• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

04-Web认证命令

本章节下载 04-Web认证命令  (190.09 KB)

04-Web认证命令


1 Web认证

1.1  Web认证配置命令

1.1.1  default-logon-page

default-logon-page命令用来配置本地Portal Web服务器提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务器为用户进行Web认证提供的缺省认证页面文件。

为了确保本地Portal Web服务功能的正常运行,建议使用设备存储介质根目录下自带的认证页面文件。如果用户需要自定义认证页面的内容和样式,请严格遵循自定义认证页面文件规范。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·            portal local-web-server

1.1.2  display web-auth

display web-auth命令用来显示接口上Web认证的配置信息和运行状态信息。

【命令】

display web-auth [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有Web认证的配置信息。

【举例】

# 显示接口GigabitEthernet1/0/1上Web认证的配置信息。

<Sysname> display web-auth interface gigabitethernet 1/0/1

 Global Web-auth parameters  :

  Proxy Port Numbers         : Not configured

  Total online web-auth users: 1

 GigabitEthernet1/0/1  is link-up

   Port role                  : Authenticator

   Web-auth domain            : my-domain

   Auth-Fail VLAN             : Not configured

   Offline-detect             : Not configured

   Max online users           : 1024

   Web-auth enable            : Enabled

 

  Total online web-auth users: 1

表1-1 display web-auth命令显示信息描述表

字段

描述

Global Web-auth parameters

全局Web认证参数

Proxy Port Numbers

Web代理服务器端口

Total online web-auth users

全局Web认证的在线用户数

GigabitEthernet1/0/1 is link-up

接口GigabitEthernet1/0/1的状态,包括如下取值:

·         link-up:接口管理状态和物理状态均为开启

·         link-down:接口处于关闭状态

Port role

该端口担当认证端的作用,目前仅支持作为认证端

Web-auth domain

Web认证用户使用的ISP域

Auth-fail VLAN

Web认证的认证失败VLAN,如果没有配置,则显示Not configured

Offline-detect

Web认证用户在线检测的时间间隔,Not configured表示Web认证用户在线检测功能处于关闭状态

Max online users

允许同时接入的Web认证最大用户数

Web-auth enable

Web认证功能的开启状态,包括如下取值:

·         Enabled:开启

·         Disabled:关闭

Total online web-auth users

接口下Web认证的在线用户数

 

1.1.3  display web-auth free-ip

display web-auth free-ip命令用来显示所有Web认证用户免认证的目的IP地址。

【命令】

display web-auth free-ip

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有Web认证用户免认证的目的IP地址。

<Sysname> display web-auth free-ip

       Free IP          

: 1.1.0.0        255.255.0.0

                         : 1.2.0.0        255.255.0.0

【相关命令】

·            web-auth free-ip

1.1.4  display web-auth server

display web-auth server命令用来显示Web认证服务器信息。

【命令】

display web-auth server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Web认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定此参数,则显示设备上所有Web认证服务器的信息。

【举例】

# 显示Web认证服务器aaa的信息。

<Sysname> display web-auth server aaa

Web-auth server: aaa

  IP                    : 8.8.8.8

  Port                  : 80

  URL                   : http://8.8.8.8/portal/

  Redirect-wait-time    : 5

  URL parameters        : Not configured

表1-2 display web-auth server命令显示信息描述表

字段

描述

Web-auth server

Web认证服务器名称

IP

Web认证服务器的IP地址

Port

Web认证服务器的端口号

URL

Web认证服务器的重定向URL

URL parameters

设备重定向给用户的URL中携带的参数信息。

 

1.1.5  display web-auth user

display web-auth user命令用来显示在线Web认证用户的信息。

【命令】

display web-auth user [ interface interface-type interface-number | slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数,则表示设备上所有接口上在线用户的信息。

slot slot-number:显示指定成员设备上所有接口在线Web认证用户的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上在线Web认证用户的信息。

【举例】

# 显示接口GigabitEthernet1/0/1上在线用户的信息。

<Sysname> display web-auth user interface gigabitethernet 1/0/1

  Total online web-auth users: 1

 

User name: user1

  MAC address: 0000-2700-b076

  Access interface: GigabitEthernet1/0/1

  Initial VLAN: 1

  Authorization VLAN: N/A

  Authorization ACL ID: N/A

  Authorization user profile: N/A

表1-3 display web-auth user命令显示信息描述表

字段

描述

Total online web-auth users

在线用户总数

User name

在线用户的用户名

MAC address

在线用户的MAC地址

Access interface

在线用户接入的接口

Initial VLAN

初始的VLAN

Authorization VLAN

授权的VLAN

Authorization ACL ID

授权ACL编号

Authorization user profile

Web认证用的授权User profile名称。若未授权User profile,则显示为N/A。授权状态包括如下:

