则绑定的认证页面不生效.
ssidssid-name:表示绑定的SSID.
ssid-name为无线服务模板的SSID,为1~32个字符的字符串,不区分大小写,可以包括字母、数字和空格,但字符串开始和结束位置不可以用空格,且不能是"f"、"fi"、"fil"和"file".
filefile-name:表示绑定的认证页面文件.
file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线.
该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下.
【使用指导】未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-pagebind命令,则会根据Portal用户所属的无线SSID或终端设备类型查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面.
当设备根据Portal用户所属的无线SSID和终端设备类型信息同时匹配到多条绑定关系时,则设备将按照以下优先级进行选择所使用的绑定关系:优先选择同时指定了SSID和设备类型的绑定关系.
其次选择仅指定SSID的绑定关系.
最后选择仅指定终端设备类型的绑定关系.
当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改.
对于相同的SSID或终端设备类型,多次执行本命令,最后一次执行的命令生效.
1-57【举例】#创建本地PortalWeb服务器,进入本地PortalWeb服务器视图,并指定使用HTTP协议和客户端交互认证信息.
system-view[Sysname]portallocal-web-serverhttp#配置SSID1与定制认证页面文件file1.
zip进行绑定.
[Sysname-portal-local-websvr-http]logon-pagebindssidSSID1filefile1.
zip#配置终端设备类型为iphone的设备与定制认证页面文件file2.
zip进行绑定.
[Sysname-portal-local-websvr-http]logon-pagebinddeviceiphonefilefile2.
zip【相关命令】portallocal-web-serverdefault-logon-page1.
1.
30mail-protocolmail-protocol命令用来配置邮箱认证服务支持的协议类型.
undomail-protocol命令用来恢复缺省情况.
【命令】mail-protocol{imap|pop3}*undomail-protocol【缺省情况】未配置邮箱认证服务支持的协议类型.
【视图】邮箱认证服务器视图【缺省用户角色】network-admin【参数】imap:互联网信息访问协议(IMAP).
pop3:POP3协议.
【使用指导】终端用户采用邮箱方式进行第三方认证时,终端用户输入邮箱地址和密码,提交给设备,设备再和邮件服务器进行认证和授权交互,设备和服务器之间采取POP3或IMAP邮箱协议.
【举例】#配置邮箱认证服务支持的协议类型为POP3.
system-view[Sysname]portalextend-auth-servermail[Sysname-portal-extend-auth-server-mail]mail-protocolpop3【相关命令】displayportalextend-auth-server1-581.
1.
31nas-port-typenas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值.
undonas-port-type命令用来恢复缺省情况.
【命令】nas-port-typevalueundonas-port-type【缺省情况】设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0.
【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】value:NAS-Port-Type属性值,取值范围为1~255.
【使用指导】设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证.
请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值.
【举例】#配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]nas-port-type30【相关命令】displaymac-trigger-server1.
1.
32port(MACbindingserverview)port命令用来配置MAC绑定服务器监听查询报文的UDP端口号.
undoport命令用来恢复缺省情况.
【命令】portport-numberundoport【缺省情况】MAC绑定服务器监听查询报文的UDP端口号是50100.
【视图】MAC绑定服务器视图1-59【缺省用户角色】network-admin【参数】port-number:UDP端口号,取值范围为1~65534.
【使用指导】本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致.
【举例】#配置MAC绑定服务器mts监听查询报文的UDP端口号为1000.
system-view[sysname]portalmac-trigger-servermts[sysname-portal-mac-trigger-server-mts]port1000【相关命令】displaymac-trigger-server1.
1.
33port(portalauthenticationserverview)port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号.
undoport命令用来恢复缺省情况.
【命令】portport-numberundoport【缺省情况】设备主动发送Portal报文时使用的UDP端口号为50100.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534.
【使用指导】本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致.
【举例】#配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]port500001-60【相关命令】portalserver1.
1.
34portal{bas-ip|bas-ipv6}portal{bas-ip|bas-ipv6}命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性.
undoportal{bas-ip|bas-ipv6}命令用来删除接口或者无线服务模板上指定的BAS-IP或BAS-IPv6属性.
【命令】接口视图:portal{bas-ipipv4-address|bas-ipv6ipv6-address}undoportal{bas-ip|bas-ipv6}无线服务模板视图:portalbas-ipipv4-addressundoportalbas-ip【缺省情况】对于响应类报文IPv4Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6Portal报文中的BAS-IPv6属性为报文源IPv6地址.
对于通知类报文IPv4Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6Portal报文中的BAS-IPv6属性为出接口的IPv6地址.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址.
【使用指导】设备上运行Portal协议2.
0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性.
设备上运行Portal协议3.
0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性.
配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址.
接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功.
1-61使用H3CiMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性.
【举例】路由应用#配置接口GigabitEthernet1/0/1发送Portal报文的BAS-IP属性值为2.
2.
2.
2.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalbas-ip2.
2.
2.
2无线应用#在无线服务模板service1上配置发送Portal报文的BAS-IP属性值为2.
2.
2.
2.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalbas-ip2.
2.
2.
2【相关命令】displayportal1.
1.
35portal{ipv4-max-user|ipv6-max-user}portal{ipv4-max-user|ipv6-max-user}命令用来配置接口或者无线服务模板上的Portal最大用户数.
undoportal{ipv4-max-user|ipv6-max-user}命令用来恢复缺省情况.
【命令】接口视图:portal{ipv4-max-user|ipv6-max-user}max-numberundoportal{ipv4-max-user|ipv6-max-user}无线服务模板视图:portalipv4-max-usermax-numberundoportalipv4-max-user【缺省情况】接口或者无线服务模板上的Portal最大用户数不受限制.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】max-number:接口或者无线服务模板上允许的最大IPv4或IPv6Portal用户数,取值范围为1~4294967295.
1-62【使用指导】如果接口或者无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入.
【举例】路由应用#在接口GigabitEthernet1/0/1上配置IPv4Portal最大用户数为100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalipv4-max-user100无线应用#在无线服务模板上配置IPv4Portal最大用户数为100.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalipv4-max-user100【相关命令】displayportalportalmax-user1.
1.
36portalapplymac-trigger-serverportalapplymac-trigger-server命令用来应用MAC绑定服务器.
undoportalapplymac-trigger-server命令用来恢复缺省情况.
【命令】portalapplymac-trigger-serverserver-nameundoportalapplymac-trigger-server【缺省情况】未应用MAC绑定服务器.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写.
【使用指导】基于MAC地址的快速认证仅支持直接认证方式.
为使基于MAC地址的快速认证生效,必须完成以下配置:完成普通三层Portal认证的相关配置;配置MAC绑定服务器的IP地址和端口号;1-63在接口或者无线服务模板上应用MAC绑定服务器;【举例】#在接口GigabitEthernet1/0/1上应用MAC绑定服务器mts.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalapplymac-trigger-servermts【相关命令】portalmac-trigger-server1.
1.
37portalapplyweb-serverportal[ipv6]applyweb-server命令用来引用PortalWeb服务器,设备会将Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器.
undoportal[ipv6]applyweb-server命令用来删除指定的PortalWeb服务器.
【命令】接口视图:portal[ipv6]applyweb-serverserver-name[secondary]undoportal[ipv6]applyweb-server[server-name]无线服务模板视图:portalapplyweb-serverserver-name[secondary]undoportalapplyweb-server[server-name]【缺省情况】未引用PortalWeb服务器.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6PortalWeb服务器.
若不指定该参数,则表示IPv4PortalWeb服务器.
secondary:表示备份PortalWeb服务器.
若不指定该参数,则表示主PortalWeb服务器.
server-name:被引用的PortalWeb服务器的名称,为1~32个字符的字符串,区分大小写,且必须已经存在.
取消接口或者无线服务模板上引用的PortalWeb服务器时,若不指定该参数,则表示取消该接口或无线服务模板上所有引用的PortalWeb服务器.
【使用指导】一个接口上可以同时开启IPv4Portal认证和IPv6Portal认证,每种类型的Portal认证开启后,均可以同时引用一个主PortalWeb服务器和一个备份PortalWeb服务器.
1-64设备优先使用主PortalWeb服务器进行Portal认证.
当主PortalWeb服务器不可达时,如果备份PortalWeb服务器可达,设备将切换到备份PortalWeb服务器进行Portal认证.
当主PortalWeb服务器恢复可达时,设备将强制切换回主PortalWeb服务器进行Portal认证.
要实现主、备PortalWeb服务器的自动切换,需要分别对引用的主、备PortalWeb服务器配置PortalWeb服务器可达性探测功能.
【举例】路由应用#在接口GigabitEthernet1/0/1上引用名称为wbs的PortalWeb服务器作为用户认证时使用的备份Web服务器.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalapplyweb-serverwbssecondary无线应用#在服务模板上引用名称为wbs的PortalWeb服务器作为用户认证时使用的备份Web服务器.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalapplyweb-serverwbssecondary【相关命令】displayportalportalfail-permitserverportalweb-serverserver-detect(portalweb-serverview)1.
1.
