发布日期:2024-10-13 02:35 点击次数:130
1.1.1 aging-time
aging-time大喊用来确立MAC-Trigger表项的老化时间。
undo aging-time大喊用来规复缺省情况。
【大喊】
aging-time seconds
undo aging-time
【缺省情况】
MAC-Trigger表项老化时间为300秒。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
seconds:MAC-Trigger表项的老化时间,取值限制为60~7200,单元为秒。
【使用指引】
开启了基于MAC地址的快速认证功能的斥地,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记载用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。
当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,斥地再次检测到团结用户的流量时,会为其再行成立MAC-Trigger表项。
【例如】
# 指定MAC-Trigger表项老化时间为300秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] aging-time 300
【干系大喊】
· display mac-trigger-server
1.1.2 authentication-timeoutauthentication-timeout大喊用来确立斥地在收到MAC绑定职业器的查询反馈讯息后,恭候Portal认证完成的超不时间。
undo authentication-timeout大喊用来规复缺省情况。
【大喊】
authentication-timeout minutes
undo authentication-timeout
【缺省情况】
斥地在收到MAC绑定职业器的查询反馈讯息后,恭候Portal认证完成的超不时间为3分钟。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
minutes:斥地恭候Portal认证完成的超不时间,取值限制为1~15,单元为分钟。
【使用指引】
斥地在收到MAC绑定职业器的查询反馈讯息后,无论查询终结怎样,齐会启动定时器来记载用户进行Portal认证的时间。
如若在定时器超时前,用户告成完成Portal认证,斥地将立即删除该用户的MAC-Trigger表项;如若在定时器超时后,用户仍未完成Portal认证,则斥地在恭候该用户的MAC-Trigger表项到达老化时间后,删除该MAC-Trigger表项。
【例如】
# 确立斥地在收到MAC绑定职业器的查询反馈讯息后,恭候Portal认证完成的超不时间为10分钟。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10
【干系大喊】
· display mac-trigger-server
1.1.3 binding-retrybinding-retry大喊用来确立斥地向MAC绑定职业器发起MAC查询的最大尝试次数和时间间隔。
undo binding-retry大喊用来规复缺省情况。
【大喊】
binding-retry { retries | interval interval } *
undo binding-retry
【缺省情况】
斥地向MAC绑定职业器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
retries:最大尝试次数,取值限制为1~10。
interval interval:查询时间间隔,取值限制为1~60,单元为秒。
【使用指引】
如若斥地向MAC绑定职业器发起查询的次数达到最大尝试次数后,仍未收到职业器的反馈,则斥地以为职业器不可达。斥地将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。
在团结MAC绑定职业器视图下屡次实施本大喊,临了一次实施的大喊告成。
【例如】
# 确立斥地向MAC绑定职业器mts发起查询的最大尝试次数为3此,查询时间间隔为60秒。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60
【干系大喊】
· display mac-trigger-server
1.1.4 default-logon-pagedefault-logon-page大喊用来确立腹地Portal Web职业提供的缺省认证页面文献。
undo default-logon-page大喊用来规复缺省情况。
【大喊】
default-logon-page file-name
undo default-logon-page
【缺省情况】
腹地Portal Web职业未提供缺省认证页面文献。
【视图】
腹地Portal Web职业视图
【缺省用户变装】
network-admin
【参数】
file-name:示意缺省认证页面文献名(不包括文献的保存旅途),为1~91个字符的字符串,包括字母、数字、点和下划线。
【使用指引】
指定的缺省认证页面文献由用户剪辑,并将其打包成zip风物文献后上传到斥地存储介质的根目次下。确立default-logon-page大喊后斥地会将指定的压缩文献进行解压缩,并成立为腹地Portal Web职业为用户进行Portal认证提供的缺省认证页面文献。如若莫得确立default-logon-page大喊,则斥地中就不存在为用户进行Portal认证的缺省认证页面文献,进而,用户无法进行泛泛的腹地Portal认证。
【例如】
# 确立腹地Portal Web 职业器提供的缺省认证页面文献为pagefile1.zip。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip
【干系大喊】
· portal local-web-server
1.1.5 display portaldisplay portal大喊用来表露Portal确立信息和Portal运工作态信息。
【大喊】
display portal interface interface-type interface-number
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
interface interface-type interface-number:示意接口类型和接口编号。
【例如】
# 表露接口GigabitEthernet1/0/1的Portal确立信息和Portal运工作态信息。
<Sysname> display portal interface gigabitethernet 1/0/1
Portal information of GigabitEthernet1/0/1
NAS-ID profile: aaa
Authorization : Strict checking
ACL : Enabled
User profile : Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal web server: wbs
Portal mac-trigger-server: mts
Authentication domain: my-domain
Pre-auth policy: abc
User-dhcp-only: Enabled
Pre-auth IP pool: ab
Max Portal users: Not configured
Bas-ip: Not configured
User detection: Type: ICMP Interval: 300s Attempts: 5 Idle time: 180s
Action for sever detection:
Server type Server name Action
Web server wbs fail-permit
Portal server pts fail-permit
Layer3 source network:
IP address Mask
1.1.1.1 255.255.0.0
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Authentication domain: Not configured
Pre-auth policy: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max Portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for sever detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
表1-1 display portal interface大喊表露信息姿首表
字段
姿首
Portal information of interface
接口上的Portal信息
NAS-ID profile
接口上援用的NAS-ID profile
Authorization
职业器下发给Portal用户的授权信息类型,包括ACL和User profile
Strict checking
Portal授权信息的严格搜检模式是否开启
IPv4
IPv4 Portal的干系信息
IPv6
IPv6 Portal的干系信息
Portal status
接口上Portal认证的运工作态,包括以下取值:
· Disabled:Portal认证未开启
· Enabled:Portal认证已开启
· Authorized:Portal认证职业器或者Portal Web职业器不可达,端口自动绽放
Portal authentication method
接口上确立的认证表情,包括以下取值:
· Direct:顺利认证表情
· Redhcp:二次地址分拨认证表情
· Layer3:可跨三层认证表情
Portal Web server
接口上确立的Portal Web职业器的称号
Portal mac-trigger-server
接口上确立MAC绑定职业器的称号
Authentication domain
接口上的Portal强制认证域
Pre-auth policy
接口上的Portal认证前战术,即Portal认证前用户使用的认证战术
User-dhcp-only
仅允许通过DHCP表情获取IP地址的客户端上线功能
· Enabled:仅允许通过DHCP表情获取IP地址的客户端上线功能处于开启情景,示意仅允许通过DHCP表情获取IP地址的客户端上线
· Disabled:仅允许通过DHCP表情获取IP地址的客户端上线功能处于关闭情景,示意通过DHCP表情获取IP地址的客户端和静态确立IP地址的客户端齐不错上线
Pre-auth ip-pool
为认证前的Portal用户指定的IP地址池称号
Max Portal users
接口上确立的最大用户数
Bas-ip
发送给Portal认证职业器的Portal报文的BAS-IP属性
Bas-ipv6
发送给Portal认证职业器的Portal报文的BAS-IPv6属性
User detection
接口上确立的用户在线情景探伤确立,包括探伤的枢纽(ARP、ICMP、ND、ICMPv6),探伤周期和探伤尝试次数,用户闲置的时间
Action for server detection
职业器可达性探伤功能对应的端口戒指确立:
· Server type:职业器类型,包括Portal server和Web server,分别示意Portal认证职业器和Portal Web职业器
· Server name:职业器称号
· Action:对应的接口证据职业器探伤终结所采选的动作,为不需要认证(fail-permit)
Layer3 source subnet
Portal源认证网段信息
IP address
Portal认证网段的IP地址
Mask
Portal认证网段的子网掩码
Prefix length
Portal IPv6认证网段的地址前缀长度
【干系大喊】
· portal domain
· portal enable
· portal ipv6 layer3 source
· portal layer3 source
· portal web-server
1.1.6 display portal http-defense attacked-ipdisplay portal http-defense attacked-ip大喊用来表露HTTP防袭击中被袭击过的野心IP统计信息。
【大喊】
(独处运行模式)
display portal http-defense attacked-ip [ slot slot-number ]
(IRF模式)
display portal http-defense attacked-ip [ chassis chassis-number slot slot-number ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
slot slot-number:表露指定单板上HTTP防袭击中被袭击过的野心IP统计信息。slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上最近发生的HTTP防袭击中被袭击过的野心IP统计信息。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上HTTP防袭击中被袭击过的野心IP统计信息。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上HTTP防袭击中被袭击过的野心IP统计信息。(IRF模式)
【使用指引】
本大喊用来表露发生过HTTP袭击的野心IP统计信息,最多可表露512条袭击记载信息。当记载信息跳跃512条时,将会删除最早的记载,同期添加最新的袭击信息。
【例如】
# 表露HTTP防袭击中被袭击过的野心IP统计信息。(独处运行模式)
<Sysname> display portal http-defense attacked-ip
Slot 0:
Dest IP Attacks First attack Last attack
1.1.1.2 1 17:12:34 11/23/2016 17:12:34 11/23/2016
2.2.2.2 2 17:12:34 11/23/2016 17:13:25 11/23/2016
表1-2 display portal http-defense attacked-ip大喊表露信息姿首表
字段
姿首
Dest IP
发生过HTTP袭击的野心IP地址
Attacks
该野心IP发生过HTTP袭击的次数
First attack
该野心IP首次发生袭击的时间
Last attack
该野心IP临了一次发生袭击的时间
【干系大喊】
· reset portal http-defense attacked-ip
1.1.7 display portal http-defense blocked-ipdisplay portal http-defense blocked-ip大喊用来表露HTTP防袭击中处于按捺情景的野心IP统计信息。
【大喊】
(独处运行模式)
display portal http-defense blocked-ip [ slot slot-number ]
(IRF模式)
display portal http-defense blocked-ip [ chassis chassis-number slot slot-number ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
slot slot-number:表露指定单板上HTTP防袭击中处于按捺情景的野心IP统计信息。slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上HTTP防袭击中处于按捺情景的野心IP地址统计信息。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上HTTP防袭击中处于按捺情景的野心IP统计信息。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上HTTP防袭击中处于按捺情景的野心IP统计信息。(IRF模式)
【例如】
# 表露HTTP防袭击中处于按捺情景的野心IP统计信息。(独处运行模式)
<Sysname> display portal http-defense blocked-ip
Slot 0:
Destination IP address Defense status on driver
1.1.1.2 Successed
2.2.2.2 Failed
表1-3 display portal http-defense blocked-ip大喊表露信息姿首表
字段
姿首
Destination IP address
HTTP防袭击中处于按捺情景的野心IP地址列表
Defense status on driver
HTTP防袭击中处于按捺情景的野心IP地址下发到驱动的象征,有如下取值:
· Succeed:下发到驱动告成
· Failed:下发到驱动失败
【干系大喊】
· reset portal http-defense blocked-ip
1.1.8 display portal http-defense ip-countdisplay portal http-defense ip-count大喊用来表露HTTP防袭击中处于不同情景的野心IP数量。
【大喊】
(独处运行模式)
display portal http-defense ip-count [ slot slot-number ]
(IRF模式)
display portal http-defense ip-count [ chassis chassis-number slot slot-number ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
slot slot-number:表露指定单板上HTTP防袭击中处于不同情景的野心IP数量。slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上HTTP防袭击中处于不同情景的野心IP数量。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上HTTP防袭击中处于不同情景的野心IP数量。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上HTTP防袭击中处于不同情景的野心IP数量。(IRF模式)
【例如】
# 表露HTTP防袭击中处于不同情景的野心IP数量。(独处运行模式)
<Sysname> display portal http-defense ip-count
Slot 0:
Blocked IP: 10
Attacked IP: 20
Monitored IP: 10
表1-4 display portal http-defense ip-count大喊表露信息姿首表
字段
姿首
Blocked IP
HTTP防袭击中处于按捺情景的野心IP数量
Attacked IP
HTTP防袭击中被按捺过的野心IP数量
Monitored IP
HTTP防袭击中处于监控情景的野心IP数量
1.1.9 display portal http-defense monitored-ip
display portal http-defense monitored-ip大喊用来表露HTTP防袭击中处于监控情景下的野心IP统计信息。
【大喊】
(独处运行模式)
display portal http-defense monitored-ip [ slot slot-number ]
(IRF模式)
display portal http-defense monitored-ip [ chassis chassis-number slot slot-number ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
slot slot-number:表露指定单板上的HTTP防袭击中处于监控情景的野心IP统计信息。slot-number示意单板地点的槽位号。若不指定该参数,则表露通盘单板上的HTTP防袭击中处于监控情景的野心IP统计信息。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上的HTTP防袭击中处于监控情景的野心IP统计信息。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上的HTTP防袭击中处于监控情景的野心IP统计信息。(IRF模式)
【使用指引】
表露HTTP防袭击过程中尚未空闲袭击条目仍处于监控情景下的野心IP统计信息,且表露的最大野心IP地址数为portal http-defense max-ip-number max-ip-number确立的数量。如若某个野心IP地址还是空闲袭击条目,则该野心IP地址会被按捺。被按捺的野心IP地址信息不错通过大喊display portal http-defense blocked-ip检察。
【例如】
# 表露HTTP防袭击中处于监控情景的野心IP统计信息。(独处运行模式)
<Sysname> display portal http-defense monitored-ip
Slot 0:
IP address Packet statistics
1.1.1.2 30
1.1.1.3 100
1.1.1.4 50
表1-5 display portal http-defense monitored-ip大喊表露信息姿首表
字段
姿首
IP address
处于监控情景的野心IP地址信息
Packet statistics
探听野心IP地址的报文个数
【干系大喊】
· display portal http-defense blocked-ip
1.1.10 display portal mac-trigger entrydisplay portal mac-trigger entry大喊用来表露用户的MAC Trigger表项信息。
【大喊】
display portal mac-trigger entry [ ip ipv4-address ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
ip ipv4-address:表露指定IPv4用户的MAC Trigger表项信息。ipv4-address示意指定用户的IPv4地址。若未指定该参数,则表露刻下通盘用户的MAC Trigger表项信息。
【例如】
# 表露刻下通盘用户的MAC Trigger表项信息。
<Sysname> display portal mac-trigger entry
IP MAC ADDR L3IF L2IF SVLAN CVLAN Status Source
2.2.2.2 0001-0001-0001 vlan2 GE1/0/2 2 -- Bound Portal
表1-6 display portal mac-trigger entry大喊表露信息姿首表
字段
姿首
IP
接入用户的IP地址
MAC
接入用户的MAC地址
L3IF
用户接入的三层接口
L2IF
用户接入的二层端口
用户接入的接口为三层接口时,该处表露为“--”
SVLAN
Portal用户报文的外层VLAN ID
CVLAN
Portal用户报文的内层VLAN ID
Status
用户的MAC地址和认证信息的绑定情景,包括以下取值:
· Auth-free:MAC地址免认证通工作态
· Querying:MAC地址查询恭候情景
· Not bound:MAC地址未绑定情景
· Bound:MAC地址已绑定情景
