认证百度源

i目录1Portal1-11.
1Portal配置命令1-11.
1.
1captive-bypassenable·1-11.
1.
2displayportalhttp-defenseattacked-ip1-21.
1.
3displayportalhttp-defenseblocked-ip·1-31.
1.
4displayportalhttp-defenseip-count1-41.
1.
5displayportalhttp-defensemonitored-ip·1-51.
1.
6displayportalinterface1-61.
1.
7displayportalpacketstatistics·1-81.
1.
8displayportalrule1-101.
1.
9displayportalserver1-151.
1.
10displayportaluser1-161.
1.
11displayportalweb-server1-211.
1.
12displayweb-redirectrule1-231.
1.
13ip·1-251.
1.
14ipv6·1-261.
1.
15port1-271.
1.
16portal{bas-ip|bas-ipv61-271.
1.
17portalapplyweb-server·1-281.
1.
18portalauthorizationstrict-checking·1-291.
1.
19portaldelete-user1-301.
1.
20portaldomain·1-311.
1.
21portalenable·1-321.
1.
22portalfail-permitserver·1-321.
1.
23portalfree-rule1-331.
1.
24portalfree-ruledestination·1-351.
1.
25portalfree-rulesource1-361.
1.
26portalhttp-defense1-371.
1.
27portalhttp-defenseenable·1-381.
1.
28portalhttp-defensemax-ip-number1-381.
1.
29portal{ipv4-max-user|ipv6-max-user1-391.
1.
30portalipv6layer3source1-401.
1.
31portalipv6user-detect·1-41ii1.
1.
32portallayer3source·1-421.
1.
33portallogenable·1-431.
1.
34portalmax-user·1-431.
1.
35portalnas-port-idformat·1-441.
1.
36portalpre-authdomain1-471.
1.
37portalpre-authip-pool1-481.
1.
38portalroamingenable·1-491.
1.
39portalserver·1-491.
1.
40portaluser-detect1-501.
1.
41portalweb-server·1-511.
1.
42resetportalhttp-defenseattacked-ip·1-521.
1.
43resetportalhttp-defenseblocked-ip·1-531.
1.
44resetportalpacketstatistics·1-541.
1.
45server-detect(portalserverview)1-541.
1.
46server-detect(portalweb-serverview)1-551.
1.
47url·1-561.
1.
48url-parameter·1-571.
1.
49user-sync·1-581.
1.
50vpn-instance1-591.
1.
51web-redirecturl·1-601-11Portal本功能仅SPEX-1204单板、CSPEX-1404X/CSPEX-1404S单板、CSPEX-1504X/CSPEX-1504S单板支持.
1.
1Portal配置命令1.
1.
1captive-bypassenablecaptive-bypassenable命令用来开启Portal被动Web认证功能.
undocaptive-bypassenable命令用来关闭Portal被动Web认证功能.
【命令】captive-bypassenableundocaptive-bypassenable【缺省情况】Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【使用指导】iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面.
开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面.
【举例】#开启Portal被动Web认证功能.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]captive-bypassenable【相关命令】displayportalweb-server1-21.
1.
2displayportalhttp-defenseattacked-ipdisplayportalhttp-defenseattacked-ip命令用来显示HTTP防攻击中被阻塞过的目的IP统计信息.
【命令】独立运行模式:displayportalhttp-defenseattacked-ip[slotslot-number]IRF模式:displayportalhttp-defenseattacked-ip[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】slotslot-number:显示指定单板上HTTP防攻击中被阻塞过的目的IP统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上最近发生的HTTP防攻击中被阻塞过的目的IP统计信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上HTTP防攻击中被阻塞过的目的IP统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上HTTP防攻击中被阻塞过的目的IP统计信息.
(IRF模式)【使用指导】本命令用来显示发生过HTTP攻击的目的IP统计信息,最多可显示512条攻击记录信息.
当记录信息超过512条时,将会删除最早的记录,同时添加最新的攻击信息.
【举例】#显示HTTP防攻击中被阻塞过的目的IP统计信息.
(独立运行模式)displayportalhttp-defenseattacked-ipSlot0:DestIPAttacksFirstattackLastattack1.
1.
1.
2117:12:3411/23/201617:12:3411/23/20162.
2.
2.
2217:12:3411/23/201617:13:2511/23/2016表1-1displayportalhttp-defenseattacked-ip命令显示信息描述表字段描述DestIP发生过HTTP攻击的目的IP地址Attacks该目的IP发生过HTTP攻击的次数Firstattack该目的IP首次发生攻击的时间Lastattack该目的IP最后一次发生攻击的时间1-3【相关命令】resetportalhttp-defenseattacked-ip1.
1.
3displayportalhttp-defenseblocked-ipdisplayportalhttp-defenseblocked-ip命令用来显示HTTP防攻击中处于阻塞状态的目的IP统计信息.
【命令】独立运行模式:displayportalhttp-defenseblocked-ip[slotslot-number]IRF模式:displayportalhttp-defenseblocked-ip[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】slotslot-number:显示指定单板上HTTP防攻击中处于阻塞状态的目的IP统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上HTTP防攻击中被阻塞的目的IP地址统计信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上HTTP防攻击中处于阻塞状态的目的IP统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上HTTP防攻击中处于阻塞状态的目的IP统计信息.
(IRF模式)【举例】#显示HTTP防攻击中处于阻塞状态的目的IP统计信息.
(独立运行模式)displayportalhttp-defenseblocked-ipSlot0:DestinationIPaddressesDefensestatusondriver1.
1.
1.
2Success2.
2.
2.
2Failure表1-2displayportalhttp-defenseblocked-ip命令显示信息描述表字段描述DestinationIPaddressesHTTP防攻击中处于阻塞状态的目的IP地址列表DefensestatusondriverHTTP防攻击中处于阻塞状态的目的IP地址下发到驱动的标志,有如下取值:Success:下发到驱动成功1-4Failure:下发到驱动失败【相关命令】resetportalhttp-defenseblocked-ip1.
1.
4displayportalhttp-defenseip-countdisplayportalhttp-defenseip-count命令用来显示HTTP防攻击中处于不同状态的目的IP数目.
【命令】独立运行模式:displayportalhttp-defenseip-count[slotslot-number]IRF模式:displayportalhttp-defenseip-count[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】slotslot-number:显示指定单板上HTTP防攻击中处于不同状态的目的IP数目.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上HTTP防攻击中处于不同状态的目的IP数目.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上HTTP防攻击中处于不同状态的目的IP数目.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上HTTP防攻击中处于不同状态的目的IP数目.
(IRF模式)【举例】#显示HTTP防攻击中处于不同状态的目的IP数目.
(独立运行模式)displayportalhttp-defenseip-countSlot0:BlockedIP:10AttackedIP:20MonitoredIP:10表1-3displayportalhttp-defensecount命令显示信息描述表字段描述BlockedIPHTTP防攻击中处于阻塞状态的目的IP数目AttackedIPHTTP防攻击中被阻塞过的目的IP数目MonitoredIPHTTP防攻击中处于监控状态的目的IP数目1-51.
1.
5displayportalhttp-defensemonitored-ipdisplayportalhttp-defensemonitored-ip命令用来显示HTTP防攻击中处于监控状态下的目的IP统计信息.
【命令】独立运行模式:displayportalhttp-defensemonitored-ip[slotslot-number]IRF模式:displayportalhttp-defensemonitored-ip[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】slotslot-number:显示指定单板上的HTTP防攻击中处于监控状态的目的IP统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则显示所有单板上的HTTP防攻击中处于监控状态的目的IP统计信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的HTTP防攻击中处于监控状态的目的IP统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板上的HTTP防攻击中处于监控状态的目的IP统计信息.
(IRF模式)【使用指导】显示HTTP防攻击过程中尚未满足攻击条件仍处于监控状态下的目的IP统计信息.
如果某个目的IP地址已经满足攻击条件,则该目的IP地址会被阻塞.
被阻塞的目的IP地址信息可以通过命令displayportalhttp-defenseblocked-ip查看.
【举例】#显示HTTP防攻击的统计信息.
(独立运行模式)displayportalhttp-defensemonitored-ipSlot0:IPaddressPacketstatistics1.
1.
1.
2301.
1.
1.
31001.
1.
1.
450表1-4displayportalhttp-defensemonitored-ip命令显示信息描述表字段描述IPaddress目的IP地址信息1-6Packetstatistics访问目的IP地址的报文个数【相关命令】displayportalhttp-defenseblocked-ip1.
1.
6displayportalinterfacedisplayportalinterface命令用来显示指定接口上的Portal配置信息和Portal运行状态信息.
【命令】displayportalinterfaceinterface-typeinterface-number【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】interface-typeinterface-number:表示接口类型和接口编号.
【举例】#显示接口GigabitEthernet3/1/1的Portal配置信息和Portal运行状态信息.
displayportalinterfacegigabitethernet3/1/1PortalinformationofGigabitEthernet3/1/1VSRPinstance:--VSRPstate:N/AAuthorizationStrictcheckingACLEnabledUserprofileDisabledIPv4:Portalstatus:EnabledAuthenticationtype:Layer3PortalWebserver:wbsAuthenticationdomain:my-domainPre-authdomain:abcPre-authIPpool:abBAS-IP:NotconfiguredUserdetection:Type:ICMPInterval:300sAttempts:5Idletime:180sActionforserverdetection:ServertypeServernameActionWebserverwbsfail-permitPortalserverptsfail-permitLayer3sourcenetwork:IPaddressMask1.
1.
1.
1255.
255.
0.