38portalauthorizationstrict-checkingportalauthorizationstrict-checking命令用来开启Portal授权信息的严格检查模式.
undoportalauthorizationstrict-checking命令用来关闭Portal授权信息的严格检查模式.
【命令】portalauthorization{acl|user-profile}strict-checkingundoportalauthorization{acl|user-profile}strict-checking【缺省情况】缺省为非严格检查授权信息模式,当服务器下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,用户保持在线.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】acl:表示开启对授权ACL的严格检查.
1-65user-profile:表示开启对授权UserProfile的严格检查.
【使用指导】接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,设备将强制该用户下线.
可同时开启对授权ACL和授权UserProfile的严格检查模式.
若同时开启了对授权ACL和对授权UserProfile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线.
【举例】路由应用#在接口GigabitEthernet1/0/1上开启对授权ACL的严格检查模式.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalauthorizationaclstrict-checking无线应用#在无线服务模板service1上开启对授权ACL的严格检查模式.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalauthorizationaclstrict-checking【相关命令】displayportal1.
1.
39portaldelete-userportaldelete-user命令用来强制在线Portal用户下线.
【命令】portaldelete-user{ipv4-address|all|interfaceinterface-typeinterface-number|ipv6ipv6-address}【视图】系统视图【缺省用户角色】network-admin【参数】ipv4-address:在线Portal用户的IPv4地址.
all:所有接口下的在线IPv4Portal用户和IPv6Portal用户.
interfaceinterface-typeinterface-number:指定接口下的所有在线Portal用户,包括IPv4Portal用户和IPv6Portal用户.
interface-typeinterface-number为接口类型和接口编号.
ipv6ipv6-address:指定在线IPv6Portal用户的地址.
1-66【举例】#强制IP地址为1.
1.
1.
1的在线Portal用户下线.
system-view[Sysname]portaldelete-user1.
1.
1.
1【相关命令】displayportaluser1.
1.
40portaldevice-idportaldevice-id命令用来配置设备ID.
undoportaldevice-id命令用来恢复缺省情况.
【命令】portaldevice-iddevice-idundoportaldevice-id【缺省情况】未配置任何设备ID.
【视图】系统视图【缺省用户角色】network-admin【参数】device-id:设备ID,为1~63个字符的字符串,区分大小写.
【使用指导】通过配置设备ID,使得设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备.
不同设备的设备ID不能相同.
【举例】#配置设备的编码名为0002.
0010.
100.
00.
system-view[Sysname]portaldevice-id0002.
0010.
100.
001.
1.
41portaldomainportal[ipv6]domain命令用于指定Portal用户使用的认证域,使得所有从该接口或者无线服务模板上接入的Portal用户强制使用该认证域.
undoportal[ipv6]domain命令用来删除指定的Portal用户使用的认证域.
【命令】接口视图portal[ipv6]domaindomain-name1-67undoportal[ipv6]domain无线服务模板视图:portaldomaindomain-nameundoportaldomain【缺省情况】未指定Portal用户使用的认证域.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6Portal用户使用的认证域.
若不指定本参数,则表示指定IPv4Portal用户使用的认证域.
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写.
【使用指导】接口上可以同时指定IPv4Portal用户和IPv6Portal用户的认证域.
如果不指定ipv6参数,则表示配置或者删除IPv4Portal用户使用的认证域.
【举例】路由应用#指定从接口GigabitEthernet1/0/1上接入的IPv4Portal用户使用认证域为my-domain.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portaldomainmy-domain无线应用#在无线服务模板service1上配置接入的IPv4Portal用户使用认证域my-domain.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portaldomainmy-domain【相关命令】displayportal1.
1.
42portalenableportal[ipv6]enable命令用来开启Portal认证功能,并指定认证方式.
undoportal[ipv6]enable命令用来关闭Portal认证功能.
【命令】接口视图:portalenablemethod{direct|layer3|redhcp}portalipv6enablemethod{direct|layer3}1-68undoportal[ipv6]enable无线服务模板视图:portalenablemethoddirectundoportalenable【缺省情况】Portal认证功能处于关闭状态.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal认证.
若不指定该参数,则表示IPv4Portal认证.
method:认证方式.
direct:直接认证方式.
layer3:可跨三层认证方式.
redhcp:二次地址分配认证方式.
【使用指导】开启IPv6Portal认证功能之前,需要保证设备支持IPv6ACL和IPv6转发功能.
IPv6Portal认证不支持二次地址分配方式.
为保证以太网接口上的Portal功能生效,请不要将开启Portal认证功能的以太网接口加入聚合组.
允许在接口上同时开启IPv4Portal认证和IPv6Portal认证功能.
无线服务模板上的Portal认证只支持直接认证方式.
禁止在服务模板视图和接口视图下同时使能Portal认证.
【举例】路由应用#在接口GigabitEthernet1/0/1上开启IPv4Portal认证功能,且指定为直接认证方式.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalenablemethoddirect无线应用#在服务模板上开启三层Portal认证,配置为直接认证方式.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalenablemethoddirect【相关命令】displayportal1-691.
1.
43portalextend-authdomainportalextend-authdomain命令用来配置第三方认证用户使用的认证域.
undoportalextend-authdomain命令用来删除第三方认证用户使用的认证域.
【命令】portalextend-authdomaindomain-nameundoportalextend-authdomain【缺省情况】未配置第三方认证用户使用认证域.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】domain-name:ISP域名,为1~255个字符的字符串,不区分大小写.
【使用指导】只支持IPv4的第三方认证用户.
【举例】#指定从接口GigabitEthernet1/0/1上接入第三方认证用户使用认证域为my-domain.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalextend-authdomainmy-domain无线应用#指定从无线服务模板service1上接入的第三方认证用户使用认证域my-domain.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalextend-authdomainmy-domain【相关命令】displayportal1.
1.
44portalextend-auth-serverportalextend-auth-server命令用来创建第三方认证服务器,并进入第三方认证服务器视图.
如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图.
undoportalextend-auth-server命令用来删除第三方认证服务器.
【命令】portalextend-auth-server{qq|mail}undoportalextend-auth-server{qq|mail}1-70【缺省情况】不存在第三方认证服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】qq:表示QQ认证服务器.
mail:表示邮箱认证服务器.
【使用指导】第三方认证是指使用QQ帐号在QQ服务器上或是使用邮箱帐号在邮件服务器完成第三方的认证授权后,通知设备使用第三方认证的账号和密码进行本地PortalWeb服务器的直接Portal认证.
此过程中不需要用户使用额外的Portal认证账号,方便用户上网.
【举例】#创建QQ认证服务器,并进入QQ认证服务器视图.
system-view[Sysname]portalextend-auth-serverqq[Sysname-portal-extend-auth-server-qq]#创建邮箱认证服务器,并进入邮箱认证服务器视图.
system-view[Sysname]portalextend-auth-servermail[Sysname-portal-extend-auth-server-mail]【相关命令】displayportalextend-auth-server1.
1.
45portalfail-permitserverportal[ipv6]fail-permitserver命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络.
undoportal[ipv6]fail-permitserver命令用来关闭Portal认证服务器不可达时的Portal用户逃生功能.
【命令】portal[ipv6]fail-permitserverserver-nameundoportal[ipv6]fail-permitserver【缺省情况】Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态.
【视图】接口视图1-71【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal认证服务器.
若不指定该参数,则表示IPv4Portal认证服务器.
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写.
【使用指导】如果接口上同时开启了Portal认证服务器和PortalWeb服务器不可达时的Portal用户逃生功能,则当所有的PortalWeb服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个PortalWeb服务器均恢复可达后,再重新启动接口上的Portal认证功能.
Portal认证功能重新启动之后,未通过认证的用户以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源.
多次执行本命令,最后一次执行的命令生效.
【举例】#在接口GigabitEthernet1/0/1上启用Portal认证服务器pts1不可达时的Portal用户逃生功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalfail-permitserverpts1【相关命令】displayportal1.
1.
46portalfail-permitweb-serverportal[ipv6]fail-permitweb-server命令用来开启PortalWeb服务器不可达时的Portal用户逃生功能,即设备探测到PortalWeb服务器不可达时暂停接口或无线服务模板上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络.
undoportal[ipv6]fail-permitweb-server命令用来关闭PortalWeb服务器不可达时的Portal用户逃生功能.
【命令】接口视图:portal[ipv6]fail-permitweb-serverundoportal[ipv6]fail-permitweb-server无线服务模板视图:portalfail-permitweb-serverundoportalfail-permitweb-server设备各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:1-72型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKportalfail-permitweb-server(无线服务模板视图)MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持【缺省情况】PortalWeb服务器不可达时的Portal用户逃生功能处于关闭状态.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6PortalWeb服务器.
若不指定该参数,则表示IPv4PortalWeb服务器.
【使用指导】如果接口上同时开启了Portal认证服务器和PortalWeb服务器不可达时的Portal用户逃生功能,则当所有的PortalWeb服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个PortalWeb服务器均恢复可达后,接口上的Portal认证功能将重新启动.
在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响.
同一个接口或无线服务模板上,只有当主PortalWeb服务器和备份PortalWeb服务器都不可达的时候,设备才会认为PortalWeb服务器不可达.
