04-Portal配置
本章节下载: 04-Portal配置 (1.74 MB)
目 录
1.6.3 配置对重定向给用户的URL中的userip参数进行base64编码
1.6.6 配置重定向给用户的Portal Web服务器URL中不转义的特殊字符
1.6.7 配置Portal web服务器的探测URL及探测类型
1.12.4 配置无线服务模板上Portal用户使用的认证域
1.13.5 配置允许触发Portal认证的Web代理服务器端口
1.14.3 配置Portal Web服务器的可达性探测功能
1.14.4 开启通过捕获DHCP报文进行Portal用户在线探测的功能
1.16.1 配置RADIUS NAS-Port-ID属性格式
1.22 关闭Portal客户端Rule ARP/ND表项生成功能
1.30.8 配置Portal第三方认证时客户端访问AC的接口
1.31 配置Portal OAuth认证同步用户信息的时间间隔
1.33 开启无线Portal用户SSID切换后的强制下线功能
1.38.7 Portal认证服务器探测和用户信息同步功能配置举例
1.38.9 使用本地Portal Web服务的直接Portal认证配置举例
1.38.10 Portal基于MAC地址的快速认证配置举例(远程认证方式)
1.38.11 Portal基于MAC地址的快速认证配置举例(本地认证方式)
1.39.1 Portal用户认证时,没有弹出Portal认证页面
1.39.3 RADIUS服务器上无法强制Portal用户下线
1.39.4 接入设备强制用户下线后,Portal认证服务器上还存在该用户
Portal认证通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。Portal认证通常部署在接入层以及需要保护的关键数据入口处实施访问控制。在采用了Portal认证的组网环境中,用户可以主动访问已知的Portal Web服务器网站进行Portal认证,也可以访问任意非Portal Web服务器网站时,被强制访问Portal Web服务器网站,继而开始Portal认证。目前,设备支持的Portal版本为Portal 1.0、Portal 2.0和Portal 3.0。
· 可以不安装客户端软件,直接使用Web页面认证,使用方便。
· 可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。
· 支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证。
Portal的安全扩展功能是指,在Portal身份认证的基础之上,通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体的安全扩展功能如下:
· 安全性检测:在对用户的身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;
· 访问资源受限:用户通过身份认证后仅仅获得访问指定互联网资源的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源。
安全性检测功能必须与iMC安全策略服务器以及iNode客户端配合使用。
如图1-1所示,Portal系统通常由如下实体组成:认证客户端、接入设备、Portal认证服务器、Portal Web服务器、AAA服务器和安全策略服务器。
图1-1 Portal系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端的主机。对用户终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。目前,Portal客户端仅支持iNode客户端。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,将用户的所有HTTP/HTTPS请求都重定向到Portal Web服务器。
· 在认证过程中,与Portal认证服务器、AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
包括Portal Web服务器和Portal认证服务器。Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal认证服务器用于接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
与接入设备进行交互,完成对用户的认证、授权和计费。目前RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器可支持对Portal用户进行认证、授权和计费,以及LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器可支持对Portal用户进行认证。
与Portal客户端、接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。仅运行Portal客户端的主机支持与安全策略服务器交互。
Portal系统中各基本要素的交互过程如下:
(1) 当未认证用户使用浏览器进行Portal认证时,可以通过浏览器访问任一互联网地址,接入设备会将此HTTP或HTTPS请求重定向到Portal Web服务器的Web认证主页上。也可以主动登录Portal Web服务器的Web认证主页。当未认证用户使用iNode客户端进行Portal认证时,可直接打开客户端,输入认证信息。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal Web服务器会将用户的认证信息传递给Portal认证服务器,由Portal认证服务器处理并转发给接入设备。
(3) 接入设备与AAA服务器交互进行用户的认证、授权和计费。
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果使用iNode客户端进行认证,并对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
接入设备可以同时提供Portal Web服务器和Portal认证服务器功能,对接入的Portal用户进行本地Portal认证,如图1-2所示。该组网方式下,Portal系统仅支持通过Web登录、下线的基本认证功能,不支持使用Portal客户端方式的Portal认证,因此不支持Portal扩展功能,无需部署安全策略服务器。
图1-2 使用本地Portal服务的Portal系统组成示意图
本地Portal Web服务支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后保存至设备的存储介质的根目录中。每套自定义页面文件中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙碌页面。本地Portal Web服务根据不同的认证阶段向客户端推出对应的认证页面。
Portal支持三种认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发设备;可跨三层认证方式下,认证客户端和接入设备之间可以(但不必须)跨接三层转发设备。
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal Web服务器,以及设定的免认证地址;认证通过后即可访问网络资源。认证流程相对简单。
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal Web服务器,以及设定的免认证地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。目前,仅iNode客户端支持该认证方式。需要注意的是,IPv6 Portal认证不支持二次地址分配方式。
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制力度。
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
图1-3 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP/HTTPS协议访问外部网络。HTTP/HTTPS报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP/HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTP/HTTPS报文,接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(2) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(3) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(4) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(6) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(7) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(8) 若认证成功,Portal认证服务器还会向接入设备发送认证应答确认。若是iNode客户端,则还需要进行以下安全扩展功能的步骤,否则Portal认证过程结束,用户上线。
