宁盾WIFI结合 Cisco WLC Portal 认证配置指南

网络 网络设备
登录WIFI商户自助管理平台或在WIFI集中接入管控平台通过商户列表操作“管理”按钮进入,WIFI认证—认证配置—高级配置,即可编辑相应控制策略。

一、宁盾WIFI认证平台简介

1、平台构架

平台构架

2、平台登录方式

浏览器登录WIFI个性化平台http://X.X.X.X:8080(X.X.X.X为服务器IP,默认端口8080),平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员,由WIFI集中接入平台统一配置分配。(浏览器建议IE9+,或Firefox、Chrome等)

平台登录方式

IE下载链接:http://www.microsoft.com/china/windows/IE/upgrade/index.aspx

Mozilla Firefox下载链接:http://www.mozilla.org/zh-CN/firefox/new/

Google Chrome下载链接:http://www.google.cn/intl/zh-CN/chrome/browser/

二、认证配置

1、Portal认证配置流程

新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式

Portal认证配置流程

2、新增商户

在集中接入管控平台【商户列表】点击【新增商户+】,编辑商户名称、缩写选择商户类型。

新增商户

为商户分配管理员:在商户列表内选中商户,点击操作栏内【配置管理员】,为商户设定管理员账户(该账户只允许登录商户自助管理平台)。

新增商户

3、添加设备

● 添加BRAS/AC/胖AP设备:

添加设备

添加SSID或AP Group并分配给商户,如添加SSID:

添加SSID或AP Group并分配给商户

添加AP Group(胖AP不支持AP Group):

添加AP Group

添加AP Group

说明:AP Group的配置就是将位于不同位置的AP按区域分组,AP Group可包含一个或若干个AP,即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。将不同AP分组分配给不同商户即可实现不同AP分组不同Portal页面(如此,要求将统一个商户按区域划分成若干个子商户,如:“星巴克”商户分为“星巴克长江路店”、“星巴克火车站店”等)

● 添加认证网关设备:

添加认证网关设备#p#

4、思科 WLC 无线控制器配置

Radius

IP:服务器 IP 地址

认证端口:1812

计费端口:1813

共享密钥:ndkey(密钥为添加设备时设置的值)

离线端口:默认 3799

Portal

URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi

注:要求根据不同 AP 或 AP Group 推送不同 Portal 时,此处 URL 为http://localhost:8080/am/portal/ac/AC(即 AC 设备处提供的 URL)

Portal 认证模式:PAP

免认证规则(白名单/ACL 放行):服务器 IP、Portal IP

详细配置:

4.1 添加 RADIUS 认证服务器

进入 Security->AAA->RADIUS->Authentication:

添加 RADIUS 认证服务器

4.2 配置免认证规则

配置两条 ACL,允许用户在认证前访问 DKEY 的 Portal 页面:

 配置免认证规则

4.3 配置 SSID

检查二层安全配置

将相应 SSID 的二层安装模式配为 None:

 配置免认证规则

配置 Portal 跳转

 配置免认证规则

Preauthentication ACL 配置为刚刚添加的认证服务器 ACL。

重 定 向 地 址 配 置 为 http://ip:3080/CheckTempCredentialServlet 。 注 : 本 次 url 填 写 :

http://x.x.x.x:3080/portal/apply/show_password/pc.xhtml

 

配置 SSID 的 RADIUS 认证

 配置免认证规则

5、认证方式配置

5.1、短信认证

● 短信平台对接:【系统设定】—【短信通道】,选择通道类型并填写相关链接参数,完成对接,可进行测试是否对接成功。

短信认证

● 启用短信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【短信认证】

启用短信认证

仅验证手机号(不发送短信):勾选后用户登录WIFI是输入手机号码,点击“获取验证码”,验证码信息自动填充至验证码输入框。

仅启用白名单的用户:勾选后只允许手机号码在【用户】—【短信用户】短信用户列表内通过认证登录。#p#

5.2、微信认证

● 微信服务白名单:【微信设置】—【微信免认证IP】或【设备管理】—选择您的设备—【查看微信免认证IP】

将列表内IP地址加入到无线控制设备的免认证规则(白名单/ACL放行)内。

微信服务白名单

当认证服务器与wifi访问互联网不属于同一出口时,请用PC链接WIFI访问:http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1

并将获取的IP添加到AC或网关设备上。

注:该部分不配置免认证规则时,用户将要求先通过移动流量关注微信公众号,并通过与微信工作号交互获取登录密码,才能通过密码登录Portal。

● 启用微信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【微信认证】

启用微信认证

是否使用私有公众号:是,商户自己绑定微信公众号;否,继承集中接入管控平台内微信设置。

公众帐号:为用户需要关注获取上网权限的微信公众号

模式:链接模式,平台通过提供一个链接添加到微信公众号自定义菜单处;API模式,提供微信公众号开发者中心内所需的URL与TOKEN

SSID名称:wifi热点名称

密码有效期:微信公众好提供的密码有效期控制,默认30分钟

● 微信公众号平台(http://mp.weixin.qq.com):