只有在无线服务模板处于关闭的状态下才能配置本功能.
【举例】#在无线服务模板上启用PortalWeb服务器不可达时的Portal用户逃生功能.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalfail-permitweb-server【相关命令】displayportal1-731.
1.
47portalfree-allexceptdestinationportalfree-allexceptdestination命令用来配置IPv4Portal目的认证网段.
undoportalfree-allexceptdestination命令用来删除IPv4Portal目的认证网段.
【命令】portalfree-allexceptdestinationipv4-network-address{mask-length|mask}undoportalfree-allexceptdestination[ipv4-network-address]【缺省情况】未配置IPv4Portal目的网段认证,表示对访问任意目的网段的用户都进行Portal认证.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv4-network-address:IPv4Portal认证网段地址.
mask-length:子网掩码长度,取值范围为0~32.
mask:子网掩码,点分十进制格式.
【使用指导】接口上仅要求Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证.
可以通过多次执行本命令,配置多条目的认证网段.
如果undo命令中不携带IP地址参数,则表示删除所有的IPv4Portal目的认证网段.
目的网段认证对二次地址分配认证方式的Portal认证不生效.
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效.
【举例】#在接口GigabitEthernet1/0/1上配置IPv4Portal目的认证网段为11.
11.
11.
0/24,仅允许访问11.
11.
11.
0/24网段的用户触发Portal认证,其它目的网段可以直接访问.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalfree-allexceptdestination11.
11.
11.
024【相关命令】displayportal1.
1.
48portalfree-ruleportalfree-rule命令用来配置基于IP地址的Portal免认证规则.
undoportalfree-rule命令用来删除指定的或所有Portal免认证规则.
1-74【命令】portalfree-rulerule-number{destinationip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]|sourceip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]portalfree-rulerule-number{destinationipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]|sourceipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]undoportalfree-rule{rule-number|all}【缺省情况】不存在基于IP地址的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号,取值范围为0~4294967295.
destination:指定目的信息.
source:指定源信息.
ipip-address:免认证规则的IPv4地址.
{mask-length|mask}:免认证规则的IP地址掩码.
其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式.
ipv6ipv6-address:免认证规则的IPv6地址.
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128.
ipany:任意IPv4地址.
ipv6any:任意IPv6地址.
tcptcp-port-number:免认证规则的TCP端口号,取值范围为0~65535.
udpudp-port-number:免认证规则的UDP端口号,取值范围为0~65535.
all:所有免认证规则.
interfaceinterface-typeinterface-number:免认证规则生效的三层接口.
【使用指导】可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制.
如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致.
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复.
未指定三层接口的情况下,免认证规则对所有开启Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效.
1-75【举例】#配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.
10.
10.
1/24、目的地址为20.
20.
20.
1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1.
该规则表示在GigabitEthernet1/0/1接口上,10.
10.
10.
1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.
20.
20.
1的主机在TCP端口23上提供的服务.
system-view[Sysname]portalfree-rule1destinationip20.
20.
20.
132tcp23sourceip10.
10.
10.
124interfacegigabitethernet1/0/1#配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为GigabitEthernet1/0/1.
该规则表示在GigabitEthernet1/0/1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务.
system-view[Sysname]portalfree-rule2destinationipv62001::1128tcp23sourceip2000::164interfacegigabitethernet1/0/1【相关命令】displayportalrule1.
1.
49portalfree-ruledestinationportalfree-ruledestination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名.
undoportalfree-rule命令用来删除指定的或所有Portal免认证规则.
【命令】portalfree-rulerule-numberdestinationhost-nameundoportalfree-rule{rule-number|all}【缺省情况】不存在基于目的的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号,取值范围为0~4294967295.
destination:指定目的信息.
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、"-"、"_"、".
"和通配符"*",且不能为"ip"和"ipv6".
all:所有免认证规则.
【使用指导】基于目的Portal免认证规则支持如下两种配置方式:1-76精确匹配:即完整匹配主机名.
例如配置的主机名为abc.
com.
cn,其含义为只匹配abc.
com.
cn的主机名,如果报文中携带的主机名为dfabc.
com.
cn,则匹配失败.
模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.
com.
cn、abc*和*abc*,其含义分别为匹配所有以abc.
com.
cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名.
配置基于目的Portal免认证规则时,需要注意的是:通配符"*"表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符.
配置的主机名不能只有通配符.
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复.
【举例】#配置一条基于目的的Portal免认证规则:编号为4、主机名为www.
h3c.
com.
该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.
h3c.
com时,该用户才可以不需要经过Portal认证即可以访问网络资源.
system-view[Sysname]portalfree-rule4destinationwww.
h3c.
com【相关命令】displayportalrule1.
1.
50portalfree-rulesourceportalfree-rulesource命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN.
undoportalfree-rule命令用来删除指定的或所有Portal免认证规则.
【命令】portalfree-rulerule-numbersource{interfaceinterface-typeinterface-number|macmac-address|vlanvlan-id}*undoportalfree-rule{rule-number|all}【缺省情况】未配置基于源的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号,取值范围为0~4294967295.
interfaceinterface-typeinterface-number:免认证规则的源接口.
interface-typeinterface-number为接口类型和接口编号.
macmac-address:免认证规则的源MAC地址,为H-H-H的形式.
vlanvlan-id:免认证规则的源VLAN编号.
1-77all:所有免认证规则.
【使用指导】如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效.
【举例】#配置一条Portal免认证规则:编号为3、源MAC地址为1-1-1、源VLAN为VLAN10.
该规则表示MAC地址为1-1-1,属于VLAN10的用户不需要经过Portal认证即可以访问网络资源.
system-view[Sysname]portalfree-rule3sourcemac1-1-1vlan10【相关命令】displayportalrule1.
1.
51portalhost-checkenableportalhost-checkenable命令用来开启无线Portal客户端合法性检查功能.
undoportalhost-checkenable命令用来关闭无线Portal客户端合法性检查功能.
【命令】portalhost-checkenableundoportalhost-checkenable设备各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKportalhost-checkenableMSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持【缺省情况】无线Portal客户端合法性检查功能处于关闭状态,设备仅根据ARP表项对Portal客户端进行合法性检查.
【视图】系统视图1-78【缺省用户角色】network-admin【使用指导】缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查.
在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能.
本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLANSnooping表、DHCPSnooping表和ARP表对其进行合法性检查.
如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证.
可通过displayipsourcebinding命令查看到WLANSnooping表项或DHCPSnooping表项的相关信息.
关于displayipsourcebinding命令的详细介绍请参考"安全命令参考"中的"IPSourceGuard".
【举例】#开启无线Portal客户端合法性检查功能.
system-view[Sysname]portalhost-checkenable【相关命令】displayipsourcebinding(安全命令参考/IPSourceGuard)1.
1.
52portalipv6free-allexceptdestinationportalipv6free-allexceptdestination命令用来配置IPv6Portal目的网段认证.
undoportalipv6free-allexceptdestination命令用来删除IPv6Portal目的认证网段.
【命令】portalipv6free-allexceptdestinationipv6-network-addressprefix-lengthundoportalipv6free-allexceptdestination[ipv6-network-address]【缺省情况】未配置IPv6Portal目的网段认证,表示对访问任意IPv6目的网段的用户都进行Portal认证.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv6-network-address:IPv6Portal认证网段地址.
prefix-length:IPv6地址前缀长度,取值范围为0~128.
【使用指导】接口上仅要求在Portal用户访问指定目的认证网段(除免认证规则中指定的目的IP地址或网段)时才需要进行Portal认证,访问其它网段访问时不需要进行Portal认证.
可以通过多次执行本命令,配置多条目的认证网段.
1-79如果undo命令中不携带IP地址参数,则表示删除所有的IPv6Portal目的认证网段.
目的网段认证对二次地址分配认证方式的Portal认证不生效.
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段配置不会生效.
【举例】#在接口GigabitEthernet1/0/1上配置IPv6Portal目的认证网段为1::2/16,仅要求访问1::2/16网段的用户必须进行Portal认证.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalipv6free-allexceptdestination1::216【相关命令】displayportal1.
1.
53portalipv6layer3sourceportalipv6layer3source命令用来配置IPv6Portal源认证网段,即接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃.
undoportalipv6layer3source命令用来删除IPv6Portal源认证网段.
【命令】portalipv6layer3sourceipv6-network-addressprefix-lengthundoportalipv6layer3source[ipv6-network-address]【缺省情况】未配置IPv6Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv6-network-address:IPv6Portal源认证网段地址.
prefix-length:IPv6地址前缀长度,取值范围为0~128.
【使用指导】如果undo命令中不携带IP地址参数,则表示删除所有的IPv6Portal源认证网段.
源认证网段仅对Portal的可跨三层认证方式(layer3)生效.
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效.
【举例】#在接口GigabitEthernet1/0/1上配置一条IPv6Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证.
system-view[Sysname]interfacegigabitethernet1/0/11-80[Sysname–GigabitEthernet1/0/1]portalipv6layer3source1::116【相关命令】displayportalportalipv6free-allexceptdestination1.