(9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(10) 安全策略服务器根据安全检查结果授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(9)、(10)为Portal认证安全扩展功能的交互过程。
图1-4 二次地址分配认证方式流程图
二次地址分配认证流程:
(1)~(7)同直接/可跨三层Portal认证中步骤(1)~(7)。
(8) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal认证服务器用户已获得新IP地址。
(9) Portal认证服务器通知接入设备客户端获得新公网IP地址。
(10) 接入设备通过DHCP模块得知用户IP地址变化后,通告Portal认证服务器已检测到用户IP变化。
(11) 当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,通知客户端上线成功。
(12) Portal认证服务器向接入设备发送IP变化确认报文。
(13) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(14) 安全策略服务器根据用户的安全性授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(13)、(14)为Portal认证扩展功能的交互过程。
EAP认证仅能与iMC的Portal服务器以及iNode Portal客户端配合使用,且仅使用远程Portal服务器的Portal认证支持该功能。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-5 Portal支持EAP认证协议交互示意图
如图1-5所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
接入设备通过一系列的过滤规则对用户报文进行控制,这些规则也称为Portal过滤规则。
设备会根据配置以及Portal用户的认证状态,生成四种不同类型的Portal过滤规则。设备收到用户报文后,将依次按照如下顺序对报文进行匹配,一旦匹配上某条规则便结束匹配过程:
· 第一类规则:设备允许所有去往Portal Web服务器或者符合免认证规则的用户报文通过。
· 第二类规则:如果AAA认证服务器未下发授权ACL,则设备允许认证成功的Portal用户可以访问任意的目的网络资源;如果AAA认证服务器下发了授权ACL,则设备仅允许认证成功的Portal用户访问该授权ACL允许访问的网络资源。需要注意的是,Portal认证可成功授权的ACL类型为基本ACL(ACL编号为2000~2999)和高级ACL(ACL编号为3000~3999)。当下发的ACL不存在、未配置ACL规则或ACL规则中配置了counting、established、fragment、source-mac或logging参数时,授权ACL不生效。关于ACL规则的详细介绍,请参见“ACL和QoS命令参考”中的“ACL”。设备将根据Portal用户的在线状态动态添加和删除本规则。
· 第三类规则:设备将所有未认证Portal用户的HTTP/HTTPS请求报文重定向到Portal Web服务器。
· 第四类规则:对于直接认证方式和可跨三层认证方式,设备将拒绝所有用户报文通过;对于二次地址分配认证方式,设备将拒绝所有源地址为私网地址的用户报文通过。
该功能需要与iMC服务器配合使用。
在用户进行Portal认证过程中,设备将获取到的DHCP Option55内容封装到Portal协议和RADIUS协议中,并分别上传给Portal认证服务器和RADIUS服务器(对iMC服务器来说,都是上传到UAM组件)。
iMC服务器中的UAM组件可以根据获取到的Option55字段的内容来判断终端设备的类型、操作系统、厂商等信息。进而可以根据识别出来的终端设备类型等信息,向不同终端设备类型的Portal用户推出不同的认证页面和下发不同的授权属性信息等。
在Portal认证环境中,对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需手工输入认证信息便可以自动完成Portal认证。
基于MAC地址的快速认证又称为MAC-Trigger认证或无感知认证,该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息(用户名、密码)和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Portal认证。
仅直接认证方式支持基于MAC地址的快速认证。
本功能的实现过程如下:
(1) 用户在首次接入网络时,将获得一定的免认证流量。在用户收发的流量达到设定的阈值之前,用户无需进行认证。接入设备将用户的MAC地址及接入端口信息保存为MAC-Trigger表项。
(2) 当用户收发的流量达到设定的阈值时,接入设备会根据MAC-Trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。
(3) MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息:
¡ 如果存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“已绑定”状态,并使用用户的认证信息向接入设备发起Portal认证,在用户无感知的情况下完成认证过程。此时,如果Portal认证失败,则设备向用户返回认证失败信息,接入设备上的MAC-Trigger表项将自动老化,然后重新进行MAC-Trigger认证。
¡ 如果不存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对“未绑定”状态的用户发起正常的Portal认证。如果Portal认证失败,则Portal Web服务器向用户返回Portal认证失败页面,流程终止;如果Portal认证成功,在用户完成Portal认证过程后,接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器,完成信息绑定。当同一用户再次访问网络时,MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。
(4) 用户通过Portal认证后,接入设备将删除MAC-Trigger表项。
· 无线客户端数据报文转发位置在AP上,且AC上配置了基于MAC地址的快速认证时,当AP给AC上报流量统计信息的时间间隔超时后,AC才会感知到用户收发的流量是否达到设定的阈值。关于AP给AC上报流量统计信息的时间间隔的详细介绍,请参见“1.27 配置AP给AC上报流量统计信息的时间间隔”。
· 关于MAC绑定服务器的配置请参见服务器软件的用户手册。
在Portal与NAT联动的组网环境中,Portal用户通过AAA认证并分配得到私网地址之后,NAT会立即为该Portal用户分配公网地址以及端口块,并将Portal用户的私网IP地址、分配的公网地址及该端口块的映射关系通知给Portal。Portal记录该地址映射关系,并将这个映射关系上报给AAA服务器。如果NAT可分配的公网资源已耗尽,Portal会强制用户下线,也不会对用户进行计费。之后,该用户访问外部网络时直接使用NAT已经分配的公网地址和端口块。通过此联动功能,AAA服务器能够获得并统一维护所有Portal用户的地址映射关系,提供更便捷的用户溯源服务。
通过在认证ISP域中指定Portal用户地址类型为私网IPv4地址可实现Portal与NAT联动,关于设置当前ISP域的用户地址类型的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。关于NAT的详细介绍请参见“NAT配置指导”中的“NAT”。
AC/Fit AP组网环境下,有两种无线客户端数据报文的转发模式:
· 集中式转发:将客户端数据报文的转发位置配置在AC上之后,客户端的数据流量由AP通过CAPWAP隧道透传到AC,再由AC转发数据报文。
· 本地转发:将客户端数据报文的转发位置配置在AP上之后,客户端的数据流量直接由AP进行转发,不上送到AC上。
在无线环境中,Portal认证功能可以在设备的VLAN接口或无线服务模板上进行配置,有关这两种Portal配置方式的详细介绍如下:
· 在VLAN接口下配置时,设备仅能对本接口接收到的用户报文进行Portal认证。由于在本地转发模式下,客户端的数据直接在AP上进行转发,AC无法接收到用户的报文,因此在VLAN接口下配置Portal认证只适用于集中式转发。
· 在无线服务模板上配置Portal认证且开启无线服务模板后,如果转发模式为本地转发,AC会把Portal过滤规则下发到AP的BSS(Basic Service Set,基本服务集)上;如果转发模式为集中式转发,则AC会把Portal过滤规则下发到自身的BSS上。在这两种转发模式下,AC均可以对绑定该服务模板的所有AP下接入的用户进行Portal认证,因此在无线服务模板上配置Portal认证适用于集中式转发与本地转发。
关于无线转发模式的介绍,请参见“WLAN”中的“WLAN接入”。
Portal用户AC间漫游是指Portal用户在AC设备上进行Portal认证成功后,再漫游到其它AC设备时,不需要再次进行Portal认证,可以继续访问网络资源。典型组网如图1-6所示。
图1-6 Portal用户AC间漫游示意图