· Deleting:MAC地址无效情景,对应的MAC Trigger表项正在被删除
Source
用户接入的认证表情,包括以下取值:
· Portal
· IPoE
1.1.11 display portal mac-trigger-server
display portal mac-trigger-server大喊用来表露MAC绑定职业器信息。
【大喊】
display portal mac-trigger-server { all | name server-name }
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
all:表露通盘MAC绑定职业器信息。
name server-name:MAC绑定职业器的称号,server-name为1~32个字符的字符串,辞别大小写。
【例如】
# 表露一齐MAC绑定职业器的信息。
<Sysname> display portal mac-trigger-server all
Portal mac-trigger server: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
Portal mac-trigger server: mts
Version : 1.0
Server type : IMC
IP : 4.4.4.2
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 0 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
# 表露名字为ms1的MAC绑定职业器的信息。
<Sysname> display portal mac-trigger-server name ms1
Portal mac-trigger server: ms1
Version : 2.0
Server type : CMCC
IP : 10.1.1.1
Port : 100
VPN instance : Not configured
Aging time : 120 seconds
Free-traffic threshold : 1000 bytes
NAS-Port-Type : 255
Binding retry times : 5
Binding retry interval : 2 seconds
Authentication timeout : 5 minutes
表1-7 display portal mac-trigger-server大喊表露信息姿首表
字段
姿首
Portal mac-trigger-server
MAC绑定职业器的称号
Version
Portal契约报文的版块,取值包括:
· 1.0:版块1
· 2.0:版块2
· 3.0:版块3
Server type
MAC绑定职业器的职业类型,取值包括:
· CMCC:CMCC Portal职业器
· iMC:H3C iMC Portal职业器或H3C CAMS Portal职业器
IP
MAC绑定职业器的IP地址
Port
斥地向MAC绑定职业器发送MAC查询报文时使用的UDP端标语
VPN instance
MAC绑定职业器所属的VPN实例
Aging time
MAC-Trigger表项老化时间,单元为秒
Free-traffic threshold
用户免认证流量阈值,单元为字节
NAS-Port-Type
发往RADIUS职业器的RADIUS央求报文中的NAS-Port-Type属性值
Binding retry times
斥地向MAC绑定职业器发起MAC查询的最大尝试次数
Binding retry interval
斥地向MAC绑定职业器发起MAC查询的时间间隔
Authentication timeout
斥地在收到MAC绑定职业器的查询反馈讯息后,恭候用户完成Portal认证的超不时间
1.1.12 display portal packet statistics
display portal packet statistics大喊用来表露Portal认证职业器的报文统计信息。
【大喊】
display portal packet statistics [ server server-name ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
server server-name:Portal认证职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
实施此大喊后,表露的报文统计信息包括斥地吸收到Portal认证职业器发送的报文以及斥地发送给该Portal认证职业器的报文的信息。
若不指定参数server,则纪律表露通盘Portal认证职业器的报文统计信息。
【例如】
# 表露称号为pts的Portal认证职业器的报文统计信息。
<Sysname> display portal packet statistics server pts
Portal server : pts
Invalid packets: 0
Pkt-Type Total Drops Errors
REQ_CHALLENGE 3 0 0
ACK_CHALLENGE 3 0 0
REQ_AUTH 3 0 0
ACK_AUTH 3 0 0
REQ_LOGOUT 1 0 0
ACK_LOGOUT 1 0 0
AFF_ACK_AUTH 3 0 0
NTF_LOGOUT 1 0 0
REQ_INFO 6 0 0
ACK_INFO 6 0 0
NTF_USERDISCOVER 0 0 0
NTF_USERIPCHANGE 0 0 0
AFF_NTF_USERIPCHAN 0 0 0
ACK_NTF_LOGOUT 1 0 0
NTF_HEARTBEAT 0 0 0
NTF_USER_HEARTBEAT 2 0 0
ACK_NTF_USER_HEARTBEAT 0 0 0
NTF_CHALLENGE 0 0 0
NTF_USER_NOTIFY 0 0 0
AFF_NTF_USER_NOTIFY 0 0 0
表1-8 display portal server statistics大喊表露信息姿首表
字段
姿首
Portal server
Portal认证职业器称号
Invalid packets
无效报文的数量
Pkt-Type
报文的称号
Total
报文的总和
Drops
丢弃报文数
Errors
佩带特地信息的报文数
REQ_CHALLENGE
Portal认证职业器向接入斥地发送的challenge央求报文
ACK_CHALLENGE
接入斥地对Portal认证职业器challenge央求的反馈报文
REQ_AUTH
Portal认证职业器向接入斥地发送的央求认证报文
ACK_AUTH
接入斥地对Portal认证职业器认证央求的反馈报文
REQ_LOGOUT
Portal认证职业器向接入斥地发送的下线央求报文
ACK_LOGOUT
接入斥地对Portal认证职业器下线央求的反馈报文
AFF_ACK_AUTH
Portal认证职业器收到认证告成反馈报文后向接入斥地发送的说明报文
NTF_LOGOUT
接入斥地发送给Portal认证职业器,用户被强制下线的告知报文
REQ_INFO
信息盘考报文
ACK_INFO
信息盘考的反馈报文
NTF_USERDISCOVER
Portal认证职业器向接入斥地发送的发现新用户要求上线的告知报文
NTF_USERIPCHANGE
接入斥地向Portal认证职业器发送的告知更始某个用户IP地址的告知报文
AFF_NTF_USERIPCHAN
Portal认证职业器告知接入斥地对用户表项的IP切换已告成报文
ACK_NTF_LOGOUT
Portal认证职业器对强制下线告知的反馈报文
NTF_HEARTBEAT
Portal认证职业器周期性向接入斥地发送的职业器心跳报文
NTF_USER_HEARTBEAT
接入斥地收到的从Portal认证职业器发送的用户同步报文
ACK_NTF_USER_HEARTBEAT
接入斥地向Portal认证职业器回话的用户同步反馈报文
NTF_CHALLENGE
接入斥地向Portal认证职业器发送的challenge央求报文
NTF_USER_NOTIFY
接入斥地向Portal认证职业器发送的用户讯息告知报文
AFF_NTF_USER_NOTIFY
Portal认证职业器向接入斥地发送的对NTF_USER_NOTIFY的说明报文
【干系大喊】
· reset portal packet statistics
1.1.13 display portal ruledisplay portal rule大喊用来表露用于报文匹配的Portal过滤规则信息。
【大喊】
(独处运行模式)
display portal rule { all | dynamic | static } { interface interface-type interface-number [ slot slot-number ] }
(IRF模式)
display portal rule { all | dynamic | static } { interface interface-type interface-number [ chassis chassis-number slot slot-number ] }
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
all:表露通盘Portal过滤规则信息,包括动态Portal过滤规则和静态Portal过滤规则。
dynamic:表露动态Portal过滤规则信息,即用户通过Portal认证后斥地上产生的Portal过滤规则,这类规则界说了允许指定源IP地址的报文通过接口。
static:表露静态Portal规则信息,即开启Portal后产生的Portal过滤规则,这类规则界说了在Portal功能开启后对接口上收到的报文的过滤动作。
slot slot-number:表露指定单板上的Portal过滤规则信息。slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上的Portal过滤规则信息。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上的Portal过滤规则信息。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意通盘单板上的Portal过滤规则信息。(IRF模式)
【例如】
# 表露接口GigabitEthernet1/0/1上指定slot上的通盘Portal过滤规则的信息。(独处运行模式)
<Sysname> display portal rule all interface gigabitethernet 1/0/1 slot 1
Slot 1:
IPv4 portal rules on GigabitEthernet1/0/1:
Rule 1
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : Any
MAC : 0000-0000-0000
Interface : GigabitEthernet1/0/1
VLAN : Any
Destination:
IP : 192.168.0.111
Mask : 255.255.255.255
Port : Any
Rule 2
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 2.2.2.2
MAC : 000d-88f8-0eab
Interface : GigabitEthernet1/0/1
VLAN : Any
Author ACL:
Number : 3001
Rule 3
Type : Static
Action : Redirect
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : GigabitEthernet1/0/1
VLAN : Any
Protocol : TCP
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : 0.0.0.0
Mask : 0.0.0.0
Interface : GigabitEthernet1/0/1
VLAN : Any
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
IPv6 portal rules on GigabitEthernet1/0/1:
Rule 1
Type : Static
Action : Permit
Protocol : Any
Status : Active
Source:
IP : ::
Prefix length : 0
Port : Any
MAC : 0000-0000-0000
Interface : GigabitEthernet1/0/1
VLAN : Any
Destination:
IP : 3000::1
Prefix length : 64
Port : Any
Rule 2
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 3000::1
MAC : 0015-e9a6-7cfe
Interface : GigabitEthernet1/0/1
VLAN : Any
Author ACL:
Number : 3001
Rule 3
Type : Static
Action : Redirect
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : GigabitEthernet1/0/1
VLAN : Any
Protocol : TCP
Destination:
IP : ::
Prefix length : 0
Port : 80
Rule 4:
Type : Static
Action : Deny
Status : Active
Source:
IP : ::
Prefix length : 0
Interface : GigabitEthernet1/0/1
VLAN : Any
Destination:
IP : ::
Prefix length : 0
Rule 5:
Type : Static
Action : Match pre-auth ACL
Status : Active
Source:
Interface : GigabitEthernet1/0/1
Pre-auth ACL:
Number : 3002
表1-9 display portal rule大喊表露信息姿首表
字段
姿首
Rule
Portal过滤规则编号。IPv4过滤规则和IPv6过滤规则分别编号
Type
Portal过滤规则的类型,包括以下取值:
· Static:静态类型
· Dynamic:动态类型
Action
Portal过滤规则的匹配动作,包括以下取值:
· Permit:允许报文通过
· Redirect:重定向报文
· Deny:远离报文通过
· Match pre-auth ACL:匹配认证前战术中的授权ACL规则
Protocol
Portal免认证过滤规则中使用的传输层契约,包括以下取值:
· Any:不限定传输层契约类型
· TCP:TCP传输类型
· UDP:UDP传输类型
Status
Portal过滤规则下发的情景,包括以下取值:
· Active:示意规则已告成
· Unactuated:示意规则未告成
Source
Portal过滤规则的源信息
IP
源IP地址
Mask
源IPv4地址子网掩码
Prefix length
源IPv6地址前缀
Port
源传输层端标语
MAC
源MAC地址
Interface
Portal过滤规则专揽的二层或三层接口
VLAN
源VLAN
Protocol
Portal重定向过滤规则中使用的传输层契约类型,取值只可为TCP
Destination
Portal规则的野心信息
IP
野心IP地址
Port
野心传输层端标语
Mask
野心IPv4地址子网掩码
Prefix length
野心IPv6地址前缀
Author ACL
Portal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时才表露
Pre-auth ACL
Portal用户认证前的授权ACL,该字段仅在Action为Match pre-auth ACL时表露
Number
授权ACL编号,N/A示意AAA未授权ACL
1.1.14 display portal server
display portal server大喊用来表露Portal认证职业器信息。
【大喊】
display portal server [ server-name ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
server-name:Portal认证职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
若不指定参数server-name,则表露通盘Portal认证职业器信息。
【例如】
# 表露Portal认证职业器pts的信息。
<Sysname> display portal server pts
Portal server: pts
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server detection : Timeout 60s Action: log, trap
User synchronization : Timeout 200s
Status : Up
表1-10 display portal server大喊表露信息姿首表
字段
姿首
Type
Portal认证职业器类型,其取值如下:
· CMCC:稳妥中国出动规范范例的职业器
· iMC:稳妥iMC规范范例的职业器
Portal server
Portal认证职业器称号
IP
Portal认证职业器的IP地址
VPN instance
Portal认证职业器所属的MPLS L3VPN实例
Port
Portal认证职业器的监听端口
Server detection
Portal认证职业器可达性探伤功能的参数,包括超不时间(单元:秒),以及探伤到职业器情景变化后触发的动作(log、trap)
User synchronization
Portal用户用户信息同步功能的参数,包括超不时间(单元:秒)
Status
Portal认证职业器刻下情景,其取值如下:
· Up:职业器可达性探伤功能未开启,或职业器可达性探伤功能开启且探伤终结为该职业器刻下可达
· Down:职业器可达性探伤功能已开启,探伤终结为该职业器刻下不可达
【干系大喊】
· portal enable
· portal server
· server-detect (portal server view)
· user-sync
1.1.15 display portal userdisplay portal user大喊用来表露Portal用户的信息。
【大喊】
display portal user { all | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] } [ verbose ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
all:表露通盘Portal用户的信息。
interface interface-type interface-number:表露指定接口上的Portal用户信息。interface-type interface-number为接口类型和接口编号。
ip ipv4-address:表露指定IPv4地址的Portal用户信息。
ipv6 ipv6-address:表露指定IPv6地址的Portal用户信息。
pre-auth:表露Portal认证前用户信息。认证前用户是指被加入认证前战术的未进行Portal认证的用户。若不指定该参数,则表露Portal用户的信息。
verbose:表露指定Portal用户的详深信息。
【例如】
# 表露通盘Portal用户的信息。
<Sysname> display portal user all
Total portal users: 2
Username: abc
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eab 2.2.2.2 -- GigabitEthernet1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: abc (active)
Session group profile: cd (inactive)
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Inbound priority: N/A
Outbound priority: N/A
Username: def
Portal server: pts
State: Online
VPN instance: N/A
MAC IP VLAN Interface
000d-88f8-0eac 3.3.3.3 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3000
Inbound CAR: CIR 3 kbps PIR 3 kbps
CBS N/A (inactive)
Outbound CAR: CIR 3 kbps PIR 3 kbps
CBS N/A (inactive)
Inbound priority: 7 (active)
Outbound priority: 0 (active)
表1-11 display portal user大喊表露信息姿首表
字段
姿首
Total portal users
诡计的Portal用户数量
Username
用户名
Portal server
用户认证所使用的Portal认证职业器的称号
State
Portal用户确刻下情景,包括以下取值:
· Initialized:运行化完成后的待认证情景
· Authenticating:正在认证情景
· Authorizing:正在授权情景
· Online:在线情景
VPN instance
Portal用户所属的MPLS L3VPN实例。若用户属于公网,则表露为N/A
MAC
Portal用户的MAC地址
IP
Portal用户的IP地址
VLAN
Portal用户地点的VLAN
Interface
Portal用户接入的接口
Authorization information
Portal用户的授权信息
DHCP IP pool
Portal用户的授权地址池称号。若无授权地址池,则表露为N/A
User profile
Portal用户的授权User Profile称号。若未授权User Profile,则表露为N/A。授权情景包括如下:
· active:AAA授权User profile告成
· inactive:AAA授权User profile失败或者斥地上不存在该User profile
Session group profile
Portal用户的授权Session Group Profile称号。若未授权Session Group Profile,则表露为N/A。授权情景包括如下:
· active:AAA授权Session group profile告成
· inactive:AAA授权Session group profile失败或者斥地上不存在该User profile
巨屌xACL number
Portal用户的授权ACL编号。若未授权ACL,则表露为N/A。授权情景包括如下:
· active:AAA授权ACL告成
· inactive:AAA授权ACL失败或者斥地上不存在该ACL
Inbound CAR