01-7IPv6:Portalstatus:enabledAuthenticationtype:layer3PortalWebserver:wbsv6Authenticationdomain:my-domainPre-authdomain:abcPre-authIPpool:NotconfiguredBAS-IPv6:NotconfiguredUserdetection:Type:ICMPv6Interval:300sAttempts:5Idletime:180sActionforserverdetection:ServertypeServernameActionWebserverwbsv6fail-permitPortalserverptsv6fail-permitLayer3sourcenetwork:IPaddressPrefixlength11::564表1-5displayportalinterface命令显示信息描述表字段描述Portalinformationofinterface接口上的Portal信息VSRPinstance接口上引用的VSRP实例名称(暂不支持)VSRPstate接口的VSRP状态,取值为N/A,表示接口上未引用VSRP实例Authorization服务器下发给Portal用户的授权信息类型,包括ACL和UserprofileStrictcheckingPortal授权信息的严格检查模式是否开启IPv4IPv4Portal的相关信息IPv6IPv6Portal的相关信息Portalstatus接口上Portal认证的运行状态,包括以下取值:Disabled:Portal认证未使能Enabled:Portal认证已使能Authorized:Portal认证服务器或者PortalWeb服务器不可达,端口自动开放Authenticationtype接口上配置的认证方式,包括以下取值:Direct:直接方式Redhcp:二次地址方式Layer3:可跨三层路由方式PortalWebserver接口上配置的PortalWeb服务器的名称Authenticationdomain接口上的Portal强制认证域Pre-authdomain接口上的Portal认证前域,即Portal认证前用户使用的认证域,未指定则显示NotconfiguredPre-authip-pool为认证前的Portal用户指定的IP地址池名称1-8字段描述BAS-IP发送给Portal认证服务器的Portal报文的BAS-IP属性BAS-IPv6发送给Portal认证服务器的Portal报文的BAS-IPv6属性Userdetection接口上配置的用户在线状态探测配置,包括探测的方法(ARP、ICMP、ND、ICMPv6),探测周期和探测尝试次数,用户闲置的时间Actionforserverdetection服务器可达性探测功能对应的端口控制配置:Servertype:服务器类型,包括Portalserver和Webserver,分别表示Portal认证服务器和PortalWeb服务器Servername:服务器名称Action:对应的接口根据服务器探测结果所采取的动作,为不需要认证(fail-permit)Layer3sourcesubnetPortal源认证网段信息IPaddressPortal认证网段的IP地址MaskPortal认证网段的子网掩码PrefixlengthPortalIPv6认证网段的地址前缀长度【相关命令】portaldomainportalenableportalipv6layer3sourceportallayer3sourceportalweb-server1.
1.
7displayportalpacketstatisticsdisplayportalpacketstatistics命令用来显示Portal认证服务器的报文统计信息,包括设备接收到Portal认证服务器发送的报文以及设备发送给该Portal认证服务器的报文的信息.
【命令】displayportalpacketstatistics[serverserver-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】serverserver-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server,则依次显示所有Portal认证服务器的报文统计信息.
1-9【举例】#显示名字为pts的Portal认证服务器的报文统计信息.
displayportalpacketstatisticsserverptsPortalserver:ptsInvalidpackets:0Pkt-TypeTotalDropsErrorsREQ_CHALLENGE300ACK_CHALLENGE300REQ_AUTH300ACK_AUTH300REQ_LOGOUT100ACK_LOGOUT100AFF_ACK_AUTH300NTF_LOGOUT100REQ_INFO600ACK_INFO600NTF_USERDISCOVER000NTF_USERIPCHANGE000AFF_NTF_USERIPCHAN000ACK_NTF_LOGOUT100NTF_USER_HEARTBEAT200ACK_NTF_USER_HEARTBEAT000NTF_CHALLENGE000NTF_USER_NOTIFY000AFF_NTF_USER_NOTIFY000表1-6displayportalserverstatistics命令显示信息描述表字段描述PortalserverPortal认证服务器名称Invalidpackets无效报文的数目Pkt-Type报文的名称Total报文的总数Drops丢弃报文数Errors错误报文数REQ_CHALLENGEPortal认证服务器向接入设备发送的challenge请求报文ACK_CHALLENGE接入设备对Portal认证服务器challenge请求的响应报文REQ_AUTHPortal认证服务器向接入设备发送的请求认证报文ACK_AUTH接入设备对Portal认证服务器认证请求的响应报文REQ_LOGOUTPortal认证服务器向接入设备发送的下线请求报文ACK_LOGOUT接入设备对Portal认证服务器下线请求的响应报文AFF_ACK_AUTHPortal认证服务器收到认证成功响应报文后向接入设备发送的确认报文1-10字段描述NTF_LOGOUT接入设备发送给Portal认证服务器,用户被强制下线的通知报文REQ_INFO信息询问报文ACK_INFO信息询问的响应报文NTF_USERDISCOVERPortal认证服务器向接入设备发送的发现新用户要求上线的通知报文NTF_USERIPCHANGE接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文AFF_NTF_USERIPCHANPortal认证服务器通知接入设备对用户表项的IP切换已成功报文ACK_NTF_LOGOUTPortal认证服务器对强制下线通知的响应报文NTF_USER_HEARTBEAT接入设备收到的从Portal认证服务器发送的用户同步报文ACK_NTF_USER_HEARTBEAT接入设备向Portal认证服务器回应的用户同步响应报文NTF_HEARTBEATPortal认证服务器周期性向接入设备发送的服务器心跳报文NTF_CHALLENGE接入设备向Portal认证服务器发送的challenge请求报文NTF_USER_NOTIFY接入设备向Portal认证服务器发送的用户消息通知报文AFF_NTF_USER_NOTIFYPortal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文【相关命令】resetportalpacketstatistics1.
1.
8displayportalruledisplayportalrule命令用来显示指定接口上用于报文匹配的Portal过滤规则信息.
【命令】独立运行模式:displayportalrule{all|dynamic|static}interfaceinterface-typeinterface-number[slotslot-number]IRF模式:displayportalrule{all|dynamic|static}interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有Portal规则信息,包括动态Portal规则和静态Portal规则.
1-11dynamic:显示动态Portal规则信息,即用户通过Portal认证后设备上产生的Portal规则,这类规则定义了允许指定源IP地址的报文通过接口.
static:显示静态Portal规则信息,即使能Portal后产生的Portal规则,这类规则定义了在Portal功能开启后对接口上收到的报文的过滤动作.
interfaceinterface-typeinterface-number:显示指定接口的Portal规则信息.
interface-typeinterface-number为接口类型和接口编号.
slotslot-number:显示指定单板上的Portal规则信息,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有单板.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的Portal规则信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示所有成员设备上的所有单板.
(IRF模式)【举例】#显示接口GigabitEthernet3/1/1上所有Portal过滤规则的信息.
displayportalruleallinterfacegigabitethernet3/1/1IPv4portalrulesonGigabitEthernet3/1/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet3/1/1VLAN:AnyDestination:IP:192.
168.
0.
111Mask:255.
255.
255.
255Port:AnyRule2Type:DynamicAction:PermitStatus:ActiveSource:IP:2.
2.
2.
2MAC:000d-88f8-0eabInterface:GigabitEthernet3/1/1VLAN:AnyAuthorACL:Number:3001Rule31-12Type:StaticAction:RedirectStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet3/1/1VLAN:AnyProtocol:TCPDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:0.
0.
0.
0Mask:0.
0.
0.
0Interface:GigabitEthernet3/1/1VLAN:AnyDestination:IP:0.
0.
0.
0Mask:0.
0.
0.
0IPv6portalrulesonGigabitEthernet3/1/1:Rule1Type:StaticAction:PermitProtocol:AnyStatus:ActiveSource:IP:::Prefixlength:0Port:AnyMAC:0000-0000-0000Interface:GigabitEthernet3/1/1VLAN:AnyDestination:IP:3000::1Prefixlength:64Port:AnyRule2Type:DynamicAction:Permit1-13Status:ActiveSource:IP:3000::1MAC:0015-e9a6-7cfeInterface:GigabitEthernet3/1/1VLAN:AnyAuthorACL:Number:3001Rule3Type:StaticAction:RedirectStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet3/1/1VLAN:AnyProtocol:TCPDestination:IP:::Prefixlength:0Port:80Rule4:Type:StaticAction:DenyStatus:ActiveSource:IP:::Prefixlength:0Interface:GigabitEthernet3/1/1VLAN:AnyDestination:IP:::Prefixlength:0AuthorACL:Number:3001Rule5:Type:StaticAction:Matchpre-authACLStatus:ActiveSource:Interface:GigabitEthernet3/1/1Pre-authACL:Number:30021-14表1-7displayportalrule命令显示信息描述表字段描述RulePortal过滤规则编号.
IPv4过滤规则和IPv6过滤规则分别编号TypePortal过滤规则的类型,包括以下取值:Static:静态类型Dynamic:动态类型ActionPortal过滤规则的匹配动作,包括以下取值:Permit:允许报文通过Redirect:重定向报文Deny:拒绝报文通过Matchpre-authACL:匹配认证前域中的授权ACL规则ProtocolPortal过滤规则的传输层协议,包括以下取值:Any:不限制传输层协议类型TCP:TCP传输类型UDP:UDP传输类型StatusPortal过滤规则下发的状态,包括以下取值:Active:表示规则已生效Unactuated:表示规则未生效SourcePortal过滤规则的源信息IP源IP地址Mask源IPv4地址子网掩码Prefixlength源IPv6地址前缀Port源传输层端口号MAC源MAC地址InterfacePortal过滤规则应用的二层或三层接口VLAN源VLANProtocolPortal规则的协议类型DestinationPortal规则的目的信息IP目的IP地址Port目的传输层端口号Mask目的IPv4地址子网掩码Prefixlength目的IPv6地址前缀AuthorACLPortal用户认证后的授权ACL,即AAA授权给用户的ACL,该字段仅在Type为Dynamic时显示Pre-authACLPortal用户认证前的授权ACL,该字段仅在Action为Matchpre-authACL时显示Number授权ACL编号,N/A表示AAA未授权ACL1-151.
1.
9displayportalserverdisplayportalserver命令用来显示Portal认证服务器信息.
【命令】displayportalserver[server-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server-name,则显示所有Portal认证服务器信息.
【举例】#显示Portal认证服务器pts的信息.
displayportalserverptsPortalserver:ptsIP:192.
168.
0.
111VPNinstance:vpn1Port:50100Serverdetection:Timeout60sAction:log,trapUsersynchronization:Timeout200sStatus:Up表1-8displayportalserver命令显示信息描述表字段描述PortalserverPortal认证服务器名称IPPortal认证服务器的IP地址VPNinstancePortal认证服务器所属的MPLSL3VPNPortPortal认证服务器的监听端口ServerdetectionPortal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(暂仅支持log)UsersynchronizationPortal用户信息同步功能的参数,包括超时时间(单位:秒)1-16字段描述StatusPortal认证服务器当前状态,其取值如下:N/A:服务器可达性探测功能未开启,可达状态未知Up:服务器可达性探测功能已开启,探测结果为该服务器当前可达Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达【相关命令】portalenableportalserverserver-detect(portalserverview)user-sync1.
1.
10displayportaluserdisplayportaluser命令用来显示Portal用户的信息.
