一、寧盾WIFI認(rèn)證平臺(tái)簡(jiǎn)介

1、平臺(tái)構(gòu)架

2、平臺(tái)登錄方式

瀏覽器登錄WIFI個(gè)性化平臺(tái)http://X.X.X.X:8080(X.X.X.X為服務(wù)器IP，默認(rèn)端口8080)，平臺(tái)管理員admin,默認(rèn)密碼為admin,商戶自助管理平臺(tái)帳號(hào)密碼為熱點(diǎn)管理員，由WIFI集中接入平臺(tái)統(tǒng)一配置分配。(瀏覽器建議IE9+，或Firefox、Chrome等)

IE下載鏈接：http://www.microsoft.com/china/windows/IE/upgrade/index.aspx

Mozilla Firefox下載鏈接：http://www.mozilla.org/zh-CN/firefox/new/

Google Chrome下載鏈接：http://www.google.cn/intl/zh-CN/chrome/browser/

二、認(rèn)證配置

1、Portal認(rèn)證配置流程

新增商戶—>添加設(shè)備(—>添加SSID或AP Group)并分配給商戶—>設(shè)備配置—>選擇并配置認(rèn)證方式

2、新增商戶

在集中接入管控平臺(tái)【商戶列表】點(diǎn)擊【新增商戶+】，編輯商戶名稱、縮寫選擇商戶類型。

為商戶分配管理員：在商戶列表內(nèi)選中商戶，點(diǎn)擊操作欄內(nèi)【配置管理員】，為商戶設(shè)定管理員賬戶(該賬戶只允許登錄商戶自助管理平臺(tái))。

3、添加設(shè)備

● 添加BRAS/AC/胖AP設(shè)備：

添加SSID或AP Group并分配給商戶，如添加SSID：

添加AP Group(胖AP不支持AP Group)：

說明：AP Group的配置就是將位于不同位置的AP按區(qū)域分組，AP Group可包含一個(gè)或若干個(gè)AP，即添加AP分組后在AP分組下可以添加一個(gè)或若干個(gè)AP的MAC關(guān)聯(lián)AP。將不同AP分組分配給不同商戶即可實(shí)現(xiàn)不同AP分組不同Portal頁(yè)面(如此，要求將統(tǒng)一個(gè)商戶按區(qū)域劃分成若干個(gè)子商戶，如：“星巴克”商戶分為“星巴克長(zhǎng)江路店”、“星巴克火車站店”等)

● 添加認(rèn)證網(wǎng)關(guān)設(shè)備：

#p#

4、華為無(wú)線控制器設(shè)備AC6605配置

Radius

IP：服務(wù)器IP地址

認(rèn)證端口：1812

計(jì)費(fèi)端口：1813

共享密鑰：ndkey(密鑰為添加設(shè)備時(shí)設(shè)置的值)

離線端口：默認(rèn)3799

Portal

URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi

注：要求根據(jù)不同AP或AP Group推送不同Portal時(shí)，此處URL為http://localhost:8080/am/portal/ac/AC(即AC設(shè)備處提供的URL)

Portal認(rèn)證模式：PAP

免認(rèn)證規(guī)則(白名單/ACL放行):服務(wù)器IP、Portal IP

詳細(xì)配置：

華為AC 6605 portal 認(rèn)證配置

步驟1、免認(rèn)證策略配置

#
portal free-rule 1 destination ip 172.28.6.40 mask 255.255.255.0（放行ndkey-wcc服務(wù)器地址）
portal free-rule 2 destination ip 202.96.128.166 mask 255.255.255.0（放行DNS服務(wù)器地址）
#

步驟2、配置RADIUS服務(wù)器

radius-server templatendkey-wcc-radius
radius-server shared-key ndkeywcc
radius-server authentication 172.28.6.40 1812 weight 80
radius-server accounting 172.28.6.40 1813 weight 80
#

步驟3、配置外部portal URL和URL參數(shù)攜帶參數(shù)

url-template namendkey-wcc-web
urlssidKaisa-Plaze-HZ http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-parameter ac-ip AC-IP ac-mac AC-MACap-ip AP-IP ap-mac called-station ssidssid user-ipaddresswlanuserip user-mac user-macsysnamewlanacname
#

步驟4、配置portal服務(wù)器

uth-serverndkey-wcc-web-ser
server-ip 172.28.6.40
port 50100
url http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-templatendkey-wcc-web
source-ip 172.28.6.15

步驟5、把RADIUS配置在AAA里面調(diào)用

#
aaa
authentication-scheme default 
authentication-schemendkey-wcc-radius
authentication-mode radius 
authorization-scheme default 
accounting-scheme default                
accounting-schemendkey-wcc-radius 
accounting-mode radius