链接模式微信公众号配置:【自定义菜单】—【菜单管理】—【添加菜单】,如:“免费wifi”,【设置动作】—选【跳转到网页】

链接模式微信公众号配置

API模式微信公众号配置配置

API模式微信公众号配置配置

5.3、用户名

根据需要设置用户源:

● 添加本地用户

 添加本地用户

● 链接外部数据源,选择外部用户源类型

链接外部数据源,选择外部用户源类型

以标准AD为例:

以标准AD为例

● 启用外部访客,启用外部访客认证需配有本地用户或外部数据源用户审核

启用外部访客

● 启用用户名认证,选取以上配置的用户源中的一类或几类。

启用用户名认证#p#

三、页面管理

WIFI认证平台Portal页面分为:封面页、认证页、广告页与成功页;

封面页、认证页、广告页与成功页

其中封面页、广告页为可选页面,页面展现时间可设定,默认3秒后向下一页面跳转。

【页面管理】

封面页、认证页、广告页与成功页

● 封面页、认证页、广告页、成功页均可选择【不同设备使用不同界面】或【不同设备使用相同界面】

【不同设备使用不同界面】模式下可分别编辑手机端界面、PC&PAD界面

不同设备使用不同界面

【不同设备使用相同界面】模式下,编辑通用界面。

不同设备使用不同界面

以下选择【不同设备使用相同界面】为例

● 封面页、广告页启用(可根据需要是否启用),默认未启用“对”,启用后“错”即可对该页面进行编辑。以封面页为例。

不同设备使用相同界面

如下:点击更换图片,即可修改该页面展示的图片,点击编辑文字可修改该页面展示时长(默认3秒),修改完成保存即可。

不同设备使用相同界面

不同设备使用相同界面

不同设备使用相同界面

● 认证页、成功页编辑时点击“更换图片”、”编辑文字”即可更改相应位置内容。

四、策略控制

登录WIFI商户自助管理平台或在WIFI集中接入管控平台通过商户列表操作“管理”按钮进入,WIFI认证—认证配置—高级配置,即可编辑相应控制策略。

策略控制

点击策略明细图标 ,可查看当前策略明细,并可编辑设置高级策略 ,高级策略可针对终端设备类型或登录认证类型逐一设置。如下图:

策略控制

策略控制

● 上网时长控制:每用户每天的上网时长控制

● ***在线设备:单用户允许登录的设备数量控制

● 在用用户***流量控制:在设定的时间范围内,用户使用的流量低于目标值踢该用户下线。该策略可设置空闲检测时长,及当用户断开wifi链接,默认情况下AC不会立即让用户从AP上下线,而是存在默认15分钟检测时间;另该策略可设置为一时间段内将流量设置为一个不可达数值,即可是的用户在超过此时间段须重新认证。

● 允许上网的时段:该策略针对WIFI热点允许设置允许的上网时段控制,默认全时段

策略控制

● 是否允许登录:针对wifi热点设置,可新增高级策略设置指定终端设备类型或登录方式不允许登录,当设定不允许登录是即用户无法通过认证正常链接wifi上网。

● 二次免认证时间:针对登录认证的用户设置其登录设备的MAC地址有效期,在有效期内用户可使用器MAC地址点击一键登录即可完成登录认证功能。

责任编辑:林琳 来源: 51CTO.com
相关推荐

2014-12-22 15:46:13

宁盾WIFI华为

2014-11-25 10:25:02

2015-04-02 16:03:42

Portal短信认证Aerohive宁盾

2015-03-31 17:32:46

WIFITP-LINKWIFI认证

2015-08-26 15:47:34

2014-11-28 10:04:59

宁盾WIFI

2015-04-02 15:43:09

无线认证Aerohive宁盾

2014-11-26 10:11:20

2012-06-11 16:37:50

2015-03-31 17:28:32

2014-12-03 11:17:37

2015-04-09 13:06:24

无线认证方案南通大学附中宁盾

2015-08-11 14:41:00

双因子认证宁盾

2015-11-20 14:30:41

2014-11-27 10:22:24

宁盾科技佳能无线

2015-11-20 14:33:48

动态密码双因素令牌

2015-03-09 11:20:25

双因素认证宁盾DKEY

2015-05-12 11:43:07

无线宁盾

2015-04-02 10:04:28

Portal认证深信服

2009-09-24 15:02:26

Cisco认证
点赞
收藏

51CTO技术栈公众号