【命令】displayportaluser{all|interfaceinterface-typeinterface-number|ipipv4-address|ipv6ipv6-address}|pre-auth[interfaceinterface-typeinterface-number|ipip-address|ipv6ipv6-address]}[verbose]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有Portal用户的信息.
interfaceinterface-typeinterface-number:显示指定接口上的Portal用户信息.
interface-typeinterface-number为接口类型和接口编号.
ipipv4-address:显示指定IPv4地址的Portal用户信息.
ipv6ipv6-address:显示指定IPv6地址的Portal用户信息.
pre-auth:显示Portal认证前用户信息.
若不指定该参数,则显示Portal用户的信息.
verbose:显示指定用户的详细信息.
【举例】#显示所有Portal用户的信息.
displayportaluserallTotalportalusers:2Username:abcPortalserver:ptsState:Online1-17VPNinstance:--MACIPVLANInterface000d-88f8-0eab2.
2.
2.
2--GigabitEthernet3/1/1Authorizationinformation:DHCPIPpool:N/AUserprofile:abc(active)Sessiongroupprofile:N/AACLnumber:N/AInboundCAR:N/AOutboundCAR:N/AUsername:defPortalserver:ptsState:OnlineVPNinstance:vpn1MACIPVLANInterface000d-88f8-0eac3.
3.
3.
3--GigabitEthernet3/1/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACLnumber:3000(active)InboundCAR:CIR3072bpsPIR3072bps(active)OutboundCAR:CIR3072bpsPIR3072bps(active)#显示所有Portal认证前用户的信息.
displayportaluserpre-authTotalportalpre-authusers:2MACIPVLANInterface000a-eb29-75f118.
18.
0.
3--Route-Aggregation100State:OnlineVPNinstance:N/AAuthorizationinformation:Userprofile:quew(active)Sessiongroupprofile:N/AACLnumber:3000(active)InboundCAR:CIR3072bpsPIR3072bps(inactive)OutboundCAR:CIR3072bpsPIR3072bps(inactive)MACIPVLANInterface000a-eb29-75f218.
18.
0.
4--Route-Aggregation100State:OnlineVPNinstance:N/AAuthorizationinformation:Userprofile:quew(active)Sessiongroupprofile:N/AACLnumber:3000(active)InboundCAR:CIR3072bpsPIR3072bps(inactive)OutboundCAR:CIR3072bpsPIR3072bps(inactive)#显示IP地址为50.
50.
50.
3的Portal用户的详细信息.
displayportaluserip-address50.
50.
50.
3verbose1-18Basic:CurrentIPaddress:50.
50.
50.
3OriginalIPaddress:30.
30.
30.
2Username:user1@hrssUserID:0x28000002Accessinterface:eth3/2/2Service-VLAN/Customer-VLAN:-/-MACaddress:0000-0000-0001Domain:hrssVPNinstance:123Status:OnlinePortalserver:testPortalauthenticationmethod:DirectAAA:Realtimeaccountinginterval:60s,retrytimes:3Idlecut:180sec,10240bytes,direction:InboundSessionduration:500sec,remaining:300secRemainingtraffic:10240000bytesLogintime:2014-01-192:42:3UTCITApolicyname:testIPpool:abcACL&QoS&Multicast:InboundCAR:CIR64000bpsPIR640000bps(active)OutboundCAR:CIR64000bpsPIR640000bps(active)ACLnumber:3000(inactive)Userprofile:portal(active)Sessiongroupprofile:N/AMaxmulticastaddresses:4Multicastaddresslist:1.
2.
3.
1,1.
34.
33.
1,3.
123.
123.
3,4.
5.
6.
72.
2.
2.
2,3.
3.
3.
3,4.
4.
4.
4Usergroup:N/AFlowstatistic:Uplinkpackets/bytes:7/546Downlinkpackets/bytes:0/0ITA:level-1uplinkpackets/bytes:4/32downlinkpackets/bytes:2/12level-2uplinkpackets/bytes:0/0downlinkpackets/bytes:0/0表1-9displayportaluser命令显示信息描述表字段描述Totalportalusers总计的Portal用户数目Username用户名Portalserver用户认证所使用的Portal认证服务器的名称1-19字段描述StatePortal用户的当前状态,包括以下取值:Initialized:初始化完成后的待认证状态Authenticating:正在认证状态Authorizing:正在授权状态Online:在线状态VPNinstancePortal用户所属的MPLSL3VPN.
若用户属于公网,则显示为"--"AuthorizationACLPortal用户的授权ACL.
若用户无授权ACL,则显示为"None"VPNinstancePortal用户所属的MPLSL3VPN.
若用户属于公网,则显示为"--"MACPortal用户的MAC地址IPPortal用户的IP地址VLANPortal用户所在的VLANInterfacePortal用户接入的接口AuthorizationinformationPortal用户的授权信息IPpoolPortal用户的授权地址池名字.
若无授权地址池,则显示为N/AUserprofilePortal用户的授权UserProfile名称.
若未授权UserProfile,则显示为N/A.
授权状态包括如下:active:AAA授权Userprofile成功inactive:AAA授权Userprofile失败或者设备上不存在该Userprofile需要注意的是,如果使能Portal功能的接口是全局接口(例如VLAN接口),显示的是主控板Portal用户的授权UserProfile状态;如果使能Portal功能的接口是局部接口(例如以太网接口),显示的是该接口所在单板上Portal用户的授权UserProfile状态Sessiongroupprofile暂不支持ACLnumberPortal用户的授权ACL.
若无授权ACL,则显示为N/A.
授权状态包括如下:active:AAA授权ACL成功inactive:AAA授权ACL失败或者设备上不存在该ACLInboundCAR授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权入方向CAR,则显示为N/Aactive:授权的入方向CAR生效inactive:授权的入方向CAR不生效OutboundCAR授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权出方向CAR,则显示为N/Aactive:授权的出方向CAR生效inactive:授权的出方向CAR不生效1-20表1-10displayportaluserverbose命令显示信息描述表字段描述CurrentIPaddress用户当前的IP地址OriginalIPaddress用户认证时的IP地址Username用户认证上线的用户名UserID用户IDAccessinterface用户接入的接口Service-VLAN/Customer-VLAN用户接入的外层VLAN/内层VLANMACaddress用户MAC地址Domain用户认证实际使用的域名VPNinstance用户接入的VPN实例名称StatusPortal用户的当前状态,包括以下取值:Authenticating:正在认证状态Authorizing:正在授权状态Waiting_SetRule:正在下发规则状态Online:在线状态Waiting_Traffic:正在等待用户流量状态StopAccounting:正在停止计费状态Done:用户下线完成状态PortalserverPortal服务器名称Portalauthenticationmethod用户接入的Portal使能方式,包括如下取值:Direct:直接方式Re-Dhcp:二次地址方式Layer3:三层方式Realtimeaccountinginterval实时计费时间间隔和重传次数,如果没有授权,显示为N/AIdlecut授权的Idle-cut时间和流量,如果没有,显示为N/Adirection用户数据流量的统计方向,包括以下取值:Both:表示用户双向数据流量Inbound:表示用户上行数据流量Outbound:表示用户下行数据流量Sessionduration授权的会话时间以及剩余的会话时间,如果没有,显示为N/ARemainingtraffic授权的剩余流量,如果没有显示为N/ALogintime用户接入的时间,即用户授权成功的时间,格式为设备时间,如:2023-1-192:42:30UTCIPpool授权的DHCP地址池名称,如果没有,显示为N/A1-21字段描述InboundCAR授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权入方向CAR,则显示为N/Aactive:授权的入方向CAR生效inactive:授权的入方向CAR不生效OutboundCAR授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps).
若未授权出方向CAR,则显示为N/Aactive:授权的出方向CAR生效inactive:授权的出方向CAR不生效ACLnumber授权的ACL号,如果没有,显示为N/A,状态包括如下:active:授权ACL生效inactive:授权ACL不生效UserprofilePortal用户的授权UserProfile名称.
若未授权UserProfile,则显示为N/A.
授权状态包括如下:active:AAA授权Userprofile成功inactive:AAA授权Userprofile失败或者设备上不存在该Userprofile需要注意的是,如果使能Portal功能的接口是全局接口(例如VLAN接口),显示的是主控板Portal用户的授权UserProfile状态;如果使能Portal功能的接口是局部接口(例如以太网接口),显示的是该接口所在单板上Portal用户的授权UserProfile状态Sessiongroupprofile暂不支持Maxmulticastaddresses授权的可加入的最大受控组播个数Multicastaddresslist授权可加入的受控组播列表UsergroupPortal用户所属的用户组FlowstatisticPortal用户流量统计信息Uplinkpackets/bytes上行流量包数/字节数Downlinkpackets/bytes下行流量包数/字节数level-nuplinkpackets/bytesITAlevel-n的上行流量包数/字节数(n为1-8),如果未开启ITA特性,此处不显示level-ndownlinkpackets/bytesITAlevel-n的下行流量包数/字节数(n为1-8),如果未开启ITA特性,此处不显示【相关命令】portalenable1.
1.
11displayportalweb-serverdisplayportalweb-server命令用来显示PortalWeb服务器信息.
【命令】displayportalweb-server[server-name]1-22【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】server-name:PortalWeb服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server-name,则显示所有PortalWeb服务器信息.
【举例】#显示PortalWeb服务器wbs的信息.
displayportalweb-serverwbsPortalWebserver:wbsURL:http://www.
test.
com/portalURLparameters:userurl=http://www.
test.
com/welcomeuserip=source-addressVPNinstance:NotconfiguredServerdetection:Interval:120sAttempts:5Action:log,trapIPv4status:UpIPv6status:N/ACaptive-bypass:Enabled表1-11displayportalweb-server命令显示信息描述表字段描述PortalWebserverPortalWeb服务器名称URLPortalWeb服务器的URL地址以及携带的参数URLparametersPortalWeb服务器的URL携带的参数信息VPNinstancePortalWeb服务器所属的MPLSL3VPN实例名称ServerdetectionPortalWeb服务器可达性探测功能的参数,包括探测间隔时间(单位:秒),探测尝试次数以及探测到服务器状态变化后的动作(暂仅支持log)IPv4/IPv6statusPortalweb服务器当前状态,其取值如下:N/A:服务器可达性探测功能未开启,可达状态未知Up:服务器可达性探测功能已开启,且探测结果为该服务器当前可达Down:服务器可达性探测功能已开启,且探测结果为该服务器当前不可达Captive-bypassPortal被动Web认证功能状态,其取值如下:Disabled:未开启Enabled:已开启1-23【相关命令】portalenableportalweb-serverserver-detect(portalweb-serverview)1.
1.
