配置Portal认证
Portal认证可使用户不经过特定客户端即可进行接入认证,Portal服务器为用户提供免费门户服务和基于Portal认证的页面,其可分为外置Portal服务器与内置Portal服务器。
S2750、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC仅支持内置Portal认证。
前提条件
Portal认证提供了一个用户身份认证的实现方案,但是仅仅依靠Portal认证不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案,因此,需要首先完成以下配置任务:
- 配置AAA客户端,即用户所属的认证域及其使用的AAA方案。
- 如果需要通过RADIUS或HWTACACS服务器进行认证,则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
- 如果需要本地认证,则应该在接入设备上手动添加接入用户的用户名和密码。
配置AAA客户端请参见“AAA配置”。
配置Portal服务器参数
背景信息
在Portal认证配置过程中,为保证设备与Portal服务器之间能够进行通信,需在设备上配置指向Portal服务器的参数,譬如指向Portal服务器的IP地址。
Portal服务器可分为外置Portal服务器与内置Portal服务器,外置Portal服务器具有独立的硬件设施,内置Portal服务器为存在于接入设备之内的内嵌实体(即由接入设备实现Portal服务器功能)。
操作步骤
- 配置指向外置Portal服务器参数(绑定URL方式)
- 执行命令server-ip server-ip-address &<1-10>,配置指向Portal服务器的IP地址。
缺省情况下,未配置指向Portal服务器的IP地址。
指向Portal服务器的IP地址为外置Portal服务器的IP地址。
- 执行命令server-ip server-ip-address &<1-10>,配置指向Portal服务器的IP地址。
- 配置指向外置Portal服务器参数(绑定URL模板方式)
- 配置指向内置Portal服务器参数
- 执行命令portal local-server ip ip-address,配置指向内置Portal服务器的IP地址。
缺省情况下,未配置指向内置Portal服务器的IP地址。
指向内置Portal服务器的IP地址为设备上与客户端路由可达的三层接口的IP地址。
用户以内置Portal服务器IP直接访问内置Portal服务器时,请确保以HTTPS方式输入正确的URL。如内置Portal服务器IP地址为192.168.12.1,请完整输入https://192.168.12.1。
- 执行命令portal local-server ip ip-address,配置指向内置Portal服务器的IP地址。
使能Portal认证功能
背景信息
在配置完成指向Portal服务器的参数后,设备即能够与Portal服务器进行通信。此时若需对接入用户进行Portal认证,还必须使能设备的Portal认证功能。
针对外置Portal服务器,仅需将配置的Portal服务器模板绑定到接口上即可对该接口下的用户进行Portal认证。而对于内置Portal服务器,则需先使能内置Portal服务器功能,然后使能设备二层接口的Portal认证功能,才能够对该接口下的用户进行Portal认证。
操作步骤
- Portal服务器为外置时,使能设备的Portal认证功能。
- 执行命令interface interface-type interface-number,进入接口视图。
传统模式下,二层以太网接口不支持Portal认证。
- 执行命令web-auth-server server-name { direct | layer3 },在接口下绑定Portal服务器模板。
缺省情况下,接口下未绑定Portal服务器模板。
以太网接口视图下该命令不支持direct参数。
- 执行命令interface interface-type interface-number,进入接口视图。
- Portal服务器为内置时,使能设备的Portal认证功能。
- 执行命令portal local-server https
ssl-policy policy-name [ port port-num ],使能设备的内置Portal服务器功能。
缺省情况下,未使能设备的内置Portal服务器功能。
请确保ssl-policy已存在,且已成功加载数字证书。
- 使能接口的Portal认证功能,可在系统视图或接口视图下进行配置。
建议用户在VLANIF接口下开启内置Portal认证功能。Super-VLAN对应的VLANIF接口不支持内置Portal认证功能。
在系统视图下该命令不能配置三层接口的内置Portal认证。
系统视图下:
执行命令portal local-server enable interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,使能接口的Portal认证功能。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
(可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
- 执行命令portal local-server enable,使能接口的Portal认证功能。
- 执行命令quit,返回到系统视图。
缺省情况下,未使能接口的Portal认证功能。
- 执行命令portal local-server https
ssl-policy policy-name [ port port-num ],使能设备的内置Portal服务器功能。
(可选)配置与Portal服务器信息交互参数
背景信息
本节内容仅适用于外置Portal服务器场景。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令web-auth-server version v2 [ v1 ],配置设备支持的Portal协议版本。
缺省情况下,设备同时支持v2与v1版本。
为了保证通信正常,建议采用设备的缺省配置,即两个版本都支持。
- 执行命令web-auth-server listening-port port-number,配置设备侦听Portal协议报文的端口号。
缺省情况下,设备侦听Portal协议报文的端口号为2000。
- 执行命令web-auth-server reply-message,使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。