WLAN漫游中心负责管理无线Portal用户的认证、授权和漫游等信息,同时还可以存储、更新用户信息并发送和响应报文以及提供信息查询服务。如图1-6所示,AC 1作为WLAN漫游中心,AC 2和AC 3作为Portal漫游中心,主要对Client提供Portal认证和漫游服务。Portal用户Client从AC 2第一次上线,然后漫游到AC 3,具体过程如下:
(1) Client在AC 2上第一次上线。
AC 2首先向WLAN漫游中心AC 1发送用户查询报文,AC 1未查到用户,会给AC 2发送查询回应报文通知没有查到用户,此时Client在AC 2上进行Portal认证流程,Portal认证成功后,AC 2会向AC 1发送上线报文通知用户已经上线,上线报文中会携带AAA服务器下发的授权信息。AC 1收到上线报文后,会建立一个用户表项,包含用户的IP地址、MAC地址、上线接入设备列表、授权信息、漫游信息,然后向AC 2发送上线回应报文。
(2) Client漫游到AC 3。
Client从AC 2漫游到AC 3时,AC 3首先会向WLAN漫游中心AC 1发送用户查询报文,AC 1上查询到用户,会给AC 3发送查询回应报文通知查到用户,回应报文中携带Client在AC 2上线获得的授权信息。AC 3收到查询回应报文后,直接允许用户上线,不再进行Portal认证。Client在AC 3上线完成后,AC 3会向AC 1发送上线报文。AC 1收到上线报文后,更新用户表项中的漫游信息,并向AC 3发送上线回应报文。
(3) Client下线。
¡ Client主动下线
无论Client漫游到网络中的任何设备,Client会在第一次上线的设备AC 2上开始下线流程。AC 2删除用户,同时向WLAN漫游中心AC 1发送用户下线报文,AC 1收到用户下线报文后,会将AC 2从用户表项中的上线设备列表中删除,并向上线设备列表中的其他设备发送用户下线报文。AC 3收到AC 1发送的用户下线报文,删除Portal用户表项,并向AC 1发送用户下线回应报文。
¡ Client被强制下线
当Client在AC 3上被强制下线时,AC 3会向WLAN漫游中心AC 1发送用户下线报文,AC 1收到用户下线报文后,会将AC 3从用户表项中的上线设备列表中删除,并向AC 3发送用户下线回应报文。
导致用户强制下线的原因主要包括:
- 管理员手工执行强制下线命令行。
- AP下线。
- 用户的DHCP租约到期。
- AAA授权属性中的用户闲置切断时间或用户会话超时时间超时。
- 在AAA服务器上直接下线。
用户进行Portal认证时,设备可将其HTTPS请求重定向到Portal Web服务器上。HTTPS重定向服务支持两种本地证书:设备签发的自签名证书和CA签发的本地证书。用户可根据安全性要求和配置复杂度在如下两种方案中进行选择:
· 采用设备签发的自签名证书,此方式配置简单但存在安全隐患。在该方式下,无需配置HTTPS重定向服务关联的SSL服务器端策略,使用的SSL参数均为缺省值。但由于自签名证书不是由可信的CA机构签发而不受浏览器信任,当设备将HTTPS请求重定向到Portal Web服务器时,用户浏览器上将会弹出安全风险提示,若用户能够接受使用自签名证书带来的安全风险,可选择忽略此提示,继续浏览网页。
· 采用CA签发的本地证书,此方式配置相对复杂但安全性较强。在该方式下,用户需要获取CA证书并向CA申请本地证书,同时配置SSL服务器端策略(指定的SSL服务器端策略名必须为https_redirect),并将其与HTTPS重定向服务进行关联,来增强HTTPS重定向服务的安全性。
有关数字证书和SSL服务器端策略的详细介绍,请分别参见“安全配置指导”中的“PKI”和“SSL”。
通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与iNode客户端配合。
无论是Web客户端还是iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal认证服务器位于公网。
Portal配置任务如下:
(1) 配置远程Portal服务
如果组网中架设远程Portal认证服务器,则进行该配置。
(2) 配置本地Portal服务
a. 配置本地Portal服务
如果采用接入设备作为Portal服务器,则进行该配置。
(3) 开启Portal认证并引用Portal Web服务器
(4) (可选)指定Portal用户使用的认证域
(5) (可选)控制Portal用户的接入
¡ 配置免认证规则
¡ 配置源认证网段
¡ 配置目的认证网段
¡ 配置黑名单规则
(6) (可选)配置Portal探测功能
¡ 开启通过捕获DHCP报文进行Portal用户在线探测的功能
(7) (可选)配置Portal和RADIUS报文属性
可配置Portal报文的BAS-IP/BAS-IPv6属性和接入设备的ID。
可配置RADIUS报文的NAS-Port-ID属性、NAS-Port-Type属性和接口的NAS-ID Profile。
(8) (可选)配置基于MAC地址的快速认证
a. 配置远程MAC绑定服务器
b. 配置本地MAC绑定服务器
c. 应用MAC绑定服务器
请根据实际情况选择在接口或无线服务模板上进行以下配置。
(9) (可选)配置Portal用户上下线功能
(10) (可选)配置Portal认证的增强功能
¡ 关闭Portal客户端Rule ARP/ND表项生成功能
(11) (可选)配置Portal认证的监控功能
在远程Web认证组网中,必须配置本功能。
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· Portal认证服务器、Portal Web服务器、RADIUS服务器已安装并配置成功。
· 若采用二次地址分配认证方式,接入设备需启动DHCP中继功能,另外需要安装并配置好DHCP服务器。
· 用户、接入设备和各服务器之间路由可达。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 如果需要支持Portal的安全扩展功能,需要安装并配置iMC EAD安全策略组件。同时保证在接入设备上的ACL配置和安全策略服务器上配置的隔离ACL的编号、安全ACL的编号对应。接入设备上与安全策略服务器相关的配置请参见“用户接入与认证配置指导”中的“AAA”。安全策略服务器的配置请参考“iMC EAD安全策略组件联机帮助”。
开启了Portal认证功能后,设备收到Portal报文时,首先根据报文的源IP地址和VPN实例信息查找本地配置的Portal认证服务器,若查找到相应的Portal认证服务器配置,则认为报文合法,并向该Portal认证服务器回应认证响应报文;否则,认为报文非法,将其丢弃。
不要删除正在被用户使用的Portal认证服务器,否则会导致设备上的在线用户无法正常下线。
(1) 进入系统视图。
system-view
(2) 创建Portal认证服务器,并进入Portal认证服务器视图。
portal server server-name
设备支持配置多个Portal认证服务器。
(3) 指定Portal认证服务器的IP地址。
(IPv4网络)
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(IPv6网络)
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(4) (可选)配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。
port port-number
缺省情况下,接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号为50100。
接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号必须与远程Portal认证服务器实际使用的监听端口号保持一致。
(5) 配置Portal认证服务器的类型。
server-type { cmcc | imc }
缺省情况下,Portal认证服务器类型为iMC服务器。
配置的Portal认证服务器类型必须与认证所使用的服务器类型保持一致。
(6) 配置强制用户下线通知报文的重传时间间隔和最大重传次数。
logout-notify retry retries interval interval
缺省情况下,未配置强制用户下线通知报文的重传时间间隔和最大重传次数。
(7) (可选)配置设备定期向Portal认证服务器发送注册报文。
server-register [ interval interval-value ]
缺省情况下,设备不会向Portal认证服务器发送注册报文。
Portal Web服务器配置任务如下:
(2) (可选)配置对重定向给用户的URL中的userip参数进行base64编码
(3) (可选)开启Portal被动Web认证功能
(4) (可选)配置重定向URL的匹配规则
(5) (可选)配置重定向给用户的Portal Web服务器URL中不转义的特殊字符
(6) (可选)配置Portal web服务器的探测URL及探测类型
(1) 进入系统视图。
system-view
(2) 创建Portal Web服务器,并进入Portal Web服务器视图。
portal web-server server-name
可以配置多个Portal Web服务器。
(3) 指定Portal Web服务器所属的VPN。
vpn-instance vpn-instance-name
缺省情况下,Portal Web服务器位于公网中。
(4) 指定Portal Web服务器的URL。
url url-string
缺省情况下,未指定Portal Web服务器的URL。