12displayweb-redirectruledisplayweb-redirectrule命令用来显示指定接口上的Web重定向过滤规则信息.
【命令】独立运行模式:displayweb-redirectruleinterfaceinterface-typeinterface-number[slotslot-number]IRF设备:displayweb-redirectruleinterfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】interfaceinterface-typeinterface-number:显示指定接口的Web重定向过滤规则信息.
interface-typeinterface-number为接口类型和接口编号.
slotslot-number:显示指定单板上指定接口的Web重定向过滤规则信息.
slotslot-number表示单板所在槽位号.
若不指定该参数,则显示主用主控板上的Web重定向过滤规则信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上指定接口的Web重定向过滤规则,chassis-number表示设备在IRF中的成员编号,slotslot-number表示单板所在槽位号.
若不指定该参数,则显示全局主用主控板上的Web重定向过滤规则信息.
(IRF模式)【举例】#显示接口GigabitEthernet3/1/1上的所有Web重定向过滤规则.
displayweb-redirectruleinterfacegigabitethernet3/1/1IPv4web-redirectrulesonGigabitEthernet3/1/1:Rule1:Type:DynamicAction:PermitStatus:ActiveSource:IP:192.
168.
2.
114VLAN:AnyRule2:1-24Type:StaticAction:RedirectStatus:ActiveSource:VLAN:AnyProtocol:TCPDestination:Port:80IPv6web-redirectrulesonGigabitEthernet3/1/1:Rule1:Type:StaticAction:RedirectStatus:ActiveSource:VLAN:AnyProtocol:TCPDestination:Port:80表1-12displayweb-redirectrule命令显示信息描述表字段描述RuleWeb重定向规则编号TypeWeb重定向规则的类型,包括以下取值:Static:静态类型.
该类型的规则在Web重定向功能生效时生成Dynamic:动态类型.
该类型的规则在用户访问重定向页面时生成ActionWeb重定向规则的匹配动作,包括以下取值:Permit:允许报文通过Redirect:重定向报文StatusWeb重定向规则下发的状态,包括以下取值:Active:表示规则已生效Deactive:表示规则未生效SourceWeb重定向规则的源信息IP源IP地址Mask源IPv4地址子网掩码Prefixlength源IPv6地址前缀VLAN源VLAN,如果未指定,显示为AnyProtocolWeb重定向规则的传输层协议类型,包括以下取值:Any:不限制传输层协议类型TCP:TCP传输类型DestinationWeb重定向规则的目的信息1-25字段描述Port目的传输层端口号,默认为801.
1.
13ipip命令用来指定Portal认证服务器的IPv4地址.
undoip命令用来删除指定的Portal认证服务器的IPv4地址.
【命令】ipipv4-address[vpn-instancevpn-instance-name][key{cipher|simple}key-string]undoip【缺省情况】没有指定Portal认证服务器的IPv4地址.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】ipv4-address:Portal认证服务器的IPv4地址.
vpn-instancevpn-instance-name:Portal认证服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示Portal认证服务器位于公网中.
key:与Portal认证服务器通信时使用的共享密钥.
设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性.
cipher:表示以密文方式设置共享密钥.
simple:表示以明文方式设置共享密钥.
key-string:设置的明文密钥或密文密钥,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串.
【使用指导】一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的.
不同的Portal认证服务器不允许IP地址和VPN的配置都相同.
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中.

【举例】#指定Portal认证服务器pts的IPv4地址为192.
168.
0.
111、共享密钥为明文portal.
system-view[Sysname]portalserverpts1-26[Sysname-portal-server-pts]ip192.
168.
0.
111keysimpleportal【相关命令】portalserverdisplayportalserver1.
1.
14ipv6ipv6命令用来指定Portal认证服务器的IPv6地址.
undoipv6命令用来删除指定的Portal认证服务器的IPv6地址.
【命令】ipv6ipv6-address[vpn-instancevpn-instance-name][key{cipher|simple}key-string]undoipv6【缺省情况】没有指定Portal认证服务器的IPv6地址.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】ipv6-address:Portal认证服务器的IPv6地址.
vpn-instancevpn-instance-name:Portal认证服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示Portal认证服务器位于公网中.
key:与Portal认证服务器通信需要的共享密钥.
设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性.
cipher:表示以密文方式设置共享密钥.
simple:表示以明文方式设置共享密钥.
key-string:设置的明文密钥或密文密钥,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为33~117个字符的字符串.
【使用指导】一个Portal认证服务器对应一个IP地址,因此一个Portal认证服务器视图下只允许存在一个IP地址,后配置IP地址(无论IPv4或IPv6)会覆盖已配置的.
不同的Portal认证服务器不允许IP地址和VPN的配置都相同.
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中.

【举例】#指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]ipv62000::1keysimpleportal1-27【相关命令】portalserverdisplayportalserver1.
1.
15portport命令用来配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号.
undoport命令用来恢复缺省情况.
【命令】portport-idundoport【缺省情况】接入设备主动发送Portal报文时使用的UDP端口号为50100.
【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】port-id:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534.
【使用指导】本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致.
【举例】#配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]port50000【相关命令】portalserver1.
1.
16portal{bas-ip|bas-ipv6}portal{bas-ip|bas-ipv6}命令用来设置发送给Portal认证服务器的Portal报文中的BAS-IP或BAS-IPv6属性.
undoportal{bas-ip|bas-ipv6}命令用来删除接口下指定的BAS-IP或BAS-IPv6属性.
【命令】portal{bas-ipipv4-address|bas-ipv6ipv6-address}undoportal{bas-ip|bas-ipv6}1-28【缺省情况】对于响应类报文IPv4Portal报文中的BAS-IP属性为报文的源IP地址,IPv6Portal报文中的BAS-IPv6属性为报文源IPv6地址.
对于通知类报文IPv4Portal报文中的BAS-IP属性为出接口的IP地址,IPv6Portal报文中的BAS-IPv6属性为出接口的IPv6地址.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv4-address:接口发送Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6-address:接口发送Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址.
【使用指导】设备上运行Portal协议2.
0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性.
设备上运行Portal协议3.
0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性.
配置此命令后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP,否则为Portal报文出接口IP地址.
接口上使能了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过本命令配置相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则用户认证无法成功.
使用H3CiMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则使能了Portal认证的接口上必须配置BAS-IP或者BAS-IPv6属性.
【举例】#配置接口GigabitEthernet3/1/1发送Portal报文的BAS-IP属性值为2.
2.
2.
2.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalbas-ip2.
2.
2.
2【相关命令】displayportalinterface1.
1.
17portalapplyweb-serverportal[ipv6]applyweb-server命令用来在接口上引用PortalWeb服务器,设备会将Portal用户的HTTP请求报文重定向到该Web服务器.
undoportal[ipv6]applyweb-server命令用来取消接口上引用的PortalWeb服务器.
1-29【命令】portal[ipv6]applyweb-serverserver-name[fail-permit]undoportal[ipv6]applyweb-server【缺省情况】接口上没有引用任何PortalWeb服务器.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6PortalWeb服务器.
若不指定该参数,则表示IPv4PortalWeb服务器.
server-name:被引用的PortalWeb服务器的名字,为1~32个字符的字符串,区分大小写,且必须已经存在.
fail-permit:开启PortalWeb服务器不可达时的Portal用户逃生功能,即设备探测到PortalWeb服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络.
【使用指导】一个接口上可以同时使能IPv4Portal认证和IPv6Portal认证,因此也可以同时引用一个IPv4PortalWeb服务器和一个IPv6PortalWeb认证服务器.
如果接口上同时开启了Portal认证服务器逃生功能和PortalWeb服务器逃生功能,则当任意一个服务器不可达时,即放开接口控制,当两个服务器均恢复可达性后,再重新启动Portal认证功能.
【举例】#在接口GigabitEthernet3/1/1上引用名称为wbs的PortalWeb服务器作为用户认证时使用的Web服务器.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalapplyweb-serverwbs【相关命令】displayportalinterfaceportalfail-permitserverportalweb-server1.
1.
18portalauthorizationstrict-checkingportalauthorizationstrict-checking命令用来开启Portal授权信息的严格检查模式.
undoauthorizationstrict-checking命令用来恢复缺省情况.
【命令】portalauthorization{acl|user-profile}strict-checkingundoportalauthorization{acl|user-profile}strict-checking1-30【缺省情况】缺省为非严格检查授权信息模式,当服务器下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,用户保持在线.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】acl:表示开启对授权ACL的严格检查.
user-profile:表示开启对授权UserProfile的严格检查.
【使用指导】接口上开启Portal授权信息的严格检查模式后,当服务器给用户下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,设备将强制该用户下线.
可同时使能对授权ACL和授权UserProfile的严格检查模式.
若同时使能了对授权ACL和对授权UserProfile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线.
【举例】#在接口GigabitEthernet3/1/1上开启对授权ACL的严格检查模式.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname–GigabitEthernet3/1/1]portalauthoriztionaclstrict-checking【相关命令】displayportalinterface1.
1.
19portaldelete-userportaldelete-user命令用来强制在线Portal用户下线.
【命令】portaldelete-user{ipv4-address|all|interfaceinterface-typeinterface-number|ipv6ipv6-address}【视图】系统视图【缺省用户角色】network-admin【参数】ipv4-address:在线Portal用户的IPv4地址.
all:所有接口下的在线IPv4Portal用户和IPv6Portal用户.
1-31interfaceinterface-typeinterface-number:指定接口下的所有在线Portal用户,包括IPv4Portal用户和IPv6Portal用户.
interface-typeinterface-number为接口类型和接口编号.
ipv6ipv6-address:指定在线IPv6Portal用户的地址.
【举例】#强制IP地址为1.
1.
1.
1的在线Portal用户下线.
system-view[Sysname]portaldelete-user1.
1.
1.
1【相关命令】displayportaluser1.
1.
20portaldomainportal[ipv6]domain命令用于指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域.
undoportal[ipv6]domain命令用来删除指定的Portal用户使用的认证域.
【命令】portal[ipv6]domaindomain-nameundoportal[ipv6]domain【缺省情况】未指定Portal用户使用的认证域.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6Portal用户使用的认证域.
若不指定本参数,则表示指定IPv4Portal用户使用的认证域.
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写.
【使用指导】接口上可以同时指定IPv4Portal用户和IPv6Portal用户的认证域.
如果不指定ipv6参数,则表示配置或者删除IPv4Portal用户使用的认证域.