缺省情况下,设备已使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。
- 执行命令web-auth-server server-name,进入Portal服务器模板视图。
- 执行命令source-ip ip-address,配置设备与Portal服务器通信的源IP地址。
缺省情况下,未配置设备与Portal服务器通信的源IP地址。
- 执行命令port port-number [ all ],配置设备向Portal服务器发送报文时使用的目的端口号。
缺省情况下,设备向Portal服务器发送报文时使用的目的端口号为50100。
请确保设备配置的端口号与Portal服务器使用的端口号保持一致。
- 执行命令vpn-instance vpn-instance-name,配置设备与Portal服务器通信使用的VPN实例。
缺省情况下,未配置设备与Portal服务器通信使用的VPN实例。
仅S5700EI、S5710EI、S5700HI、S5710HI、S6700支持该步骤。
(可选)配置Portal认证用户接入控制参数
背景信息
在Portal认证网络的部署中,通过配置Portal认证用户的接入控制参数可以灵活的控制接入用户。譬如通过配置Portal认证用户的免认证规则可使特定的用户不经过认证或认证失败的情况下能够访问特定的网络资源;通过配置Portal认证的源认证网段,能够控制设备仅对源认证网段内的用户进行Portal认证,而其他网段的用户将不能够通过Portal认证接入网络。
操作步骤
- 采用外置Portal服务器时,配置Portal认证用户的接入控制参数。
- 配置Portal认证用户的免认证规则,有以下两种命令格式:
- 执行命令portal free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id }* } }*,配置Portal认证用户的免认证规则。
- 或执行命令portal free-rule rule-id source ip ip-address mask { mask-length | ip-mask } [ mac mac-address ] [ interface interface-type interface-number ] destination user-group group-name,配置Portal认证用户的免认证规则。
参数tcp destination-port port和udp destination-port port仅V200R005C02和V200R005C03版本支持。
缺省情况下,未配置Portal认证用户的免认证规则。
- 执行命令portal auth-network network-address { mask-length | mask-address },配置Portal认证的源认证网段。
缺省情况下,源认证网段为0.0.0.0/0,表示对所有网段的用户都进行认证。
该命令仅对三层Portal认证方式有效,二层Portal认证方式将对所有网段的用户都进行认证。
- 配置Portal认证用户的免认证规则,有以下两种命令格式:
- 采用内置Portal服务器时,配置Portal认证用户的接入控制参数。
- 配置Portal认证用户的免认证规则,有以下两种命令格式:
- 执行命令portal free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id }* } }*,配置Portal认证用户的免认证规则。
- 或执行命令portal free-rule rule-id source ip ip-address mask { mask-length | ip-mask } [ mac mac-address ] [ interface interface-type interface-number ] destination user-group group-name,配置Portal认证用户的免认证规则。
缺省情况下,未配置Portal认证用户的免认证规则。
- 配置Portal认证用户的免认证规则,有以下两种命令格式:
(可选)配置用户下线探测报文的源地址
背景信息
为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。
- 修改用户下线探测报文的默认源IP地址;
- 直接指定某个IP地址作为用户下线探测报文的源IP地址。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户下线探测报文的源地址。
执行命令access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址。
缺省情况下,用户下线探测报文的默认源IP地址是255.255.255.255。
仅V200R005C00SPC500版本支持该步骤。
执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
(可选)配置Portal认证用户下线探测周期
背景信息
对于Portal认证用户,如果由于断电、网络异常断开等缘故造成用户下线,此时设备与认证服务器上可能仍保存有该用户信息,这将会造成计费不准等问题。另一方面,由于设备允许接入的用户数是有限的,若用户异常下线但设备上仍保存有用户信息,则将可能导致其他用户不能接入网络。
配置Portal认证用户下线探测周期后,如果用户在探测周期内没有回应,则设备认为该用户已下线。之后设备与认证服务器将会及时清除该用户信息,并释放其占用的资源以保证资源的有效利用。
本功能仅适用于二层Portal认证方式,同时仅对外置Portal服务器场景生效。
对于采用三层Portal认证的PC用户,可以通过认证服务器的心跳探测功能保证其在线状态正常。认证服务器探测到用户下线后,通知设备将用户下线。
- 根据用户数量,适当放大探测周期。建议当用户数小于8K时,探测周期采用缺省值;当用户数大于8K时,配置探测周期不小于600秒。
- 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。
(可选)配置Portal认证探测功能
(可选)配置Portal认证用户信息同步功能
背景信息
Portal实际组网应用中,若设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障,将使得已经在线的Portal用户无法正常下线。这将可能会导致设备与Portal服务器用户信息不一致以及计费不准确问题。
本节内容仅适用于外置Portal服务器场景。
对于三层Portal认证,目前设备支持和华赛TSM Portal服务器同步用户信息。与其他的Portal服务器对接时,如果不能同步用户信息导致用户不能及时下线,管理员可通过执行命令cut access-user强制用户下线,或者通过网管、RADIUS DM等形式强制用户下线。
