- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-HTTP重定向命令
本章节下载: 18-HTTP重定向命令 (187.01 KB)
目 录
1.1.1 display http-redirect endpoint-denylist
1.1.2 http-redirect endpoint-denylist enable
1.1.3 http-redirect https-port
1.1.4 http-redirect ssl-server-policy
1.1.5 reset http-redirect endpoint-denylist
display http-redirect endpoint-denylist命令用来显示HTTP重定向的终端黑名单表项。
【命令】
display http-redirect endpoint-denylist [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的终端黑名单表项。interface-type interface-number用来指定接口类型和接口编号。如果未指定本参数,则显示所有接口的终端黑名单表项。
ip ipv4-address:显示指定IPv4地址的终端黑名单表项。
ipv6 ipv6-address:显示指定IPv6地址的终端黑名单表项。
mac mac-address:显示指定MAC地址的终端黑名单表项。
slot slot-number:显示指定成员设备的终端黑名单表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的终端黑名单表项。
【使用指导】
通过使用本命令可以查看HTTP重定向的终端黑名单表项的具体内容,包括用户的IP地址或者MAC地址、添加进终端黑名单的时间。
当执行本命令查看指定的IP地址或MAC地址是否已被添加进终端黑名单中,必须指定interface interface-type interface-number和slot slot-number参数。
当执行本命令查看指定的IP地址或MAC地址是否已被添加进终端黑名单中,必须指定interface interface-type interface-number和chassis chassis-number slot slot-number参数。
执行本命令时,如果未指定任何参数,则会显示当前所有的终端黑名单表项。
【举例】
# 当配置以IP地址作为终端黑名单表项的唯一标识时,查看所有终端黑名单表项。
<Sysname> display http-redirect endpoint-denylist
IP Address Added at Interface Module ID
192.168.100.101 2023-11-22 17:00:00 UTC XGE1/0/1 0x61c0000
# 当配置以MAC地址作为终端黑名单表项的唯一标识时,查看所有终端黑名单表项。
<Sysname> display http-redirect endpoint-denylist
MAC Address Added at Interface Module ID
00:0C:29:CA:E4:66 2023-11-22 18:00:00 UTC XGE1/0/1 0x2230000
表1-1 display http-redirect endpoint-denylist命令显示信息描述表
|
字段 |
描述 |
|
IP Address |
终端黑名单表项的IP地址 |
|
MAC Address |
终端黑名单表项的MAC地址 |
|
Added at |
添加终端黑名单表项的时间 |
|
Interface |
添加终端黑名单表项的接口名称 |
|
Module ID |
添加终端黑名单表项的模块ID |
【相关命令】
· reset http-redirect endpoint-denylist
http-redirect endpoint-denylist enable命令用来开启HTTP重定向的终端黑名单功能。
undo http-redirect endpoint-denylist enable命令用来关闭HTTP重定向的终端黑名单功能。
【命令】
http-redirect endpoint-denylist enable [ packet packet-count ] [ period period ] [ aging-time aging-time ] [ ipbase | macbase ]
undo http-redirect endpoint-denylist enable
【缺省情况】
HTTP重定向的终端黑名单功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
packet packet-count:触发加入终端黑名单的阈值,其中packet-count的取值范围为10~1200,单位为报文个数,缺省值为1200。
period period:统计接收HTTP重定向报文的周期,其中period的取值范围为10~60,单位为秒,缺省值为60。
aging-time aging-time:终端黑名单表项的老化时间,其中aging-time的取值范围为60~86400,单位为秒,缺省值为3600。
ipbase:表示以IP地址作为终端黑名单表项的唯一标识。
macbase:表示以MAC地址作为终端黑名单表项的唯一标识。