【举例】#指定从接口GigabitEthernet3/1/1上接入的IPv4Portal用户使用认证域为my-domain.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname–GigabitEthernet3/1/1]portaldomainmy-domain【相关命令】displayportalinterface1-321.
1.
21portalenableportal[ipv6]enable命令用来在接口上使能Portal认证,并指定认证方式.
undoportal[ipv6]enable命令用来在指定接口上取消指定的Portal认证.
【命令】portalenablemethod{direct|layer3|redhcp}portalipv6enablemethod{direct|layer3}undoportal[ipv6]enable【缺省情况】接口上没有使能Portal认证.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal认证.
若不指定该参数,则表示IPv4Portal认证.
method:认证方式.
direct:直接认证方式.
layer3:可跨三层认证方式.
redhcp:二次地址分配认证方式.
【使用指导】使能IPv6Portal功能之前,需要保证设备支持IPv6ACL和IPv6转发功能.
IPv6Portal认证不支持二次地址分配方式.
为使接口上的Portal功能生效,使能Portal的接口不能加入聚合组.
允许在接口上同时使能IPv4Portal认证和IPv6Portal认证.
Tunnel接口配置Portal功能不生效.
【举例】#在接口GigabitEthernet3/1/1上使能IPv4Portal认证,且指定为直接认证方式.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalenablemethoddirect【相关命令】displayportalinterface1.
1.
22portalfail-permitserverportal[ipv6]fail-permitserver命令用来开启Portal认证服务器不可达时的Portal用户逃生功能,即设备探测到Portal认证服务器不可达时取消接口的控制功能,允许用户不经过Portal认证即可自由访问网络.
1-33undoportal[ipv6]fail-permitserver命令用来关闭指定的Portal认证服务器逃生功能.
【命令】portal[ipv6]fail-permitserverserver-nameundoportal[ipv6]fail-permitserver【缺省情况】设备探测到Portal认证服务器不可达时,不允许Portal用户逃生.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal认证服务器.
若不指定该参数,则表示IPv4Portal认证服务器.
server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写.
【使用指导】如果接口上同时开启了Portal认证服务器逃生功能和PortalWeb服务器逃生功能,则当任意一个服务器不可达时,立即放开接口控制;当两个服务器均恢复可达后,再重新启动接口的Portal认证功能.
重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源.
一个接口上,最多同时可以开启一个Portal认证服务器逃生功能和一个PortalWeb服务器逃生功能,且新配置会覆盖原有的配置.
【举例】#在接口GigabitEthernet3/1/1上启用Portal认证服务器pts1不可达时的Portal用户逃生功能.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalfail-permitserverpts1【相关命令】displayportalinterface1.
1.
23portalfree-ruleportalfree-rule命令用来配置基于IP地址的Portal免认证规则.
undoportalfree-rule命令用来删除指定的或所有Portal免认证规则.
【命令】portalfree-rulerule-number{destinationip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]|sourceip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]portalfree-rulerule-number{destinationipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]|sourceipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]1-34undoportalfree-rule{rule-number|all}【缺省情况】不存在基于IP地址的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号.
destination:指定目的信息.
source:指定源信息.
ipip-address:免认证规则的IPv4地址.
{mask-length|mask}:免认证规则的IP地址掩码.
其中,mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码,点分十进制格式.
ipv6ipv6-address:免认证规则的IPv6地址.
prefix-length:免认证规则的IPv6地址前缀长度,取值范围为0~128.
ipany:任意IPv4地址.
ipv6any:任意IPv6地址.
tcptcp-port-number:免认证规则的TCP端口号,取值范围为0~65535.
udpudp-port-number:免认证规则的UDP端口号,取值范围为0~65535.
all:所有免认证规则.
interfaceinterface-typeinterface-number:免认证规则生效的三层接口.
【使用指导】可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制.

如果免认证规则中同时配置了源端口号和目的端口号,则要求源和目的端口号所属的传输层协议类型保持一致.
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复.

未指定三层接口的情况下,免认证规则对所有使能Portal的接口生效;指定三层接口的情况下,免认证规则只对指定的三层接口生效.
在接口上同时使能Portal和未知源IPoE功能的情况下,当需要配置基于IP地址的免认证规则时,必须指定源IP地址,且该地址不能与ipsubscriberunclassified-ipipmatch或ipv6subscriberunclassified-ipipmatch命令指定的IP地址/地址范围冲突.
关于ipsubscriberunclassified-ipipmatch和ipv6subscriberunclassified-ipipmatch命令的详细描述,请参见"用户接入命令参考"中的"IPoE".
在接口上同时使能Portal和DHCP报文触发生成IPoE功能的情况下,当需要配置基于IP地址的免认证规则时,必须指定源IP地址,且该地址不能与DHCP服务器分配给IPoE用户的IP地址冲突.
1-35【举例】#配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.
10.
10.
1/24、目的地址为20.
20.
20.
1、目的TCP端口号为23、生效接口为GigabitEthernet3/1/1.
该规则表示在GigabitEthernet3/1/1接口上,10.
10.
10.
1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.
20.
20.
1的主机在TCP端口23上提供的服务.
system-view[Sysname]portalfree-rule1destinationip20.
20.
20.
132tcp23sourceip10.
10.
10.
124interfacegigabitethernet3/1/1#配置一条基于IPv6地址的Portal免认证规则:编号为2、源地址为2000::1/64、目的地址为2001::1、目的TCP端口号为23、生效接口为GigabitEthernet3/1/1.
该规则表示在GigabitEthernet3/1/1接口上,2000::1/64网段地址的用户不需要经过Portal认证即可以访问目的地址为2001::1的主机在TCP端口23上提供的服务.
system-view[Sysname]portalfree-rule2destinationipv62001::1128tcp23sourceip2000::164interfacegigabitethernet3/1/1【相关命令】displayportalrule1.
1.
24portalfree-ruledestinationportalfree-ruledestination命令用来配置基于目的的Portal免认证规则,这里的目的指的是主机名.
undoportalfree-rule命令用来删除指定的或所有Portal免认证规则.
【命令】portalfree-rulerule-numberdestinationhost-nameundoportalfree-rule{rule-number|all}【缺省情况】不存在基于目的的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号.
取值范围为0~4294967295.
destination:指定目的信息.
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、"-"、"_"、".
"和通配符"*",且不能为"ip"和"ipv6".
all:所有免认证规则.
【使用指导】基于目的Portal免认证规则支持如下两种配置方式:1-36精确匹配:即完整匹配主机名.
例如配置的主机名为abc.
com.
cn,其含义为只匹配abc.
com.
cn的主机名,如果报文中携带的主机名为dfabc.
com.
cn,则匹配失败.
模糊匹配:即使用通配符配置主机名,通配符只能位于主机名字符串之首或末尾,例如配置的主机名为*abc.
com.
cn、abc*和*abc*,其含义分别为匹配所有以abc.
com.
cn结尾的主机名、匹配所有以abc开头的主机名和匹配所有含有abc字符串的主机名.
需要注意的是:通配符"*"表示任意个数字符,设备会将已配置的多个连续的通配符识别为一个通配符.

配置的主机名不能只有通配符.
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复.

【举例】#配置一条基于目的的Portal免认证规则:编号为4、主机名为www.
h3c.
com.
该规则表示用户的HTTP/HTTPS请求报文中的主机名必须是www.
h3c.
com时,该用户才可以不需要经过Portal认证即可以访问网络资源.
system-view[Sysname]portalfree-rule4destinationwww.
h3c.
com【相关命令】displayportalrule1.
1.
25portalfree-rulesourceportalfree-rulesource命令用来配置基于源的Portal免认证规则,这里的源可以是源MAC地址、源接口或者源VLAN.
undoportalfree-rule命令用来删除免认证规则.
【命令】portalfree-rulerule-numbersource{interfaceinterface-typeinterface-number|macmac-address|vlanvlan-id}*undoportalfree-rule{rule-number|all}【缺省情况】没有配置基于源的Portal免认证规则.
【视图】系统视图【缺省用户角色】network-admin【参数】rule-number:免认证规则编号.
interfaceinterface-typeinterface-number:免认证规则的源接口.
interface-typeinterface-number为接口类型和接口编号.
macmac-address:免认证规则的源MAC地址,为H-H-H的形式.
设备配置本关键字不生效.
vlanvlan-id:免认证规则的源VLAN编号.
本关键字仅对通过VLAN接口接入的Portal用户生效.
1-37all:所有免认证规则.
【使用指导】如果免认证规则中同时指定了源VLAN和二层源接口,则要求该接口属于对应的VLAN,否则该规则无效.
【举例】#配置一条Portal免认证规则:编号为3、源VLAN为VLAN10.
该规则表示MAC地址为1-1-1,属于VLAN10的用户不需要经过Portal认证即可以访问网络资源.
system-view[Sysname]portalfree-rule3sourcevlan10【相关命令】displayportalrule1.
1.
26portalhttp-defenseportalhttp-defense命令用来配置HTTP防攻击参数.
undoportalhttp-defense命令用来恢复缺省情况.
【命令】portalhttp-defense{block-timeoutminutes|statistics-intervalvalue|thresholdnumber}*undoportalhttp-defense【缺省情况】匹配重定向规则的报文的统计时间间隔为5分钟,统计时间内报文的统计阈值为6000,攻击报文的阻断时长为10分钟.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【参数】block-timeoutminutes:攻击报文的阻断的时长,取值范围为1~60,单位分钟.
statistics-intervalvalue:统计匹配重定向规则的报文的时间间隔,取值范围为1~60,单位分钟.
thresholdnumber:触发HTTP防攻击的报文阈值,取值范围为100~4294967295.
【使用指导】开启HTTP防攻击功能后,设备会基于目的IP地址统计匹配重定向规则的HTTP请求报文数.
如果在统计时间间隔内,访问某一目的IP地址的报文统计数值达到了HTTP防攻击的触发阈值,访问该目的IP地址的报文将被视为攻击报文而丢弃,使用户不能在阻断时长内访问该目的IP地址.
修改后的配置,仅对后续发生攻击的报文有效.
1-38【举例】#配置HTTP防攻击报文的统计时间间隔为2分钟,触发HTTP防攻击的报文阈值为200,报文阻断时长为5分钟.
system-view[Sysname]portalhttp-defensestatistics-interval2threshold200block-timeout5【相关命令】portalhttp-defenseenable1.
1.
27portalhttp-defenseenableportalhttp-defenseenable命令用来开启PortalHTTP防攻击功能.
undoportalhttp-defenseenable命令用来恢复缺省情况.