·         active: AAA授权User profile成功

·         inactive:AAA授权User profile失败或者设备上不存在该User profile

 

1.1.6  ip

ip命令用来配置Web认证服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address port port-number

undo ip

【缺省情况】

不存在Web认证服务器的IP地址。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:表示Web认证服务器的IPv4地址,该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。

port port-number:指定Web认证服务器的端口。port-number是端口号,取值范围为1~65535。

【使用指导】

配置Web认证服务器的IP地址,建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:

·            状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。

·            由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

此命令配置的端口号必须与本地Portal Web服务器中配置的侦听端口号保持一致。

同一个Web认证服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 配置Web认证服务器wbs的IP地址为192.168.1.1,端口为8080。

[Sysname-web-auth-server-wbs] ip 192.168.1.1 port 8080

【相关命令】

·            url

·            tcp-port

1.1.7  logon-page bind

logon-page bind命令用来配置终端设备类型与认证页面文件的绑定关系,实现Web认证用户认证页面的定制功能。

undo logon-page bind命令用来取消指定终端设备类型与认证页面的绑定关系。

【命令】

logon-page bind device-type type-name file file-name

undo logon-page bind device-type type-name

【缺省情况】

未配置终端设备类型与任何认证页面文件的绑定关系。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

device-type type-name:表示绑定的终端设备类型。type-name为终端设备类型的名称,为1~127个字符的字符串,区分大小写。指定的终端设备类型必须为设备指纹库中已定义的设备类型,否则绑定的认证页面不生效。

file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。

【使用指导】

未认证用户通过Web浏览器访问外网,并触发了本地Web认证时,如果设备上配置了logon-page bind命令,则会根据Web认证用户所属的终端设备类型查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Web认证用户推出缺省的认证页面,但是如果设备上没有配置default-logon-page命令,则将无法进行本地Web认证。

当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。

对于相同的终端设备类型,多次执行本命令,最后一次执行的命令生效。

设备上允许同时存在多条绑定条目。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

# 配置终端设备类型为iphone的设备与定制认证页面文件file2.zip进行绑定。

[Sysname-portal-local-websvr-http] logon-page bind device-type iphone file file2.zip

【相关命令】

·            default-logon-page

·            portal local-web-server

1.1.8  portal local-web-server

portal local-web-server命令用来创建本地Portal Web服务器,并进入本地Portal Web服务器视图。如果指定的本地Portal Web服务器已经存在,则直接进入本地Portal Web服务器视图。

undo portal local-web-server命令用来删除本地Portal Web服务器。

【命令】

portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }

undo portal local-web-server { http | https }

【缺省情况】

不存在本地Protal Web服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

http:指定本地Portal Web服务器使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务器使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

tcp-port port-number:指定本地Portal Web服务器的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。

【使用指导】

本地Portal Web服务器功能是指,Web认证系统中不采用外部独立的Portal Web服务器,而由接入设备实现Portal Web服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务器功能。条件如下:

·            该URL中的IP地址是设备本机上的IP地址(除127.0.0.1以外)。

·            该URL以/portal/结尾,例如:http://1.1.1.1/portal/。

配置本地Portal Web服务器功能时,需要注意的是:

·            已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·            不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务器,再执行portal local-web-server https ssl-server-policy命令。

配置本地Portal Web服务器的HTTPS服务侦听的端口号时,需要注意的是:

·            如果本地Portal Web服务器引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务器使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。

·            除了HTTPS协议默认的端口号,本地Portal Web服务器的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,如HTTP的端口号80;Telnet的端口号23,否则会造成本地Portal Web 服务器无法向Web认证用户推送认证页面。

·            使用HTTP协议和HTTPS协议的本地Portal Web服务器侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图。指定使用HTTPS协议和客户端交互认证信息,且引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

[Sysname-portal-local-websvr-https] quit

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

[Sysname-portal-local-websvr-https] quit

# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务器,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442

[Sysname-portal-local-websvr-https] quit

【相关命令】

·            default-logon-page

·            ssl server-policy(安全命令参考/SSL)

1.1.9  redirect-wait-time

redirect-wait-time命令用来配置认证页面跳转的时间间隔。

undo redirect-wait-time命令用来恢复缺省情况。

【命令】

redirect-wait-time period

undo redirect-wait-time

【缺省情况】

Web认证用户认证成功后认证页面跳转的时间间隔为5秒。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

period:表示自Web认证用户认证成功后,当前认证页面开始跳转到其他页面的时间间隔,取值范围为1~90,单位为秒。

【使用指导】

在某些应用环境中,客户端在Web认证成功后需要更新IP地址,为了避免客户端IP地址还未完成更新而无法打开跳转的网站页面,需要适当增加页面跳转的时间间隔,保证认证页面跳转的时间间隔大于客户端更新IP地址的时间。