步驟6、配置認(rèn)證域和調(diào)用RADIUS

domainhuawei.com  
authentication-schemendkey-wcc-radius 
accounting-schemendkey-wcc-radius 
  radius-server ndkey-wcc-radius
local-user admin password cipher %@%@)(9#Qv{-)26DK~8<,s>+AA)W%@%@
local-user admin privilege level 15
local-user admin service-type telnet http
#

步驟7、調(diào)用portal認(rèn)證

#
interface Vlanif1
ip address 172.28.6.15 255.255.255.0 
web-auth-serverndkey-wcc-web-ser direct
portal domain huawei.com
portalauth-network 172.28.6.0 255.255.255.0
#

5、認(rèn)證方式配置

5.1、短信認(rèn)證

● 短信平臺(tái)對(duì)接：【系統(tǒng)設(shè)定】—【短信通道】，選擇通道類型并填寫相關(guān)鏈接參數(shù)，完成對(duì)接，可進(jìn)行測(cè)試是否對(duì)接成功。

● 啟用短信認(rèn)證：商戶自助管理平臺(tái)—【W(wǎng)IFI認(rèn)證】—【認(rèn)證配置】—選中【登錄認(rèn)證】—【短信認(rèn)證】

僅驗(yàn)證手機(jī)號(hào)(不發(fā)送短信)：勾選后用戶登錄WIFI是輸入手機(jī)號(hào)碼，點(diǎn)擊“獲取驗(yàn)證碼”，驗(yàn)證碼信息自動(dòng)填充至驗(yàn)證碼輸入框。

僅啟用白名單的用戶：勾選后只允許手機(jī)號(hào)碼在【用戶】—【短信用戶】短信用戶列表內(nèi)通過認(rèn)證登錄。#p#

5.2、微信認(rèn)證

● 微信服務(wù)白名單：【微信設(shè)置】—【微信免認(rèn)證IP】或【設(shè)備管理】—選擇您的設(shè)備—【查看微信免認(rèn)證IP】

將列表內(nèi)IP地址加入到無(wú)線控制設(shè)備的免認(rèn)證規(guī)則(白名單/ACL放行)內(nèi)。

當(dāng)認(rèn)證服務(wù)器與wifi訪問互聯(lián)網(wǎng)不屬于同一出口時(shí)，請(qǐng)用PC鏈接WIFI訪問：http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1

并將獲取的IP添加到AC或網(wǎng)關(guān)設(shè)備上。

注：該部分不配置免認(rèn)證規(guī)則時(shí)，用戶將要求先通過移動(dòng)流量關(guān)注微信公眾號(hào)，并通過與微信工作號(hào)交互獲取登錄密碼，才能通過密碼登錄Portal。

● 啟用微信認(rèn)證：商戶自助管理平臺(tái)—【W(wǎng)IFI認(rèn)證】—【認(rèn)證配置】—選中【登錄認(rèn)證】—【微信認(rèn)證】

是否使用私有公眾號(hào)：是，商戶自己綁定微信公眾號(hào);否，繼承集中接入管控平臺(tái)內(nèi)微信設(shè)置。

公眾帳號(hào)：為用戶需要關(guān)注獲取上網(wǎng)權(quán)限的微信公眾號(hào)

模式：鏈接模式，平臺(tái)通過提供一個(gè)鏈接添加到微信公眾號(hào)自定義菜單處;API模式，提供微信公眾號(hào)開發(fā)者中心內(nèi)所需的URL與TOKEN

SSID名稱：wifi熱點(diǎn)名稱

密碼有效期：微信公眾好提供的密碼有效期控制，默認(rèn)30分鐘

● 微信公眾號(hào)平臺(tái)(http://mp.weixin.qq.com)：

鏈接模式微信公眾號(hào)配置：【自定義菜單】—【菜單管理】—【添加菜單】，如：“免費(fèi)wifi”，【設(shè)置動(dòng)作】—選【跳轉(zhuǎn)到網(wǎng)頁(yè)】

API模式微信公眾號(hào)配置配置

5.3、用戶名

根據(jù)需要設(shè)置用戶源：

● 添加本地用戶

● 鏈接外部數(shù)據(jù)源，選擇外部用戶源類型

以標(biāo)準(zhǔn)AD為例：

● 啟用外部訪客，啟用外部訪客認(rèn)證需配有本地用戶或外部數(shù)據(jù)源用戶審核

● 啟用用戶名認(rèn)證，選取以上配置的用戶源中的一類或幾類。

#p#

三、頁(yè)面管理

WIFI認(rèn)證平臺(tái)Portal頁(yè)面分為：封面頁(yè)、認(rèn)證頁(yè)、廣告頁(yè)與成功頁(yè);