(5) 配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | ssid | { ap-mac | source-mac } [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }
缺省情况下,未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息。
(6) 配置Portal Web服务器的类型。
server-type { cmcc | imc | oauth }
缺省情况下,设备默认支持的Portal Web服务器类型为iMC服务器。该配置只适用于远程Portal认证。
配置的Portal Web服务器类型必须与认证所使用的服务器类型保持一致。
手机用户采用OAuth协议进行Portal本地微信认证时,如果用户访问网络的URL中携带了userip,则微信认证服务器可能对部分手机用户的userip无法识别,从而无法向用户推送Portal认证页面。配置本命令后,设备会对重定向URL中的userip参数进行base64编码,编码后微信认证服务器即可向此类手机用户正常推送Portal认证页面。
如果用户采用非OAuth协议的Portal认证或非Portal本地微信认证,则不需要配置本命令。
如果设备上配置的Portal Web服务器下的url-parameter命令中未携带source-address参数,则不需要配置本命令。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置对重定向给用户的URL中的userip参数进行base64编码。
portal url-param source-address code-base64
缺省情况下,未配置对重定向给用户的URL中的userip参数进行base64编码。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置对重定向给用户的URL中的userip参数进行base64编码。
portal url-param source-address code-base64
缺省情况下,未配置对重定向给用户的URL中的userip参数进行base64编码。
iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。
当用户暂时不需要进行Portal认证,按Home键返回桌面时,Wi-Fi连接会断开,开启Portal被动认证优化功能后,可以使Wi-Fi在一段时间内继续保持连接。
Portal被动认证优化功能开启后,iOS移动终端接入网络时会自动弹出Portal认证页面,并自动发送服务器可达性探测报文探测苹果服务器是否可达,如果可达,则显示Wi-Fi已连接,如果不可达,则断开网络连接。由于网络或其他原因,iOS移动终端无法在缺省超时时间内发送服务器可达性探测报文,导致Wi-Fi无法连接,被动认证优化功能失效。通过配置探测定时器超时时间,可以延长Portal被动认证优化功能的生效时间,且设备会模拟苹果服务器返回探测响应报文,使Portal认证页面正常显示,并保持Wi-Fi已连接状态。
(1) 进入系统视图。
system-view
(2) 进入Portal Web服务器视图。
portal web-server server-name
(3) 开启Portal被动Web认证功能。
captive-bypass [ android | ios [ optimize ] ] enable
缺省情况下,Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面。
(4) (可选)配置Portal被动Web认证探测的定时器超时时间。
a. 退回系统视图。
quit
b. 配置Portal被动Web认证探测的定时器超时时间。
portal captive-bypass optimize delay seconds
缺省情况下,Portal被动Web认证探测的定时器超时时间为6秒。
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。
为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。
当同时配置了url命令和重定向URL的匹配规则时,重定向URL匹配规则优先进行地址的重定向。
如果设备上同时配置了Portal安全重定向功能和重定向URL的匹配规则,则优先按照安全重定向功能匹配规则进行地址的重定向。
(1) 进入系统视图。
system-view
(2) 进入Portal Web服务器视图。
portal web-server server-name
(3) 配置重定向URL的匹配规则。
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
缺省情况下,设备重定向给用户的Portal Web服务器的URL中的特殊字符,均会被转换成安全的形式(即转义字符),以防止客户端将特殊符号当作语法符号或指令,更改原本预期的语义。
在实际应用中,一些Portal Web服务器无法识别URL中的某些特殊字符的转义字符,会导致Portal Web服务器向客户端提供Web认证页面失败。此时,可以通过配置本命令对某些特殊字符不进行转义处理。
配置特殊字符时,请先确认Portal Web服务器是否能够识别这些特殊字符的转义字符。
(1) 进入系统视图。
system-view
(2) 配置重定向给用户的Portal Web服务器URL中不转义的特殊字符。
portal url-unescape-chars character-string
缺省情况下,对重定向给用户的Portal Web服务器URL中所有的特殊字符进行转义。
(1) 进入系统视图。
system-view
(2) 进入Portal Web服务器视图。
portal web-server server-name
(3) 配置Portal web服务器的探测URL及探测类型。
server-detect url string [ detect-type { http | tcp } ]
缺省情况下,Portal Web服务器可达性探测的URL为Portal web服务器视图下url命令配置的URL地址,探测类型为TCP。
配置了本地Portal服务后,由设备作为Portal Web服务器和Portal认证服务器,对接入用户进行认证。Portal认证页面文件存储在设备的根目录下。
只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:
· 该URL中的IP地址是设备上与客户端路由可达的三层接口IP地址(除127.0.0.1以外)。
· 该URL以/portal/结尾,例如:http://1.1.1.1/portal/。
认证页面的内容和样式需要用户自定义。
在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集标识符)和设备类型(例如苹果、三星设备等)的用户绑定不同的认证页面,系统向用户推出认证页面的选择顺序为:与用户SSID及设备类型绑定的认证页面-->缺省认证页面。
用户自定义的认证页面为HTML文件的形式,压缩后保存在设备的存储介质的根目录中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal Web服务功能的正常使用和系统运行的稳定性。
主索引页面文件名不能自定义,必须使用表1-1中所列的固定文件名。
|
主索引页面 |
文件名 |
|
登录页面 |
logon.htm |
|
登录成功页面 |
logonSuccess.htm |
|
登录失败页面 |
logonFail.htm |
|
在线页面 用于提示用户已经在线 |
online.htm |
|
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
|
下线成功页面 |
logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且字符不区分大小写。
本地Portal Web服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(1) 认证页面中表单(Form)的编辑必须符合以下原则:
¡ 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
¡ 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
¡ 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
¡ 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
¡ 下线Post请求必须包含”PtButton”这个属性。
(2) 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
(3) 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备,并保存在设备的根目录下。
Zip文件保存目录示例:
<Sysname> dir
Directory of flash:
1 -rw- 1405 Feb 28 2019 15:53:20 abc1.zip
0 -rw- 1405 Feb 28 2019 15:53:31 abc2.zip
2 -rw- 1405 Feb 28 2019 15:53:39 abc3.zip
