登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全命令参考

目录

04-Portal命令

本章节下载 04-Portal命令  (543.21 KB)

04-Portal命令

目  录

1 Portal

1.1 Portal配置命令

1.1.1 aging-time

1.1.2 authentication-timeout

1.1.3 binding-retry

1.1.4 captive-bypass enable

1.1.5 default-logon-page

1.1.6 display portal

1.1.7 display portal mac-trigger-server

1.1.8 display portal packet statistics

1.1.9 display portal rule

1.1.10 display portal server

1.1.11 display portal user

1.1.12 display portal web-server

1.1.13 display web-redirect rule

1.1.14 free-traffic threshold

1.1.15 if-match

1.1.16 ip (MAC binding server view)

1.1.17 ip (portal authentication server view)

1.1.18 ipv6 (MAC binding server view)

1.1.19 ipv6 (portal authentication server view)

1.1.20 nas-port-type

1.1.21 port (MAC binding server view)

1.1.22 port (portal authentication server view)

1.1.23 portal { bas-ip | bas-ipv6 } (interface view)

1.1.24 portal { ipv4-max-user | ipv6-max-user | max-user } (interface view)

1.1.25 portal apply mac-trigger-server

1.1.26 portal apply web-server (interface view)

1.1.27 portal authorization strict-checking

1.1.28 portal delete-user

1.1.29 portal device-id

1.1.30 portal domain (interface view)

1.1.31 portal dual-stack enable

1.1.32 portal enable (interface view)

1.1.33 portal fail-permit server

1.1.34 portal free-all except destination

1.1.35 portal free-rule

1.1.36 portal free-rule destination

1.1.37 portal free-rule source

1.1.38 portal ipv6 free-all except destination

1.1.39 portal ipv6 layer3 source

1.1.40 portal ipv6 user-detect

1.1.41 portal layer3 source

1.1.42 portal local-web-server

1.1.43 portal log enable

1.1.44 portal mac-trigger-server

1.1.45 portal max-user

1.1.46 portal nas-id-profile

1.1.47 portal nas-port-id format

1.1.48 portal nas-port-type

1.1.49 portal pre-auth domain

1.1.50 portal pre-auth ip-pool

1.1.51 portal refresh enable

1.1.52 portal roaming enable

1.1.53 portal server

1.1.54 portal user-detect

1.1.55 portal user-dhcp-only (interface view)

1.1.56 portal user-rule assign-check enable

1.1.57 portal web-proxy port

1.1.58 portal web-server

1.1.59 reset portal packet statistics

1.1.60 server-detect (portal authentication server view)

1.1.61 server-detect (portal web server view)

1.1.62 server-register

1.1.63 server-type

1.1.64 server-type (MAC binding server view)

1.1.65 tcp-port

1.1.66 url

1.1.67 url-parameter

1.1.68 user-sync

1.1.69 version

1.1.70 vpn-instance

1.1.71 web-redirect url

 

1 Portal

1.1  Portal配置命令

1.1.1  aging-time

aging-time命令用来配置MAC-Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC-Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。

【举例】

# 指定MAC-Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·     display portal mac-trigger-server

1.1.2  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备会立即删除该用户的MAC-Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·     display portal mac-trigger-server

1.1.3  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3次,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·     display portal mac-trigger-server

1.1.4  captive-bypass enable

captive-bypass enable命令用来开启Portal被动Web认证功能。

undo captive-bypass enable命令用来关闭Portal被动Web认证功能。

【命令】

captive-bypass enable

undo captive-bypass enable

【缺省情况】

Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。

【视图】

Portal Web服务器视图

【缺省用户角色】

network-admin

【使用指导】

iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。

【举例】

# 开启Portal被动Web认证功能。

<Sysname> system-view

[Sysname] portal web-server wbs

[Sysname-portal-websvr-wbs] captive-bypass enable

【相关命令】

·     display portal web-server

1.1.5  default-logon-page

default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。

为了确保本地Portal Web服务功能的正常运行,建议使用设备存储介质根目录下自带的认证页面文件。如果用户需要自定义认证页面的内容和样式,请严格遵循自定义认证页面文件规范。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·     portal local-web-server

1.1.6  display portal

display portal命令用来显示Portal配置信息和Portal运行状态信息。

【命令】

display portal interface interface-type interface-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:表示接口类型和接口编号。

【举例】

# 显示接口Vlan-interface2的Portal配置信息和Portal运行状态信息。

<Sysname> display portal interface vlan-interface 2

 Portal information of Vlan-interface2

     NAS-ID profile: aaa

     VSRP instance : instance1

     VSRP status   : Master

     Authorization : Strict checking

     ACL           : Enabled

     User profile  : Disabled

     Dual stack    : Disabled

     Max users     : Not configured

 IPv4:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal VSRP status: M_Delay

     Portal web server: wbs

     Portal mac-trigger-server: mts

     Authentication domain: my-domain

     Pre-auth domain: abc

     User-dhcp-only: Enabled

     Pre-auth IP pool: ab

     Max users: Not configured

     Bas-ip: Not configured

     User detection: Type: ICMP  Interval: 300s  Attempts: 5   Idle time: 180s

     Action for server detection:

         Server type    Server name                        Action

         Web server     wbs                                fail-permit

         Portal server  pts                                fail-permit

     Layer3 source network:

         IP address               Mask

         1.1.1.1                  255.255.0.0

 

     Destination authentication subnet:

         IP address               Mask

         2.2.2.2                  255.255.255.0

 

 IPv6:

     portal status: Disabled

     Portal authentication method: Disabled

     Portal VSRP status: M_Alone

     Portal web server: Not configured

     Portal mac-trigger-server: Not configured

     Authentication domain: Not configured

     Pre-auth domain: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max users: Not configured

     Bas-ipv6:Not configured

     User detection: Not configured

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address                                        Prefix length

 

     Destination authentication subnet:

         IP address                                        Prefix length

表1-1 display portal interface命令显示信息描述表

字段

描述

Portal information of interface

接口上的Portal信息

NAS-ID profile

接口上引用的NAS-ID profile

VSRP instance

接口上引用的VSRP实例名称

VSRP state

接口的VSRP状态,包括以下取值:

·     Master:表示在该VSRP实例中,本设备为主用设备

·     Backup:表示在该VSRP实例中,本设备为备用设备

·     Down:表示在该VSRP实例中,本设备不运行(在下面两种情况下设备会处于Down状态:一是当VRRP备份组处于init状态时,互相备份的两台设备在对应VSRP实例中都处于无法运行状态;二是本端VSRP实例不存在或者配置不完整)

·     N/A:表示接口上未引用VSRP实例

Authorization

服务器下发给Portal用户的授权信息类型,包括ACL和User profile

Strict checking

Portal授权信息的严格检查模式是否开启

Dual stack

接口上Portal支持双协议栈功能的开启状态,包括以下取值:

·     Disabled:Portal支持双协议栈功能未开启

·     Enabled:Portal支持双协议栈功能已开启

Max users

接口上配置的最大 Portal用户数

IPv4

IPv4 Portal的相关信息

IPv6

IPv6 Portal的相关信息

Portal status

接口上Portal认证的运行状态,包括以下取值:

·     Disabled:Portal认证未开启

·    &