授权的入主义CAR(CIR:平均速度,单元为kbps;PIR:峰值速度,单元为kbps;CBS:欢跃突发尺寸,单元为byte)。若未授权入主义CAR,则表露为N/A。如若下发告成,表露为active,不然为inactive
Outbound CAR
授权的出主义CAR(CIR:平均速度,单元为kbps;PIR:峰值速度,单元为kbps;CBS:欢跃突发尺寸,单元为byte)。若未授权出主义CAR,则表露为N/A。如若下发告成,表露为active,不然为inactive
Inbound priority
授权的入主义优先级,若未授权入主义优先级,则表露为N/A。如若下发告成,表露为active,不然为inactive
Outbound priority
授权的出主义优先级,若未授权出主义优先级,则表露为N/A。如若下发告成,表露为active,不然为inactive
# 表露IP地址为50.50.50.3的Portal用户的详深信息。
<Sysname> display portal user ip 50.50.50.3 verbose
Basic:
Current IP address: 50.50.50.3
Original IP address: 30.30.30.2
Username: user1@hrss
User ID: 0x28000002
Session-ID: 678900123456790123456788901234534578901266789001234567890
Access interface: GigabitEthernet1/0/1
Service-VLAN/Customer-VLAN: -/-
MAC address: 0000-0000-0001
Domain: hrss
VPN instance: N/A
Status: Online
Portal server: test
Portal authentication method: Direct
AAA:
Realtime accounting interval: 60s, retry times: 3
Idle cut: 180 sec, 10240 bytes, direction: Inbound
Session duration: 500 sec, remaining: 300 sec
Remaining traffic: 10240000 bytes
Login time: 2014-01-19 2:42:3 UTC
Online time: 3:4:10
ITA policy name: test
DHCP IP pool: abc
ACL&QoS&Multicast:
Inbound CAR: CIR 64kbps PIR 640kbps
CBS N/A (inactive)
Outbound CAR: CIR 64kbps PIR 640kbps
CBS N/A (inactive)
Inbound priority: 7 (inactive)
Outbound priority: 0 (inactive)
ACL number:3000 (inactive)
User profile: portal (active)
Session group profile: N/A
Max multicast addresses: 4
Multicast address list: 1.2.3.1, 1.34.33.1, 3.123.123.3, 4.5.6.7
2.2.2.2, 3.3.3.3, 4.4.4.4
User group: 1 (Id=1)
Flow statistic:
Uplink packets/bytes: 7/546
Downlink packets/bytes: 0/0
ITA:
level-1 uplink packets/bytes: 4/32
downlink packets/bytes: 2/12
level-2 uplink packets/bytes: 0/0
downlink packets/bytes: 0/0
表1-12 display portal user verbose大喊表露信息姿首表
字段
姿首
Current IP address
Portal用户刻下的IP地址
Original IP address
Portal用户认证时的IP地址
Username
Portal用户上线时使用的用户名
User ID
Portal用户ID
Session-ID
Portal用户计费的会话ID
Access interface
Portal用户接入的接口
Service-VLAN/Customer-VLAN
Portal用户地点的公网VLAN/私网VLAN(“-”示意莫得VLAN信息)
MAC address
用户的MAC地址
Domain
用户认证时使用的ISP域名
VPN instance
用户所属的MPLS L3VPN实例,N/A示意用户属于公网
Status
Portal用户确刻下情景,包括以下取值:
· Authenticating:正在认证情景
· Authorizing:正在授权情景
· Waiting_SetRule:正不才发Portal规则情景
· Online:在线情景
· Waiting_Traffic:正在恭候用户流量情景
· Stop Accounting:正在住手计费情景
· Done:用户下线完成情景
Portal server
Portal职业器称号
Portal authentication method
接入接口上的Portal认证表情,包括如下取值:
· Direct:顺利认证表情
· Redhcp:二次地址分拨认证表情
· Layer3:可跨三层认证表情
AAA
Portal用户的AAA授权信息
Realtime accounting interval
授权的及时计费间隔和重传次数。若未授权,则表露为N/A
Idle cut
授权的闲置割断时长和流量。若未授权,则表露为N/A
direction
用户数据流量的统计主义,包括以下取值:
· Both:示意用户双向数据流量
· Inbound:示意用户上行数据流量
· Outbound:示意用户下行数据流量
Session duration
授权的会话时长以及剩余的会话时长。若未授权,则表露为N/A
Remaining traffic
授权的剩余流量。若未授权,则表露为N/A
Login time
用户登录时间,即用户授权告成的时间,风物为斥地时间,如:2023-1-19 2:42:30 UTC
Online time
用户在线时长,风物为xx:xx:xx,示意时:分:秒
ITA policy name
授权的ITA(Intelligent Target Accounting,智能靶向计费)战术称号
DHCP IP pool
授权的DHCP地址池称号。若未授权DHCP地址池,则表露为N/A
Inbound CAR
授权的入主义CAR(CIR:平均速度,单元为kbps;PIR:峰值速度,单元为kbps;CBS:欢跃突发尺寸,单元为byte)。若未授权入主义CAR,则表露为N/A。如若下发告成,表露为active,不然为inactive
Outbound CAR
授权的出主义CAR(CIR:平均速度,单元为kbps;PIR:峰值速度,单元为kbps;CBS:欢跃突发尺寸,单元为byte)。若未授权出主义CAR,则表露为N/A。如若下发告成,表露为active,不然为inactive
Inbound priority
授权的入主义优先级,若未授权入主义优先级,则表露为N/A。如若下发告成,表露为active,不然为inactive
Outbound priority
授权的出主义优先级,若未授权出主义优先级,则表露为N/A。如若下发告成,表露为active,不然为inactive
ACL number
授权的ACL编号。若未授权ACL,则表露为N/A。授权情景包括如下:
· active:AAA授权ACL告成
· inactive:AAA授权ACL失败或者斥地上不存在该ACL
User profile
授权的User profile称号。若未授权User profile,则表露为N/A。授权情景包括如下:
· active:AAA授权User profile告成
· inactive:AAA授权User profile失败或者斥地上不存在该User profile
Session group profile
授权的Session group profile称号。若未授权Session group profile,则表露为N/A。授权情景包括如下:
· active:AAA授权Session group profile告成
· inactive:AAA授权Session group profile失败或者斥地上不存在该User profile
Max multicast addresses
授权Portal用户可加入的组播组的最大数量
Multicast address list
授权Portal用户可加入的组播组列表。若未授权组播组列表,则表露为N/A
User group
Portal用户所属的用户组
Flow statistic
Portal用户流量统计信息
Uplink packets/bytes
上行流量报文数/字节数
Downlink packets/bytes
下行流量报文数/字节数
ITA
Portal用户的ITA业务流量统计信息
level-n uplink packets/bytes
计费品级为n的上行流量报文数/字节数
level-n downlink packets/bytes
计费品级为n的下行流量报文数/字节数
【干系大喊】
· portal enable
1.1.16 display portal web-serverdisplay portal web-server大喊用来表露Portal Web职业器信息。
【大喊】
display portal web-server [ server-name ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
server-name:Portal Web职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
若不指定参数server-name,则表露通盘Portal Web职业器信息。
【例如】
# 表露Portal Web职业器wbs的信息。
<Sysname> display portal web-server wbs
Portal Web server: wbs
Type : IMC
URL :
URL parameters : userurl=
userip=source-address
VPN instance : Not configured
Server detection : Interval: 120s Attempts: 5 Action: log, trap
IPv4 status : Up
IPv6 status : Up
If-match : original-url redirect-url
表1-13 display portal web-server大喊表露信息姿首表
字段
姿首
Type
Portal Web职业器类型,其取值如下:
· CMCC:稳妥中国出动规范范例的职业器
· iMC:稳妥iMC规范范例的职业器
Portal Web server
Portal Web职业器称号
URL
Portal Web职业器的URL地址以及佩带的参数
URL parameters
Portal Web职业器的URL佩带的参数信息
VPN instance
Portal Web职业器所属的MPLS L3VPN实例称号
Server detection
Portal Web职业器可达性探伤功能的参数,包括探伤间隔时间(单元:秒),探伤尝试次数以及探伤到职业器情景变化后的动作(log、trap)
IPv4 status
IPv4 Portal Web职业器刻下情景,其取值如下:
· Up:职业器可达性探伤功能未开启,或职业器可达性探伤功能开启且探伤终结为该职业器刻下可达
· Down:职业器可达性探伤功能已开启,且探伤终结为该职业器刻下不可达
IPv6 status
IPv6 Portal Web职业器刻下情景,其取值如下:
· Up:职业器可达性探伤功能未开启,或职业器可达性探伤功能开启且探伤终结为该职业器刻下可达
· Down:职业器可达性探伤功能已开启,且探伤终结为该职业器刻下不可达
If-match
确立的URL重定向匹配规则,未确立时,表露Not configured
【干系大喊】
· portal enable
· portal web-server
· server-detect (portal web-server view)
1.1.17 display web-redirect ruledisplay web-redirect rule大喊用来表露指定接口上的Web重定向过滤规则信息。
【大喊】
(独处运行模式)
display web-redirect rule interface interface-type interface-number [ slot slot-number ]
(IRF模式)
display web-redirect rule interface interface-type interface-number [ chassis chassis-number slot slot-number ]
【视图】
自便视图
【缺省用户变装】
network-admin
network-operator
【参数】
interface interface-type interface-number:表露指定接口的Web重定向过滤规则信息。interface-type interface-number为接口类型和接口编号。
slot slot-number:表露指定单板上指定接口的Web重定向过滤规则信息。slot-number示意单板地点槽位号。若不指定该参数,则表露主用主控板上的Web重定向过滤规则信息。(独处运行模式)
chassis chassis-number slot slot-number:表露指定成员斥地的指定单板上指定接口的Web重定向过滤规则。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点槽位号。若不指定该参数,则表露全局主用主控板上的Web重定向过滤规则信息。(IRF模式)
【例如】
# 表露接口GigabitEthernet1/0/1上的通盘Web重定向过滤规则。
<Sysname> display web-redirect rule interface gigabitethernet 1/0/1
IPv4 web-redirect rules on GigabitEthernet1/0/1:
Rule 1:
Type : Dynamic
Action : Permit
Status : Active
Source:
IP : 192.168.2.114
VLAN : Any
Rule 2:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
IPv6 web-redirect rules on GigabitEthernet1/0/1:
Rule 1:
Type : Static
Action : Redirect
Status : Active
Source:
VLAN : Any
Protocol : TCP
Destination:
Port : 80
表1-14 display web-redirect rule大喊表露信息姿首表
字段
姿首
Rule
Web重定向规则编号
Type
Web重定向规则的类型,包括以下取值:
· Static:静态类型。该类型的规则在Web重定向功能告成时生成
· Dynamic:动态类型。该类型的规则在用户探听重定向页面时生成
Action
Web重定向规则的匹配动作,包括以下取值:
· Permit:允许报文通过
· Redirect:重定向报文
Status
Web重定向规则下发的情景,包括以下取值:
· Active:示意规则已告成
· Inactive:示意规则未告成
Source
Web重定向规则的源信息
IP
源IP地址
Mask
源IPv4地址子网掩码
Prefix length
源IPv6地址前缀
VLAN
源VLAN,如若未指定,表露为Any
Protocol
Web重定向规则中使用的传输层契约类型,取值只可为TCP
Destination
Web重定向规则的野心信息
Port
野心传输层端标语,默许为80
1.1.18 free-traffic threshold
free-traffic threshold大喊用来确立用户免认证流量的阈值。
undo free-traffic threshold大喊用来规复缺省情况。
【大喊】
free-traffic threshold value
undo free-traffic threshold
【缺省情况】
用户免认证流量的阈值为0字节。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
value:用户免认证流量的阈值,取值限制为0~10240000,单元为字节。如若确立用户免认证流量的阈值为0,示意只须用户有探听聚积的流量产生,斥地就会立即触发基于MAC地址的快速认证。
【使用指引】
斥地开启了基于MAC地址的快速认证功能时,用户在上线后齐领有一定的免认证流量。斥地会在MAC-Trigger表项老化之前及时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户探听外部聚积资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。
用户通过Portal认证后,斥地将该用户的流量统计清零;若用户未通过Portal认证,则斥地在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如若在MAC-Trigger表项老化后,斥地再次检测到来自团结用户的流量,则斥地将再行成立MAC-Trigger表项,相通以上过程。
【例如】
# 确立用户免认证流量的阈值为10240字节。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240
【干系大喊】
· display mac-trigger-server
1.1.19 if-matchif-match大喊用来确立重定向URL的匹配规则。
undo if-match大喊用来删除确立的重定向URL匹配规则。
【大喊】
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
undo if-match { original-url url-string | user-agent user-agent }
【缺省情况】
不存在重定向URL的匹配规则。
【视图】
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
original-url url-string:证据用户Web探听央求的URL地址进行匹配,其中url-string是用户Web探听央求的URL地址,为1~256个字符的字符串,辞别大小写。该URL地址必须是以http://或者https://起原的齐备URL旅途。
redirect-url url-string:Web探听央求被重定向后的地址,为1~256个字符的字符串,辞别大小写。该URL地址必须是以http://或者https://起原的齐备URL旅途。
url-param-encryption:对斥地重定向给用户的Portal Web职业器URL中佩带的通盘参数信息进行加密。如若未指定本参数,则示意分歧佩带的通盘参数信息进行加密。
aes:加密算法为AES算法。
des:加密算法为DES算法。
key:成立密钥。
cipher:以密文表情成立密钥。
simple:以明文表情成立密钥,该密钥将以密文风物存储。
string:密钥字符串,辞别大小写。密钥的长度限制和聘请的加密表情联系。具体关系如下:
· 对于des加密表情,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。
· 对于aes加密表情,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
user-agent user-agent:证据用户HTTP/HTTPS央求报文中的User Agent信息进行匹配,其中user-agent是HTTP/HTTPS User Agent信息实质,为1~255个字符的字符串,辞别大小写。HTTP/HTTPS User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等实质。
【使用指引】
重定向URL匹配规则用于戒指重定向用户的HTTP或HTTPS央求,该匹配规则可匹配用户的Web央求地址或者用户的末端信息。为了让用户大概告成探听重定向后的地址,需要通过portal free-rule大喊确立免认证规则,放行去往该地址的HTTP或HTTPS央求报文。与url大喊不同的是,重定向匹配规则不错天确实进行地址的重定向,而url大喊一般只用于将用户的HTTP或HTTPS央求重定向到Portal Web职业器进行Portal认证。在二者同期存在时,if-match大喊优先进行地址的重定向。
【例如】
# 确立URL地址为的匹配规则,探听此地址的报文被重定向到,对重定向URL中佩带的参数进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match original-url redirect-url url-param-encryption des key simple 12345678
# 确立用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,探听此地址的报文被重定向到。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url
【干系大喊】
· display portal web-server
· portal free-rule
· url
· url-parameter
1.1.20 ip (MAC binding server view)ip大喊用来确立MAC绑定职业器的IP地址。
undo ip大喊用来规复缺省情况。
【大喊】
ip ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未确立MAC绑定职业器的IP地址。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
ipv4-address:MAC绑定职业器的IPv4地址。
vpn-instance ipv4-vpn-instance-name:MAC绑定职业器所属的VPN实例。ipv4-vpn-instance-name示意MPLS L3VPN的VPN实例称号,为1~31个字符的字符串,辞别大小写。如若未指定本参数,则示意MAC绑定职业器位于公网中。
key:斥地与MAC绑定职业器通讯时使用的分享密钥。斥地与MAC绑定职业器交互的Portal报文中会佩带考据字,该考据字在分享密钥参与下生成,用于吸收方校验收到的Portal报文的正确性。如若未指定本参数,则示意斥地与MAC绑定职业器通讯时不使用分享密钥进行报文校验。
cipher:以密文表情成立分享密钥。
simple:以明文表情成立分享密钥,该密钥将以密文风物存储。
string:密钥字符串,辞别大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指引】
在团结MAC绑定职业器视图下屡次实施本大喊,临了一次实施的大喊告成。
【例如】
# 确立MAC绑定职业器mts的IP地址为192.168.0.111,分享密钥为明文portal。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal
【干系大喊】