【命令】portalhttp-defenseenableundoportalhttp-defenseenable【缺省情况】PortalHTTP防攻击功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【使用指导】由于某些用户使用的客户端安装了各种工具软件(如百度云等),使得用户在进行Portal认证前产生大量的HTTP请求,导致设备的资源占用率过高,影响正常用户的认证效率,甚至导致用户认证失败.
开启HTTP防攻击功能,可针对某些频繁发起的HTTP请求进行控制,减轻非认证HTTP报文对认证服务器资源的占用.
【举例】#开启HTTP防攻击功能.
system-view[Sysname]portalhttp-defenseenable1.
1.
28portalhttp-defensemax-ip-numberportalhttp-defensemax-ip-number命令用来配置HTTP防攻击允许用户访问的不同目的IP地址的最大数量.
undoportalhttp-defensemax-ip-number命令用来恢复缺省情况.
【命令】portalhttp-defensemax-ip-numbermax-ip-number1-39undoportalhttp-defensemax-ip-number【缺省情况】HTTP防攻击允许用户访问的不同目的IP地址的最大数量为4096.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【参数】max-ip-number:HTTP防攻击基于目的IP地址统计时允许用户访问的不同目的IP地址的最大数量,取值范围为1~8000.
【使用指导】当用户访问不同目的IP地址时,设备会建立相应的统计信息.
如果有恶意攻击者持续发起对不同目的IP的访问时,设备会因建立统计信息而消耗大量内存.
开启HTTP防攻击功能后,设备会对用户访问的不同目的IP地址数目进行统计.
通过配置设备允许访问不同目的IP地址的数量,可以限制统计信息对设备内存的占用.
【举例】#配置HTTP防攻击允许用户访问的不同目的IP地址的数量为2000.
system-view[Sysname]portalhttp-defensemax-ip-number20001.
1.
29portal{ipv4-max-user|ipv6-max-user}portal{ipv4-max-user|ipv6-max-user}命令用来配置每个接口下最大Portal用户数.
undoportal{ipv4-max-user|ipv6-max-user}命令用来恢复缺省情况.
【命令】portal{ipv4-max-user|ipv6-max-user}max-numberundoportal{ipv4-max-user|ipv6-max-user}【缺省情况】每个接口下最大Portal用户数不受限制.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】max-number:每个接口下允许的最大IPv4或IPv6Portal用户数,取值范围为1~4294967295.
1-40【使用指导】如果接口上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则该配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入.
【举例】#在接口GigabitEthernet3/1/1上配置最大IPv4Portal用户数为100.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalipv4-max-user100【相关命令】displayportalinterfaceportalmax-user1.
1.
30portalipv6layer3sourceportalipv6layer3source命令用来配置IPv6Portal源认证网段,即接口上只允许在源认证网段范围内的IPv6用户报文才能触发Portal认证,否则丢弃.
undoportalipv6layer3source命令用来删除配置的IPv6Portal源认证网段.
【命令】portalipv6layer3sourceipv6-network-addressprefix-lengthundoportalipv6layer3source[ipv6-network-address]【缺省情况】没有配置IPv6Portal源认证网段,表示对来自任意网段的IPv6用户都进行Portal认证.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6-network-address:IPv6Portal源认证网段地址.
prefix-length:IPv6地址前缀长度,取值范围为0~128.
【使用指导】如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv6Portal源认证网段.
源认证网段仅对Portal的可跨三层认证方式(layer3)生效.
【举例】#在接口GigabitEthernet3/1/1上配置一条IPv6Portal源认证网段为1::1/16,仅允许来自1::1/16网段的用户触发Portal认证.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname–GigabitEthernet3/1/1]portalipv6layer3source1::1161-41【相关命令】displayportalinterface1.
1.
31portalipv6user-detectportalipv6user-detect命令用来开启IPv6Portal用户在线探测功能.
undoportaluser-detect命令用来恢复缺省情况.
【命令】portalipv6user-detecttype{nd|icmpv6}[retryretries][intervalinterval][idletime]undoportalipv6user-detect【缺省情况】接口上的IPv6Portal用户在线探测功能处于关闭状态.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】type:指定探测类型.
nd:表示探测类型为ND.
icmpv6:表示探测类型为ICMPv6.
retryretries:探测次数,取值范围为1~10,缺省3次.
intervalinterval:探测间隔,取值范围为1~1200,单位为秒,缺省3秒.
idletime:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省180秒.
【使用指导】根据探测类型的不同,设备有以下两种探测机制:{当探测类型为ICMPv6时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户定期(intervalinterval)发送探测报文.
如果在指定探测次数(retryretries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线.
{当探测类型为ND时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户发送ND请求报文.
设备定期(intervalinterval)检测用户ND表项是否被刷新过,如果在指定探测次数(retryretries)内用户ND表项被刷新过,则认为用户在线,且停止检测用户ND表项,重复这个过程,否则,强制其下线.
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ND或ICMPv6探测方式,如果配置了可跨三层认证方式,则可以使用ICMPv6探测方式,若配置了ND探测方式,则探测功能不生效.
1-42如果用户接入设备上配置了阻止ICMPv6报文的防火墙策略,则接口上的ICMPv6探测方式可能会失败,从而导致接口上的Portal用户非正常下线.
因此,若接口上需要使用ICMPv6探测方式,请保证用户接入设备不会过滤掉ICMPv6报文.
【举例】#在接口GigabitEthernet3/1/1上开启IPv6Portal用户在线探测功能:探测类型为ICMPv6,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname–GigabitEthernet3/1/1]portalipv6user-detecttypeicmpv6retry5interval10idle300【相关命令】displayportalinterface1.
1.
32portallayer3sourceportallayer3source命令用来配置IPv4Portal源认证网段,即接口上只允许在源认证网段范围内的IPv4用户报文才能触发Portal认证,否则丢弃.
undoportallayer3source命令用来删除配置的IPv4Portal源认证网段.
【命令】portallayer3sourceipv4-network-address{mask-length|mask}undoportallayer3source[ipv4-network-address]【缺省情况】没有配置IPv4Portal源认证网段,表示对来自任意网段的IPv4用户都进行Portal认证.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv4-network-address:IPv4Portal认证网段地址.
mask-length:子网掩码长度,取值范围为0~32.
mask:子网掩码,点分十进制格式.
【使用指导】如果undo命令中不携带IP地址参数,则表示删除指定所有的IPv4Portal源认证网段.
源认证网段仅对Portal的可跨三层认证方式(layer3)生效.
【举例】#在接口GigabitEthernet3/1/1上配置一条IPv4Portal源认证网段为10.
10.
10.
0/24,仅允许来自10.
10.
10.
0/24网段的用户触发Portal认证.
system-view[Sysname]interfacegigabitethernet3/1/11-43[Sysname–GigabitEthernet3/1/1]portallayer3source10.
10.
10.
024【相关命令】displayportalinterface1.
1.
33portallogenableportallogenable命令用来开启Portal日志信息功能.
undoportallogenable命令用来恢复缺省情况.
【命令】portallogenable[abnormal-logout|failed-login|normal-logout|successful-login]*undoportallogenable[abnormal-logout|failed-login|normal-logout|successful-login]*【缺省情况】Portal日志信息功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【参数】successful-login:用户上线成功的日志信息.
failed-login:用户上线失败的日志信息.
normal-logout:用户正常下线的日志信息.
abnormal-logout:用户异常下线的日志信息.
【使用指导】开启Portal日志信息功能后,设备将Portal日志信息发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向).
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
【举例】#开启Portal日志信息功能.
system-view[Sysname]portallogenable#开启Portal用户上线成功的日志信息功能.
system-view[Sysname]portallogenablesuccessful-login1.
1.
34portalmax-userportalmax-user命令用来配置全局Portal最大用户数.
undoportalmax-user命令用来恢复缺省情况.
【命令】portalmax-usermax-number1-44undoportalmax-user【缺省情况】全局Portal最大用户数不受限制.
【视图】系统视图【缺省用户角色】network-admin【参数】max-number:系统中允许同时在线的最大Portal用户数.
该参数的取值范围为1~4294967295.
【使用指导】如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入.
该命令指定的最大用户数是指IPv4Portal和IPv6Portal用户的总数.
建议所有使能Portal的接口上的最大IPv4Portal用户数和最大IPv6Portal用户数之和不超过全局最大Portal用户数配置为,否则会有部分Portal用户因为全局最大用户数已达到而无法上线.
【举例】#配置全局Portal最大用户数为100.
system-view[Sysname]portalmax-user100【相关命令】displayportaluserportal{ipv4-max-user|ipv6-max-user}1.
1.
35portalnas-port-idformatportalnas-port-idformat命令用来配置NAS-Port-ID属性的格式.
undoportalnas-port-idformat命令用来恢复缺省情况.
【命令】portalnas-port-idformat{1|2|3|4}undoportalnas-port-idformat【缺省情况】NAS-Port-ID的消息格式为格式2.
【视图】系统视图【缺省用户角色】network-admin1-45【参数】1:表示格式1,具体为{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.
XCIAccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.
ANI_XCI].
2:表示格式2,具体为SlotID/00/IfNO/VlanID.
3:表示格式3,具体为在格式2的内容后面添加Option82或者Option18.
4:表示格式4,具体为"slot=**;subslot=**;port=**;vlanid=**;vlanid2=**;".
【使用指导】可通过本命令修改设备为Portal用户发送的RADIUS报文中填充的NAS-Port-ID属性的格式.
不同厂商的RADIUS服务器要求不同的格式,通常中国电信的RADIUS服务器要求采用格式1.
1.
格式1{atm|eth|trunk}NAS_slot/NAS_subslot/NAS_port:XPI.
XCIAccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port[:ANI_XPI.
ANI_XCI]各项含义如下:{atm|eth|trunk}:BRAS端口类型,包括ATM接口、以太接口或trunk类型的以太网接口.
NAS_slot:BRAS槽号,取值为0~31.
NAS_subslot:BRAS子槽号,取值为0~31.
NAS_Port:BRAS端口号,取值为0~63.
XPI:如果接口类型为atm,则XPI对应VPI,取值为0~255;如果接口类型为eth或trunk,则XPI对应PVLAN,XPI取值为0~4095.
XCI:如果接口类型为atm,则XCI对应VCI,取值为0~65535;如果接口类型为eth或trunk,XCI对应于CVLAN,XCI取值为0~4095.
AccessNodeIdentifier:接入节点标识(例如DSLAM设备),为不超过50个字符的字符串,字符串中不能包括空格.
ANI_rack:接入节点机架号(如支持紧耦合的DSLAM设备),取值为0~15.