1.
54portalipv6user-detectportalipv6user-detect命令用来开启IPv6Portal用户在线探测功能.
undoportaluser-detect命令用来关闭IPv6Portal用户在线探测功能.
【命令】portalipv6user-detecttype{icmpv6|nd}[retryretries][intervalinterval][idletime]undoportalipv6user-detect【缺省情况】IPv6Portal用户在线探测功能处于关闭状态.
【视图】接口视图【缺省用户角色】network-admin【参数】type:指定探测类型.
icmpv6:表示探测类型为ICMPv6.
nd:表示探测类型为ND.
retryretries:探测次数,取值范围为1~10,缺省值为3.
intervalinterval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3.
idletime:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180.
【使用指导】根据探测类型的不同,设备有以下两种探测机制:当探测类型为ICMPv6时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户定期(intervalinterval)发送探测报文.
如果在指定探测次数(retryretries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线.
当探测类型为ND时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文.
设备定期(intervalinterval)检测用户ND表项是否被刷新过,如果在指定探测次数(retryretries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线.
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效.
1-81如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线.
因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文.
【举例】#在接口GigabitEthernet1/0/1上开启IPv6Portal用户在线探测功能:探测类型为ICMPv6,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalipv6user-detecttypeicmpv6retry5interval10idle300【相关命令】displayportal1.
1.
55portallayer3sourceportallayer3source命令用来配置IPv4Portal源认证网段,即接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃.
undoportallayer3source命令用来删除IPv4Portal源认证网段.
【命令】portallayer3sourceipv4-network-address{mask-length|mask}undoportallayer3source[ipv4-network-address]【缺省情况】未配置IPv4Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv4-network-address:IPv4Portal认证网段地址.
mask-length:子网掩码长度,取值范围为0~32.
mask:子网掩码,点分十进制格式.
【使用指导】如果undo命令中不携带IP地址参数,则表示删除所有的IPv4Portal源认证网段.
源认证网段仅对Portal的可跨三层认证方式(layer3)生效.
如果接口上同时配置了源认证网段和目的网段认证,则源认证网段配置不会生效.
【举例】#在接口GigabitEthernet1/0/1上配置一条IPv4Portal源认证网段为10.
10.
10.
0/24,仅允许来自10.
10.
10.
0/24网段的用户触发Portal认证.
system-view1-82[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portallayer3source10.
10.
10.
024【相关命令】displayportalportalfree-allexceptdestination1.
1.
56portallocal-web-serverportallocal-web-server命令用来创建本地PortalWeb服务器,并进入本地PortalWeb服务器视图.
如果指定的本地PortalWeb服务器已经存在,则直接进入本地PortalWeb服务器视图.
undoportallocal-web-server命令用来删除本地PortalWeb服务器.
【命令】portallocal-web-server{http|https[ssl-server-policypolicy-name]}undoportallocal-web-server{http|https}【缺省情况】不存在本地ProtalWeb服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】http:指定本地PortalWeb服务器使用HTTP协议和客户端交互认证信息.
https:指定本地PortalWeb服务器使用HTTPS协议和客户端交互认证信息.
ssl-server-policypolicy-name:指定HTTPS服务关联的SSL服务器端策略.
policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在.
若不指定本参数,HTTPS服务将关联自签名证书对应的SSL服务器端策略,该SSL服务器端策略支持所有加密套件.
【使用指导】本地PortalWeb服务器功能是指,Portal认证系统中不采用外部独立的PortalWeb服务器和Portal认证服务器,而由接入设备实现PortalWeb服务器和Portal认证服务器功能.
只有接口上引用的PortalWeb服务器中的URL同时满足以下两个条件时,接口上才会使用本地PortalWeb服务器功能.
条件如下:该URL中的IP地址是设备本机上的IP地址(除127.
0.
0.
1以外).
该URL以/portal/结尾,例如:http://1.
1.
1.
1/portal/.
配置本地PortalWeb服务器功能时,需要注意的是:已经被HTTPS服务关联的SSL服务器端策略不能被删除.
不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undoportallocal-web-serverhttps命令删除已创建的本地PortalWeb服务器,再执行portallocal-web-serverhttpsssl-server-policy命令.
1-83【举例】#创建本地PortalWeb服务器,进入本地PortalWeb服务器视图,并指定使用HTTP协议和客户端交互认证信息.
system-view[Sysname]portallocal-web-serverhttp[Sysname-portal-local-websvr-http]quit#创建本地PortalWeb服务器,进入本地PortalWeb服务器视图.
指定使用HTTPS协议和客户端交互认证信息,且引用的SSL服务器端策略为policy1.
system-view[Sysname]portallocal-web-serverhttpsssl-server-policypolicy1[Sysname-portal-local-websvr-https]quit#更改引用的SSL服务器端策略为policy2.
[Sysname]undoportallocal-web-serverhttps[Sysname]portallocal-web-serverhttpsssl-server-policypolicy2[Sysname-portal-local-websvr-https]quit【相关命令】sslserver-policy(安全命令参考/SSL)portallocal-web-serverdefault-logon-page1.
1.
57portalmac-trigger-serverportalmac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图.
如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图.
undoportalmac-trigger-server命令用来删除MAC绑定服务器.
【命令】portalmac-trigger-serverserver-nameundoportalmac-trigger-serverserver-name【缺省情况】不存在MAC绑定服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写.
【使用指导】在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等.
1-84【举例】#创建MAC绑定服务器mts,并进入MAC绑定服务器视图.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]【相关命令】portalapplymac-trigger-serverdisplaymac-trigger-server1.
1.
58portalmax-userportalmax-user命令用来配置全局Portal最大用户数.
undoportalmax-user命令用来恢复缺省情况.
【命令】portalmax-usermax-numberundoportalmax-user【缺省情况】全局Portal最大用户数不受限制.
【视图】系统视图【缺省用户角色】network-admin【参数】max-number:系统中允许同时在线的最大Portal用户数,取值范围为1~4294967295【使用指导】如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入.
该命令指定的最大用户数是指IPv4Portal和IPv6Portal用户的总数.
建议所有开启Portal的接口或者无线服务模板上的最大IPv4Portal用户数和最大IPv6Portal用户数之和不超过配置的全局最大Portal用户数,否则会有部分Portal用户因为全局最大用户数已达到上限而无法上线.
【举例】#配置全局Portal最大用户数为100.
system-view[Sysname]portalmax-user100【相关命令】displayportaluserportal{ipv4-max-user|ipv6-max-user}1-851.
1.
59portalnas-id-profileportalnas-id-profile命令用来指定接口引用的NAS-IDProfile.
undoportalnas-id-profile命令用来恢复缺省情况.
【命令】portalnas-id-profileprofile-nameundoportalnas-id-profile【缺省情况】未指定引用的NAS-IDProfile.
【视图】接口视图【缺省用户角色】network-admin【参数】profile-name:标识指定VLAN和NAS-ID绑定关系的Profile名称,为1~31个字符的字符串,不区分大小写.
【使用指导】本命令引用的NAS-IDProfile由命令aaanas-idprofile配置,具体情况请参考"安全命令参考"中的"AAA".
对于QinQ报文,接入设备只能匹配内层VLAN.
有关QinQ的详细介绍,请参见"二层技术-以太网交换配置指导"中的"QinQ".
如果接口上指定了NAS-IDProfile,则此Profile中定义的绑定关系优先使用;如果接口上未指定NAS-IDProfile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID.
【举例】#在接口GigabitEthernet1/0/1上指定名为aaa的NAS-IDProfile.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portalnas-id-profileaaa【相关命令】aaanas-idprofile(安全命令参考/AAA)1.
1.
60portalnas-port-idformatportalnas-port-idformat命令用来配置NAS-Port-ID属性的格式.
undoportalnas-port-idformat命令用来恢复缺省情况.
【命令】portalnas-port-idformat{1|2|3|4}undoportalnas-port-idformat1-86【缺省情况】NAS-Port-ID的消息格式为格式2.
【视图】系统视图【缺省用户角色】network-admin【参数】1:表示格式1,具体为{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.
XCIAccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.
ANI_XCI].
2:表示格式2,具体为SlotID/00/IfNO/VlanID.
3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18.
4:表示格式4,具体为"slot=**;subslot=**;port=**;vlanid=**;vlanid2=**;".
【使用指导】可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式.
不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1.
1.
格式1{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.
XCIAccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.
ANI_XCI]各项含义如下:{atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口.
NAS_slot:BRAS槽号,取值为0~31.
NAS_subslot:BRAS子槽号,取值为0~31.
NAS_Port:BRAS端口号,取值为0~63.
XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095.
XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095.
AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格.
ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15.
ANI_frame:接入节点机框号,取值为0~31.
ANI_slot:接入节点槽号,取值为0~127.
ANI_subslot:接入节点子槽号,取值为0~31.
ANI_port:接入节点端口号,取值为0~255.
ANI_XPI.
ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务.
其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095.
1-87字符串之间用一个空格隔开,要求字符串中间不能有空格.