【使用指导】
在Portal认证场景中,设备会将用户的HTTP/HTTPS请求重定向到Portal认证页面。当用户频繁发起HTTP/HTTPS请求并触发HTTP重定向访问认证页面时,设备会处理大量的HTTP/HTTPS报文,导致CPU繁忙,从而影响正常的业务处理。为了避免这种问题,可以在设备上开启HTTP重定向的终端黑名单功能。
开启本功能后,设备将根据配置的终端黑名单参数,以IP地址或者MAC地址作为终端黑名单表项的唯一标识,对接收到的用户的HTTP重定向报文进行统计。当设备在统计周期内检测到某用户发送的HTTP重定向报文的数量达到触发加入终端黑名单的阈值时,设备会将该用户的IP地址或MAC地址添加到终端黑名单表项中。
当某用户的IP地址或MAC地址被添加到终端黑名单表项后,设备将不再对收到的该用户的HTTP重定向报文进行重定向处理,直到该用户的终端黑名单表项老化时间到达或者由管理员主动删除该终端黑名单表项后,设备才会再次对该用户进行HTTP重定向。
开启本功能后,如果再次执行本命令修改终端黑名单参数,则设备上已存在的终端黑名单表项将被清空,设备会重新开始对用户发送的HTTP重定向报文进行统计。
【举例】
# 开启HTTP重定向的终端黑名单功能,并配置触发加入终端黑名单的报文数阈值为1000个,统计接收HTTP重定向报文的周期为60秒,终端黑名单表项的老化时间为60秒,以MAC地址作为终端黑名单表项的唯一标识。
[Sysname] http-redirect endpoint-denylist enable packet 1000 period 60 aging-time 60 macbase
【相关命令】
· display http-redirect endpoint-denylist
http-redirect https-port命令用来配置对HTTPS报文进行重定向的内部侦听端口号。
undo http-redirect https-port命令用来恢复缺省情况。
【命令】
http-redirect https-port port-number
undo http-redirect https-port
【缺省情况】
对HTTPS报文进行重定向的内部侦听端口号为6654。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:对HTTPS报文进行重定向的内部侦听端口号,取值范围为1~65535。
【使用指导】
在配置侦听端口号时,需确保该端口号没有被其他服务占用。可通过display tcp命令查看已被占用的TCP端口号。
对HTTPS报文进行重定向的内部侦听端口号不能与知名协议使用的端口号配置一致,否则会发生冲突导致服务不能正常使用。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置对HTTPS报文进行重定向的内部侦听端口号为8888。
<Sysname> system-view
[Sysname] http-redirect https-port 8888
http-redirect ssl-server-policy命令用来指定HTTPS重定向服务关联的SSL服务器端策略。
undo http-redirect ssl-server-policy命令用来恢复缺省情况。
【命令】
http-redirect ssl-server-policy policy-name
undo http-redirect ssl-server-policy
【缺省情况】
HTTPS重定向服务未与SSL服务器端策略关联,HTTPS重定向服务使用自签名证书。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
如果关联的SSL服务器端策略不存在,则无法完成HTTPS报文的重定向。允许用户先关联一个不存在的SSL服务器端策略,再对该策略进行相关配置。关于SSL的详细描述,请参见“安全配置指导”中的“SSL”。
修改SSL服务器端策略会立即生效。
如果多次执行该命令,则最后一次关联的SSL服务器端策略生效。
【举例】
# 指定HTTPS重定向服务关联的SSL服务器端策略为policy1。
<Sysname> system-view
[Sysname] http-redirect ssl-server-policy policy1
【相关命令】
· ssl server-policy(安全命令参考/SSL)
reset http-redirect endpoint-denylist命令用来删除HTTP重定向的终端黑名单表项。
【命令】
reset http-redirect endpoint-denylist [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:删除指定IPv4地址的终端黑名单表项。
ipv6 ipv6-address:删除指定IPv6地址的终端黑名单表项。
mac mac-address:删除指定MAC地址的终端黑名单表项。
【使用指导】
执行本命令时,如果未指定任何参数,则会删除当前所有的终端黑名单表项。
【举例】
# 删除所有HTTP重定向终端黑名单表项。
<Sysname> reset http-redirect endpoint-denylist
【相关命令】
· display http-redirect endpoint-denylist
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