· display mac-trigger-server
1.1.21 ip (portal authentication server view)ip大喊用来指定Portal认证职业器的IPv4地址。
undo ip大喊用来规复缺省情况。
【大喊】
ip ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ key { cipher | simple } string ]
undo ip
【缺省情况】
未指定Portal认证职业器的IPv4地址。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
ipv4-address:Portal认证职业器的IPv4地址。
vpn-instance ipv4-vpn-instance-name:Portal认证职业器所属的VPN实例。ipv4-vpn-instance-name示意MPLS L3VPN的VPN实例称号,为1~31个字符的字符串,辞别大小写。如若未指定本参数,则示意Portal认证职业器位于公网中。
key:与Portal认证职业器通讯时使用的分享密钥。斥地与Portal认证职业器交互的Portal报文中会佩带一个在该分享密钥参与下生成的考据字,该考据字用于接受方校验收到的Portal报文的正确性。
cipher:以密文表情成立密钥。
simple:以明文表情成立密钥,该密钥将以密文风物存储。
string:密码字符串,辞别大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。
【使用指引】
一个Portal认证职业器对应一个IPv4地址,因此一个Portal认证职业器视图下只允许存在一个IPv4地址。屡次实施本大喊,临了一次实施的大喊告成。
不同的Portal认证职业器不允许IPv4地址和VPN的确立齐交流。
【例如】
# 指定Portal认证职业器pts的IPv4地址为192.168.0.111、分享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal
【干系大喊】
· portal server
· display portal server
1.1.22 ipv6ipv6大喊用来指定Portal认证职业器的IPv6地址。
undo ipv6大喊用来规复缺省情况。
【大喊】
ipv6 ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ key { cipher | simple } string ]
undo ipv6
【缺省情况】
未指定Portal认证职业器的IPv6地址。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
ipv6-address:Portal认证职业器的IPv6地址。
vpn-instance ipv6-vpn-instance-name:Portal认证职业器所属的VPN实例。ipv6-vpn-instance-name示意MPLS L3VPN的VPN实例称号,为1~31个字符的字符串,辞别大小写。如若未指定本参数,则示意Portal认证职业器位于公网中。
key:与Portal认证职业器通讯需要的分享密钥。斥地与Portal认证职业器交互的Portal报文中会佩带一个在该分享密钥参与下生成的考据字,该考据字用于接受方校验收到的Portal报文的正确性。
cipher:以密文表情成立密钥。
simple:以明文表情成立密钥,该密钥将以密文风物存储。
string:密码字符串,辞别大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。
【使用指引】
一个Portal认证职业器对应一个IPv6地址,因此一个Portal认证职业器视图下只允许存在一个IPv6地址。屡次实施本大喊,临了一次实施的大喊告成。
不同的Portal认证职业器不允许IPv6地址和VPN实例的确立齐交流。
【例如】
# 指定Portal认证职业器pts的IPv6地址为2000::1、分享密钥为明文portal。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] ipv6 2000::1 key simple portal
【干系大喊】
· display portal server
· portal server
1.1.23 nas-port-typenas-port-type大喊用来确立斥地发送的RADIUS央求报文中的NAS-Port-Type属性值。
undo nas-port-type大喊用来规复缺省情况。
【大喊】
nas-port-type value
undo nas-port-type
【缺省情况】
斥地发送的RADIUS央求报文中的NAS-Port-Type属性值为0。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
value:NAS-Port-Type属性值,取值限制为1~255。
【使用指引】
斥地在与特定厂商的MAC绑定职业器通讯时,需要使用RADIUS报文中的NAS-Port-Type属性来标记该认证过程是基于MAC地址的快速认证如故普通Portal认证。
请证据MAC绑定职业器的确立来成立本斥地的NAS-Port-Type属性值。
【例如】
# 确立斥地向MAC绑定职业器mts发送的RADIUS央求报文中的NAS-Port-Type属性值为30。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] nas-port-type 30
【干系大喊】
· display mac-trigger-server
1.1.24 port (MAC binding server view)port大喊用来确立MAC绑定职业器监听查询报文的UDP端标语。
undo port大喊用来规复缺省情况。
【大喊】
port port-number
undo port
【缺省情况】
MAC绑定职业器监听查询报文的UDP端标语是50100。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
port-number:UDP端标语,取值限制为1~65534。
【使用指引】
本大喊确立的端标语需要与MAC绑定职业器上确立的监听查询报文的端标语保抓一致。
【例如】
# 确立MAC绑定职业器mts监听查询报文的UDP端标语为1000。
<sysname> system-view
[sysname] portal mac-trigger-server mts
[sysname-portal-mac-trigger-server-mts] port 1000
【干系大喊】
· display mac-trigger-server
1.1.25 port (portal authentication server view)port大喊用来确立斥田主动向Portal认证职业器发送Portal报文时使用的UDP端标语。
undo port大喊用来规复缺省情况。
【大喊】
port port-number
undo port
【缺省情况】
斥田主动发送Portal报文时使用的UDP端标语为50100。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
port-number:斥地向Portal认证职业器主动发送Portal报文时使用的野心UDP端标语,取值限制为1~65534。
【使用指引】
本大喊确立的端标语要和Portal认证职业器上确立的监听Portal报文的端标语保抓一致。
【例如】
# 确立斥地向Portal认证职业器pts主动发送Portal报文时使用的野心UDP端标语为50000。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] port 50000
【干系大喊】
· portal server
1.1.26 portal { bas-ip | bas-ipv6 } (interface view)portal { bas-ip | bas-ipv6 }大喊用来成立发送给Portal认证职业器的Portal报文中的BAS-IP或BAS-IPv6属性。
undo portal { bas-ip | bas-ipv6 }大喊用来规复缺省情况。
【大喊】
portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }
undo portal { bas-ip | bas-ipv6 }
【缺省情况】
对于反馈类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
对于告知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不可为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不可为多播地址、全0地址、腹地链路地址。
【使用指引】
斥地上运行Portal契约2.0版块时,主动发送给Portal认证职业器的报文(例如强制用户下线报文)中必须佩带BAS-IP属性。斥地上运行Portal契约3.0版块时,主动发送给Portal认证职业器必须佩带BAS-IP或者BAS-IPv6属性。
确立此大喊后,斥田主动发送的告知类Portal报文,其源IP地址为确立的BAS-IP,不然为Portal报文出接口IP地址。
接口上开启了二次地址分拨认证表情的Portal认证时,如若Portal认证职业器上指定的斥地IP不是Portal报文出接口IP地址,则必须通过本大喊确立相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证职业器上指定的斥地IP一致,不然Portal用户无法认证告成。
使用H3C iMC的Portal认证职业器的情况下,如若Portal职业器上指定的斥地IP不是斥地上Portal报文出接口的IP地址,则开启了Portal认证的接口上必须确立BAS-IP或者BAS-IPv6属性。
【例如】
# 确立接口GigabitEthernet1/0/1发送Portal报文的BAS-IP属性值为2.2.2.2。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal bas-ip 2.2.2.2
【干系大喊】
· display portal
1.1.27 portal { ipv4-max-user | ipv6-max-user } (interface view)portal { ipv4-max-user | ipv6-max-user }大喊用来确立接口上的Portal最大用户数。
undo portal { ipv4-max-user | ipv6-max-user }大喊用来规复缺省情况。
【大喊】
portal { ipv4-max-user | ipv6-max-user } max-number
undo portal { ipv4-max-user | ipv6-max-user }
【缺省情况】
接口上的Portal最大用户数不受限定。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
max-number:接口上允许的最大IPv4或IPv6 Portal用户数,取值限制为1~4294967295。
【使用指引】
如若接口上确立的Portal最大用户数小于刻下接口上还是在线的Portal用户数,则该确立不错实施告成,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。
【例如】
# 在接口GigabitEthernet1/0/1上确立IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal ipv4-max-user 100
【干系大喊】
· display portal
· portal max-user
1.1.28 portal apply mac-trigger-serverportal apply mac-trigger-server大喊用来专揽MAC绑定职业器。
undo portal apply mac-trigger-server大喊用来规复缺省情况。
【大喊】
portal apply mac-trigger-server server-name
undo portal apply mac-trigger-server
【缺省情况】
未专揽MAC绑定职业器。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
server-name:MAC绑定职业器称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
仅IPv4的顺利认证表情复古基于MAC地址的快速认证。
请不要在团结接口上同期确立MAC绑定职业器和Portal认证前战术,不然会导致MAC绑定职业器不告成。
为使基于MAC地址的快速认证告成,必须完成以下确立:
· 完成普通三层Portal认证的干系确立;
· 确立MAC绑定职业器的IP地址和端标语;
· 在接口上专揽MAC绑定职业器。
【例如】
# 在接口GigabitEthernet1/0/1上专揽MAC绑定职业器mts。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal apply mac-trigger-server mts
【干系大喊】
· portal mac-trigger-server
1.1.29 portal apply pre-auth-policyportal apply pre-auth-policy大喊用来确立在接口上专揽Portal认证前战术。
undo portal apply pre-auth-policy大喊用来规复缺省情况。
【大喊】
portal [ ipv6 ] apply pre-auth-policy policy-name
undo portal [ ipv6 ] apply pre-auth-policy
【缺省情况】
接口上未专揽Portal认证前战术。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:确立IPv6 Portal认证前战术。若不指定该参数,则示意指定IPv4 Portal认证前战术。
policy-name:示意Portal认证前战术的称号,为1~255个字符的字符串,不辞别大小写。
【使用指引】
开启Portal的接口上确立了未认证Portal用户使用的Portal认证前战术时,在此接口上获取到IP地址的用户将被Portal授予指定Portal认证前战术内确立的干系属性(现在包括ACL、User Profile和CAR),并证据此战术信息得到相应的聚积探听权限。若此用户后续触发了Portal认证,则认证告成之后会被AAA下发新的授权信息。用户下线之后,将被再行授予该认证前战术中的属性。
Portal认证前战术的确立只对采纳DHCP或DHCPv6分拨IP地址的用户告成。
Portal认证前战术的确立在可跨三层认证表情的接口上不告成。
当Portal认证前战术中的确立或确立参数的实质发生变化后,战术的修改对专揽此战术接口上的通盘未认证Portal用户立即告成。
【例如】
# 在接口GigabitEthernet1/0/1上专揽Portal认证前战术abc。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet0/1/1] portal apply pre-auth-policy abc
【干系大喊】
· portal pre-auth policy
1.1.30 portal apply web-server (interface view)portal [ ipv6 ] apply web-server大喊用来援用Portal Web职业器,斥地会将Portal用户的HTTP/HTTPS央求报文重定向到该Web职业器。
undo portal [ ipv6 ] apply web-server大喊用来规复缺省情况。
【大喊】
portal [ ipv6 ] apply web-server server-name [ fail-permit ]
undo portal [ ipv6 ] apply web-server
【缺省情况】
未援用Portal Web职业器。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意IPv6 Portal Web职业器。若不指定该参数,则示意IPv4 Portal Web职业器。
server-name:被援用的Portal Web职业器的称号,为1~32个字符的字符串,辞别大小写,且必须还是存在。
fail-permit:开启Portal Web职业器不可达时的Portal用户逃生功能,即斥地探伤到Portal Web职业器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可目田探听聚积。
【使用指引】
一个接口上不错同期开启IPv4 Portal认证和IPv6 Portal认证,因此也不错同期援用一个IPv4 Portal Web职业器和一个IPv6 Portal Web认证职业器。
如若接口上同期开启了Portal认证职业器逃生功能和Portal Web职业器逃生功能,则当自便一个职业器不可达时,即取消接口Portal认证功能,当两个职业器均规复泛泛通讯后,再再行启动Portal认证功能。
【例如】
# 在接口GigabitEthernet1/0/1上援用称号为wbs的Portal Web职业器四肢用户认证时使用的Web职业器。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal apply web-server wbs
【干系大喊】
· display portal
· portal fail-permit server
· portal web-server
1.1.31 portal authorization strict-checkingportal authorization strict-checking大喊用来开启Portal授权信息的严格搜检模式。
undo portal authorization strict-checking大喊用来关闭Portal授权信息的严格搜检模式。
【大喊】
portal authorization { acl | user-profile } strict-checking
undo portal authorization { acl | user-profile } strict-checking
【缺省情况】
缺省为非严格搜检授权信息模式,当职业器下发的授权ACL、User Profile在斥地上不存在或者斥地下发ACL、User Profile失败时,用户保抓在线。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
acl:示意开启对授权ACL的严格搜检。
user-profile:示意开启对授权User Profile的严格搜检。
【使用指引】
接口上开启Portal授权信息的严格搜检模式后,当职业器给用户下发的授权ACL、User Profile在斥地上不存在或者斥地下发ACL、User Profile失败时,斥地强项制该用户下线。
可同期开启对授权ACL和授权User Profile的严格搜检模式。若同期开启了对授权ACL和对授权User Profile的严格搜检模式,则只须其中自便一个授权属性未通过严格授权搜检,则用户就会下线。
【例如】
# 在接口GigabitEthernet1/0/1上开启对授权ACL的严格搜检模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal authorization acl strict-checking
【干系大喊】
· display portal
1.1.32 portal delete-userportal delete-user大喊用来强制在线Portal用户下线。
【大喊】
portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address | session-id session-id | username username }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
ipv4-address:在线Portal用户的IPv4地址。
all:通盘接口下的在线IPv4 Portal用户和IPv6 Portal用户。
interface interface-type interface-number:指定接口下的通盘在线Portal用户,包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定在线IPv6 Portal用户的地址。
session-id session-id:指定会话的在线Portal用户。其中session-id示意会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯独标记刻下的在线用户。
username username:指定用户名的在线Portal用户。其中username示意用户名,为1~253个字符的字符串,辞别大小写。
【例如】
# 强制IP地址为1.1.1.1的在线Portal用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
【干系大喊】
· display portal user
1.1.33 portal device-idportal device-id大喊用来确立斥地ID。
undo portal device-id大喊用来规复缺省情况。
【大喊】
portal device-id device-id
undo portal device-id
【缺省情况】
未确立任何斥地ID。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
device-id:斥地ID,为1~63个字符的字符串,辞别大小写。
【使用指引】
通过确立斥地ID,使得斥地向Portal职业器发送的契约报文中佩带一个属性,此属性用于向Portal职业器标记发送契约报文的接入斥地。
不同斥地的斥地ID不可交流。
【例如】
# 确立斥地的ID名为0002.0010.100.00。
<Sysname> system-view
[Sysname] portal device-id 0002.0010.100.00
1.1.34 portal domain (interface view)portal [ ipv6 ] domain大喊用于指定Portal用户使用的认证域,使得通盘从该接口接入的Portal用户强制使用该认证域。
undo portal [ ipv6 ] domain大喊用来删除Portal用户使用的认证域。
【大喊】
portal [ ipv6 ] domain domain-name
undo portal [ ipv6 ] domain
【缺省情况】
未指定Portal用户使用的认证域。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:指定IPv6 Portal用户使用的认证域。若不指定本参数,则示意指定IPv4 Portal用户使用的认证域。
domain-name:ISP认证域名,为1~255个字符的字符串,不辞别大小写。
【使用指引】
接口上不错同期指定IPv4 Portal用户和IPv6 Portal用户的认证域。