ANI_frame:接入节点机框号,取值为0~31.
ANI_slot:接入节点槽号,取值为0~127.
ANI_subslot:接入节点子槽号,取值为0~31.
ANI_port:接入节点端口号,取值为0~255.
ANI_XPI.
ANI_XCI:可选项,主要用于携带CPE侧的业务信息,可用于标识未来的业务类型需求,如在多PVC应用场合下可标识具体的业务.
其中,如果接口类型为atm,则ANI_XPI对应VPI,取值为0~255,ANI_XCII对应VCI,取值为0~65535;如果接口类型为eth或trunk,则ANI_XPI对应PVLAN,取值为0~4095,则ANI_XCI对应CVLAN,取值为0~4095.
需要注意的是:字符串之间用一个空格隔开,要求字符串中间不能有空格.
花括号中的内容是必选的,|表示并列的关系,多选一.
[]表示可选项.
对于某些设备没有机架、框、子槽的概念,相应位置应统一填0,对于无效的VLANID值都填4096.
如接口类型为ATM,则AccessNodeIdentifier、ANI_rack、ANI_frame、ANI_slot、ANI_subslot、ANI_port域可统一填0.
如运营商未使用SVLAN技术,则XPI=4096,XCI=VLAN,取值为0~4095.
1-46如运营商未使用VLAN技术区分用户(用户PC直连BAS端口),则XPI=4096,XCI=4096.
对于接入节点设备(如DSLAM),按如上格式上报本接入节点的接入线路信息,对于与BRAS设备相关的接入线路信息可统一填0,如:"00/0/0:4096.
1234guangzhou003/1/31/63/31/127"其含义是DSLAM节点标识为guangzhou001、DSLAM的机架号为0(没有机架)、DSLAM的框号为31、DSLAM的槽号为63、DSLAM的子槽号为31、DSLAM的端口号为127、VLANID号为1234,BRAS接入线路信息为未知.
对于BRAS设备,在获取接入节点设备(如DSLAM)的接入线路信息后,根据BRAS的配置可透传接入线路信息,也可修改添加接入线路信息中与BRAS设备相关的线路信息,形成完整的接入线路信息,如:"eth31/31/7:4096.
1234guangzhou003/1/31/63/31/127".
示例:例1:NAS_PORT_ID="atm31/31/7:255.
655350/0/0/0/0/0"含义:BRAS设备的用户接口类型为ATM接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VPI为255,VCI为65535.
例2:NAS_PORT_ID="eth31/31/7:1234.
23450/0/0/0/0/0"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,PVLANID为1234,CVLANID为2345.
例3:NAS_PORT_ID="eth31/31/7:4096.
23450/0/0/0/0/0"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLANID为2345.
例4:NAS_PORT_ID="eth31/31/7:4096.
2345guangzhou001/1/31/63/31/127"含义:BRAS设备的用户接口类型为以太接口,BRAS槽号为31,BRAS子槽号为31,BRAS端口号为7,VLANID为2345,接入节点DSLAM的标识为guangzhou001,DSLAM的机架号为1,DSLAM的框号为31,DSLAM的槽号为63,DSLAM的子槽号为31,DSLAM的端口号为127.
2.
格式2SlotID/00/IfNO/VlanID各项含义如下:SlotID:用户接入的槽位号,为两个字符的字符串.
IFNO:用户接入的接口编号,为3个字符的字符串.
VlanID:用户接入的VLANID,为9个字符的字符串.
3.
格式3其格式为在格式2的NAS-Port-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCPOption82的内容.
对于IPv6用户,此处添加的是DHCPOption18的内容.
4.
格式4格式为"slot=**;subslot=**;port=**;vlanid=**;vlanid2=**;",具体情况如下:对于非VLAN接口,其格式为"slot=**;subslot=**;port=**;vlanid=0;".
对于只终结了一层VLANTag的接口,其格式为"slot=**;subslot=**;port=**;vlanid=**;".
1-47【举例】#配置NAS-Port-ID属性的格式为format1.
system-view[Sysname]portalnas-port-idformat11.
1.
36portalpre-authdomainportal[ipv6]pre-authdomain命令用来在接口上配置Portal认证前用户使用的认证域.
undoportal[ipv6]pre-authdomain命令用来删除接口上Portal认证前用户使用的认证域.
【命令】portal[ipv6]pre-authdomaindomain-nameundoportal[ipv6]pre-authdomain【缺省情况】接口上未配置Portal认证前用户使用的认证域.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admincontext-admin【参数】ipv6:指定IPv6用户使用的认证域.
若不指定该参数,则表示指定IPv4用户使用的认证域.
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符.
【使用指导】使能Portal的接口上配置了认证前使用的认证域(简称为认证前域)时,在此接口上获取到IP地址的用户将被Portal授予指定认证前域内配置的相关授权属性(目前包括ACL、UserProfile和CAR),并根据授权信息获得相应的网络访问权限.
若此用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权信息.
用户下线之后,将被重新授予该认证前域中的授权属性.

认证前域的配置只对采用DHCP或DHCPv6分配IP地址的用户生效.
如果认证前域的域名发生变化,新的域名对所有认证前用户生效.
在三层以太网接口、三层以太网子接口、三层聚合接口或三层聚合子接口上配置Portal认证前用户使用的认证域时,如果当前认证前域中的ACL授权配置发生变化,该域中的新授权配置对已经存在和新生成的认证前用户均生效.
在VLAN接口上配置Portal认证前用户使用的认证域,如果当前认证前域中的ACL授权配置发生变化,该域中的新授权配置只对新生成的认证前用户生效.
已存在的认证前用户继续使用旧配置.

如果当前认证前域中的UserProfile和CAR授权配置发生变化,则新配置仅对新生成的认证前用户生效,已经存在的用户继续使用旧配置.
需要注意的是:1-48配置Portal认证前域时,请确保被引用的ISP域已创建.
如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除,创建该域后,请删除Portal认证前域(配置undoportal[ipv6]pre-authdomain命令)后重新配置.
若认证前域中指定的授权ACL不存在,或者ACL中无任何规则,则表示不对用户的访问进行限制;若认证前域中指定的ACL中存在匹配源IP地址、匹配源MAC地址、匹配所有IP地址或匹配所有IPv6地址的规则,则该授权ACL下发后将会导致用户不能正常上线和下线.
【举例】#在接口GigabitEthernet3/1/1上配置Portal认证前用户使用的认证域为abc.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalpre-authdomainabc【相关命令】displayportalinterface1.
1.
37portalpre-authip-poolportal[ipv6]pre-authip-pool命令用来配置Portal认证前用户使用的地址池.
undoportal[ipv6]pre-authip-pool命令用来恢复缺省情况.
【命令】portal[ipv6]pre-authip-poolpool-nameundoportal[ipv6]pre-authip-pool【缺省情况】接口上未配置Portal认证前用户使用的地址池.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin【参数】ipv6:表示IPv6Portal用户.
若不指定该参数,则表示IPv4Portal用户.
pool-name:表示IP地址池的名字,为1~63个字符的字符串,不区分大小写.
【使用指导】在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须通过本命令指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证.
需要注意的是:仅当接口使用直接认证方式的情况下,接口上为认证前的Portal用户指定的IP地址池才能生效.
当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证.
1-49【举例】#在接口GigabitEthernet3/1/1上为认证前的Portal用户指定IPv4地址池为abc.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname-GigabitEthernet3/1/1]portalpre-authip-poolabc【相关命令】dhcpserverip-pool(用户接入命令参考/DHCP)ipv6dhcppool(用户接入命令参考/DHCP)displayportalinterface1.
1.
38portalroamingenableportalroamingenable命令用来使能Portal用户漫游功能.
undoportalroamingenable命令用来关闭Portal用户漫游功能.
【命令】portalroamingenableundoportalroamingenable【缺省情况】Portal用户漫游功能处于关闭状态,即Portal用户上线后不能在所在的VLAN内漫游.
【视图】系统视图【缺省用户角色】network-admin【使用指导】该命令只对通过VLAN接口上线的Portal用户有效.
如果使能了Portal用户漫游功能,则Portal用户上线后可以在使能Portal的VLAN内漫游,即用户通过VLAN内的任何二层端口都可以访问网络资源;否则用户只能通过认证成功的二层端口访问网络资源.
设备上有用户在线或认证前域用户的情况下,不能配置此命令.
【举例】#使能Portal用户漫游功能.
system-view[Sysname]portalroamingenable1.
1.
39portalserverportalserver命令用来创建Portal认证服务器,并进入Portal认证服务器视图.
如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图.
undoportalserver命令用来删除指定的Portal认证服务器.
1-50【命令】portalserverserver-nameundoportalserverserver-name【缺省情况】没有配置任何Portal认证服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】server-name:Portal认证服务器名称,为1~32个字符的字符串,区分大小写.
【使用指导】Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等.
可以配置多个Portal认证服务器.
【举例】#创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]【相关命令】displayportalserver1.
1.
40portaluser-detectportaluser-detect命令用来开启IPv4Portal用户在线探测功能.
undoportaluser-detect命令用来恢复缺省情况.
【命令】portaluser-detecttype{arp|icmp}[retryretries][intervalinterval][idletime]undoportaluser-detect【缺省情况】接口上的IPv4Portal用户在线探测功能处于关闭状态.
【视图】三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口视图【缺省用户角色】network-admin1-51【参数】type:指定探测类型.
arp:表示探测类型为ARP.
icmp:表示探测类型为ICMP.
retryretries:探测次数,取值范围为1~10,缺省3次.
intervalinterval:探测间隔,取值范围为1~1200,单位为秒,缺省3秒.
idletime:用户在线探测闲置时长,即闲置多长时间后发起探测,取值范围为60~3600,单位为秒,缺省180秒.
【使用指导】根据探测类型的不同,设备有以下两种探测机制:{当探测类型为ICMP时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户定期(intervalinterval)发送探测报文.
如果在指定探测次数(retryretries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线.
{当探测类型为ARP时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文.
设备定期(intervalinterval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retryretries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线.
请根据配置的认证方式选择合适的探测方法,如果配置了直接方式或者二次地址分配方式,则可以使用ARP或ICMP探测方式,如果配置了可跨三层认证方式,则仅可以使用ICMP探测方式,若配置了ARP探测方式,则探测功能不生效.
如果用户接入设备上配置了阻止ICMP报文的防火墙策略,则接口上的ICMP探测方式可能会失败,从而导致接口上的Portal用户非正常下线.