3 -rw- 1405 Feb 28 2019 15:53:44 abc4.zip
2540 KB total (1319 KB free)
若要支持认证成功后认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到指定的网站页面,则需要在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
(1) 将logon.htm文件中的Form的target值设置为“_blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服务支持的协议类型为HTTPS,则需要首先完成以下配置:
· 配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
· 配置SSL服务器端策略,并指定使用已配置的PKI域。为避免在用户浏览器和设备建立SSL连接过程中用户浏览器出现“使用的证书不安全”的告警,需要通过配置自定义名称为https_redirect的SSL服务器端策略,在设备上安装用户浏览器信任的证书。具体配置请参见“安全配置指导”中的“SSL”。
(1) 进入系统视图。
system-view
(2) 开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置本地Portal Web服务提供的缺省认证页面文件。
default-logon-page filename
缺省情况下,本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip。
(4) (可选)配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。
tcp-port port-number
缺省情况下,HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-server命令指定的TCP端口号。
(5) (可选)配置根据SSID,实现Portal用户认证页面的定制功能。
logon-page bind ssid ssid-name file file-name
缺省情况下,未配置SSID与任何定制页面文件的绑定关系。
(6) (可选)在Portal的Web认证页面上开启Portal本地用户密码修改功能。
user-password modify enable
缺省情况下,Portal本地用户密码修改功能处于关闭状态。
如果设备上已开启网络接入类本地用户全局密码管理功能(通过password-control enable network-class命令),Portal本地用户在Web认证页面修改后的密码必须符合Password Control密码设置控制要求。关于密码设置控制的详细介绍,请参见“用户接入与认证配置指导”中的“Password Control”。
(7) 配置Portal用户认证成功时的重定向URL地址。
login success-url url-string
缺省情况下,未配置Portal用户认证成功时的重定向URL地址。
(8) 配置Portal用户认证失败时的重定向URL地址。
login failed-url url-string
缺省情况下,未配置Portal用户认证失败时的重定向URL地址。
在接口上开启Portal认证时,请遵循以下配置原则:
· 为保证以太网接口上的Portal功能生效,请不要将开启Portal功能的以太网接口加入聚合组。
· 禁止在无线服务模板视图和接口视图下同时开启Portal认证功能。
· 当接入设备和Portal用户之间跨越三层设备时,只能配置可跨三层Portal认证方式(layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。
· 允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证。
· 不允许在接口上同时开启Portal认证和Web重定向功能。
当Portal认证方式为二次地址分配方式时,请遵循以下配置限制和指导:
· 在开启二次地址分配方式的Portal认证之前,需要保证开启Portal的接口已配置或者获取了合法的IP地址。
· 在二次地址分配认证方式下,接口上配置的授权ARP后,系统会禁止该接口动态学习ARP表项,只有通过DHCP合法分配到公网IP地址的用户的ARP报文才能够被学习。因此,为保证只有合法用户才能接入网络,建议使用二次地址分配认证方式的Portal认证时,接口上同时配置了授权ARP功能。
· 为了确保Portal用户能在开启二次地址分配认证方式的接口上成功进行Portal认证,必须确保Portal认证服务器上指定的设备IP与设备BAS-IP或BAS-IPv6属性值保持一致。可以通过portal { bas-ip | bas-ipv6 }命令来配置该属性值。
· IPv6 Portal服务器不支持二次地址分配方式的Portal认证。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal认证,并指定认证方式。
(IPv4网络)
portal enable method { direct | layer3 | redhcp }
(IPv6网络)
portal ipv6 enable method { direct | layer3 }
缺省情况下,接口上的Portal认证功能处于关闭状态。
一个接口上可以同时引用一个IPv4 Portal Web服务器和一个IPv6 Portal Web认证服务器。在接口上引用指定的Portal Web服务器后,设备会将该接口上Portal用户的HTTP请求报文重定向到该Web服务器。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 引用Portal Web服务器。
portal [ ipv6 ] apply web-server server-name [ secondary ]
缺省情况下,接口上未引用Portal Web服务器。
禁止在无线服务模板视图和接口视图下同时开启Portal认证功能。
无线服务模板上的Portal认证只支持直接认证方式。
采用本地转发模式时需要开启无线Portal客户端合法性检查功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启Portal认证,并指定认证方式。
portal [ ipv6 ] enable method direct
缺省情况下,无线服务模板上的Portal认证功能处于关闭状态。
在无线服务模板上引用指定的Portal Web服务器后,设备会将无线服务模板上Portal用户的HTTP请求报文重定向到该Web服务器。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 引用Portal Web服务器。
portal [ ipv6 ] apply web-server server-name [ secondary ]
缺省情况下,无线服务模板上未引用Portal Web服务器。
每个Portal用户都属于一个认证域,且在其所属的认证域内进行认证/授权/计费,认证域中定义了一套认证/授权/计费的策略。
通过配置Portal用户使用的认证域,使得所有接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置使得不同接口或无线服务模板上接入的Portal用户使用不同的认证域,从而增加管理员部署Portal接入策略的灵活性。
Portal用户将按照如下先后顺序选择认证域:接口或无线服务模板上指定的Portal用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证。否则,用户将无法认证。关于ISP域的相关介绍请参见“用户接入与认证配置指导”中的“AAA”。
认证域中指定用户所属的VPN实例时,需要注意的是:
· 请确保该授权VPN实例存在,否则用户无法上线成功。
· 用户在线过程中,请不要删除该授权VPN实例,否则用户会被强制下线。
对于认证域中指定的授权ACL,需要注意的是:
· 如果有流量匹配上该授权ACL规则,设备将按照规则中指定的permit或deny动作进行处理。
· 如果没有流量匹配上该授权ACL规则,设备将允许所有报文通过,用户可以直接访问网络。
· 如果需要禁止未匹配上ACL规则的报文通过,请确保授权ACL中的最后一条规则为拒绝所有流量(由rule deny ip命令配置)。
· 该授权ACL中不要配置源IPv4/IPv6地址或源MAC地址信息,否则,可能会导致引用该ACL的用户不能正常上线。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置接口上Portal用户使用的认证域。
portal [ ipv6 ] domain domain-name
缺省情况下,接口上未配置Portal用户使用的认证域。
接口上可以同时配置IPv4 Portal用户和IPv6 Portal用户的认证域。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置无线服务模板上Portal用户使用的认证域。
portal [ ipv6 ] domain domain-name
缺省情况下,无线服务模板上未配置Portal用户使用的认证域。
无线服务模板上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。
