宁盾WIFI结合华为无线Portal认证配置指南

一、宁盾WIFI认证平台简介

1、平台构架

2、平台登录方式

浏览器登录WIFI个性化平台http://X.X.X.X:8080(X.X.X.X为服务器IP，默认端口8080)，平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员，由WIFI集中接入平台统一配置分配。(浏览器建议IE9+，或Firefox、Chrome等)

IE下载链接：http://www.microsoft.com/china/windows/IE/upgrade/index.aspx

Mozilla Firefox下载链接：http://www.mozilla.org/zh-CN/firefox/new/

Google Chrome下载链接：http://www.google.cn/intl/zh-CN/chrome/browser/

二、认证配置

1、Portal认证配置流程

新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式

2、新增商户

在集中接入管控平台【商户列表】点击【新增商户+】，编辑商户名称、缩写选择商户类型。

为商户分配管理员：在商户列表内选中商户，点击操作栏内【配置管理员】，为商户设定管理员账户(该账户只允许登录商户自助管理平台)。

3、添加设备

● 添加BRAS/AC/胖AP设备：

添加SSID或AP Group并分配给商户，如添加SSID：

添加AP Group(胖AP不支持AP Group)：

说明：AP Group的配置就是将位于不同位置的AP按区域分组，AP Group可包含一个或若干个AP，即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。将不同AP分组分配给不同商户即可实现不同AP分组不同Portal页面(如此，要求将统一个商户按区域划分成若干个子商户，如：“星巴克”商户分为“星巴克长江路店”、“星巴克火车站店”等)

● 添加认证网关设备：

#p#

4、华为无线控制器设备AC6605配置

Radius

IP：服务器IP地址

认证端口：1812

计费端口：1813

共享密钥：ndkey(密钥为添加设备时设置的值)

离线端口：默认3799

Portal

URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi

注：要求根据不同AP或AP Group推送不同Portal时，此处URL为http://localhost:8080/am/portal/ac/AC(即AC设备处提供的URL)

Portal认证模式：PAP

免认证规则(白名单/ACL放行):服务器IP、Portal IP

详细配置：

华为AC 6605 portal 认证配置

步骤1、免认证策略配置

#
portal free-rule 1 destination ip 172.28.6.40 mask 255.255.255.0（放行ndkey-wcc服务器地址）
portal free-rule 2 destination ip 202.96.128.166 mask 255.255.255.0（放行DNS服务器地址）
#

步骤2、配置RADIUS服务器

radius-server templatendkey-wcc-radius
radius-server shared-key ndkeywcc
radius-server authentication 172.28.6.40 1812 weight 80
radius-server accounting 172.28.6.40 1813 weight 80
#

步骤3、配置外部portal URL和URL参数携带参数

url-template namendkey-wcc-web
urlssidKaisa-Plaze-HZ http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-parameter ac-ip AC-IP ac-mac AC-MACap-ip AP-IP ap-mac called-station ssidssid user-ipaddresswlanuserip user-mac user-macsysnamewlanacname
#

步骤4、配置portal服务器

uth-serverndkey-wcc-web-ser
server-ip 172.28.6.40
port 50100
url http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-templatendkey-wcc-web
source-ip 172.28.6.15

步骤5、把RADIUS配置在AAA里面调用

#
aaa
authentication-scheme default 
authentication-schemendkey-wcc-radius
authentication-mode radius 
authorization-scheme default 
accounting-scheme default                
accounting-schemendkey-wcc-radius 
accounting-mode radius

步骤6、配置认证域和调用RADIUS

domainhuawei.com  
authentication-schemendkey-wcc-radius 
accounting-schemendkey-wcc-radius 
  radius-server ndkey-wcc-radius
local-user admin password cipher %@%@)(9#Qv{-)26DK~8<,s>+AA)W%@%@
local-user admin privilege level 15
local-user admin service-type telnet http
#

步骤7、调用portal认证

#
interface Vlanif1
ip address 172.28.6.15 255.255.255.0 
web-auth-serverndkey-wcc-web-ser direct
portal domain huawei.com
portalauth-network 172.28.6.0 255.255.255.0
#