如若不指定ipv6参数,则示意确立或者删除IPv4 Portal用户使用的认证域。
【例如】
# 指定从接口GigabitEthernet1/0/1上接入的IPv4 Portal用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal domain my-domain
【干系大喊】
· display portal
1.1.35 portal enable (interface view)portal [ ipv6 ] enable大喊用来开启Portal认证功能,并指定认证表情。
undo portal [ ipv6 ] enable大喊用来关闭Portal认证功能。
【大喊】
portal enable method { direct | layer3 | redhcp }
portal ipv6 enable method { direct | layer3 }
undo portal [ ipv6 ] enable
【缺省情况】
Portal认证功能处于关闭情景。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意IPv6 Portal认证。若不指定该参数,则示意IPv4 Portal认证。
method:认证表情。
· direct:顺利认证表情。
· layer3:可跨三层认证表情。
· redhcp:二次地址分拨认证表情。
【使用指引】
不可通过相通实施本大喊来修改Portal认证表情。如需修改Portal的认证表情,请先通过undo portal [ ipv6 ] enable大喊取消Portal认证功能,再实施portal [ ipv6 ] enable大喊。
开启IPv6 Portal认证功能之前,需要保证斥地复古IPv6 ACL和IPv6转发功能。
IPv6 Portal认证不复古二次地址分拨表情。
允许在接口上同期开启IPv4 Portal认证和IPv6 Portal认证功能。
为保证以太网接口上的Portal功能告成,请不要将开启Portal认证功能的以太网接口加入团员组。
不可在职业模板视图和接口视图下同期使能Portal认证。
【例如】
# 在接口GigabitEthernet1/0/1上开启IPv4 Portal认证功能,且指定为顺利认证表情。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal enable method direct
【干系大喊】
· display portal
1.1.36 portal fail-permit serverportal [ ipv6 ] fail-permit server大喊用来开启Portal认证职业器不可达时的Portal用户逃生功能。
undo portal [ ipv6 ] fail-permit server大喊用来关闭Portal认证职业器不可达时的Portal用户逃生功能。
【大喊】
portal [ ipv6 ] fail-permit server server-name
undo portal [ ipv6 ] fail-permit server
【缺省情况】
Portal认证职业器不可达时的Portal用户逃生功能处于关闭情景。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意IPv6 Portal认证职业器。若不指定该参数,则示意IPv4 Portal认证职业器。
server-name:Portal认证职业器称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
如若接口上同期开启了Portal认证职业器不可达时的Portal用户逃生功能和Portal Web职业器不可达时的Portal用户逃生功能,则当自便一个职业器不可达时,立即放开接口戒指,允许用户不经过Portal认证即可目田探听聚积;当两个职业器均规复可达后,再再行启动接口的Portal认证功能。再行启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后能力探听聚积资源,已通过认证的用户可持续探听聚积资源。
一个接口上,最多同期不错开启一个Portal认证职业器不可达时的Portal用户逃生功能和一个Portal Web职业器不可达时的Portal用户逃生功能。
屡次实施本大喊,临了一次实施的大喊告成。
【例如】
# 在接口GigabitEthernet1/0/1上启用Portal认证职业器pts1不可达时的Portal用户逃生功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal fail-permit server pts1
【干系大喊】
· display portal
1.1.37 portal free-ruleportal free-rule大喊用来确立基于IP地址的Portal免认证规则。
undo portal free-rule大喊用来删除指定的或通盘Portal免认证规则。
【大喊】
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于IP地址的Portal免认证规则。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
rule-number:免认证规则编号。取值限制为0~4294967295。
destination:指定野心信息。
source:指定源信息。
ip ipv4-address:免认证规则的IPv4地址。
{ mask-length | mask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值限制为0~32;mask为子网掩码,点分十进制风物。
ipv6 ipv6-address:免认证规则的IPv6地址。
prefix-length:免认证规则的IPv6地址前缀长度,取值限制为0~128。
ip any:自便IPv4地址。
ipv6 any:自便IPv6地址。
tcp tcp-port-number:免认证规则的TCP端标语,取值限制为0~65535。
udp udp-port-number:免认证规则的UDP端标语,取值限制为0~65535。
all:通盘免认证规则。
interface interface-type interface-number:免认证规则告成的三层接口。
【使用指引】
不错同期指定源和野心参数,或者仅指定其中一个参数,后者示意另外一个地址不受限定。
如若免认证规则中同期确立了源端标语和野心端标语,则要求源和野心端标语所属的传输层契约类型保抓一致。
未指定三层接口的情况下,免认证规则对通盘开启Portal的接口告成;指定三层接口的情况下,免认证规则只对指定的三层接口告成。
交流实质的免认证规则不可相通确立,不然请示免认证规则已存在或相通。
【例如】
# 确立一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、野心地址为20.20.20.1、野心TCP端标语为23、告成接口为GigabitEthernet1/0/1。该规则示意在GigabitEthernet1/0/1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即不错探听地址为20.20.20.1的主机在TCP端口23上提供的职业。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface gigabitethernet 1/0/1
# 确立一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、野心地址为2001::1、野心TCP端标语为23、告成接口为GigabitEthernet1/0/1。该规则示意在GigabitEthernet1/0/1接口上,2000::1/64网段地址的用户不需要经过Portal认证即不错探听野心地址为2001::1的主机在TCP端口23上提供的职业。
<Sysname> system-view
[Sysname] portal free-rule 2 destination ipv6 2001::1 128 tcp 23 source ip 2000::1 64 interface gigabitethernet 1/0/1
【干系大喊】
· display portal rule
1.1.38 portal free-rule destinationportal free-rule destination大喊用来确立基于野心的Portal免认证规则,这里的野心指的是主机名。
undo portal free-rule大喊用来删除指定的或通盘Portal免认证规则。
【大喊】
portal free-rule rule-number destination host-name
undo portal free-rule { rule-number | all }
【缺省情况】
不存在基于野心的Portal免认证规则。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
rule-number:免认证规则编号。取值限制0~4294967295。
destination:指定野心信息。
host-name:主机名,为1~253个字符的字符串,不辞别大小写,字符串中不错包含字母、数字、“-”、“_”、“.”和通配符“*”,且不可为“ip”和“ipv6”。
all:通盘免认证规则。
【使用指引】
基于野心Portal免认证规则复古如下两种确立表情:
· 精准匹配:即齐备匹配主机名。例如确立的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如若报文中佩带的主机名为dfabc.com.cn,则匹配失败。
· 吞吐匹配:即使用通配符确立主机名,通配符只可位于主机名字符串之首或末尾,例如确立的主机名为*abc.com.cn、abc*和*abc*,其含义分别为匹配通盘以abc.com.cn收尾的主机名、匹配通盘以abc起原的主机名和匹配通盘含有abc字符串的主机名。
确立基于野心Portal免认证规则时,需要注意的是:
· 通配符“*”示意自便个数字符,斥地会将已确立的多个纠合的通配符识别为一个通配符。
· 确立的主机名不可唯有通配符。
· 交流实质的免认证规则不可相通确立,不然请示免认证规则已存在或相通。
· 现在,唯有用户浏览器发起的HTTP/HTTPS央求报文复古吞吐匹配的免认证规则。
【例如】
# 确立一条基于野心的Portal免认证规则:编号为4、主机名为www.h3c.com。该规则示意用户的HTTP/HTTPS央求报文中的主机名必须是www.h3c.com时,该用户才不错不需要经过Portal认证即不错探听聚积资源。
<Sysname> system-view
[Sysname] portal free-rule 4 destination www.h3c.com
【干系大喊】
· display portal rule
1.1.39 portal free-rule sourceportal free-rule source大喊用来确立基于源的Portal免认证规则,这里的源不错是源MAC地址、源接口或者源VLAN。
undo portal free-rule大喊用来删除指定的或通盘Portal免认证规则。
【大喊】
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo portal free-rule { rule-number | all }
【缺省情况】
未确立基于源的Portal免认证规则。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
rule-number:免认证规则编号。取值限制为0~4294967295。
interface interface-type interface-number:免认证规则的源接口。interface-type interface-number为接口类型和接口编号。
mac mac-address:免认证规则的源MAC地址,为H-H-H的风物。斥地确立本要害字不告成。
vlan vlan-id:免认证规则的源VLAN编号。确立本要害字仅对通过VLAN接口接入的Portal用户告成。
all:通盘免认证规则。
【使用指引】
如若免认证规则中同期指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,不然该规则无效。
【例如】
# 确立一条Portal免认证规则:编号为3、源VLAN为VLAN 10。该规则示意属于VLAN 10的用户不需要经过Portal认证即不错探听聚积资源。
<Sysname> system-view
[Sysname] portal free-rule 3 source vlan 10
【干系大喊】
· display portal rule
1.1.40 portal http-defenseportal http-defense大喊用来确立Portal HTTP防袭击参数。
undo portal http-defense大喊用来规复缺省情况。
【大喊】
portal http-defense { block-timeout minutes | statistics-interval value | threshold number } *
undo portal http-defense { block-timeout minutes | statistics-interval value | threshold number } *
【缺省情况】
袭击报文的阻断时长为10分钟,匹配重定向规则的报文的统计时间间隔为5分钟,统计时间内报文的统计阈值为6000。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
block-timeout minutes:袭击报文的阻断的时长,取值限制为1~60,单元分钟。
statistics-interval value:统计匹配重定向规则的报文的时间间隔,取值限制为1~60,单元分钟。
threshold number:触发HTTP防袭击的报文阈值,取值限制为100~4294967295。
【使用指引】
开启Portal HTTP防袭击功能后,斥地会基于野心IP地址统计匹配重定向规则的HTTP央求报文数。如若在统计时间间隔内,探听某一野心IP地址的报文统计数值达到了HTTP防袭击的触发阈值,探听该野心IP地址的报文将被视为袭击报文而丢弃,使用户不可在阻断时长内探听该野心IP地址。
修改后的确立,仅对后续发生袭击的报文灵验。
【例如】
# 确立Portal HTTP防袭击报文的阻断时长为5分钟,统计时间间隔为2分钟,触发HTTP防袭击的报文阈值为200。
<Sysname> system-view
[Sysname] portal http-defense block-timeout 5 statistics-interval 2 threshold 200
【干系大喊】
· portal http-defense enable
· portal http-defense max-ip-number
1.1.41 portal http-defense enableportal http-defense enable大喊用来开启Portal HTTP防袭击功能。
undo portal http-defense enable大喊用来关闭Portal HTTP防袭击功能。
【大喊】
portal http-defense enable
undo portal http-defense enable
【缺省情况】
Portal HTTP防袭击功能处于关闭情景。
【视图】
系统视图
【缺省用户变装】
network-admin
【使用指引】
由于某些用户使用的客户端安设了各式器具软件(如百度云等),使得用户在进行Portal认证前产生无数的HTTP央求,导致斥地的资源占用率过高,影响泛泛用户的认证成果,甚而导致用户认证失败。开启HTTP防袭击功能,可针对某些频频发起的HTTP央求进行戒指,缩短非认证HTTP报文对认证职业器资源的占用。
【例如】
# 开启Portal HTTP防袭击功能。
<Sysname> system-view
[Sysname] portal http-defense enable
1.1.42 portal http-defense max-ip-numberportal http-defense max-ip-number大喊用来确立Portal HTTP防袭击允许用户探听的不同野心IP地址的最大数量。
undo portal http-defense max-ip-number大喊用来规复缺省情况。
【大喊】
portal http-defense max-ip-number max-ip-number
undo portal http-defense max-ip-number
【缺省情况】
Portal HTTP防袭击允许用户探听的不同野心IP地址的最大数量为4096。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
max-ip-number:Portal HTTP防袭击的最大野心IP地址数,取值限制为1~8000。
【使用指引】
斥地会为Portal用户探听不同IP地址的会话成立独处的统计项。如若有坏心袭击者抓续发起对不同野心IP地址的探听时,斥地会因成立统计信息而耗尽无数内存。开启HTTP防袭击功能后,斥地会对用户探听的不同野心IP地址数量进行统计。通过确立斥地允许探听不同野心IP地址的数量,不错限定统计信息对斥地内存的占用。
【例如】
# 确立Portal HTTP防袭击的最大野心IP地址数为2000。
<Sysname> system-view
[Sysname] portal http-defense max-ip-number 2000
【干系大喊】
portal http-defense
1.1.43 portal ipv6 layer3 sourceportal ipv6 layer3 source大喊用来确立IPv6 Portal源认证网段。
undo portal ipv6 layer3 source大喊用来删除IPv6 Portal源认证网段。
【大喊】
portal ipv6 layer3 source ipv6-network-address prefix-length
undo portal ipv6 layer3 source [ ipv6-network-address ]
【缺省情况】
未确立IPv6 Portal源认证网段,示意对来自自便网段的IPv6用户齐进行Portal认证。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6-network-address:IPv6 Portal源认证网段地址。
prefix-length:IPv6地址前缀长度,取值限制为0~128。
【使用指引】
确立此功能后,接口上只允许在源认证网段限制内的IPv6用户报文能力触发Portal认证,不然丢弃。
如若undo大喊中不佩带IP地址参数,则示意删除通盘的IPv6 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证表情(layer3)告成。
【例如】
# 在接口GigabitEthernet1/0/1上确立一条IPv6 Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal ipv6 layer3 source 1::1 16
【干系大喊】
· display portal
1.1.44 portal ipv6 user-detectportal ipv6 user-detect大喊用来开启IPv6 Portal用户在线探伤功能。
undo portal ipv6 user-detect大喊用来关闭IPv6 Portal用户在线探伤功能。
【大喊】
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
undo portal ipv6 user-detect
【缺省情况】
IPv6 Portal用户在线探伤功能处于关闭情景。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
type:指定探伤类型。
· icmpv6:示意探伤类型为ICMPv6。
· nd:示意探伤类型为ND。
retry retries:探伤次数,取值限制为1~10,缺省值为3。
interval interval:探伤间隔,取值限制为1~1200,单元为秒,缺省值为3。
idle time:用户在线探伤闲置时长,即闲置多长时间后发起探伤,取值限制为60~3600,单元为秒,缺省值为180。
【使用指引】
证据探伤类型的不同,斥地有以下两种探伤机制:
· 当探伤类型为ICMPv6时,若斥地发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户按期(interval interval)发送探伤报文。如若在指定探伤次数(retry retries)之内,斥地收到了该用户的反馈报文,则以为用户在线,且住手发送探伤报文,相通这个过程,不然,强制其下线。
· 当探伤类型为ND时,若斥地发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ND央求报文。斥地按期(interval interval)检测用户ND表项是否被刷新过,如若在指定探伤次数(retry retries)内用户ND表项被刷新过,则以为用户在线,且住手检测用户ND表项,相通这个过程,不然,强制其下线。
请证据确立的认证表情聘请合适的探伤枢纽,如若确立了顺利表情或者二次地址分拨表情,则不错使用ND或ICMPv6探伤表情,如若确立了可跨三层认证表情,则不错使用ICMPv6探伤表情,若确立了ND探伤表情,则探伤功能不告成。
如若用户接入斥地上确立了阻碍ICMPv6报文的防火墙战术,则接口上的ICMPv6探伤表情可能会失败,从而导致接口上的Portal用户非泛泛下线。因此,若接口上需要使用ICMPv6探伤表情,请保证用户接入斥地不会过滤掉ICMPv6报文。
【例如】
# 在接口GigabitEthernet1/0/1上开启IPv6 Portal用户在线探伤功能:探伤类型为ICMPv6,发送探伤报文的次数为5次,发送间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal ipv6 user-detect type icmpv6 retry 5 interval 10 idle 300
【干系大喊】
· display portal
1.1.45 portal layer3 sourceportal layer3 source大喊用来确立IPv4 Portal源认证网段。
undo portal layer3 source大喊用来删除IPv4 Portal源认证网段。
【大喊】
portal layer3 source ipv4-network-address { mask-length | mask }
undo portal layer3 source [ ipv4-network-address ]
【缺省情况】
未确立IPv4 Portal源认证网段,示意对来自自便网段的IPv4用户齐进行Portal认证。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv4-network-address:IPv4 Portal认证网段地址。
mask-length:子网掩码长度,取值限制为0~32。
mask:子网掩码,点分十进制风物。
【使用指引】
确立此功能后,接口上只允许在源认证网段限制内的IPv4用户报文能力触发Portal认证,不然丢弃