免认证规则的匹配项包括主机名、IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN等,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户不需要通过Portal认证即可访问网络资源。
如果免认证规则中同时配置了接口和VLAN,则要求接口属于指定的VLAN,否则该规则无效。
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
无论接口上是否开启Portal认证,只能添加或者删除免认证规则,不能修改。
配置基于源AP的免认证规则之前已经在线的Portal用户会继续计费。
Portal免认证规则引用的ACL中只能包含IP五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议)或IPv4/IPv6地址对象组。
(1) 进入系统视图。
system-view
(2) 配置基于IP地址的Portal免认证规则。
(IPv4网络)
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
(IPv6网络)
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
缺省情况下,未配置基于IP地址的Portal免认证规则。
(1) 进入系统视图。
system-view
(2) 配置基于源的Portal免认证规则。
portal free-rule rule-number source { ap ap-name | { interface interface-type interface-number | mac mac-address | vlan vlan-id } * }
缺省情况下,未配置基于源的Portal免认证规则。
vlan关键字仅对通过VLAN接口接入的Portal用户生效。
(1) 进入系统视图。
system-view
(2) 配置基于目的的Portal免认证规则。
portal free-rule rule-number destination host-name
缺省情况下,未配置基于目的的Portal免认证规则。
配置本功能前,请确保组网中已部署DNS服务器。
(1) 进入系统视图。
system-view
(2) 配置基于ACL的Portal免认证规则。
(IPv4网络)
portal free-rule rule-number acl acl-number
(IPv6网络)
portal free-rule rule-number acl ipv6 acl-number
(1) 进入系统视图。
system-view
(2) 配置Portal免认证规则的描述信息。
portal free-rule rule-number description text
缺省情况下,未配置Portal免认证规则的描述信息。
通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP/HTTPS报文才能触发Portal认证。如果未认证用户的HTTP/HTTPS报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。
源认证网段配置仅对可跨三层Portal认证有效。
直接认证方式和二次地址分配认证方式下,用户与接入设备上开启Portal的接口在同一个网段,因此配置源认证网段没有实际意义。对于直接认证方式,接入设备认为接口上的源认证网段为任意源IP;对于二次地址分配认证方式,接入设备认为接口上的源认证网段为接口私网IP决定的私网网段。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段的配置不会生效。
设备上可以配置多条源认证网段。若配置了网段地址范围有所覆盖或重叠的源认证网段,则仅其中地址范围最大(子网掩码或地址前缀最小)的一条源认证网段配置生效。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置源认证网段。
(IPv4网络)
portal layer3 source ipv4-network-address { mask-length | mask }
(IPv6网络)
portal ipv6 layer3 source ipv6-network-address prefix-length
缺省情况下,对任意用户都进行Portal认证。
通过配置目的认证网段实现仅对要访问指定目的网段(除免认证规则中指定的目的IP地址或网段)的用户进行Portal认证,用户访问非目的认证网段时无需认证,可直接访问。
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段的配置无效。
设备上可以配置多条目的认证网段。若配置了网段地址范围有所覆盖或重叠的目的认证网段,则仅其中地址范围最大(子网掩码或地址前缀最小)的一条目的认证网段配置生效。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置目的认证网段。
(IPv4网络)
portal free-all except destination ipv4-network-address { mask-length | mask }
(IPv6网络)
portal ipv6 free-all except destination ipv6-network-address prefix-length
缺省情况下,对访问任意目的网段的用户都进行Portal认证。
黑名单规则用来过滤某些来自特定源或去往特定目的的报文。当通过设备的报文与黑名单规则相匹配的时候,设备会将这些报文丢弃。
如果黑名单规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致。
源地址和目的地址的IP类型必须相同。
可以配置多条黑名单规则。
如果同时配置了免认证规则和黑名单规则,且二者指定的对象范围有所重叠,则黑名单规则生效。
当黑名单规则配置为目的主机名时,设备会丢弃用户发送的查询目的主机名的DNS报文。如果设备上正确配置了DNS服务器,设备会解析目的主机名的地址,并将去往此地址的报文丢弃;在用户没有发送DNS报文的情况下,如果设备没有正确配置DNS服务器,黑名单规则不生效。
(1) 进入系统视图。
system-view
(2) 配置黑名单规则。
(IPv4网络)
portal forbidden-rule rule-number [ source { ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] }
(IPv6网络)
portal forbidden-rule rule-number [ source { ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] }
缺省情况下,未配置黑名单规则。
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发Portal认证,若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP/HTTPS请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发Portal认证。
配置允许触发Portal认证的Web代理服务器端口,需要注意的是:
· 80和443端口是Portal预留端口号,Portal认证的Web代理服务器的TCP端口号不能配置为80和443。
· 通过多次配置本功能,最多可以添加64个允许触发Portal认证的Web代理服务器端口。
· HTTP和HTTPS请求允许触发Portal认证的Web代理服务器端口不能相同。
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,还需要注意以下几点:
· 配置允许触发Portal认证的Web代理服务器端口的同时,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 需要用户在浏览器上将Portal认证服务器的IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给Portal认证服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Portal认证。
(1) 进入系统视图。
system-view
(2) 配置允许触发Portal认证的Web代理服务器端口。
portal web-proxy { http | https } port port-number
缺省情况下,未配置允许触发Portal认证的Web代理服务器端口。
开启本功能后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证。
用户在无线服务模板上开启Portal认证时需要开启本功能。
关闭本功能后,设备仅根据ARP表项对无线Portal客户端进行合法性检查,请勿在没有Portal客户端ARP表项的设备(如处于本地转发模式的无线组网环境中的AC)上关闭本功能。
(1) 进入系统视图。
system-view
(2) 开启无线Portal客户端合法性检查功能。
portal host-check enable
缺省情况下,无线Portal客户端合法性检查功能处于开启状态。
通过配置可以控制系统中的全局Portal接入用户总数和每个接口或无线服务模板上的最大Portal用户数(包括IPv4 Portal用户和IPv6 Portal用户)。