花括号中的内容是必选的,|表示并列的关系,多选一.
[]表示可选项.
对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLANID值都填4096.
如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0.
如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095.
如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096.
对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:"00/0/0:4096.
1234guangzhou001/0/31/63/31/127"其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLANID号为1234,BRAS接入线路信息为未知.
对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:"eth31/31/7:4096.
1234guangzhou001/0/31/63/31/127".
格式1的解释示例如下:例1:NAS_PORT_ID="atm31/31/7:255.
655350/0/0/0/0/0"含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535.
例2:NAS_PORT_ID="eth31/31/7:1234.
23450/0/0/0/0/0"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLANID为1234,CVLANID为2345.
例3:NAS_PORT_ID="eth31/31/7:4096.
23450/0/0/0/0/0"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLANID为2345.
例4:NAS_PORT_ID="eth31/31/7:4096.
2345guangzhou001/1/31/63/31/127"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLANID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127.
2.
格式2SlotID/00/IfNO/VlanID各项含义如下:SlotID:用户接入的槽位号,为两个字符的字符串.
IFNO:用户接入的接口编号,为3个字符的字符串.
VlanID:用户接入的VLANID,为9个字符的字符串.
3.
格式3其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCPOption82的内容.
对于IPv6用户,此处添加的是DHCPOption18的内容.
1-884.
格式4其格式为"slot=**;subslot=**;port=**;vlanid=**;vlanid2=**;",具体情况如下:对于非VLAN接口,其格式为"slot=**;subslot=**;port=**;vlanid=0;".
对于只终结了一层VLANTag的接口,其格式为"slot=**;subslot=**;port=**;vlanid=**;".
【举例】#配置NAS-Port-ID属性的格式为format1.
system-view[Sysname]portalnas-port-idformat11.
1.
61portalnas-port-typeportalnas-port-type命令用来配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值.
undoportalnas-port-type命令用来恢复缺省情况.
【命令】portalnas-port-type{ethernet|wireless}undoportalnas-port-type【缺省情况】接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值.
【视图】接口视图/无线服务模板视图设备各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKportalnas-port-type{ethernet|wireless}(接口视图)支持MSR2600-10-X1支持MSR2630不支持MSR3600-28/3600-51支持3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持设备各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:1-89型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKportalnas-port-type{ethernet|wireless}(无线服务模板视图)MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持【缺省用户角色】network-admin【参数】ethernet:指定NAS-Port-Type属性名称为Ethernet,属性编号为15.
wireless:指定NAS-Port-Type属性名称为WLAN-IEEE802.
11,属性编号为19.
【使用指导】若作为Portal认证接入设备的BAS(BroadbandAccessServer,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型.
因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type.
【举例】#在接口Vlan-interface2上配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值为WLAN-IEEE802.
11.
system-view[Sysname]interfacevlan-interface2[Sysname-Vlan-interface2]portalnas-port-typewireless#在无线服务模板service1上配置接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值为WLAN-IEEE802.
11.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portalnas-port-typewireless【相关命令】displayportalinterface1-901.
1.
62portaloutbound-filterenableportal[ipv6]outbound-filterenable命令用来开启Portal出方向的报文过滤功能.
undoportal[ipv6]outbound-filterenable命令用来关闭Portal出方向的报文过滤功能.
【命令】portal[ipv6]outbound-filterenableundoportal[ipv6]outbound-filterenable【缺省情况】Portal出方向的报文过滤功能处于关闭状态.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv6:表示对接口出方向的IPv6报文过滤.
若不指定该参数,则表示对于接口出方向的IPv4报文过滤.
【使用指导】缺省情况下,开启了Portal认证的接口,发送的报文不受Portal过滤规则的限制,即允许发送所有报文.
当需要对此类接口发送的报文进行严格控制时,可以在接口上开启Portal出方向报文过滤功能.
开启该功能后,在开启了Portal认证的接口上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文.
【举例】#在接口GigabitEthernet1/0/1上开启出方向报文过滤功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portaloutbound-filterenable1.
1.
63portalpacketlogenableportalpacketlogenable命令用来开启Portal协议报文的日志功能.
undoportalpacketlogenable命令用来关闭Portal协议报文的日志功能.
【命令】portalpacketlogenableundoportalpacketlogenable【缺省情况】Portal协议报文的日志功能处于关闭状态.
【视图】系统视图1-91【缺省用户角色】network-admin【使用指导】开启本功能后,设备会对Portal协议报文信息进行记录,包括用户名、IP地址、认证类型、报文类型、SSID、APMAC地址等.
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向).
有关信息中心参数的配置请参见"网络管理和监控配置指导"中的"信息中心".
【举例】#开启Portal协议报文的日志功能.
system-view[Sysname]portalpacketlogenable【相关命令】portalredirectlogenableportaluserlogenable1.
1.
64portalpre-authdomainportal[ipv6]pre-authdomain命令用来配置Portal认证前用户使用的认证域.
undoportal[ipv6]pre-authdomain命令用来恢复缺省情况.
【命令】portal[ipv6]pre-authdomaindomain-nameundoportal[ipv6]pre-authdomain【缺省情况】未配置Portal认证前用户使用的认证域.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6用户使用的认证域.
若不指定该参数,则表示指定IPv4用户使用的认证域.
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符.
【使用指导】开启Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL、UserProfile和CAR),并根据授权信息获得相应的网络访问权限.
若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息.
用户下线之后,将被重新授予该认证前域中的授权属性.
认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效.
1-92如果认证前域的域名发生变化,新的域名对所有认证前用户生效.
如果当前认证前域中的ACL、UserProfile和CAR授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置.
配置Portal认证前用户使用的认证域时,需要注意的是:若认证前域中指定的授权ACL不存在,或者ACL中无任何规则,或者配置的规则中允许访问的目的IP地址为"any",则表示不对用户的访问进行限制.
认证前域中指定的授权ACL中不要配置源地址信息,如果该授权ACL中配置了源地址信息,则该授权ACL下发后将会导致用户不能正常上线.
配置Portal认证前域时,请确保被引用的ISP域已创建.
如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undoportal[ipv6]pre-authdomain命令)后重新配置.
【举例】#在接口GigabitEthernet1/0/1上配置Portal认证前用户使用的认证域为abc.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalpre-authdomainabc【相关命令】displayportal1.
1.
65portalpre-authip-poolportal[ipv6]pre-authip-pool命令用来配置Portal认证前用户使用的地址池.
undoportal[ipv6]pre-authip-pool命令用来恢复缺省情况.
【命令】portal[ipv6]pre-authip-poolpool-nameundoportal[ipv6]pre-authip-pool【缺省情况】未配置Portal认证前用户使用的地址池.
【视图】接口视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal用户.
若不指定该参数,则表示IPv4Portal用户.
pool-name:表示IP地址池的名称,为1~63个字符的字符串,不区分大小写.
【使用指导】在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证.
1-93仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效.
当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证.
【举例】#在接口GigabitEthernet1/0/1上为认证前的Portal用户指定IPv4地址池为abc.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portalpre-authip-poolabc【相关命令】dhcpserverip-pool(三层技术-IP业务/DHCP)ipv6dhcppool(三层技术-IP业务/DHCP)displayportal1.
1.
66portalredirectlogenableportalredirectlogenable命令用来开启Portal重定向日志功能.
undoportalredirectlogenable命令用来关闭Portal重定向日志功能.
【命令】portalredirectlogenableundoportalredirectlogenable【缺省情况】Portal重定向日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启本功能后,会对Portal重定向报文信息进行记录,包括用户IP地址、MAC地址、SSID、BASIP、Web服务器IP地址等.
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向).
有关信息中心参数的配置请参见"网络管理和监控配置指导"中的"信息中心".
【举例】#开启Portal重定向日志功能.
system-view[Sysname]portalredirectlogenable【相关命令】portalpacketlogenableportaluserlogenable1-941.
1.
67portalrefreshenableportalrefresh{arp|nd}enable命令用来开启Portal客户端ARP/ND表项固化功能.
undoportalrefresh{arp|nd}enable命令用来关闭Portal客户端ARP/ND表项固化功能.
【命令】portalrefresh{arp|nd}enableundoportalrefresh{arp|nd}enable【缺省情况】Portal客户端ARP表项、ND表项固化功能均处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【参数】arp:表示ARP表项.
nd:表示ND表项.
【使用指导】不能通过重复执行本命令来修改Portal认证方式.
如需修改Portal的认证方式,请先通过undoportal[ipv6]enable命令取消Portal认证功能,再执行portal[ipv6]enable命令.
开启Portal客户端ARP/ND表项固化功能后,认证成功的Portal用户的ARP或ND表项会被固化,在此之前认证成功的Portal用户的ARP或ND表项依然会老化.
关闭Portal客户端ARP/ND表项固化功能后,认证成功的Portal用户的ARP或ND表项会老化,在此之前认证成功的Portal用户的ARP或ND表项已被固化不受影响.
【举例】#关闭Portal客户端ARP表项固化功能.
system-view[Sysname]undoportalrefresharpenable1.
1.