(可选)配置Portal认证静默功能
(可选)配置静态用户
背景信息
在网络部署中,对于打印机和服务器等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1x认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id ] *(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置静态用户。
缺省情况下,未配置静态用户。
仅二层以太网接口和二层Eth-Trunk接口支持配置为静态用户所属的接口。如果已配置的接口加入Eth-Trunk或者切换成三层接口,则该接口的静态用户功能不生效。
配置静态用户所属的接口时(即参数interface interface-type interface-number),必须同时配置该接口所属的VLAN(即参数vlan vlan-id)。
- 执行命令static-user
username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
缺省情况下,静态用户的用户名为system-name和ip-address。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
(可选)配置接入认证过程中的用户网络访问权限
背景信息
用户接入认证过程中,为满足用户在各认证阶段均能够有一定的网络访问权限,可以配置用户在接入认证各阶段中的网络访问权限。
- pre-authen:配置用户在接入认证开始之前的网络访问权限。
- authen-fail:配置用户在接入认证失败时的网络访问权限。
- authen-server-down:配置用户在接入认证过程中,认证服务器无响应时的网络访问权限。
二层物理接口视图下,本功能仅适用于内置Portal认证。
仅S5700HI、S5710HI、S5710EI和S6700支持在VLANIF接口下配置该功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户在接入认证各阶段的网络访问权限,可在系统视图、二层物理接口视图或VLANIF接口视图下进行配置。
- (可选)配置用户在接入认证各阶段所加入网络访问权限的老化时间。可在系统视图或接口视图下进行配置。
视图
操作步骤
系统视图 执行命令authentication event { pre-authen | authen-fail | authen-server-down } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
- 配置用户在接入认证各阶段所加入网络访问权限的老化时间,在二层物理接口视图与VLANIF接口视图下命令格式存在差异。
- 二层物理接口视图:执行命令authentication event { pre-authen | authen-fail | authen-server-down} session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
- VLANIF接口视图:执行命令authentication event { pre-authen | authen-fail | authen-server-down } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
- 执行命令quit,返回到系统视图。
- (可选)配置在用户接入认证失败或者认证服务器无响应时,设备回应认证失败报文。可在系统视图或接口视图下进行配置。
(可选)配置终端类型感知功能
背景信息
在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。
通过终端类型感知功能,设备能够获悉终端的类型并发送给认证服务器,进而使认证服务器能够根据用户的终端类型为其部署网络访问权限或报文处理优先级等策略。
- 通过DHCP选项字段方式:设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备的DHCP Snooping功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-安全配置-DHCP Snooping配置》中的“使能DHCP Snooping功能”。
- 通过LLDP TLV类型方式:设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备以及下挂的对端设备的LLDP功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-网络管理配置-LLDP配置》中的“使能LLDP功能”。
为保证终端类型感知功能生效,需确保AAA方案中的认证或计费模式为RADIUS。
终端类型感知功能仅为接入设备提供了一种获取用户终端类型的方案,其本身并无法为终端分配网络访问策略。为不同类型的终端部署网络访问策略由管理员在RADIUS服务器上进行配置。
(可选)配置MAC迁移功能
背景信息
企业用户终端的接入位置经常变化,比如使用笔记本的用户移动到其他办公室办公或进行演示交流。但是,缺省情况下,用户从新接口接入后,无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。
MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。
如图3-15所示,典型的MAC迁移场景有两种。第一种:认证点部署在接入交换机,用户终端从同一台交换机的一个认证控制点迁移到另一个认证控制点;第二种:认证点部署在汇聚交换机,用户终端的认证控制点不变,其接入接口从汇聚交换机下挂的同一台接入交换机的不同接口之间迁移或者从汇聚交换机下挂的不同接入交换机的接口之间迁移。
通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1x或DHCP报文触发MAC迁移功能,导致合法用户下线。
- 策略联动和SVF场景下,设备不支持MAC迁移功能。
- 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
- 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
- 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