建议将全局最大Portal用户数配置为所有开启Portal的接口或无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和,但不超过整机最大Portal用户数,否则会有部分Portal用户因为整机最大用户数已达到而无法上线。
(1) 进入系统视图。
system-view
(2) 配置全局Portal最大用户数。
portal max-user max-number
缺省情况下,全局Portal最大用户数不受限制。
如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置Portal最大用户数。
portal { ipv4-max-user | ipv6-max-user } max-number
缺省情况下,全局Portal最大用户数不受限制。
如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置Portal最大用户数。
portal { ipv4-max-user | ipv6-max-user } max-number
缺省情况下,全局Portal最大用户数不受限制。
如果无线服务模板上配置的Portal最大用户数小于当前无线服务模板上已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该无线服务模板上接入。
严格检查模式用于配合服务器上的用户授权控制策略,允许成功下发了授权信息的用户在线。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置Portal授权信息的严格检查模式。
portal authorization { acl | user-profile } strict-checking
· 当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制Portal用户下线。
· 若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
缺省情况下,Portal授权信息处于非严格检查模式,即当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,允许Portal用户在线。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置Portal授权信息的严格检查模式。
portal authorization { acl | user-profile } strict-checking
· 当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制Portal用户下线。
· 若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
缺省情况下,Portal授权信息处于非严格检查模式,即当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,允许Portal用户在线。
为了保证只有合法IP地址的用户能够接入,可以配置仅允许DHCP用户上线功能。
本功能仅在采用接入设备作为DHCP服务器的组网中生效。
此配置不会影响已经在线的用户。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal仅允许DHCP用户上线功能。
portal [ ipv6 ] user-dhcp-only
· 配置本功能后,IP地址为静态配置的Portal认证用户将不能上线。
· 在AC+Fit AP组网中,仅当AC作DHCP服务器时,本命令才生效。
· 在IPv6网络中,配置本功能后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以终端必须关闭临时IPv6地址。
缺省情况下,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置Portal仅允许DHCP用户上线功能。
portal user-dhcp-only
· 配置本功能后,IP地址为静态配置的Portal认证用户将不能上线。
· 在AC+Fit AP组网中,仅当AC作DHCP服务器时,本命令才生效。
· 在IPv6网络中,配置本功能后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以终端必须关闭临时IPv6地址。
缺省情况下,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线。
Portal认证失败后的用户阻塞功能处于开启状态时,如果在指定时间内用户进行Portal认证失败的次数达到指定值,该用户将被阻塞一段时间,即在此时间段内来自该用户的认证请求报文将被丢弃。通过配置该功能,可防止非法用户使用穷举法试探合法用户的密码。
(1) 进入系统视图。
system-view
(2) 开启Portal认证失败后的用户阻塞功能。
portal user-block failed-times failed-times period period [ method { ip | mac | username } ]
缺省情况下,用户进行Portal认证失败后的用户阻塞功能处于关闭状态。
(3) 配置Portal用户被阻塞的时长。
portal user-block reactive period
缺省情况下,Portal用户被阻塞的时长为30分钟。
Portal用户被阻塞的时长取值为0时表示该用户不能被激活重新进行Portal认证。
正常情况下,IPv4用户通过Portal认证后只能访问IPv4网络,IPv6用户通过Portal认证后只能访问IPv6网络,而配置Portal支持双协议栈功能后,用户可以通过一次Portal认证实现既能访问IPv4网络也能访问IPv6网络。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal支持双协议栈功能。
portal dual-stack enable
缺省情况下,Portal支持双协议栈功能处于关闭状态。
(4) 开启Portal双协议栈流量计费分离功能。
portal dual-stack traffic-separate enable
缺省情况下,Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启Portal支持双协议栈功能。
portal dual-stack enable
缺省情况下,Portal支持双协议栈功能处于关闭状态。
(4) 开启Portal双协议栈流量计费分离功能。
portal dual-stack traffic-separate enable
缺省情况下,Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费。
Portal用户VLAN内漫游功能允许同属一个VLAN的用户在VLAN内漫游,即只要Portal用户在某VLAN接口通过认证,则可以在该VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证。若VLAN接口上未开启该功能,则在线用户在同一个VLAN内其它端口接入时,将无法访问外部网络资源,必须首先在原端口正常下线之后,才能在其它端口重新认证上线。
该功能只对通过VLAN接口上线的用户有效,对于通过普通三层接口上线的用户无效。
设备上有用户在线的情况下,不能配置此功能。
Portal用户VLAN内漫游功能需要在关闭Portal客户端Rule ARP/ND表项生成功能(通过命令undo portal refresh { arp | nd } enable)的情况下才能生效。
(1) 进入系统视图。
system-view
(2) 开启Portal用户VLAN内漫游功能。
portal roaming enable
缺省情况下,Portal用户VLAN内漫游功能处于开启状态。
Portal用户AC间漫游是指Portal用户在AC设备上进行Portal认证成功后,再漫游到其它AC设备时,不需要再次进行Portal认证,可以继续访问网络资源。本功能需要与WLAN漫游中心配合使用,WLAN漫游中心的详细介绍,请参见“WLAN配置指导”中的“WLAN漫游中心”。
本功能与基于MAC地址的快速认证功能不能同时配置。
仅用户通过Web页面进行Portal认证支持本功能。
本功能必须与authorization-attribute命令中的idle-cut或session-timeout属性配合使用。
(1) 进入系统视图。
system-view
(2) 创建Portal漫游中心,并进入Portal漫游中心视图。
portal roaming-center
(3) 指定WLAN漫游中心的IPv4地址。
ip ip-address
缺省情况下,未指定WLAN漫游中心的IPv4地址。
(4) 指定WLAN漫游中心的IPv6地址。
ipv6 ipv6-address
缺省情况下,未指定WLAN漫游中心的IPv6地址。
(5) 配置WLAN漫游中心的UDP端口号。
port port-number
缺省情况下,WLAN漫游中心的UDP端口号为1088。
(6) (可选)配置Portal漫游中心等待WLAN漫游中心响应报文的超时时间。
response-timeout timeout
缺省情况下,Portal漫游中心接收WLAN漫游中心响应报文的超时时间为3秒。
(7) (可选)配置Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数。