如若undo大喊中不佩带IP地址参数,则示意删除通盘的IPv4 Portal源认证网段。
源认证网段仅对Portal的可跨三层认证表情(layer3)告成。
【例如】
# 在接口GigabitEthernet1/0/1上确立一条IPv4 Portal源认证网段为10.10.10.0/24,仅允许来自10.10.10.0/24网段的用户触发Portal认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal layer3 source 10.10.10.0 24
【干系大喊】
· display portal
1.1.46 portal local-web-serverportal local-web-server大喊用来开启腹地Portal职业,并投入基于HTTP/HTTPS契约的腹地Portal Web职业视图。
undo portal local-web-server大喊用来关闭腹地Portal职业功能。
【大喊】
portal local-web-server { http | https [ ssl-server-policy policy-name ] }
undo portal local-web-server { http | https }
【缺省情况】
腹地Protal职业功能处于关闭情景。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
http:指定腹地Portal Web职业使用HTTP契约和客户端交互认证信息。
https:指定腹地Portal Web职业使用HTTPS契约和客户端交互认证信息。
ssl-server-policy policy-name:指定HTTPS职业关联的SSL职业器端战术。policy-name为SSL职业器端战术的称号,为1~31个字符的字符串,不辞别大小写,且必须还是存在。若不指定本参数,HTTPS职业将关联自签名文凭对应的SSL职业器端战术,该SSL职业器端战术复古通盘加密套件。
【使用指引】
腹地Portal职业功能是指,Portal认证系统中不采纳外部独处的Portal Web职业器和Portal认证职业器,而由接入斥地完毕Portal Web职业器和Portal认证职业器功能。
唯有接口上援用的Portal Web职业器中的URL同期空闲以下两个条目时,接口上才会使用腹地Portal Web职业功能。条目如下:
· 该URL中的IP地址是斥地上与客户端路由可达的三层接口IP地址(除127.0.0.1除外)。
· 该URL以/portal/收尾,例如:。
确立腹地Portal Web职业参数时,需要注意的是:
· 还是被HTTPS职业关联的SSL职业器端战术不可被删除。
· 不可通过相通实施本大喊来修改HTTPS职业关联的SSL职业器端战术,如需修改,请先通过undo portal local-web-server https大喊删除已创建的腹地Portal Web职业,再实施portal local-web-server https ssl-server-policy大喊。
【例如】
# 开启腹地Portal职业,并投入基于HTTP契约的腹地Portal Web职业视图。
<Sysname> system-view
[Sysname] portal local-web-server http
# 开启腹地Portal职业,并投入基于HTTPS契约的腹地Portal Web职业视图,援用的SSL职业器端战术为policy1。
<Sysname> system-view
[Sysname] portal local-web-server https ssl-server-policy policy1
# 更始援用的SSL职业器端战术为policy2。
[Sysname] undo portal local-web-server https
[Sysname] portal local-web-server https ssl-server-policy policy2
【干系大喊】
· default-logon-page
· portal local-web-server
· ssl server-policy(安全大喊参考/SSL)
1.1.47 portal mac-trigger-serverportal mac-trigger-server大喊用来创建MAC绑定职业器,并投入MAC绑定职业器视图。如若指定的MAC绑定职业器还是存在,则顺利投入MAC绑定职业器视图。
undo portal mac-trigger-server大喊用来删除MAC绑定职业器。
【大喊】
portal mac-trigger-server server-name
undo portal mac-trigger-server server-name
【缺省情况】
不存在MAC绑定职业器。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
server-name:MAC绑定职业器称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
在MAC绑定职业器视图下不错确立MAC绑定职业器的干系参数,包括职业器的IP地址、职业器的端标语、职业器地点的VPN实例以及斥地和职业器间通讯的预分享密钥等。
【例如】
# 创建MAC绑定职业器mts,并投入MAC绑定职业器视图。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts]
【干系大喊】
· portal apply mac-trigger-server
· display mac-trigger-server
1.1.48 portal max-userportal max-user大喊用来确立全局Portal最大用户数。
undo portal max-user大喊用来规复缺省情况。
【大喊】
portal max-user max-number
undo portal max-user
【缺省情况】
全局Portal最大用户数不受限定。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
max-number:系统中允许同期在线的最大Portal用户数。取值限制为1~4294967295。
【使用指引】
如若确立的全局Portal最大用户数小于刻下还是在线的Portal用户数,则该大喊不错实施告成,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
该大喊指定的最大用户数是指IPv4 Portal和IPv6 Portal用户的总和。
提议通盘开启Portal的接口上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和不跳跃确立的全局最大Portal用户数,不然会有部分Portal用户因为全局最大用户数已达到上限而无法上线。
【例如】
# 确立全局Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【干系大喊】
· display portal user
· portal { ipv4-max-user | ipv6-max-user }
1.1.49 portal nas-id-profileportal nas-id-profile大喊用来指定接口援用的NAS-ID Profile。
undo portal nas-id-profile大喊用来规复缺省情况。
【大喊】
portal nas-id-profile profile-name
undo portal nas-id-profile
【缺省情况】
未指定援用的NAS-ID Profile。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
profile-name:标记指定VLAN和NAS-ID绑定关系的Profile称号,为1~31个字符的字符串,不辞别大小写。
【使用指引】
本大喊援用的NAS-ID Profile由大喊aaa nas-id profile确立,且在援用的NAS-ID Profile下,必须存在通过nas-id bind大喊指定的NAS-ID与VLAN的绑定关系,不然NAS-ID Profile不告成。对于aaa nas-id profile和nas-id bind大喊的详确先容请参见“用户接入大喊参考”中的“AAA”。
若在接口上同期通过aaa nas-id-profile大喊和portal nas-id-profile大喊指定了NAS-ID Profile,则portal nas-id-profile大喊指定的NAS-ID Profile优先级较高。对于aaa nas-id-profile大喊的详确先容,请参见“用户接入大喊参考”中的“AAA”。
如若接口上指定了NAS-ID Profile,则此Profile中界说的绑定关系优先使用;如若接口上未指定NAS-ID Profile或指定的Profile中莫得找到匹配的绑定关系,则使用斥地名四肢NAS-ID。
【例如】
# 在接口GigabitEthernet1/0/1上指命名为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal nas-id-profile aaa
【干系大喊】
· aaa nas-id profile(用户接入大喊参考/AAA)
1.1.50 portal nas-port-id formatportal nas-port-id format大喊用来确立NAS-Port-ID属性的风物。
undo portal nas-port-id format大喊用来规复缺省情况。
【大喊】
portal nas-port-id format { 1 | 2 | 3 | 4 | custom { c-vid [ delimiter ] | interface-type [ delimiter ] | port [ delimiter ] | slot [ delimiter ] | subslot [ delimiter ] | s-vid [ delimiter ] | string string [ delimiter ] } * }
undo portal nas-port-id format
【缺省情况】
NAS-Port-ID的讯息风物为风物2。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
1:示意风物1,具体为{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]。
2:示意风物2,具体为SlotID00IfNOVlanID。
3:示意风物3,具体为在风物2的实质背面添加Option82或者Option18。
4:示意风物4,具体为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**。
custom:用户自界说NAS-Port-ID属性的风物。
c-vid:报文内层VLAN ID。
interface-type:用户接入的接口类型。
port:用户接入的端标语。
s-vid:报文外层VLAN ID。
slot:用户接入的槽位号。
subslot:用户接入的子槽位号。
string string:用户输入的自界说信息,string为1~63个字符的字符串,字符串中不可出现问号,辞别大小写。
delimiter:属性字段之间的分隔符,不错为除了问号之外的其它自便可输入字符。若不指定该参数,则示意不使用分隔符。
【使用指引】
可通过本大喊修改斥地为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的风物。NAS-Port-ID属性的风物有预界说和自界说两种。预界说有风物1、风物2、风物3、风物4四种固定风物,不可更始。自界说可通过聘请参数天确切立NAS-Port-ID属性中可佩带的属性字段、各字段之间使用的分隔符以及各字段的法例。自界说属脾性式中各字段填充的先后法例为该大喊中参数确立的先后法例。
不同厂商的RADIUS职业器要求不同的风物,芜俚中国电信的RADIUS职业器要求采纳风物1。
1. 风物1{atm|eth|trunk} NAS_slot/NAS_subslot/NAS_port:XPI.XCI AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.ANI_XCI]
各项含义如下:
· {atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口。
· NAS_slot:BRAS槽号,取值为0~31。
· NAS_subslot:BRAS子槽号,取值为0~31。
· NAS_Port:BRAS端标语,取值为0~63。
· XPI:如若接口类型为atm,则XPI对应VPI,取值为0~255;如若接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095。
· XCI:如若接口类型为atm,则XCI对应VCI,取值为0~65535;如若接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095。
· AccessNodeIdentifier:接入节点标记(例如DSLAM斥地),为不跳跃50个字符的字符串,字符串中不可包括空格。
· ANI_rack:接入节点机架号(如复古紧耦合的DSLAM斥地),取值为0~15。
· ANI_frame:接入节点机框号,取值为0~31。
· ANI_slot:接入节点槽号,取值为0~127。
· ANI_subslot:接入节点子槽号,取值为0~31。
· ANI_port:接入节点端标语,取值为0~255。
· ANI_XPI.ANI_XCI:可选项,主要用于佩带CPE侧的业务信息,可用于标记往日的业务类型需求,如在多PVC专揽场地下可标记具体的业务。其中,如若接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如若接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095。
字符串之间用一个空格离隔,要求字符串中间不可有空格。花括号中的实质是必选的,|示意并排的关系,多选一。[]示意可选项。对于某些斥地莫得机架、框、子槽的见地,相应位置应和谐填0,对于无效的VLAN ID值齐填4096。
如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可和谐填0。
如运营商未使用SVLAN时期,则XPI=4096,XCI=VLAN,取值为0~4095。
如运营商未使用VLAN时期辞别用户(用户PC直连BAS端口),则XPI=4096,XCI=4096。
对于接入节点斥地(如DSLAM),按如上风物上报本接入节点的接入澄澈信息,对于与BRAS斥地干系的接入澄澈信息可和谐填0,如:“0 0/0/0:4096.1234 guangzhou001/0/31/63/31/127”
其含义是DSLAM节点标记为guangzhou001、DSLAM的机架号为0(莫得机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端标语为127、VLAN ID号为1234,BRAS接入澄澈信息为未知。
对于BRAS斥地,在获取接入节点斥地(如DSLAM)的接入澄澈信息后,证据BRAS的确立可透传接入澄澈信息,也可修改添加接入澄澈信息中与BRAS斥地干系的澄澈信息,形成齐备的接入澄澈信息,如:“eth 31/31/7:4096.1234 guangzhou001/0/31/63/31/127”。
风物1的解说示例如下:
· 例1:NAS_PORT_ID =“atm 31/31/7:255.65535 0/0/0/0/0/0”
含义:BRAS斥地的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端标语为7,VPI为255,VCI为65535。
· 例2:NAS_PORT_ID =“eth 31/31/7:1234.2345 0/0/0/0/0/0”
含义:BRAS斥地的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端标语为7,PVLAN ID为1234,CVLAN ID为2345。
· 例3:NAS_PORT_ID =“eth 31/31/7:4096.2345 0/0/0/0/0/0”
含义:BRAS斥地的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端标语为7,VLAN ID为2345。
· 例4:NAS_PORT_ID =“eth 31/31/7:4096.2345 guangzhou001/1/31/63/31/127”
含义:BRAS斥地的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31, BRAS端标语为7,VLAN ID为2345,接入节点DSLAM的标记为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端标语为127。
2. 风物2SlotID00IfNOVlanID
各项含义如下:
· SlotID:用户接入的槽位号,为两个字符的字符串。
· IfNO:用户接入的接口编号,为3个字符的字符串。
· VlanID:用户接入的VLAN ID,为9个字符的字符串。
3. 风物3其风物为在风物2的NAS-Port-ID实质背面添加用户DHCP报文中指定Option的实质:对于IPv4用户,此处添加的是DHCP Option82的实质。对于IPv6用户,此处添加的是DHCP Option18的实质。
4. 风物4其风物为slot=**;subslot=**;port=**;vlanid=**;vlanid2=**,具体情况如下:
· 对于非VLAN接口,其风物为slot=**;subslot=**;port=**;vlanid=0。
· 对于只终结了一层VLAN Tag的接口,其风物为slot=**;subslot=**;port=**;vlanid=**。
5. 风物custom可通过登第不同的参数天确切立NAS-Port-ID属性中可佩带的属性字段、各字段之间使用的分隔符以及各字段的法例。例如,不错通过确立大喊“portal nas-port-id format custom slot @ subslot @ port”,使NAS-Port-ID属性中只佩带槽号、子槽号以及端标语。
【例如】
# 确立NAS-Port-ID属性的风物为format 1。
<Sysname> system-view
[Sysname] portal nas-port-id format 1
1.1.51 portal pre-auth ip-poolportal [ ipv6 ] pre-auth ip-pool大喊用来确立Portal认证前用户使用的地址池。
undo portal [ ipv6 ] pre-auth ip-pool大喊用来规复缺省情况。
【大喊】
portal [ ipv6 ] pre-auth ip-pool pool-name
undo portal [ ipv6 ] pre-auth ip-pool
【缺省情况】
未确立Portal认证前用户使用的地址池。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意IPv6 Portal用户。若不指定该参数,则示意IPv4 Portal用户。
pool-name:示意IP地址池的称号,为1~63个字符的字符串,不辞别大小写。
【使用指引】
在Portal用户通过斥地的子接口接入聚积的组网环境中,当子接口上未确立IP地址,且用户需要通过DHCP获取地址时,就必须通过本大喊指定一个地址池,并在用户进行Portal认证之前为其分拨一个IP地址使其不错进行Portal认证。
仅当接口使用顺利认证表情的情况下,接口上为认证前的Portal用户指定的IP地址池能力告成。
当使用接口上指定的IP地址池为认证前的Portal用户分拨IP地址时,该指定的IP地址池必须存在且确立齐备,不然无法为Portal用户分拨IP地址,并导致用户无法进行Portal认证。
【例如】
# 在接口GigabitEthernet1/0/1上为认证前的Portal用户指定IPv4地址池为abc。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal pre-auth ip-pool abc
【干系大喊】
· dhcp server ip-pool(用户接入大喊参考/DHCP)
· display portal
· ipv6 dhcp pool(用户接入大喊参考/DHCP)
1.1.52 portal pre-auth policyportal pre-auth policy大喊用来创建Portal认证前战术,并投入Portal认证前战术视图。如若指定的Portal认证前战术还是存在,则顺利投入Portal认证前战术视图。
undo portal pre-auth policy大喊用来删除指定的Portal认证前战术。
【大喊】
portal pre-auth policy policy-name
undo portal pre-auth policy policy-name
【缺省情况】
不存在Portal认证前战术。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
policy-name:示意Portal认证前战术的称号,为1~64个字符的字符串,不辞别大小写。
【使用指引】
Portal认证前战术用来界说未认证Portal用户探听的战术,具体包括ACL、User Profile和CAR。当Portal认证前战术中的确立或确立参数的实质发生变化后,战术的修改对援用此战术接口上的通盘未认证Portal用户立即告成。
可通过屡次实施本大喊,确立多条Portal认证前战术。
【例如】
# 创建称号为abc的Portal认证前战术,并投入Portal认证前战术视图。
<Sysname> system-view
[Sysname] portal pre-auth policy abc
[Sysname-pre-auth-abc]
【干系大喊】
· user-attribute
1.1.53 portal roaming enableportal roaming enable大喊用来开启Portal用户漫游功能。
undo portal roaming enable大喊用来关闭Portal用户漫游功能。
【大喊】
portal roaming enable
undo portal roaming enable
【缺省情况】
Portal用户漫游功能处于关闭情景,即Portal用户上线后不可在地点的VLAN内漫游。
【视图】
系统视图
【缺省用户变装】
network-admin
【使用指引】
Portal用户漫游功能只对通过VLAN接口上线的Portal用户灵验。
斥地上有用户在线或认证前域用户的情况下,不可确立此大喊。
如若开启了Portal用户漫游功能,则Portal用户上线后不错在开启Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口齐不错探听聚积资源;不然用户只可通过认证告成的二层端口探听聚积资源。
【例如】
# 开启Portal用户漫游功能。
<Sysname> system-view
[Sysname] portal roaming enable
1.1.54 portal serverportal server大喊用来创建Portal认证职业器,并投入Portal认证职业器视图。如若指定的Portal认证职业器还是存在,则顺利投入Portal认证职业器视图。
undo portal server大喊用来删除指定的Portal认证职业器。