- 传统模式下,VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
- 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } &<1–10> },使能MAC迁移功能。
缺省情况下,未使能MAC迁移功能。
MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。
- (可选)配置MAC迁移静默功能。
用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值,设备会将该用户静默一段时间。在静默时间内,设备不再处理该用户的认证请求并回应用户认证失败,从而避免频繁切换对设备CPU的冲击。
另外,为提高MAC迁移静默功能的可维护性,设备支持记录MAC迁移的相关日志和告警。
执行命令authentication mac-move { quiet-times times | quiet-period quiet-value } *,配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。
缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为60秒。
执行命令authentication mac-move quiet-log enable,使能设备记录MAC迁移静默相关日志的功能。
缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。
使能该功能后,设备在添加或删除MAC迁移静默表项时记录日志。
执行命令authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold,配置MAC迁移静默用户数的告警上下限阈值。
缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。
执行命令authentication mac-move quiet-user-alarm enable,使能设备发送MAC迁移静默相关告警的功能。
缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。
使能该功能后,当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。
(可选)配置用户组功能
背景信息
在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。
在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。
除了S5700HI、S5710HI、S5710EI和S6700型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令user-group group-name,创建用户组并进入用户组视图。
- 执行命令acl-id acl-number,在用户组下绑定ACL。
缺省情况下,用户组下未绑定ACL。
执行该命令之前,需确保已使用命令acl(系统视图)或acl name创建了ACL;并使用命令rule配置相应的ACL规则。
与用户组绑定的ACL,不允许在系统视图下直接修改或删除
- 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。
缺省情况下,未配置用户组优先级。
仅S5700HI、S5710HI、S5710EI与S6700支持该命令。
- 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。
缺省情况下,不对用户组内的用户进行流量监管。
仅S5700HI、S5710EI和S5710HI支持本命令。
- 执行命令quit, 退出到系统视图。
- 执行命令user-group group-name enable,使能用户组功能。
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
检查配置结果
操作步骤
- 采用外置Portal服务器时,可使用以下命令查看配置信息。
- 执行命令display portal [ interface vlanif interface-number ],查看VLANIF接口下Portal认证的配置信息。
- 执行命令display web-auth-server configuration,查看Portal认证服务器相关的配置信息。
- 执行命令display server-detect state [ web-auth-server server-name ],查看Portal服务器状态信息。
- 执行命令display user-group [ group-name ],查看用户组的配置信息。
- 执行命令display access-user user-group group-name,查看用户组内上线用户的信息。
- 执行命令display static-user [ domain-name domain-name | interface interface-type interface-number | ip-address start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] *,查看静态用户的信息。
- 执行命令display portal quiet-user { all | server-ip ip-address | user-ip ip-address },查看Portal认证静默用户信息。
- 采用内置Portal服务器时,可使用以下命令查看配置信息。
- 执行命令display portal local-server,查看内置Portal服务器的配置信息。
- 执行命令display portal local-server connect [ user-ip ip-address ],查看内置Portal服务器上portal认证用户的连接状态。
- 执行命令display static-user [ domain-name domain-name | interface interface-type interface-number | ip-address start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] *,查看静态用户的信息。
- 执行命令display portal quiet-user { all | server-ip ip-address | user-ip ip-address },查看Portal认证静默用户信息。
