一、宁盾WIFI认证平台简介
1、平台构架
2、平台登录方式
浏览器登录WIFI个性化平台http://X.X.X.X:8080(X.X.X.X为服务器IP,默认端口8080),平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员,由WIFI集中接入平台统一配置分配。(浏览器建议IE9+,或Firefox、Chrome等)
IE下载链接:http://www.microsoft.com/china/windows/IE/upgrade/index.aspx
Mozilla Firefox下载链接:http://www.mozilla.org/zh-CN/firefox/new/
Google Chrome下载链接:http://www.google.cn/intl/zh-CN/chrome/browser/
二、认证配置
1、Portal认证配置流程
新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式
2、新增商户
在集中接入管控平台【商户列表】点击【新增商户+】,编辑商户名称、缩写选择商户类型。
为商户分配管理员:在商户列表内选中商户,点击操作栏内【配置管理员】,为商户设定管理员账户(该账户只允许登录商户自助管理平台)。
3、添加设备
● 添加BRAS/AC/胖AP设备:
添加SSID或AP Group并分配给商户,如添加SSID:
添加AP Group(胖AP不支持AP Group):
说明:AP Group的配置就是将位于不同位置的AP按区域分组,AP Group可包含一个或若干个AP,即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。将不同AP分组分配给不同商户即可实现不同AP分组不同Portal页面(如此,要求将统一个商户按区域划分成若干个子商户,如:“星巴克”商户分为“星巴克长江路店”、“星巴克火车站店”等)
● 添加认证网关设备:
4、华为无线控制器设备AC6605配置
Radius
IP:服务器IP地址
认证端口:1812
计费端口:1813
共享密钥:ndkey(密钥为添加设备时设置的值)
离线端口:默认3799
Portal
URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi
注:要求根据不同AP或AP Group推送不同Portal时,此处URL为http://localhost:8080/am/portal/ac/AC(即AC设备处提供的URL)
Portal认证模式:PAP
免认证规则(白名单/ACL放行):服务器IP、Portal IP
详细配置:
华为AC 6605 portal 认证配置
步骤1、免认证策略配置
# portal free-rule 1 destination ip 172.28.6.40 mask 255.255.255.0(放行ndkey-wcc服务器地址) portal free-rule 2 destination ip 202.96.128.166 mask 255.255.255.0(放行DNS服务器地址) #
步骤2、配置RADIUS服务器
radius-server templatendkey-wcc-radius radius-server shared-key ndkeywcc radius-server authentication 172.28.6.40 1812 weight 80 radius-server accounting 172.28.6.40 1813 weight 80 #
步骤3、配置外部portal URL和URL参数携带参数
url-template namendkey-wcc-web urlssidKaisa-Plaze-HZ http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ url-parameter ac-ip AC-IP ac-mac AC-MACap-ip AP-IP ap-mac called-station ssidssid user-ipaddresswlanuserip user-mac user-macsysnamewlanacname #
步骤4、配置portal服务器
uth-serverndkey-wcc-web-ser server-ip 172.28.6.40 port 50100 url http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ url-templatendkey-wcc-web source-ip 172.28.6.15
步骤5、把RADIUS配置在AAA里面调用
# aaa authentication-scheme default authentication-schemendkey-wcc-radius authentication-mode radius authorization-scheme default accounting-scheme default accounting-schemendkey-wcc-radius accounting-mode radius
步骤6、配置认证域和调用RADIUS