【举例】

# 配置Web认证用户认证成功后认证页面跳转的时间间隔10秒。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs] redirect-wait-time 10

1.1.10  tcp-port

tcp-port命令用来配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-serve命令指定的TCP端口号。

【视图】

本地Portal Web服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指导】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务器视图下指定的侦听端口号保持一致。

配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·            除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务器的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·            不能把使用HTTP协议的本地Portal Web服务器侦听的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·            使用HTTP协议和HTTPS协议的本地Portal Web服务器侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

·            如果本地Portal Web服务器引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务器使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则使用TCP端口号不能相同。

【举例】

# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·            portal local-web-server

1.1.11  url

url命令用来配置Web认证服务器的重定向URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

不存在Web认证服务器的重定向URL。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

url-string:表示Web认证服务器的重定向URL,为1~256个字符的字符串,区分大小写。

【使用指导】

本命令配置的Web认证服务器重定向URL是可以用标准HTTP或者HTTPS协议访问的URL,它必须以http://或者https://开头。如果该URL未以http://或者https://开头,则系统默认其以http://开头。

该URL中的IP地址和端口号必须与Web认证服务器中的IP地址和端口号保持一致。

【举例】

# 配置Web认证服务器wbs的重定向URL为http://192.168.1.1:80/portal/。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs] url http://192.168.1.1:80/portal/

【相关命令】

·            ip

·            tcp-port

1.1.12  url-parameter

url-parameter命令用来配置设备重定向给用户的URL中携带的参数信息。

undo url-parameter命令用来删除配置的设备重定向给用户的URL中携带的参数信息。

【命令】

url-parameter parameter-name { original-url | source-address | source-mac | value expression }

undo url-parameter parameter-name

【缺省情况】

未配置设备重定向给用户的URL中携带的参数信息。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

parameter-name:表示URL中携带参数的名称,为1~32个字符的字符串,区分大小写。URL参数名对应的参数内容由parameter-name后的参数指定。

original-url:用户初始访问的Web页面的URL。

source-address:用户的IP地址。

source-mac:用户的MAC地址。

value expression:自定义字符串,为1~256个字符的字符串,区分大小写。

【使用指导】

可以通过多次执行本命令配置多条参数信息。

多次执行本命令且参数名parameter-name都相同,则最后一次执行的命令生效

该命令用于配置用户访问Web认证服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制推送重定向URL时会携带这些参数,例如用户的源IP地址为1.1.1.1,配置Web认证服务器的URL为:http://192.168.1.1/portal,若同时配置如下两个参数信息:url-parameter userip source-addressurl-parameter userurl value http://www.abc.com/welcome,则设备给该用户重定向的URL格式即为:http://192.168.1.1/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

param-name这个URL参数名必须与PC浏览器所接受的参数名保持一致,请根据具体情况配置URL参数名。

【举例】

# 为设备重定向给用户的Portal Web服务器wbs的URL中配置两个参数userip和userurl,其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs] url-parameter userip source-address

[Sysname-web-auth-server-wbs] url-parameter userurl value http://www.abc.com/welcome

1.1.13  web-auth auth-fail vlan

web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。

undo web-auth auth-fail vlan命令用来恢复缺省情况。

【命令】

web-auth auth-fail vlan authfail-vlan-id

undo web-auth auth-fail vlan

【缺省情况】

不存在Web认证的Auth-Fail VLAN。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

authfail-vlan-id:表示Web认证的Auth-Fail VLAN ID,取值范围为1~4094,该VLAN必须已经存在。

【使用指导】

接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。

为使此功能生效,必须开启二层以太网接口上的MAC VLAN功能,并将Auth-Fail VLAN的网段设为Web认证用户免认证的目的IP地址。

因为MAC VLAN功能仅在Hybrid端口上生效,所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

当用户认证失败后,设备将Web认证用户的MAC地址与Auth-fail VLAN进行绑定。

禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

【举例】

# 配置接口GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] port link-type hybrid

[Sysname–GigabitEthernet1/0/1] mac-vlan enable

[Sysname–GigabitEthernet1/0/1] web-auth auth-fail vlan 5

【相关命令】

·            display web-auth

1.1.14  web-auth domain

web-auth domain命令用来指定Web认证用户使用的认证域。

undo web-auth domain命令用来恢复缺省情况。

【命令】

web-auth domain domain-name

undo web-auth domain

【缺省情况】

未指定Web认证用户认证使用的认证域。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

在接口上执行此命令后,使得所有从该接口接入的Web认证用户强制使用该认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] web-auth domain my-domain

