• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

超时

2020-11-05提问
  • 1关注
  • 1收藏,2086浏览
粉丝:18人 关注:5人

问题描述:

Port server 认证,那个超时时间是什么意思啊

组网及组网描述:

最佳答案

粉丝:11人 关注:1人

1、portal用户在线超时

接口上开启了Portal用户在线探测功能后,设备在用户上线之后,若发现在一定的时间(idle time)之内该用户无流量,则会向该用户定期(interval interval)发送探测报文来确认该用户是否在线,以便及时发现异常离线用户。

·              IPv4探测报文为ARP请求或ICMP请求,IPv6探测报文为ND请求或ICMPv6请求。

·              若设备在指定的探测次数(retry retries)之内收到了该Portal用户的响应报文,则认为此用户在线。之后,继续根据指定的时间之内是否有流量来决定是否发起新的一轮探测,以持续确认该用户的在线状态。

·              若设备在指定的探测次数(retry retries)之后仍然未收到该Portal用户的响应报文,则认为此用户已经下线,则停止探测,并删除该用户。

需要注意的是,ARPND方式的探测只适用于直接方式和二次地址分配方式的Portal认证。ICMP方式的探测适用于所有认证方式。

表1-15 配置IPv4 Portal用户在线探测功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启IPv4 Portal用户在线探测功能

portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]

缺省情况下,接口上的IPv4 Portal用户在线探测功能处于关闭状态

 

表1-16 配置IPv6 Portal用户在线探测功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启IPv6 Portal用户在线探测功能

portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]

缺省情况下,接口上的IPv6 Portal用户在线探测功能处于关闭状态


2、portal认证服务器可达性超时

Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。

开启Portal认证服务器的可达性探测功能后,无论是否有接口上使能了Portal认证,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。

当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:

·              发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

·              Portal用户逃生:Portal认证服务器不可达时,暂时取消接口上进行的Portal认证,允许该接口接入的所有Portal用户访问网络资源。之后,若设备收到Portal认证服务器发送的报文,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10  配置Portal用户逃生功能”。

配置Portal认证服务器的可达性探测功能时,需要注意:

·              目前,只有iMCPortal认证服务器支持逃生心跳功能。为了配合该探测功能,Portal认证服务器上必须保证逃生心跳功能处于开启状态。

·              如果同时指定了多种操作,则Portal认证服务器可达状态改变时系统可并发执行多种操作。

表1-17 配置Portal认证服务器的可达性探测功能

操作

命令

说明

进入系统视图

system-view

-

进入Portal认证服务器视图

portal server server-name

-

开启Portal认证服务器的可达性探测功能

server-detect [ timeout timeout ] log

缺省情况下,Portal服务器可达性探测功能处于关闭状态

 

3、portal web服务器可达性超时

Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。

由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。在接口上开启Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。

·              探测参数

¡  探测间隔:进行探测尝试的时间间隔。

¡  失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。

·              可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)

¡  发送日志:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

¡  Portal用户逃生:Portal Web服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若Portal Web服务器可达,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10  配置Portal用户逃生功能”。

表1-18 配置Portal Web服务器的可达性探测功能

操作

命令

说明

进入系统视图

system-view

-

进入Portal Web服务器视图

portal web-server server-name

-

开启Portal Web服务器的可达性探测功能

server-detect [ interval interval ] [ retry retries ] log

缺省情况下,Portal Web认证服务器的可达性探测功能处于关闭状态

 4、portal用户信息同步超时

为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:

(1)      Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;

(2)      接入设备在用户上线之后,即开启用户同步检测定时器(超时时间为timeout timeout),在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线。

使用Portal用户信息同步功能时,需要注意:

·              只有在支持Portal用户心跳功能(目前仅iMCPortal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

·              在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

表1-19 配置Portal用户信息同步功能

操作

命令

说明

进入系统视图

system-view

-

进入Portal认证服务器视图

portal server server-name

-

开启Portal用户信息同步功能

user-sync timeout timeout

缺省情况下,Portal用户信息同步功能处于关闭状态

 


暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明