因此,若接口上需要使用ICMP探测方式,请保证用户接入设备不会过滤掉ICMP报文.
【举例】#在接口GigabitEthernet3/1/1上开启Portal用户在线探测功能:探测类型为ICMP,发送探测报文的次数为5次,发送间隔为10秒,闲置时间为300秒.
system-view[Sysname]interfacegigabitethernet3/1/1[Sysname–GigabitEthernet3/1/1]portaluser-detecttypeicmpretry5interval10idle300【相关命令】displayportalinterface1.
1.
41portalweb-serverportalweb-server命令用来创建PortalWeb服务器,并进入PortalWeb服务器视图.
如果指定的PortalWeb服务器已经存在,则直接进入PortalWeb服务器视图.
undoportalweb-server命令用来删除PortalWeb服务器.
【命令】portalweb-serverserver-name1-52undoportalweb-serverserver-name【缺省情况】没有配置任何PortalWeb服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】server-name:PortalWeb服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】PortalWeb服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所指的Web服务器.
PortalWeb服务器视图用于配置该Web服务器的URL地址及配置设备重定向该URL地址给用户时URL地址所携带的参数,同时该视图还用于配置PortalWeb服务器探测等功能.
【举例】#创建名称为wbs的PortalWeb服务器,并进入PortalWeb服务器视图.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]【相关命令】displayportalweb-serverportalapplyweb-server1.
1.
42resetportalhttp-defenseattacked-ipresetportalhttp-defenseattacked-ip命令用来清除HTTP防攻击中被阻塞过的目的IP统计信息.
【命令】独立运行模式:resetportalhttp-defenseattacked-ip[slotslot-number]IRF模式:resetportalhttp-defenseattacked-ip[chassischassis-numberslotslot-number]【视图】用户视图【缺省用户角色】network-adminnetwork-operator1-53【参数】slotslot-number:清除指定单板上HTTP防攻击中被阻塞过的目的IP统计信息.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示清除所有单板上HTTP防攻击中被阻塞过的目的IP统计信息.
(独立运行模式)chassischassis-numberslotslot-number:清除指定成员设备的指定单板上HTTP防攻击中被阻塞过的目的IP统计信息.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示清除所有单板上HTTP防攻击中被阻塞过的目的IP统计信息.
(IRF模式)【举例】#清除slot1上HTTP防攻击中被阻塞过的目的IP统计信息.
(独立运行模式)system-view[Sysname]resetportalhttp-defenseattacked-ipslot1【相关命令】displayportalhttp-defenseattacked-ip1.
1.
43resetportalhttp-defenseblocked-ipresetportalhttp-defenseblocked-ip命令用来清除被阻塞的目的IP地址记录.
【命令】独立运行模式:resetportalhttp-defenseblocked-ip[ipipv4-address|ipv6ipv6-address][slotslot-number]IRF模式:resetportalhttp-defenseblocked-ip[ipipv4-address|ipv6ipv6-address][chassischassis-numberslotslot-number]【视图】用户视图【缺省用户角色】network-adminnetwork-operator【参数】ipipv4-address:清除指定的被阻塞的目的IP地址记录.
ipv6ipv6-address:清除指定的被阻塞目的IPv6地址记录.
slotslot-number:清除指定单板上被阻塞的目的IP地址记录.
slot-number表示单板所在的槽位号.
若不指定该参数,则表示清除所有单板上被阻塞的目的IP地址记录.
(独立运行模式)chassischassis-numberslotslot-number:清除指定成员设备的指定单板上被阻塞的目的IP地址记录.
chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示清除所有单板上被阻塞的目的IP地址记录.
(IRF模式)【使用指导】执行本命令后,在清除被阻塞IP地址记录的同时,恢复对该IP地址的正常访问.
1-54若不指定参数IP/IPv6,则清除所有被阻塞的目的IP地址记录.
【举例】#清除slot1上被阻塞的目的IP地址为1.
1.
1.
1的记录.
(独立运行模式)system-view[Sysname]resetportalhttp-defenseblocked-ip1.
1.
1.
1slot1【相关命令】displayportalhttp-defenseblocked-ip1.
1.
44resetportalpacketstatisticsresetportalpacketstatistics命令用来清除Portal报文的统计信息.
【命令】resetportalpacketstatistics[serverserver-name]【视图】用户视图【缺省用户角色】network-admin【参数】server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写.
【使用指导】若不指定参数server,则清除所有Portal认证服务器的报文统计信息.
【举例】#清除名字为st上的Portal认证服务器的统计信息.
resetportalpacketstatisticsserverpts【相关命令】displayportalpacketstatistics1.
1.
45server-detect(portalserverview)server-detect命令用来开启Portal认证服务器的可达性探测功能.
开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态.
undoserver-detect命令用来恢复缺省情况.
【命令】server-detect[timeouttimeout]{log|trap}*undoserver-detect【缺省情况】Portal认证服务器的可达性探测功能处于关闭状态.
1-55【视图】Portal认证服务器视图【缺省用户角色】network-admin【参数】timeouttimeout:探测超时时间,取值范围10~3600,单位为秒,缺省值为60.
{log|trap}*:设备探测到Portal认证服务器可达状态变化时,触发执行的操作.
包括以下两种,且可同时选择多种.
log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态.
trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息.
Trap信息中记录了Portal认证服务器名以及该服务器的当前状态.
本参数配置后不生效.
【使用指导】只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效.
若设备在指定的探测超时时间(timeouttimeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达.
【举例】#开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息.
system-view[Sysname]portalserverpts[Sysname-portal-server-pts]server-detecttimeout600log【相关命令】portalserver1.
1.
46server-detect(portalweb-serverview)server-detect命令用来开启PortalWeb服务器的可达性探测功能.
undoserver-detect命令用来恢复缺省情况.
【命令】server-detect[intervalinterval][retryretries]{log|trap}*undoserver-detect【缺省情况】当前PortalWeb服务器的可达性探测功能处于关闭状态.
【视图】PortalWeb服务器视图1-56【缺省用户角色】network-admin【参数】intervalinterval:进行探测尝试的时间间隔,取值范围为10~1200,单位为秒,缺省值为20.
retryretries:连续探测失败的最大次数,取值范围为1~10,缺省值为3.
若连续探测失败数目达到此值,则认为服务器不可达.
{log|trap}*:PortalWeb服务器可达状态的变化时,可触发执行的操作.
包括以下两种,且可同时选择多种.
log:PortalWeb服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了PortalWeb服务器名以及该服务器状态改变前后的状态.
trap:PortalWeb服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息.
Trap信息中记录了PortalWeb服务器名以及该服务器的当前状态.
本参数配置后不生效.
【使用指导】该探测方法可由设备独立完成,不需要PortalWeb服务器端的任何配置来配合.
【举例】#配置对PortalWeb服务器wbs的探测功能,每次探测间隔时间为600秒,若连续二次探测均失败,则发送服务器不可达的日志信息.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]server-detectinterval600retry2log【相关命令】portalweb-server1.
1.
47urlurl命令用来指定PortalWeb服务器的URL.
undourl命令用来删除指定的PortalWeb服务器的URL.
【命令】urlurl-stringundourl【缺省情况】没有指定PortalWeb服务器的URL.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】url-string:PortalWeb服务器的URL,为1~256个字符的字符串,区分大小写.
1-57【使用指导】本命令指定的URL是可用标准HTTP或者HTTPS协议访问的URL,它以http://或者https://开头.
如果该URL未以http://或者https://开头,则缺省认为是以http://开头.
【举例】#配置PortalWeb服务器wbs的URL为http://www.
test.
com/portal.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]urlhttp://www.
test.
com/portal【相关命令】displayportalweb-server1.
1.
48url-parameterurl-parameter命令用来配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息.
undourl-parameter命令用来删除配置的PortalWeb服务器URL携带的参数信息.
【命令】url-parameterparam-name{original-url|source-address|source-mac|valueexpression}undourl-parameterparam-name【缺省情况】未配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息.
【视图】PortalWeb服务器视图【缺省用户角色】network-admin【参数】param-name:URL参数名,为1~32个字符的字符串,区分大小写.
URL参数名对应的参数内容由param-name后的参数指定.
original-url:用户初始访问的Web页面的URL.
source-address:用户的IP地址.
source-mac:用户的MAC地址.
valueexpression:自定义字符串,为1~256个字符的字符串,区分大小写.
【使用指导】可以通过多次执行本命令配置多条参数信息.
对于同一个参数名param-name后的参数设置,最后配置的生效.
该命令用于配置用户访问PortalWeb服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息.
用户也可以手工指定,携带一些特定的字符信息.
配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置PortalWeb服务器的URL为:http://www.
test.
com/portal,若同时配置如下两个参数信息:url-parameteruserip1-58source-address和url-parameteruserurlvaluehttp://www.
test.
com/welcome,则设备给源IP为1.
1.
1.
1的用户重定向时回应的URL格式即为:http://www.
test.
com/portaluserip=1.
1.
1.
1&userurl=http://www.
test.
com/welcome.
需要注意的是:param-name这个URL参数名必须与具体应用环境中的Portal服务器所支持的URL参数名保持一致,不同的Portal服务器支持URL参数名是不一样的,请根据具体情况配置URL参数名.
例如H3C公司的iMC服务器支持的URL参数名如下:userurl:表示original-urluserip:表示source-addressusermac:表示source-mac在Portal服务器为H3C公司的iMC服务器的组网环境中,如果设备重定向给用户的PortalWeb服务器的URL中需要携带用户的IP地址参数信息时,必须把param-name参数配置成userip,否则,iMC服务器不能识别用户的IP地址.
【举例】#为设备重定向给用户的PortalWeb服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.
test.
com/welcome.
system-view[Sysname]portalweb-serverwbs[Sysname-portal-websvr-wbs]url-parameteruseripsource-address[Sysname-portal-websvr-wbs]url-parameteruserurlvaluehttp://www.
test.
com/welcome【相关命令】displayportalweb-serverurl1.
1.
49user-syncuser-sync命令用来配置开启Portal用户信息同步功能.
配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性.
undouser-sync命令用来恢复缺省情况.
【命令】user-synctimeouttimeoutundouser-sync【缺省情况】当前Portal认证服务器的Portal用户信息同步功能处于关闭状态.
【视图】Portal认证服务器视图【缺省用户角色】network-admin1-59【参数】timeouttimeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒.
【使用指导】只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效.
为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间.

在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置.
对同一服务器多次执行用户信息同步功能的配置时,新的配置将覆盖原有的配置.