5、认证方式配置

5.1、短信认证

● 短信平台对接：【系统设定】—【短信通道】，选择通道类型并填写相关链接参数，完成对接，可进行测试是否对接成功。

● 启用短信认证：商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【短信认证】

仅验证手机号(不发送短信)：勾选后用户登录WIFI是输入手机号码，点击“获取验证码”，验证码信息自动填充至验证码输入框。

仅启用白名单的用户：勾选后只允许手机号码在【用户】—【短信用户】短信用户列表内通过认证登录。#p#

5.2、微信认证

● 微信服务白名单：【微信设置】—【微信免认证IP】或【设备管理】—选择您的设备—【查看微信免认证IP】

将列表内IP地址加入到无线控制设备的免认证规则(白名单/ACL放行)内。

当认证服务器与wifi访问互联网不属于同一出口时，请用PC链接WIFI访问：http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1

并将获取的IP添加到AC或网关设备上。

注：该部分不配置免认证规则时，用户将要求先通过移动流量关注微信公众号，并通过与微信工作号交互获取登录密码，才能通过密码登录Portal。

● 启用微信认证：商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【微信认证】

是否使用私有公众号：是，商户自己绑定微信公众号;否，继承集中接入管控平台内微信设置。

公众帐号：为用户需要关注获取上网权限的微信公众号

模式：链接模式，平台通过提供一个链接添加到微信公众号自定义菜单处;API模式，提供微信公众号开发者中心内所需的URL与TOKEN

SSID名称：wifi热点名称

密码有效期：微信公众好提供的密码有效期控制，默认30分钟

● 微信公众号平台(http://mp.weixin.qq.com)：

链接模式微信公众号配置：【自定义菜单】—【菜单管理】—【添加菜单】，如：“免费wifi”，【设置动作】—选【跳转到网页】

API模式微信公众号配置配置

5.3、用户名

根据需要设置用户源：

● 添加本地用户

● 链接外部数据源，选择外部用户源类型

以标准AD为例：

● 启用外部访客，启用外部访客认证需配有本地用户或外部数据源用户审核

● 启用用户名认证，选取以上配置的用户源中的一类或几类。

#p#

三、页面管理

WIFI认证平台Portal页面分为：封面页、认证页、广告页与成功页;

其中封面页、广告页为可选页面，页面展现时间可设定，默认3秒后向下一页面跳转。

【页面管理】

● 封面页、认证页、广告页、成功页均可选择【不同设备使用不同界面】或【不同设备使用相同界面】

【不同设备使用不同界面】模式下可分别编辑手机端界面、PC&PAD界面

【不同设备使用相同界面】模式下，编辑通用界面。

以下选择【不同设备使用相同界面】为例

● 封面页、广告页启用(可根据需要是否启用)，默认未启用“对”，启用后“错”即可对该页面进行编辑。以封面页为例。

如下：点击更换图片，即可修改该页面展示的图片，点击编辑文字可修改该页面展示时长(默认3秒)，修改完成保存即可。

● 认证页、成功页编辑时点击“更换图片”、”编辑文字”即可更改相应位置内容。

四、调查问卷配置

【WIFI认证】—【调查问卷】

创建问卷内容:点击“创建一个问题”，编辑问题内容。

发布问卷调查，并应用至封面页或成功页。当应用于“封面页”时，封面页的内容将会被取代，调查问卷要求用户完成问卷调查才允许登录;当应用于“成功页”时，成功页的内容将会被取代调查问卷展现在用户登录成功后的页面处，不对用户强制要求是否完成调查内容。

发布成功后可查看当前问卷调查统计结果。

五、策略控制

登录WIFI商户自助管理平台或在WIFI集中接入管控平台通过商户列表操作“管理”按钮进入，WIFI认证—认证配置—高级配置，即可编辑相应控制策略。

点击策略明细图标 ，可查看当前策略明细，并可编辑设置高级策略 ，高级策略可针对终端设备类型或登录认证类型逐一设置。如下图：

● 上网时长控制：每用户每天的上网时长控制

● ***在线设备：单用户允许登录的设备数量控制

● 在用用户***流量控制：在设定的时间范围内，用户使用的流量低于目标值踢该用户下线。该策略可设置空闲检测时长，及当用户断开wifi链接，默认情况下AC不会立即让用户从AP上下线，而是存在默认15分钟检测时间;另该策略可设置为一时间段内将流量设置为一个不可达数值，即可是的用户在超过此时间段须重新认证。

● 允许上网的时段：该策略针对WIFI热点允许设置允许的上网时段控制，默认全时段

● 是否允许登录：针对wifi热点设置，可新增高级策略设置指定终端设备类型或登录方式不允许登录，当设定不允许登录是即用户无法通过认证正常链接wifi上网。

● 二次免认证时间：针对登录认证的用户设置其登录设备的MAC地址有效期，在有效期内用户可使用器MAC地址点击一键登录即可完成登录认证功能。