【大喊】
portal server server-name
undo portal server server-name
【缺省情况】
不存在Portal认证职业器。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
server-name:Portal认证职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
Portal认证职业器视图用于确立Portal认证职业器的干系参数,包括职业器的IP地址、端标语,职业器地点的VPN实例,斥地和职业器间通讯的预分享密钥,职业器探伤功能等。
不错确立多个Portal认证职业器。
【例如】
# 创建称号为pts的Portal认证职业器,并投入Portal认证职业器视图。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts]
【干系大喊】
· display portal server
1.1.55 portal traffic-backup thresholdportal traffic-backup threshold大喊用来确立对Portal用户流量进行备份的阈值。
undo portal traffic-backup threshold大喊用来规复缺省情况。
【大喊】
portal traffic-backup threshold value
undo portal traffic-backup threshold
【缺省情况】
Portal用户流量备份阈值为10兆字节。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
value:对Portal用户流量进行备份的阈值,取值限制为0~100000,单元为兆字节。取值为0时,示意对Portal用户流量进行及时备份。
【使用指引】
缺省情况下,流量备份的阈值为10M字节,即用户流量达到10M字节时斥地会对该Portal用户的会话数据以及流量等信息进行备份。流量备份的阈值越小备份越频频,流量备份越精准。当斥地上有无数Portal用户在线时,对Portal用户信息进行频频备份会影响到用户的陡立线以及计费等历程的处感性能。因此,需详尽商量对各业务的处感性能和流量备份的精准度合理确立流量备份阈值。
【例如】
# 确立对Portal用户流量进行备份的阈值为10240兆字节。
<Sysname> system-view
[Sysname] portal traffic-backup threshold 10240
1.1.56 portal user-block failed-timesportal user-block failed-times大喊用来开启Portal认证失败后的用户按捺功能。
undo portal user-block failed-times大喊用来关闭Portal认证失败后的用户按捺功能。
【大喊】
portal user-block failed-times failed-times period period
undo portal user-block failed-times
【缺省情况】
Portal认证失败后的用户按捺功能处于关闭情景。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
failed-times:示意允许用户进行Portal认证失败的最大次数,取值限制为0~10。取值为0时示意Portal认证的次数不受限定。
period period:示意用户纠合认证失败的检测时长。period的取值限制为1~120,单元为分钟。
【使用指引】
如若在指定时间内用户进行Portal认证失败达到抛弃次数,该用户将被按捺,即来自该用户的认证央求报文将被丢弃。按捺时长由大喊portal user-block reactive确立。通过确立该功能,可细心违警用户使用穷举法试探正当用户的密码。
需要注意的是,Portal认证前域中的用户在指定时间内认证失败达到抛弃次数后不会被按捺。
【例如】
# 确立在100分钟内用户进行Portal认证失败次数达到2次时被按捺。
<Sysname> system-view
[Sysname] portal user-block failed-times 2 period 100
【干系大喊】
· portal user-block reactive
1.1.57 portal user-block reactiveportal user-block reactive大喊用来确立Portal用户被按捺的时长。
undo portal user-block reactive大喊用来规复缺省情况。
【大喊】
portal user-block reactive period
undo portal user-block reactive
【缺省情况】
被按捺的用户再行进行Portal认证的时间间隔为30分钟。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
period:示意被按捺的用户再行进行Portal认证的时间间隔,取值限制为0~1000,单元为分钟。取值为0时示意被按捺的用户不可再行进行Portal认证。
【使用指引】
确立用户进行Portal认证的最大失败次数后(通过大喊portal :7890/pages/31187784/03/31187784/03/resources/Public_ne40e/ne/user-block_fail-times.html),如若在指定时间内用户纠合认证失败,用户会被按捺。用户不错通过确立该大喊转变被按捺用户再行进行Portal认证的时间间隔。
【例如】
# 确立被按捺用户再行进行Portal认证的时间间隔为20分钟。
<Sysname> system-view
[Sysname] portal user-block reactive 20
【干系大喊】
· portal user-block failed-times
1.1.58 portal user-detectportal user-detect大喊用来开启IPv4 Portal用户在线探伤功能。
undo portal user-detect大喊用来关闭IPv4 Portal用户在线探伤功能。
【大喊】
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
undo portal user-detect
【缺省情况】
IPv4 Portal用户在线探伤功能处于关闭情景。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
type:指定探伤类型。
· arp:示意探伤类型为ARP。
· icmp:示意探伤类型为ICMP。
retry retries:探伤次数,取值限制为1~10,缺省值为3。
interval interval:探伤间隔,取值限制为1~1200,单元为秒,缺省值为3。
idle time:用户在线探伤闲置时长,即闲置多长时间后发起探伤,取值限制为60~3600,单元为秒,缺省值为180。
【使用指引】
证据探伤类型的不同,斥地有以下两种探伤机制:
· 当探伤类型为ICMP时,若斥地发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户按期(interval interval)发送探伤报文。如若在指定探伤次数(retry retries)之内,斥地收到了该用户的反馈报文,则以为用户在线,且住手发送探伤报文,相通这个过程,不然,强制其下线。
· 当探伤类型为ARP时,若斥地发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP央求报文。斥地按期(interval interval)检测用户ARP表项是否被刷新过,如若在指定探伤次数(retry retries)内用户ARP表项被刷新过,则以为用户在线,且住手检测用户ARP表项,相通这个过程,不然,强制其下线。
请证据确立的认证表情聘请合适的探伤枢纽,如若确立了顺利表情或者二次地址分拨表情,则不错使用ARP或ICMP探伤表情,如若确立了可跨三层认证表情,则仅不错使用ICMP探伤表情,若确立了ARP探伤表情,则探伤功能不告成。
如若用户接入斥地上确立了阻碍ICMP报文的防火墙战术,则接口上的ICMP探伤表情可能会失败,从而导致接口上的Portal用户非泛泛下线。因此,若接口上需要使用ICMP探伤表情,请保证用户接入斥地不会过滤掉ICMP报文。
【例如】
# 在接口GigabitEthernet1/0/1上开启Portal用户在线探伤功能:探伤类型为ICMP,发送探伤报文的次数为5次,发送间隔为10秒,闲置时间为300秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal user-detect type icmp retry 5 interval 10 idle 300
【干系大喊】
· display portal
1.1.59 portal user-dhcp-only (interface view)portal user-dhcp-only大喊用来开启仅允许通过DHCP表情获取IP地址的客户端上线的功能。
undo portal user-dhcp-only大喊用来关闭仅允许通过DHCP表情获取IP地址的客户端上线的功能。
【大喊】
portal [ ipv6 ] user-dhcp-only
undo portal [ ipv6 ] user-dhcp-only
【缺省情况】
仅允许通过DHCP表情获取IP地址的客户端上线的功能处于关闭情景,通过DHCP表情获取IP地址的客户端和确立静态IP地址的客户端齐不错上线。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意允许上线的客户端的IP地址为IPv6地址,如若不指定本参数,则示意允许上线的客户端的IP地址为IPv4地址。
【使用指引】
确立本大喊后,确立静态IP地址的Portal认证用户不可上线。
在IPv6采聚合,确立本大喊后,末端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,是以必须关闭临时IPv6地址。
【例如】
# 在接口GigabitEthernet1/0/1上确立仅允许通过DHCP获取IP地址的客户端上线功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal user-dhcp-only
【干系大喊】
· display portal
1.1.60 portal user log enableportal user log enable大喊用来开启Portal用户上/下线日记功能。
undo portal user log enable大喊用来关闭Portal用户上/下线日记功能。
【大喊】
portal user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
undo portal user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
【缺省情况】
Portal用户上/下线日记功能处于关闭情景。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
abnormal-logout:用户相配下线的日记信息。
failed-login:用户上线失败的日记信息。
normal-logout:用户泛泛下线的日记信息。
successful-login:用户上线告成的日记信息。
【使用指引】
开启本功能后,斥地会对用户上线和下线时的信息进行记载,包括用户名、IP地址、接口称号、VLAN、用户MAC地址、上线失败原因等。生成的日记信息将被发送到斥地的信息中心,通过成立信息中心的参数,决定日记信息的输出规则(就是否允许输出以及输出主义)。联系信息中心参数的确立请参见“聚积处分和监控确立指引”中的“信息中心”。
【例如】
# 开启Portal用户上线告成的日记信息功能。
<Sysname> system-view
[Sysname] portal user log enable successful-login
【干系大喊】
· portal packet log enable
· portal redirect log enable
1.1.61 portal web-proxy portportal web-proxy port大喊用来确立允许触发Portal认证的Web代理职业器端口。
undo portal web-proxy port大喊用来删除指定或通盘的Web代理职业器端口。
【大喊】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【缺省情况】
不存在允许触发Portal认证的Web代理职业器端口。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
port-number:Portal认证的Web代理职业器的TCP端标语,取值限制为1~65535。
all:指定通盘Portal认证的Web代理职业器的TCP端标语。
【使用指引】
斥地默许只允许未确立Web代理职业器的用户浏览器发起的HTTP/HTTPS央求能力触发Portal认证。若用户使用确立了Web代理职业器的浏览器上网,则用户的这类HTTP/HTTPS央求报文将被丢弃,而不可触发Portal认证。这种情况下,聚积处分员不错通过在斥地上添加Web代理职业器的TCP端标语,来允许使用Web代理职业器的用户浏览器发起的HTTP央求也不错触发Portal认证。需要注意的是,该功能现在仅复古用户浏览器发起的HTTP央求。
屡次确立本大喊不错添增多个Web代理职业器的TCP端标语。
需要注意的是,Portal认证Web代理职业器功能不可与Portal认证前战术同期确立,不然Portal认证Web代理职业器功能不告成。
确立Portal认证Web代理职业器端标语,需要注意的是:
· 如若用户浏览器采纳WPAD(Web Proxy Auto-Discovery,Web代理职业器自动发现)表情自动确立Web代理,则不仅需要聚积处分员在斥地上添加Web代理职业器端口,还需要确立免认证规则,允许野心IP为WPAD主机IP地址的用户报文免认证。
· 除了需要聚积处分员在斥地上添加指定的Web代理职业器端口,还需要用户在浏览器上将Portal认证职业器的IP地址确立为Web代理职业器的例外地址,幸免Portal用户发送给Portal认证职业器的HTTP报文被发送到Web代理职业器上,从而影响泛泛的Portal认证。
· 现在不复古确立Portal认证Web代理职业器的端标语为443。
【例如】
# 确立允许触发Portal认证的Web代理职业器端标语为8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【干系大喊】
· portal enable method
1.1.62 portal web-serverportal web-server大喊用来创建Portal Web职业器,并投入Portal Web职业器视图。如若指定的Portal Web职业器还是存在,则顺利投入Portal Web职业器视图。
undo portal web-server大喊用来删除Portal Web职业器。
【大喊】
portal web-server server-name
undo portal web-server server-name
【缺省情况】
不存在Portal Web职业器。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
server-name:Portal Web职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
Portal Web职业器是指Portal认证过程中向用户推送认证页面的Web职业器,亦然斥地强制重定向用户HTTP/HTTPS央求报文时所指的Web职业器。Portal Web职业器视图用于确立该Web职业器的URL地址及确立斥地重定向该URL地址给用户时URL地址所佩带的参数,同期该视图还用于确立Portal Web职业器探伤等功能。
【例如】
# 创建称号为wbs的Portal Web职业器,并投入Portal Web职业器视图。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs]
【干系大喊】
· display portal web-server
· portal apply web-server
1.1.63 reset portal http-defense attacked-ipreset portal http-defense attacked-ip大喊用来撤废HTTP防袭击中被按捺过的野心IP统计信息。
【大喊】
(独处运行模式)
reset portal http-defense attacked-ip [ slot slot-number ]
(IRF模式)
reset portal http-defense attacked-ip [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户变装】
network-admin
network-operator
【参数】
slot slot-number:撤废指定单板上HTTP防袭击中被按捺过的野心IP统计信息。slot-number示意单板地点的槽位号。若不指定该参数,则示意撤废通盘单板上HTTP防袭击中被按捺过的野心IP统计信息。(独处运行模式)
chassis chassis-number slot slot-number:撤废指定成员斥地的指定单板上HTTP防袭击中被按捺过的野心IP统计信息。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意撤废通盘单板上HTTP防袭击中被按捺过的野心IP统计信息。(IRF模式)
【例如】
# 撤废slot 1上HTTP防袭击中被按捺过的野心IP统计信息。(独处运行模式)
<Sysname> reset portal http-defense attacked-ip slot 1
【干系大喊】
· display portal http-defense attacked-ip
1.1.64 reset portal http-defense blocked-ipreset portal http-defense blocked-ip大喊用来撤废被按捺的野心IP地址记载。
【大喊】
(独处运行模式)
reset portal http-defense blocked-ip [ ip ipv4-address | ipv6 ipv6-address ] [ slot slot-number ]
(IRF模式)
reset portal http-defense blocked-ip [ ip ipv4-address | ipv6 ipv6-address ] [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户变装】
network-admin
network-operator
【参数】
ip ipv4-address:撤废指定的被按捺的野心IP地址记载。
ipv6 ipv6-address:撤废指定的被按捺野心IPv6地址记载。
slot slot-number:撤废指定单板上被按捺的野心IP地址记载。slot-number示意单板地点的槽位号。若不指定该参数,则示意撤废通盘单板上被按捺的野心IP地址记载。(独处运行模式)
chassis chassis-number slot slot-number:撤废指定成员斥地的指定单板上被按捺的野心IP地址记载。chassis-number示意斥地在IRF中的成员编号,slot-number示意单板地点的槽位号。若不指定该参数,则示意撤废通盘单板上被按捺的野心IP地址记载。(IRF模式)
【使用指引】
撤废被按捺IP地址记载之后,允许用户对该IP地址进行泛泛探听。
若不指定参数IP/IPv6,则撤废通盘被按捺的野心IP地址记载。
【例如】
# 撤废slot 1上被按捺的野心IP地址为1.1.1.1的记载。(独处运行模式)
<Sysname> reset portal http-defense blocked-ip 1.1.1.1 slot 1
【干系大喊】
· display portal http-defense blocked-ip
1.1.65 reset portal packet statisticsreset portal packet statistics大喊用来撤废Portal报文的统计信息。
【大喊】
reset portal packet statistics [ server server-name ]
【视图】
用户视图
【缺省用户变装】
network-admin
【参数】
server-name:Portal认证职业器的称号,为1~32个字符的字符串,辞别大小写。
【使用指引】
若不指定参数server,则撤废通盘Portal认证职业器的报文统计信息。
【例如】
# 撤废称号为st上的Portal认证职业器的统计信息。
<Sysname> reset portal packet statistics server pts
【干系大喊】
· display portal packet statistics
1.1.66 server-detect (portal authentication server view)server-detect大喊用来开启Portal认证职业器的可达性探伤功能。开启Portal认证职业器的可达性探伤功能后,斥地会按期检测Portal认证职业器发送的Portal报文来判断职业器的可达情景。
undo server-detect大喊用来关闭Portal认证职业器的可达性探伤功能。
【大喊】
server-detect [ timeout timeout ] { log | trap } *
undo server-detect
【缺省情况】
Portal认证职业器的可达性探伤功能处于关闭情景。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
timeout timeout:探伤超不时间,取值限制为10~3600,单元为秒,缺省值为60。
{ log | trap } *:斥地探伤到Portal认证职业器可达情景变化时,触发实施的操作。包括以下两种,且可同期聘请多种。
· log:Portal认证职业器可达或者不可达的情景转变时,发送日记信息。日记信息中记载了Portal认证职业器名以及该职业器情景转变前后的情景。
· trap:Portal认证职业器可达或者不可达的情景转变时,向网管职业器发送Trap信息。Trap信息中记载了Portal认证职业器名以及该职业器确刻下情景。
【使用指引】
唯有当斥地上存在开启Portal认证的接口时,Portal认证职业器的可达性探伤功能才告成。
唯有在复古Portal职业器心跳功能(现在仅iMC的Portal认证职业器复古)的Portal认证职业器的协调下,本功能才灵验。
若斥地在指定的探伤超不时间(timeout timeout)内收到Portal报文,且考据其正确,则以为这次探伤告成且职业器可达,不然以为这次职业器不可达。
斥地确立的探伤超不时间(timeout timeout)必须大于职业器上确立的逃生心跳间隔时间。
【例如】
# 开启对Portal认证职业器pts的探伤功能,探伤超不时间为600秒,若职业器情景转变,则发送日记信息和Trap信息。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-detect timeout 600 log trap
【干系大喊】
· portal server