1.1.15  web-auth enable

web-auth enable命令用来开启Web认证功能。

undo web-auth enable命令用来关闭Web认证功能。

【命令】

web-auth enable apply server server-name

undo web-auth enable

【缺省情况】

Web认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

server-name:表示引用的Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

此命令用来开启Web认证功能,并指定引用的Web认证服务器。

为使Web认证功正常运行,在接入设备的二层以太网接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证功能,并指定引用的Web认证服务器为wbs。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth enable apply server wbs

【相关命令】

·            web-auth server

1.1.16  web-auth free-ip

web-auth free-ip命令用来配置Web认证用户免认证目的IP地址。

undo web-auth free-ip命令用来恢复缺省情况。

【命令】

web-auth free-ip ip-address { mask-length | mask }

undo web-auth free-ip { ip-address { mask-length | mask } | all }

【缺省情况】

不存在Web认证用户免认证的目的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:Web认证用户免认证目的网段的IP地址。

mask-length:Web认证用户免认证目的网段IP地址的掩码长度,取值范围为0~32。

mask:Web认证用户免认证目的网段IP地址的子网掩码,点分十进制格式。

all:Web认证用户可免认证访问的所有网段。

【使用指导】

在设备上执行此命令后,Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。

可通过重复执行此命令来配置多个Web认证用户免认证的目的IP地址。

【举例】

# 配置Web认证用户免认证的目的IP地址为192.168.0.0/24。

<Sysname> system-view

[Sysname] web-auth free-ip 192.168.0.0 24

1.1.17  web-auth max-user

web-auth max-user命令用来配置Web认证最大用户数。

undo web-auth max-user命令用来恢复缺省情况。

【命令】

web-auth max-user max-number

undo web-auth max-user

【缺省情况】

接口上同时可接入的Web认证最大用户数为1024。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

max-number:表示接口上同时可接入的Web认证最大用户数,取值范围为1~2048。

【使用指导】

若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则该命令可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。

该命令指定的最大用户数仅为IPv4 Web认证用户数。

【举例】

# 在接口GigabitEthernet1/0/1上配置Web认证最大用户数为32。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth max-user 32

【相关命令】

·            display web-auth

1.1.18  web-auth offline-detect

web-auth offline-detect命令用来开启Web认证用户的在线检测功能。

undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。

【命令】

web-auth offline-detect interval interval

undo web-auth offline-detect interval

【缺省情况】

Web认证用户在线检测功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

interval:指定用户在线检测时间间隔,取值范围为60~65535,单位为秒。

【使用指导】

开启端口的Web认证用户的在线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。配置用户在线检测时间间隔时,需要与MAC地址老化时间配成相同时间,否则会导致用户异常下线。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证用户的在线检测功能,并指定在线检测的时间间隔为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth offline-detect interval 3600

1.1.19  web-auth proxy port

web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。

undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。

【命令】

web-auth proxy port port-number

undo web-auth proxy port { port-number | all }

【缺省情况】

不存在Web认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

port-number:Web认证的Web代理服务器的TCP端口号,取值范围为1~65535。

all:指定所有Web认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的浏览器发起的HTTP请求才能触发Web认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP请求也可以触发Web认证。

多次配置本命令可以添加多个Web认证的Web代理服务器的TCP端口号。

配置Web认证的Web代理服务器的TCP端口号,需要注意的是:

·            如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要将WPAD主机的IP地址配置为Web认证用户免认证的目的IP地址。

·            除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将接入设备上Web认证服务器的IP地址加入到Web代理服务器的例外情况中,使Web认证服务器的IP地址不使用Web代理服务器,避免Web认证用户发送给Web认证页面的HTTP报文被发送到Web代理服务器上,从而影响正常的Web认证。

【举例】

# 配置Web认证的Web代理服务器的TCP端口号为7777。

<Sysname> system-view

[Sysname] web-auth proxy port 7777

1.1.20  web-auth server

web-auth server命令用来创建Web认证服务器,并进入Web认证服务器视图。如果指定的Web认证服务器已经存在,则直接进入Web认证服务器视图。

undo web-auth server命令用来删除指定的Web认证服务器。

【命令】

web-auth server server-name

undo web-auth server server-name

【缺省情况】

不存在Web认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:表示Web认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在Web认证服务器视图下可以配置Web认证服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。

【举例】

# 创建名称为wbs的Web认证服务器,并进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs]

【相关命令】

·            web-auth enable apply server

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们