68portalroamingenableportalroamingenable命令用来开启Portal用户漫游功能.
undoportalroamingenable命令用来关闭Portal用户漫游功能.
【命令】portalroamingenableundoportalroamingenable【缺省情况】Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游.
1-95【视图】系统视图【缺省用户角色】network-admin【使用指导】Portal用户漫游功能只对通过VLAN接口上线的Portal用户有效.
设备上有用户在线或认证前域用户的情况下,不能配置此命令.
如果开启了Portal用户漫游功能,则Portal用户上线后可以在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源.
【举例】#开启Portal用户漫游功能.
system-view[Sysname]portalroamingenable1.
1.
69portalsafe-redirectenableportalsafe-redirectenable命令用来开启Portal安全重定向功能.
undoportalsafe-redirectenable命令用来关闭Portal安全重定向功能.
【命令】portalsafe-redirectenableundoportalsafe-redirectenable【缺省情况】Portal安全重定向功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】缺省情况下,除了免认证地址的HTTP请求,系统会将用户访问任意80端口的HTTP请求报文进行重定向,这可能会带来服务器负载过大的问题.
开启Portal安全重定向功能后,系统将仅仅针对请求方法为GET的HTTP请求报文以及特定浏览器发送的报文进行重定向.
在服务器负载过大的情况下,建议开启Portal安全重定向功能.
【举例】#开启Portal安全重定向功能.
system-view[Sysname]portalsafe-redirectenable1-96【相关命令】portalsafe-redirectforbidden-urlportalsafe-redirectmethodportalsafe-redirectuser-agent1.
1.
70portalsafe-redirectforbidden-urlportalsafe-redirectforbidden-url命令用来配置Portal安全重定向禁止的URL地址.
undoportalsafe-redirectforbidden-url命令用来删除配置的Portal安全重定向禁止的URL地址.
【命令】portalsafe-redirectforbidden-urluser-url-stringundoportalsafe-redirectforbidden-urluser-url-string【缺省情况】Portal可以对任意URL地址的HTTP请求报文进行重定向.
【视图】系统视图【缺省用户角色】network-admin【参数】user-url-string:Portal安全重定向禁止的URL地址,为1~256个字符的字符串,区分大小写.
【使用指导】可以通过多次执行本命令,配置多个Portal安全重定向禁止的URL地址.
只有在Portal安全重定向功能处于开启的状态下,才能执行portalsafe-redirectforbidden-url命令.
【举例】#配置Portal安全重定向禁止的URL地址为http://www.
abc.
com.
system-view[Sysname]portalsafe-redirectforbidden-urlhttp://www.
abc.
com【相关命令】portalsafe-redirectenable1.
1.
71portalsafe-redirectmethodportalsafe-redirectmethod命令用来配置Portal安全重定向允许的HTTP协议的请求方法.
undoportalsafe-redirectmethod用来删除配置的Portal安全重定向允许的HTTP协议的请求方法.
【命令】portalsafe-redirectmethod{get|post}*undoportalsafe-redirectmethod{get|post}*1-97【缺省情况】未配置HTTP协议的请求方法,Portal安全重定向功能开启后,HTTP协议的默认请求方法为GET.
【视图】系统视图【缺省用户角色】network-admin【参数】get:指定HTTP协议的请求方法为GET.
post:指定HTTP协议的请求方法为POST.
【使用指导】只有在Portal安全重定向功能处于开启的状态下,才能执行portalsafe-redirectmethod命令.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置Portal安全重定向允许的HTTP协议的请求方法为GET.
system-view[Sysname]portalsafe-redirectmethodget【相关命令】portalsafe-redirectenable1.
1.
72portalsafe-redirectuser-agentportalsafe-redirectuser-agent命令用来匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型.
undoportalsafe-redirectuser-agent命令用来删除匹配的Portal安全重定向允许的HTTPUserAgent中的的浏览器类型.
【命令】portalsafe-redirectuser-agentuser-agent-stringundoportalsafe-redirectuser-agentuser-agent-string【缺省情况】未配置匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型.
Portal安全重定向功能开启后,默认与表1-15中的所有浏览器类型匹配的HTTP报文都能被Portal重定向.
【视图】系统视图【缺省用户角色】network-admin1-98【参数】user-agent-string:Portal安全重定向允许的HTTPUserAgent中的浏览器类型,为1~255个字符的字符串,区分大小写.
可配置的浏览器类型及描述如表1-15所示.
表1-15浏览器类型及描述浏览器类型描述Safari苹果浏览器Chrome谷歌浏览器Firefox火狐浏览器UCUC浏览器QQBrowserQQ浏览器LBBROWSER猎豹浏览器TaoBrowser淘宝浏览器Maxthon傲游浏览器BIDUBrowser百度浏览器MSIE10.
0微软IE10.
0浏览器MSIE9.
0微软IE9.
0浏览器MSIE8.
0微软IE8.
0浏览器MSIE7.
0微软IE7.
0浏览器MSIE6.
0微软IE6.
0浏览器MetaSr搜狗浏览器【使用指导】配置本命令后,只有与Portal安全重定向允许的HTTPUserAgent中的浏览器类型匹配的HTTP报文才能够被Portal重定向.
可通过重复执行本命令匹配多个浏览器类型.
只有在Portal安全重定向功能处于开启的状态下,才能执行portalsafe-redirectuser-agent命令.
【举例】#配置匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型为Chrome和Safari.
system-view[Sysname]portalsafe-redirectuser-agentChrome[Sysname]portalsafe-redirectuser-agentSafari【相关命令】portalsafe-redirectenable1.
1.
73portalserverportalserver命令用来创建Portal认证服务器,并进入Portal认证服务器视图.
如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图.
1-99undoportalserver命令用来删除指定的Portal认证服务器.
【命令】portalserverserver-nameundoportalserverserver-name【缺省情况】不存在Portal认证服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等.
可以配置多个Portal认证服务器.
【举例】#创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]【相关命令】displayportalserver1.
1.
74portaltemp-passenableportaltemp-passenable命令用来开启Portal临时放行功能并设置临时放行时间.
undoportaltemp-passenable命令用来关闭Portal临时放行功能.
【命令】portaltemp-pass[periodperiod-value]enableundoportaltemp-passenable【缺省情况】Portal临时放行功能处于关闭状态.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin1-100【参数】periodperiod-value:临时放行时间,取值范围为10~180,单位为秒,缺省值为30秒.
【使用指导】除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证.
当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换.
一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量.
【举例】路由应用#在接口GigabitEthernet1/0/1下开启Portal临时放行功能,并设置临时放行时间为25秒.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portaltemp-passperiod25enable无线应用#在无线服务模板service1上开启Portal临时放行功能,并设置临时放行时间为25秒.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portaltemp-passperiod25enable【相关命令】displayportal1.
1.
75portaltraffic-accountingdisableportaltraffic-accountingdisable命令用来关闭Portal用户流量计费功能.
undoportaltraffic-accountingdisable命令用来恢复缺省情况.
【命令】portaltraffic-accountingdisableundoportaltraffic-accountingdisable【缺省情况】Portal用户的流量计费功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费.
当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对1-101用户流量不做精确统计.
当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量.
【举例】#关闭Portal用户流量计费功能.
system-view[Sysname]portaltraffic-accountingdisable1.
1.
76portaluser-detectportaluser-detect命令用来开启IPv4Portal用户在线探测功能.
undoportaluser-detect命令用来关闭IPv4Portal用户在线探测功能.
【命令】portaluser-detecttype{arp|icmp}[retryretries][intervalinterval][idletime]undoportaluser-detect【缺省情况】IPv4Portal用户在线探测功能处于关闭状态.
【视图】接口视图【缺省用户角色】network-admin【参数】type:指定探测类型.
arp:表示探测类型为ARP.
icmp:表示探测类型为ICMP.
retryretries:探测次数,取值范围为1~10,缺省值为3.
intervalinterval:探测间隔,取值范围为1~1200,单位为秒,缺省值为3.
idletime:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省值为180.
【使用指导】根据探测类型的不同,设备有以下两种探测机制:当探测类型为ICMP时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户定期(intervalinterval)发送探测报文.
如果在指定探测次数(retryretries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线.
当探测类型为ARP时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文.
设备定期(intervalinterval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retryretries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线.
1-102请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效.
如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线.
因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文.
【举例】#在接口GigabitEthernet1/0/1上开启Portal用户在线探测功能:探测类型为ICMP,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname–GigabitEthernet1/0/1]portaluser-detecttypeicmpretry5interval10idle300【相关命令】displayportal1.
1.
77portaluser-dhcp-onlyportaluser-dhcp-only命令用来配置仅允许通过DHCP方式获取IP地址的客户端上线.
undoportaluser-dhcp-only命令用来恢复缺省情况.
【命令】接口视图:portal[ipv6]user-dhcp-onlyundoportal[ipv6]user-dhcp-only无线服务模板视图:portaluser-dhcp-onlyundoportaluser-dhcp-only【缺省情况】通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线.
【视图】接口视图/无线服务模板视图【缺省用户角色】network-admin【参数】ipv6:表示允许上线的客户端的IP地址为IPv6地址,如果不指定本参数,则表示允许上线的客户端的IP地址为IPv4地址.