1.1.67 server-detect (portal web server view)server-detect大喊用来开启Portal Web职业器的可达性探伤功能。
undo server-detect大喊用来关闭Portal Web职业器的可达性探伤功能。
【大喊】
server-detect [ interval interval ] [ retry retries ] { log | trap } *
undo server-detect
【缺省情况】
Portal Web职业器的可达性探伤功能处于关闭情景。
【视图】
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
interval interval:进行探伤尝试的时间间隔,取值限制为10~1200,单元为秒,缺省值为20。
retry retries:纠合探伤失败的最大次数,取值限制为1~10,缺省值为3。若纠合探伤失败数量达到此值,则以为职业器不可达。
{ log | trap } *:Portal Web职业器可达情景的变化时,可触发实施的操作。包括以下两种,且可同期聘请多种。
· log:Portal Web职业器可达或者不可达的情景转变时,发送日记信息。日记信息中记载了Portal Web职业器名以及该职业器情景转变前后的情景。
· trap:Portal Web职业器可达或者不可达的情景转变时,向网管职业器发送Trap信息。Trap信息中记载了Portal Web职业器名以及该职业器确刻下情景。
【使用指引】
该探伤枢纽可由斥地独处完成,不需要Portal Web职业器端的任何确立来协调。
唯有当确立了Portal Web职业器的URL地址,且斥地上存在开启Portal认证接口时,该Portal Web职业器的可达性探伤功能才告成。
【例如】
# 确立对Portal Web职业器wbs的探伤功能,每次探伤间隔时间为600秒,若纠合二次探伤均失败,则发送职业器不可达的日记信息和Trap信息。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] server-detect interval 600 retry 2 log trap
【干系大喊】
· portal web-server
1.1.68 server-registerserver-register大喊用来确立斥地按期向Portal认证职业器发送注册报文。
undo server-register大喊用来规复缺省情况。
【大喊】
server-register [ interval interval-value ]
undo server-register
【缺省情况】
斥地不会按期向Portal认证职业器发送注册报文。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
interval interval-value:斥地按期向Portal认证职业器发送注册报文的时间间隔,取值限制为1~3600,单元为秒,缺省值为600。
【使用指引】
Portal职业器与接入斥地认证交互时,如若二者之间有NAT斥地,为了使Portal职业器大概探听该接入斥地,在NAT斥地上需确立静态NAT表项,该静态NAT表项中记载了接入斥地的IP地址以及与Portal职业器交互时使用的退换后的IP地址。当有无数的接入斥地需要与Portal职业器进行认证交互时,则需要在NAT斥地上确立无数的静态NAT表项。开启本功能后,接入斥地会主动向Portal职业器发送注册报文,该报文中佩带了接入斥地的称号。Portal职业器收到该注册报文,记载下接入斥地的称号、地址退换后的IP地址以及端标语等信息后,后续这些信息用于与接入斥地进行认证交互。接入斥地通过按期发送注册报文更新Portal职业器上爱戴的注册信息。
需要注意的是,本功能仅用于和CMCC类型的Portal职业器协调使用。
【例如】
# 确立斥地每隔120秒向Portal认证职业器发送注册报文。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-register interval 120
【干系大喊】
· server-type
1.1.69 server-typeserver-type大喊用来确立Portal认证职业器或Portal Web职业器的类型。
undo server-type大喊用来规复缺省情况。
【大喊】
server-type { cmcc | imc }
undo server-type
【缺省情况】
Portal认证职业器或Portal Web职业器的类型为iMC职业器。
【视图】
Portal认证职业器视图
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
cmcc:示意Portal职业器类型为稳妥中国出动规范范例的职业器。
imc:示意Portal职业器类型为稳妥iMC规范范例的职业器。
【使用指引】
斥地确立的Portal职业器类型必须保证与斥地所使用的职业器类型保抓一致。
【例如】
# 确立Portal认证职业器类型为CMCC。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] server-type cmcc
# 确立Portal Web职业器类型为CMCC。
<Sysname> system-view
[Sysname] portal web-server pts
[Sysname-portal-websvr-pts] server-type cmcc
【干系大喊】
· display portal server
1.1.70 server-type (MAC binding server view)server-type大喊用来确立MAC绑定职业器的职业类型。
undo server-type用来规复缺省情况。
【大喊】
server-type { cmcc | imc }
undo server-type
【缺省情况】
MAC绑定职业器的职业类型为imc。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
cmcc:示意MAC绑定职业器类型为稳妥中国出动规范范例的职业器。
imc:示意MAC绑定职业器类型为稳妥iMC规范范例的职业器。
【例如】
# 指定MAC绑定职业器的职业类型为cmcc。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] server-type cmcc
1.1.71 tcp-porttcp-port大喊用来确立腹地Portal Web职业的HTTP/HTTPS职业侦听的TCP端标语。
undo tcp-port大喊用来规复缺省情况。
【大喊】
tcp-port port-number
undo tcp-port
【缺省情况】
HTTP职业侦听的TCP端标语为80,HTTPS职业侦听的TCP端标语为443。
【视图】
腹地Portal Web职业视图
【缺省用户变装】
network-admin
【参数】
port-number:示意侦听的TCP端标语,取值限制为1~65535。
【使用指引】
接口上指定的Portal Web职业器的URL中确立的端标语,应该与腹地Portal Web职业器视图下指定的侦听端标语保抓一致。
确立腹地Portal Web职业的HTTP/HTTPS职业侦听的TCP端标语时,需要注意的是:
· 除了HTTP和HTTPS契约默许的端标语,腹地Portal Web职业的TCP端标语不可与驰名契约使用的端标语确立一致,如FTP的端标语21;Telnet的端标语23,不然会酿老腹地Web Server无法收到用户的认证或下线央求数据。
· 不可把使用HTTP契约的腹地Portal Web职业下的TCP端标语确立成HTTPS的默许端标语443,反之亦然。
· 使用HTTP和HTTPS的腹地Portal Web职业下TCP端标语不可确立一致,比如不可齐确立为8080,不然会导致腹地Web职业无法泛泛使用。
【例如】
# 确立腹地Portal Web职业的HTTP职业侦听的TCP端标语为2331。
<Sysname> system-view
[Sysname] portal local-web-server http
[Sysname-portal-local-websvr-http] tcp-port 2331
【干系大喊】
· portal local-web-server
1.1.72 urlurl大喊用来指定Portal Web职业器的URL。
undo url大喊用来规复缺省情况。
【大喊】
url url-string
undo url
【缺省情况】
未指定Portal Web职业器的URL。
【视图】
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
url-string:Portal Web职业器的URL,为1~256个字符的字符串,辞别大小写。
【使用指引】
本大喊指定的URL是可用规范HTTP或者HTTPS契约探听的URL,它以http://或者https://起原。如若该URL未以http://或者https://起原,则缺省以为是以http://起原。
【例如】
# 确立Portal Web职业器wbs的URL为。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url
【干系大喊】
· display portal web-server
1.1.73 url-parameterurl-parameter大喊用来确立斥地重定向给用户的Portal Web职业器的URL中佩带的参数信息。
undo url-parameter大喊用来删除确立的Portal Web职业器URL佩带的参数信息。
【大喊】
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | source-mac [ encryption { aes | des } key { cipher | simple } string ] | value expression }
undo url-parameter param-name
【缺省情况】
未确立斥地重定向给用户的Portal Web职业器的URL中佩带的参数信息。
【视图】
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
param-name:URL参数名,为1~32个字符的字符串,辞别大小写。URL参数名对应的参数实质由param-name后的参数指定。
nas-id:聚积接入职业器标记。
nas-port-id:聚积接入职业器端口标记。
original-url:用户运行探听的Web页面的URL。
source-address:用户的IP地址。
source-mac:用户的MAC地址。
encryption:示意以密文的表情佩带无线AP的MAC地址和用户的MAC地址。
aes:指定加密算法为AES算法。
des:指定加密算法为DES算法。
cipher:以密文表情成立密钥。
key:指定加密密钥。
simple:以明文表情成立密钥,该密钥将以密文风物存储。
string:密钥字符串,辞别大小写。密钥的长度限制和聘请的加密表情联系。具体关系如下:
· 对于des cipher,密钥为41个字符的字符串。
· 对于des simple,密钥为8个字符的字符串。
· 对于aes cipher,密钥为1~73个字符的字符串。
· 对于aes simple,密钥为1~31个字符的字符串。
value expression:自界说字符串,为1~256个字符的字符串,辞别大小写。
【使用指引】
不错通过屡次实施本大喊确立多条参数信息。
对于团结个参数名param-name后的参数成立,临了确立的告成。
该大喊用于确立用户探听Portal Web职业器时,要求佩带的一些参数,相比常用的是要求佩带用户的IP地址、MAC地址、用户原始探听的URL信息。用户也不错手工指定,佩带一些特定的字符信息。确立完成后,在斥地给用户强制重定向URL时会佩带这些参数,例如确立Portal Web职业器的URL为:,若同期确立如下两个参数信息:url-parameter userip source-address和url-parameter userurl value ,则斥地给源IP为1.1.1.1的用户重定向时回话的URL风物即为:?userip=1.1.1.1&userurl=。
param-name这个URL参数名必须与具体专揽环境中的Portal职业器所复古的URL参数名保抓一致,不同的Portal职业器复古URL参数名是不相似的,请证据具体情况确立URL参数名。例如iMC职业器复古的URL参数名如下:
· userurl:示意original-url
· userip:示意source-address
· usermac:示意source-mac
在Portal职业器为H3C公司的iMC职业器的组网环境中,如若斥地重定向给用户的Portal Web职业器的URL中需要佩带用户的IP地址参数信息时,必须把param-name参数确立成userip,不然,iMC职业器不可识别用户的IP地址。
如若给某个参数确立了加密表情,则重定向URL中佩带的将是其加密后的值。例如在上述确立的基础上,再确立url-parameter usermac source-mac encryption des key simple 12345678,则斥地给源MAC地址为1111-1111-1111的用户重定向时回话的URL风物即为:?usermac=xxxxxxxxx&userip=1.1.1.1&userurl= ,其中xxxxxxxxx为加密后的用户mac地址。
【例如】
# 为斥地重定向给用户的Portal Web职业器wbs的URL中确立两个参数userip和userurl,其值分别为用户IP地址和自界说字符串。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter userip source-address
[Sysname-portal-websvr-wbs] url-parameter userurl value
# 为斥地重定向给用户的Portal Web职业器wbs的URL中确立参数usermac,其值为用户mac地址,并使用des算法进行加密。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] url-parameter usermac source-mac encryption des key simple 12345678
【干系大喊】
· display portal web-server
· url
1.1.74 user-attributeuser-attribute大喊用来确立Portal认证前战术中的用户属性。
undo user-attribute大喊用来删除指定的用户属性。
【大喊】
user-attribute { acl acl-number | car { inbound | outbound } cir committed-information-rate [ pir peak-information-rate ] | user-profile profile-name }
undo user-attribute { acl | car { inbound | outbound } | user-profile }
【缺省情况】
Portal认证前战术中不消户属性。
【视图】
Portal认证前战术视图
【缺省用户变装】
network-admin
【参数】
acl acl-number:指定用于匹配Portal认证前用户流量的ACL。其中acl-number示意ACL的编号,取值限制偏激代表的ACL类型如下:
· 2000~2999:示意基本ACL。
· 3000~3999:示意高等ACL。
car:指定Portal认证前用户的流量监管动作。
inbound:示意用户的上传速度。
outbound:示意用户的下载速度。
cir committed-information-rate:欢跃信息速度,取值限制为8~160000000,单元为kbps。
pir peak-information-rate:峰值速度,取值限制为8~160000000,单元为kbps。若不指定该参数,则示意分歧峰值信息速度进行限定。
user-profile profile-name:指定Portal认证前用户的User-profile。profile-name示意User Profile的称号,为1~31个字符的字符串,辞别大小写,且必须以英笔墨母开端。
【使用指引】
若Portal认证前战术中指定的ACL不存在,ACL中无任何规则,或者确立的规则中允许探听的野心IP地址为“any”,则示意分歧用户的探听进行限定。
认证前战术中指定的授权ACL中不要确立源地址信息,不然该ACL下发后将会导致援用该战术的接口上接入的用户均不可泛泛上线。
可通过屡次实施本大喊确立多个用户属性,对于交流用户属性,临了一次实施的大喊告成。
【例如】
# 确立Portal认证前战术abc援用的ACL为3000。
<Sysname> system-view
[Sysname] portal pre-auth policy abc
[Sysname-portal-preauth-policy-abc] user-attribute acl 3000
1.1.75 user-syncuser-sync大喊用来确立开启Portal用户信息同步功能。
undo user-sync大喊用来关闭Portal用户信息同步功能。
【大喊】
user-sync timeout timeout
undo user-sync
【缺省情况】
Portal认证职业器的Portal用户信息同步功能处于关闭情景。
【视图】
Portal认证职业器视图
【缺省用户变装】
network-admin
【参数】
timeout timeout:检测用户同步报文的时间间隔,取值限制为60~18000,单元为秒。
【使用指引】
确立此功能后,斥地会反馈并周期性地检测指定的Portal认证职业器发来的用户同步报文,以保抓斥地与该职业器上在线用户信息的一致性。
唯有在复古Portal用户心跳功能(现在仅iMC的Portal认证职业器复古)的Portal认证职业器的协调下,本功能才灵验。为了完毕该功能,还需要在Portal认证职业器上聘请复古用户心跳功能,且职业器上确立的用户心跳间隔要小于等于斥地上确立的检测超不时间。
在斥地上删除Portal认证职业器时将会同期删除该职业器的用户信息同步功能确立。
对团结职业器屡次实施本大喊,临了一次实施的大喊告成。
对于斥地上充足的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证职业器上已不存在的用户信息,斥地会在timeout后的某时刻将其删裁撤。
如若职业器同步过来的用户信息在斥地上不存在,则斥地会将这些用户的IP地址封装在用户心跳回话报文中发送给职业器,由职业器删除充足的用户。
【例如】
# 确立对Portal认证职业器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如若斥地中的某用户信息在600秒内未在该Portal认证职业器发送的同步报文中出现,斥地强项制该用户下线。
<Sysname> system-view
[Sysname] portal server pts
[Sysname-portal-server-pts] user-sync timeout 600
【干系大喊】
· portal server
1.1.76 versionversion大喊用来确立Portal契约报文的版块号。
undo version大喊用来规复缺省情况。
【大喊】
version version-number
undo version
【缺省情况】
Portal契约报文的版块号为1。
【视图】
MAC绑定职业器视图
【缺省用户变装】
network-admin
【参数】
version-number:Portal契约报文的版块号,取值限制为1~3。
【使用指引】
确立Portal契约报文的版块必须与MAC绑定职业器要求的Portal契约版块保抓一致。
【例如】
# 确立斥地向MAC绑定职业器mts发送Portal契约报文时,使用的版块为版块2。
<Sysname> system-view
[Sysname] portal mac-trigger-server mts
[Sysname-portal-mac-trigger-server-mts] version 2
【干系大喊】
· portal mac-trigger-server
· display mac-trigger-server
1.1.77 vpn-instancevpn-instance大喊用来确立Portal Web职业器所属的VPN实例。
undo vpn-instance大喊用来规复缺省情况。
【大喊】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
Portal Web职业器位于公网中。
【视图】
Portal Web职业器视图
【缺省用户变装】
network-admin
【参数】
vpn-instance-name:Portal Web职业器所属的VPN实例。vpn-instance-name示意MPLS L3VPN的VPN实例称号,为1~31个字符的字符串,辞别大小写。
【使用指引】
一个Portal Web职业器只可属于一个VPN实例。
【例如】
# 确立Portal Web职业器wbs所属的VPN实例为abc。
<Sysname> system-view
[Sysname] portal web-server wbs
[Sysname-portal-websvr-wbs] vpn-instance abc
1.1.78 web-redirect urlweb-redirect url大喊用来确立Web重定向功能。
undo web-redirect大喊用来关闭Web重定向功能。
【大喊】
web-redirect [ ipv6 ] url url-string [ interval interval ]
undo web-redirect [ ipv6 ]
【缺省情况】
Web重定功能处于关闭情景。
【视图】
接口视图
【缺省用户变装】
network-admin
【参数】
ipv6:示意IPv6 Web重定向功能。若不指定该参数,则示意IPv4 Web重定向功能。
url url-string:Web重定向的地址,即用户的Web探听央求被重定向的URL地址,为1~256个字符的字符串,必须是以http://或者https://起原的齐备URL旅途。
interval interval:对用户探听的Web页面进行重定向的周期,取值限制为60~86400,单元为秒,缺省值为86400。
【使用指引】
接口上确立了Web重定向功能后,当该接口上接入的用户初度通过Web页面探听外网时,斥地会将用户的运行探听页面重定向到指定的URL页面,之后用户才不错泛泛探听外网,经过一定时长(interval)后,斥地又不错对用户要探听的网页或者正在探听的网页重定向到指定的URL页面。
如若斥地复古以太网通说念接口(Eth-channel),则接口下不错同期开启Web重定向功能和Portal功能,不然当接口下同期开启Web重定向功能和Portal功能时,Web重定向功能失效。
Web重定向功能仅对使用默许端标语80的HTTP契约报文和使用默许端标语443的HTTPS契约报通知成。
【例如】
# 在接口GigabitEthernet1/0/1上确立IPv4 Web重定向功能:Web重定向地址为,Web重定向周期为3600秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] web-redirect url interval 3600
【干系大喊】
· display web-redirect rule在线av