domainhuawei.com authentication-schemendkey-wcc-radius accounting-schemendkey-wcc-radius radius-server ndkey-wcc-radius local-user admin password cipher %@%@)(9#Qv{-)26DK~8<,s>+AA)W%@%@ local-user admin privilege level 15 local-user admin service-type telnet http #
步骤7、调用portal认证
# interface Vlanif1 ip address 172.28.6.15 255.255.255.0 web-auth-serverndkey-wcc-web-ser direct portal domain huawei.com portalauth-network 172.28.6.0 255.255.255.0 #
5、认证方式配置
5.1、短信认证
● 短信平台对接:【系统设定】—【短信通道】,选择通道类型并填写相关链接参数,完成对接,可进行测试是否对接成功。
● 启用短信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【短信认证】
仅验证手机号(不发送短信):勾选后用户登录WIFI是输入手机号码,点击“获取验证码”,验证码信息自动填充至验证码输入框。
仅启用白名单的用户:勾选后只允许手机号码在【用户】—【短信用户】短信用户列表内通过认证登录。#p#
5.2、微信认证
● 微信服务白名单:【微信设置】—【微信免认证IP】或【设备管理】—选择您的设备—【查看微信免认证IP】
将列表内IP地址加入到无线控制设备的免认证规则(白名单/ACL放行)内。
当认证服务器与wifi访问互联网不属于同一出口时,请用PC链接WIFI访问:http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1
并将获取的IP添加到AC或网关设备上。
注:该部分不配置免认证规则时,用户将要求先通过移动流量关注微信公众号,并通过与微信工作号交互获取登录密码,才能通过密码登录Portal。
● 启用微信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【微信认证】
是否使用私有公众号:是,商户自己绑定微信公众号;否,继承集中接入管控平台内微信设置。
公众帐号:为用户需要关注获取上网权限的微信公众号
模式:链接模式,平台通过提供一个链接添加到微信公众号自定义菜单处;API模式,提供微信公众号开发者中心内所需的URL与TOKEN
SSID名称:wifi热点名称
密码有效期:微信公众好提供的密码有效期控制,默认30分钟
● 微信公众号平台(http://mp.weixin.qq.com):
链接模式微信公众号配置:【自定义菜单】—【菜单管理】—【添加菜单】,如:“免费wifi”,【设置动作】—选【跳转到网页】
API模式微信公众号配置配置
5.3、用户名
根据需要设置用户源:
● 添加本地用户
● 链接外部数据源,选择外部用户源类型
以标准AD为例:
● 启用外部访客,启用外部访客认证需配有本地用户或外部数据源用户审核
● 启用用户名认证,选取以上配置的用户源中的一类或几类。
三、页面管理
WIFI认证平台Portal页面分为:封面页、认证页、广告页与成功页;
其中封面页、广告页为可选页面,页面展现时间可设定,默认3秒后向下一页面跳转。
【页面管理】
● 封面页、认证页、广告页、成功页均可选择【不同设备使用不同界面】或【不同设备使用相同界面】
【不同设备使用不同界面】模式下可分别编辑手机端界面、PC&PAD界面
【不同设备使用相同界面】模式下,编辑通用界面。
以下选择【不同设备使用相同界面】为例
● 封面页、广告页启用(可根据需要是否启用),默认未启用“对”,启用后“错”即可对该页面进行编辑。以封面页为例。
如下:点击更换图片,即可修改该页面展示的图片,点击编辑文字可修改该页面展示时长(默认3秒),修改完成保存即可。
● 认证页、成功页编辑时点击“更换图片”、”编辑文字”即可更改相应位置内容。
四、调查问卷配置
【WIFI认证】—【调查问卷】
创建问卷内容:点击“创建一个问题”,编辑问题内容。
发布问卷调查,并应用至封面页或成功页。当应用于“封面页”时,封面页的内容将会被取代,调查问卷要求用户完成问卷调查才允许登录;当应用于“成功页”时,成功页的内容将会被取代调查问卷展现在用户登录成功后的页面处,不对用户强制要求是否完成调查内容。
发布成功后可查看当前问卷调查统计结果。
五、策略控制
登录WIFI商户自助管理平台或在WIFI集中接入管控平台通过商户列表操作“管理”按钮进入,WIFI认证—认证配置—高级配置,即可编辑相应控制策略。
点击策略明细图标 ,可查看当前策略明细,并可编辑设置高级策略 ,高级策略可针对终端设备类型或登录认证类型逐一设置。如下图:
● 上网时长控制:每用户每天的上网时长控制
● ***在线设备:单用户允许登录的设备数量控制
● 在用用户***流量控制:在设定的时间范围内,用户使用的流量低于目标值踢该用户下线。该策略可设置空闲检测时长,及当用户断开wifi链接,默认情况下AC不会立即让用户从AP上下线,而是存在默认15分钟检测时间;另该策略可设置为一时间段内将流量设置为一个不可达数值,即可是的用户在超过此时间段须重新认证。
● 允许上网的时段:该策略针对WIFI热点允许设置允许的上网时段控制,默认全时段
● 是否允许登录:针对wifi热点设置,可新增高级策略设置指定终端设备类型或登录方式不允许登录,当设定不允许登录是即用户无法通过认证正常链接wifi上网。
● 二次免认证时间:针对登录认证的用户设置其登录设备的MAC地址有效期,在有效期内用户可使用器MAC地址点击一键登录即可完成登录认证功能。