【使用指导】配置本命令后,配置静态IP地址的Portal认证用户不能上线.
在IPv6网络中,配置本命令后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址.
1-103【举例】路由应用#在接口GigabitEthernet1/0/1上配置仅允许通过DHCP获取IP地址的客户端上线功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]portaluser-dhcp-only无线应用#在无线服务模板视图下配置仅允许通过DHCP获取IP地址的客户端上线功能.
system-view[Sysname]wlanservice-templateservice1[Sysname-wlan-st-service1]portaluser-dhcp-only【相关命令】displayportal1.
1.
78portaluser-logoffafter-client-offlineenableportaluser-logoffafter-client-offlineenable命令用来开启无线Portal用户自动下线功能.
undoportaluser-logoffafter-client-offlineenable命令用来恢复缺省情况.
【命令】portaluser-logoffafter-client-offlineenableundoportaluser-logoffafter-client-offlineenable设备各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HKportaluser-logoffafter-client-offlineenableMSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持【缺省情况】无线客户端断开无线连接后,Portal用户不会自动下线.
【视图】系统视图1-104【缺省用户角色】network-admin【使用指导】开启无线Portal用户自动下线功能后,在无线客户端断开无线连接时,设备将会强制该客户端上的Portal用户下线.
【举例】#开启无线Portal用户自动下线功能.
system-view[Sysname]portaluser-logoffafter-client-offlineenable1.
1.
79portaluserlogenableportaluserlogenable命令用来开启Portal用户上/下线日志功能.
undoportaluserlogenable命令用来关闭Portal用户上/下线日志功能.
【命令】portaluserlogenableundoportaluserlogenable【缺省情况】Portal用户上/下线日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启本功能后,设备会对用户上线和下线时的信息进行记录,包括用户名、IP地址、接口名称、VLAN、用户MAC地址、SSID、APMAC地址、上线失败原因等.
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向).
有关信息中心参数的配置请参见"网络管理和监控配置指导"中的"信息中心".
【举例】#开启Portal用户上/下线日志功能.
system-view[Sysname]portaluserlogenable【相关命令】portalpacketlogenableportalredirectlogenable1-1051.
1.
80portalweb-serverportalweb-server命令用来创建PortalWeb服务器,并进入PortalWeb服务器视图.
如果指定的PortalWeb服务器已经存在,则直接进入PortalWeb服务器视图.
undoportalweb-server命令用来删除PortalWeb服务器.
【命令】portalweb-serverserver-nameundoportalweb-serverserver-name【缺省情况】不存在PortalWeb服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】server-name:PortalWeb服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】PortalWeb服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器.
PortalWeb服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置PortalWeb服务器探测等功能.
【举例】#创建名称为wbs的PortalWeb服务器,并进入PortalWeb服务器视图.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]【相关命令】displayportalweb-serverportalapplyweb-server1.
1.
81redirect-urlredirect-url命令用来配置QQ认证成功之后的重定向地址.
undoredirect-url命令用来恢复缺省情况.
【命令】redirect-urlurl-stringundoredirect-url1-106【缺省情况】QQ认证成功之后的重定向地址为http://lvzhou.
h3c.
com/portal/qqlogin.
html.
【视图】QQ认证服务器视图【缺省用户角色】network-admin【参数】url-string:QQ认证成功后的重定向URL,为1~256个字符的字符串,区分大小写.
【使用指导】用户采用QQ作为第三方认证平台时,当客户端与QQ第三方认证平台完成了认证、授权交互后,客户端会被强制重定向到本命令配置的地址上.
用户需要在设备上配置DNS代理,将此地址指向设备端,从而对设备端发起本地PortalWeb服务器的直接Portal认证.
【举例】#配置QQ认证服务器的重定向地址.
system-view[Sysname]portalextend-auth-serverqq[Sysname-portal-extend-auth-server-qq]redirect-urlhttp://www.
abc.
com/portal/qqlogin.
html【相关命令】displayportalextend-auth-server1.
1.
82resetportalpacketstatisticsresetportalpacketstatistics命令用来清除Portal报文的统计信息.
【命令】resetportalpacketstatistics[mac-trigger-serverserver-name|serverserver-name]【视图】用户视图【缺省用户角色】network-admin【参数】mac-trigger-serverserver-name:MAC绑定服务器的名称,为1~32个字符的字符串,区分大小写.
若未指定本参数,则表示清除指定的Portal认证服务器的名称.
serverserver-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
若未指定本参数,则表示清除指定的MAC绑定服务器的报文统计信息.
【使用指导】若未指定任何参数,则表示清除所有Portal认证服务器和MAC绑定服务器的报文统计信息.
1-107【举例】#清除名称为st上的Portal认证服务器的统计信息.
resetportalpacketstatisticsserverpts#清除名称为newpt的MAC绑定服务器的报文统计信息.
resetportalpacketstatisticsmac-trigger-servernewpt【相关命令】displayportalpacketstatistics1.
1.
83resetportalredirectstatisticsresetportalredirectstatistics命令用来清除Portal重定向报文统计信息.
【命令】集中式设备—独立运行模式:resetportalredirectstatistics分布式设备—独立运行模式/集中式设备—IRF模式:resetportalredirectstatistics[slotslot-number]分布式设备—IRF模式:resetportalredirectstatistics[chassischassis-numberslotslot-number]【视图】用户视图【缺省用户角色】network-admin【参数】slotslot-number:清除指定单板上的Portal重定向报文统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上的Portal重定向报文统计信息.
(分布式设备-独立运行模式)slotslot-number:清除指定成员设备上的Portal重定向报文统计信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则表示所有成员设备上的Portal重定向报文统计信息.
(集中式设备—IRF模式)chassischassis-numberslotslot-number:清除指定成员设备的指定单板上的Portal重定向报文统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上的Portal重定向报文统计信息.
(分布式设备-IRF模式)【举例】#清除Portal重定向报文统计信息.
(集中式设备—独立运行模式)resetportalredirectstatistics#清除指定slot上Portal重定向报文统计信息.
(分布式设备—独立运行模式/集中式设备—IRF模式)resetportalredirectstatisticsslot01-108【相关命令】displayportalredirectstatistics1.
1.
84resetportalsafe-redirectstatisticsresetportalsafe-redirectstatistics命令用来清除Portal安全重定向功能的报文统计信息.
【命令】集中式设备—独立运行模式:resetportalsafe-redirectstatistics分布式设备—独立运行模式/集中式设备—IRF模式:resetportalsafe-redirectstatistics[slotslot-number]分布式设备—IRF模式:resetportalsafe-redirectstatistics[chassischassis-numberslotslot-number]【视图】用户视图【缺省用户角色】network-admin【参数】slotslot-number:清除指定单板上的Portal安全重定向功能的报文统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-独立运行模式)slotslot-number:清除指定成员设备上的Portal安全重定向功能的报文统计信息.
slot-number表示设备在IRF中的成员编号.
若不指定该参数,则表示所有成员设备.
(集中式设备-IRF模式)chassischassis-numberslotslot-number:清除指定成员设备的指定单板上的Portal安全重定向功能的报文统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(分布式设备-IRF模式)【举例】#清除Portal安全重定向功能的报文统计信息.
(集中式设备—独立运行模式)resetportalsafe-redirectstatistics#清除指定slot上Portal安全重定向功能的报文统计信息.
(分布式设备—独立运行模式/集中式设备-IRF模式)resetportalsafe-redirectstatisticsslot0【相关命令】displayportalsafe-redirectstatistics1.
1.
85server-detect(portalserverview)server-detect命令用来开启Portal认证服务器的可达性探测功能.
开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态.
undoserver-detect命令用来关闭Portal认证服务器的可达性探测功能.
1-109【命令】server-detect[timeouttimeout]{log|trap}*undoserver-detect【缺省情况】Portal认证服务器的可达性探测功能处于关闭状态.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】timeouttimeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60.
{log|trap}*:设备探测到Portal认证服务器可达状态变化时,触发执行的操作.
包括以下两种,且可同时选择多种.
log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态.
trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息.
Trap信息中记录了Portal认证服务器名以及该服务器的当前状态.
【使用指导】只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效.
若设备在指定的探测超时时间(timeouttimeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达.
设备配置的探测超时时间(timeouttimeout)必须大于服务器上配置的逃生心跳间隔时间.
【举例】#开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息和Trap信息.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]server-detecttimeout600logtrap【相关命令】portalserver1.
1.
86server-detect(portalweb-serverview)server-detect命令用来开启PortalWeb服务器的可达性探测功能.
undoserver-detect命令用来关闭PortalWeb服务器的可达性探测功能.
【命令】server-detect[intervalinterval][retryretries]{log|trap}*1-110undoserver-detect【缺省情况】PortalWeb服务器的可达性探测功能处于关闭状态.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】intervalinterval:进行探测尝试的时间间隔,取值范围为1~1200,单位为秒,缺省值为5.
retryretries:连续探测失败的最大次数,取值范围为1~10,缺省值为3.