retry retries
缺省情况下,Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数为5次。
(8) (可选)开启设备阻止用户报文访问网络的功能。
user-traffic deny
缺省情况下,设备阻止用户报文访问网络的功能处于关闭状态。
(9) 开启Portal漫游中心功能。
roaming-center enable
缺省情况下,Portal漫游中心功能处于关闭状态。
缺省情况下,开启了Portal认证的接口或无线服务模板,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类接口或无线服务模板发送的报文进行严格控制时,可以在接口或无线服务模板上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的接口或无线服务模板上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal出方向报文过滤功能。
portal [ ipv6 ] outbound-filter enable
缺省情况下,Portal出方向的报文过滤功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启Portal出方向报文过滤功能。
portal [ ipv6 ] outbound-filter enable
缺省情况下,Portal出方向的报文过滤功能处于关闭状态。
当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时,可打开接口或无线服务模板上的网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能。
如果接口或无线服务模板上同时开启了Portal认证服务器不可达时的Portal用户逃生功能和Portal Web服务器不可达时的Portal用户逃生功能,则当任意一个服务器不可达时,即取消接口或无线服务模板的Portal认证功能,当两个服务器均恢复可达性后,再重新启动Portal认证功能。重新启动接口或无线服务模板的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal认证服务器不可达时的Portal用户逃生功能。
portal [ ipv6 ] fail-permit server server-name
缺省情况下,设备探测到Portal认证服务器不可达时,不允许Portal用户逃生。
(4) 开启Portal Web服务器不可达时的Portal用户逃生功能。
portal [ ipv6 ] fail-permit web-server
缺省情况下,设备探测到Portal Web服务器不可达时,不允许Portal用户逃生。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启Portal Web服务器不可达时的Portal用户逃生功能。
portal [ ipv6 ] fail-permit web-server
缺省情况下,设备探测到Portal Web服务器不可达时,不允许Portal用户逃生。
IPv4探测类型为ARP或ICMP,IPv6探测类型为ND或ICMPv6。
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP/ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送ICMP/ICMPv6报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP/ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文。设备定期(interval interval)检测用户ARP/ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP/ND表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线。
ARP和ND方式的探测只适用于直接方式和二次地址分配方式的Portal认证。ICMP方式的探测适用于所有认证方式。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启Portal用户在线探测功能。
(IPv4网络)
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
(IPv6网络)
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
缺省情况下,接口上的Portal用户在线探测功能处于关闭状态。
在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。
开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:
· 发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
· Portal用户逃生:Portal认证服务器不可达时,暂时取消接口上进行的Portal认证,允许该接口接入的所有Portal用户访问网络资源。之后,若设备收到Portal认证服务器发送的报文,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.13.15 配置Portal用户逃生功能”。
只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效。
目前,只有iMC的Portal认证服务器支持发送心跳报文,由于心跳报文是周期性发送的,所以iMC的Portal认证服务器可以更好得与设备配合,使其能够及时而准确地探测到它的可达性状态。如果要采用心跳报文探测Portal服务器的可达性,服务器上必须保证逃生心跳功能处于开启状态。
如果同时指定了多种操作,则Portal认证服务器可达状态改变时系统可并发执行多种操作。
设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。
(1) 进入系统视图。
system-view
(2) 进入Portal认证服务器视图。
portal server server-name
(3) 开启Portal认证服务器的可达性探测功能。
server-detect [ timeout timeout ] log
缺省情况下,Portal服务器可达性探测功能处于关闭状态。
在Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。开启了Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测。接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
· 探测参数
¡ 探测间隔:进行探测尝试的时间间隔。
¡ 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
· 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
¡ 发送日志:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
¡ Portal用户逃生:Portal Web服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若Portal Web服务器可达,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.13.15 配置Portal用户逃生功能”。
只有当配置了Portal Web服务器的URL地址,且设备上存在开启Portal认证接口时,该Portal Web服务器的可达性探测功能才生效。
对于无线AC应用,如果Portal Web服务器的URL是域名形式,则集中转发时,需要在AC上配置DNS server,本地转发时,需要在AP上配置DNS server(通过MAP文件下发),否则可能会导致Portal Web服务器可达性探测失败。
(1) 进入系统视图。
system-view
(2) 进入Portal Web服务器视图。
portal web-server server-name
(3) 开启Portal Web服务器的可达性探测功能。
server-detect [ interval interval ] [ retry retries ] log
缺省情况下,Portal Web认证服务器的可达性探测功能处于关闭状态。
开启DHCP报文捕获功能后,AC会通过AP捕获DHCP客户端(Portal用户)与DHCP服务器之间的DHCP报文,并进行报文解析以获取IP地址租约等信息,如果在IP地址租约到期前收到Portal用户的续约报文,则AC认为Portal用户在线,继续提供Portal服务,如果IP地址租约到期未收到Portal用户续约报文,则会强制在线Portal用户下线。有关DHCP报文的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。
DHCP报文捕获定时器与DHCP报文中IP地址租约保持一致,每次捕获DHCP报文后,都会刷新DHCP报文捕获定时器时间。
(1) 进入系统视图。
system-view
(2)&
支持