其中封面頁(yè)、廣告頁(yè)為可選頁(yè)面，頁(yè)面展現(xiàn)時(shí)間可設(shè)定，默認(rèn)3秒后向下一頁(yè)面跳轉(zhuǎn)。

【頁(yè)面管理】

● 封面頁(yè)、認(rèn)證頁(yè)、廣告頁(yè)、成功頁(yè)均可選擇【不同設(shè)備使用不同界面】或【不同設(shè)備使用相同界面】

【不同設(shè)備使用不同界面】模式下可分別編輯手機(jī)端界面、PC&PAD界面

【不同設(shè)備使用相同界面】模式下，編輯通用界面。

以下選擇【不同設(shè)備使用相同界面】為例

● 封面頁(yè)、廣告頁(yè)啟用(可根據(jù)需要是否啟用)，默認(rèn)未啟用“對(duì)”，啟用后“錯(cuò)”即可對(duì)該頁(yè)面進(jìn)行編輯。以封面頁(yè)為例。

如下：點(diǎn)擊更換圖片，即可修改該頁(yè)面展示的圖片，點(diǎn)擊編輯文字可修改該頁(yè)面展示時(shí)長(zhǎng)(默認(rèn)3秒)，修改完成保存即可。

● 認(rèn)證頁(yè)、成功頁(yè)編輯時(shí)點(diǎn)擊“更換圖片”、”編輯文字”即可更改相應(yīng)位置內(nèi)容。

四、調(diào)查問卷配置

【W(wǎng)IFI認(rèn)證】—【調(diào)查問卷】

創(chuàng)建問卷內(nèi)容:點(diǎn)擊“創(chuàng)建一個(gè)問題”，編輯問題內(nèi)容。

發(fā)布問卷調(diào)查，并應(yīng)用至封面頁(yè)或成功頁(yè)。當(dāng)應(yīng)用于“封面頁(yè)”時(shí)，封面頁(yè)的內(nèi)容將會(huì)被取代，調(diào)查問卷要求用戶完成問卷調(diào)查才允許登錄;當(dāng)應(yīng)用于“成功頁(yè)”時(shí)，成功頁(yè)的內(nèi)容將會(huì)被取代調(diào)查問卷展現(xiàn)在用戶登錄成功后的頁(yè)面處，不對(duì)用戶強(qiáng)制要求是否完成調(diào)查內(nèi)容。

發(fā)布成功后可查看當(dāng)前問卷調(diào)查統(tǒng)計(jì)結(jié)果。

五、策略控制

登錄WIFI商戶自助管理平臺(tái)或在WIFI集中接入管控平臺(tái)通過商戶列表操作“管理”按鈕進(jìn)入，WIFI認(rèn)證—認(rèn)證配置—高級(jí)配置，即可編輯相應(yīng)控制策略。

點(diǎn)擊策略明細(xì)圖標(biāo) ，可查看當(dāng)前策略明細(xì)，并可編輯設(shè)置高級(jí)策略 ，高級(jí)策略可針對(duì)終端設(shè)備類型或登錄認(rèn)證類型逐一設(shè)置。如下圖：

● 上網(wǎng)時(shí)長(zhǎng)控制：每用戶每天的上網(wǎng)時(shí)長(zhǎng)控制

● ***在線設(shè)備：?jiǎn)斡脩粼试S登錄的設(shè)備數(shù)量控制

● 在用用戶***流量控制：在設(shè)定的時(shí)間范圍內(nèi)，用戶使用的流量低于目標(biāo)值踢該用戶下線。該策略可設(shè)置空閑檢測(cè)時(shí)長(zhǎng)，及當(dāng)用戶斷開wifi鏈接，默認(rèn)情況下AC不會(huì)立即讓用戶從AP上下線，而是存在默認(rèn)15分鐘檢測(cè)時(shí)間;另該策略可設(shè)置為一時(shí)間段內(nèi)將流量設(shè)置為一個(gè)不可達(dá)數(shù)值，即可是的用戶在超過此時(shí)間段須重新認(rèn)證。

● 允許上網(wǎng)的時(shí)段：該策略針對(duì)WIFI熱點(diǎn)允許設(shè)置允許的上網(wǎng)時(shí)段控制，默認(rèn)全時(shí)段

● 是否允許登錄：針對(duì)wifi熱點(diǎn)設(shè)置，可新增高級(jí)策略設(shè)置指定終端設(shè)備類型或登錄方式不允許登錄，當(dāng)設(shè)定不允許登錄是即用戶無(wú)法通過認(rèn)證正常鏈接wifi上網(wǎng)。

● 二次免認(rèn)證時(shí)間：針對(duì)登錄認(rèn)證的用戶設(shè)置其登錄設(shè)備的MAC地址有效期，在有效期內(nèi)用戶可使用器MAC地址點(diǎn)擊一鍵登錄即可完成登錄認(rèn)證功能。