若连续探测失败数目达到此值,则认为服务器不可达.
{log|trap}*:PortalWeb服务器可达状态的变化时,可触发执行的操作.
包括以下两种,且可同时选择多种.
log:PortalWeb服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了PortalWeb服务器名以及该服务器状态改变前后的状态.
trap:PortalWeb服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息.
Trap信息中记录了PortalWeb服务器名以及该服务器的当前状态.
【使用指导】该探测方法可由设备独立完成,不需要PortalWeb服务器端的任何配置来配合.
【举例】#配置对PortalWeb服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息和Trap信息.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]server-detectinterval600retry2logtrap【相关命令】portalweb-server1.
1.
87server-type(MACbindingserverview)server-type命令用来配置MAC绑定服务器的服务类型.
undoserver-type用来恢复缺省情况.
【命令】server-type{cmcc|imc}undoserver-type【缺省情况】MAC绑定服务器的服务类型为imc.
1-111【视图】MAC绑定服务器视图【缺省用户角色】network-admin【参数】cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器.
imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器.
【举例】#指定MAC绑定服务器的服务类型为cmcc.
system-view[Sysname]portalmac-trigger-servermts[Sysname-portal-mac-trigger-server-mts]server-typecmcc1.
1.
88server-type(portalserverview/portalweb-serverview)server-type命令用来配置Portal认证服务器或PortalWeb服务器的类型.
undoserver-type命令用来恢复缺省情况.
【命令】server-type{cmcc|imc|oauth}undoserver-type【缺省情况】Portal认证服务器或PortalWeb服务器的类型为iMC服务器.
【视图】Portal认证服务器视图/PortalWeb服务器视图【缺省用户角色】network-admin【参数】cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器.
imc:表示Portal服务器类型为符合iMC标准规范的服务器.
oauth:表示PortalWeb服务器类型为符合绿洲云平台标准规范的服务器.
本参数仅支持PortalWeb服务器视图下配置.
【使用指导】设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致.
【举例】#配置Portal认证服务器类型为CMCC.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]server-typecmcc1-112#配置PortalWeb服务器类型为CMCC.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-pts]server-typecmcc【相关命令】displayportalserver1.
1.
89tcp-porttcp-port命令用来配置本地PortalWeb服务器的HTTP/HTTPS服务侦听的TCP端口号.
undotcp-port命令用来恢复缺省情况.
【命令】tcp-portport-numberundotcp-port【缺省情况】HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为443.
【视图】本地PortalWeb服务器视图【缺省用户角色】network-admin【参数】port-number:表示侦听的TCP端口号,取值范围为1~65535.
【使用指定】接口上指定的PortalWeb服务器的URL中配置的端口号,应该与本地PortalWeb服务器视图下指定的侦听端口号保持一致.
配置本地PortalWeb服务器的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:除了HTTP和HTTPS协议默认的端口号,本地PortalWeb服务器的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地WebServer无法收到用户的认证或下线请求数据.
不能把使用HTTP协议的本地PortalWeb服务器下的TCP端口号配置成HTTPS的默认端口号443,反之亦然.
使用HTTP和HTTPS的本地PortalWeb服务器下TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用.
【举例】#配置本地PortalWeb服务器的HTTP服务侦听的TCP端口号为2331.
system-view[Sysname]portallocal-web-serverhttp[Sysname-portal-local-websvr-http]tcp-port23311-113【相关命令】portallocal-web-server1.
1.
90urlurl命令用来指定PortalWeb服务器的URL.
undourl命令用来恢复缺省情况.
【命令】urlurl-stringundourl【缺省情况】未指定PortalWeb服务器的URL.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】url-string:PortalWeb服务器的URL,为1~256个字符的字符串,区分大小写.
【使用指导】本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头.
如果该URL未以http://或者https://开头,则缺省认为是以http://开头.
【举例】#配置PortalWeb服务器wbs的URL为http://www.
test.
com/portal.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]urlhttp://www.
test.
com/portal【相关命令】displayportalweb-server1.
1.
91url-parameterurl-parameter命令用来配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息.
undourl-parameter命令用来删除配置的PortalWeb服务器URL携带的参数信息.
【命令】url-parameterparam-name{nas-id|nas-port-id|original-url|source-address|ssid|{ap-mac|source-mac}[encryption{aes|des}key{cipher|simple}string]|valueexpression}undourl-parameterparam-name1-114【缺省情况】未配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】param-name:URL参数名,为1~32个字符的字符串,区分大小写.
URL参数名对应的参数内容由param-name后的参数指定.
nas-id:网络接入服务器标识.
nas-port-id:网络接入服务器端口标识.
original-url:用户初始访问的Web页面的URL.
source-address:用户的IP地址.
ssid:无线AP的SSID(服务集标示符).
ap-mac:无线AP的MAC地址.
source-mac:用户的MAC地址.
encryption:表示以密文的方式携带无线AP的MAC地址和用户的MAC地址.
aes:指定加密算法为AES算法.
des:指定加密算法为DES算法.
cipher:以密文方式设置密钥.
key:指定加密密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
密钥的长度范围和选择的加密方式有关.
具体关系如下:对于descipher,密钥为41个字符的字符串.
对于dessimple,密钥为8个字符的字符串.
对于aescipher,密钥为1~73个字符的字符串.
对于aessimple,密钥为1~31个字符的字符串.
valueexpression:自定义字符串,为1~256个字符的字符串,区分大小写.
【使用指导】可以通过多次执行本命令配置多条参数信息.
对于同一个参数名param-name后的参数设置,最后配置的生效.
该命令用于配置用户访问PortalWeb服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息.
用户也可以手工指定,携带一些特定的字符信息.
配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置PortalWeb服务器的URL为:http://www.
test.
com/portal,若同时配置如下两个参数信息:url-parameteruseripsource-address和url-parameteruserurlvaluehttp://www.
abc.
com/welcome,则设备给源IP为1.
1.
1.
1的用户重定向时回应的URL格式即为:http://www.
test.
com/portaluserip=1.
1.
1.
1&userurl=http://www.
abc.
com/welcome.
1-115param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名.
例如iMC服务器支持的URL参数名如下:userurl:表示original-urluserip:表示source-addressusermac:表示source-mac在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的PortalWeb服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址.
如果给某个参数配置了加密方式,则重定向URL中携带的将是其加密后的值.
例如在上述配置的基础上,再配置url-parameterusermacsource-macencryptiondeskeysimple12345678,则设备给源MAC地址为1111-1111-1111的用户重定向时回应的URL格式即为:http://www.
test.
com/portalusermac=xxxxxxxxx&userip=1.
1.
1.
1&userurl=http://www.
test.
com/welcome,其中xxxxxxxxx为加密后的用户mac地址.
【举例】#为设备重定向给用户的PortalWeb服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.
abc.
com/welcome.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]url-parameteruseripsource-address[Sysname-portal-websvr-wbs]url-parameteruserurlvaluehttp://www.
abc.
com/welcome#为设备重定向给用户的PortalWeb服务器wbs的URL中配置参数usermac,其值为用户mac地址,并使用des算法进行加密.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]url-parameterusermacsource-macencryptiondeskeysimple12345678【相关命令】displayportalweb-serverurl1.
1.
92user-syncuser-sync命令用来配置开启Portal用户信息同步功能.
配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性.
undouser-sync命令用来关闭Portal用户信息同步功能.
【命令】user-synctimeouttimeoutundouser-sync【缺省情况】当前Portal认证服务器的Portal用户信息同步功能处于关闭状态.
1-116【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】timeouttimeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒,缺省值为1200.
【使用指导】只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效.
为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间.
在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置.
对同一服务器多次执行用户信息同步功能的配置时,新的配置将覆盖原有的配置.
HostKvm是一家成立于2013年的国外主机服务商,主要提供基于KVM架构的VPS主机,可选数据中心包括日本、新加坡、韩国、美国、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。本月商家针对全场VPS主机提供8折优惠码,优惠后美国洛杉矶VPS月付5.2美元起。下面列出几款不同机房VPS主机产品配置信息。套餐:美国US-Plan0CPU:1cores内存:1GB硬...
柚子互联官网商家介绍柚子互联(www.19vps.cn)本次给大家带来了盛夏促销活动,本次推出的活动是湖北十堰高防产品,这次老板也人狠话不多丢了一个6.5折优惠券而且还是续费同价,稳撸。喜欢的朋友可以看看下面的活动详情介绍,自从站长这么久以来柚子互联从19年开始算是老商家了。六五折优惠码:6kfUGl07活动截止时间:2021年9月30日客服QQ:207781983本次仅推荐部分套餐,更多套餐可进...
官方网站:点击访问青云互联活动官网优惠码:终身88折扣优惠码:WN789-2021香港测试IP:154.196.254美国测试IP:243.164.1活动方案:用户购买任意全区域云服务器月付以上享受免费更换IP服务;限美国区域云服务器凡是购买均可以提交工单定制天机防火墙高防御保护端口以及保护模式;香港区域购买季度、半年付、年付周期均可免费申请额外1IP;使用优惠码购买后续费周期终身同活动价,价格不...