一、寧盾WIFI認證平臺簡介

1、平臺構(gòu)架

2、平臺登錄方式

瀏覽器登錄WIFI個性化平臺http://X.X.X.X:8080(X.X.X.X為服務器IP，默認端口8080)，平臺管理員admin,默認密碼為admin,商戶自助管理平臺帳號密碼為熱點管理員，由WIFI集中接入平臺統(tǒng)一配置分配。(瀏覽器建議IE9+，或Firefox、Chrome等)

IE下載鏈接：http://www.microsoft.com/china/windows/IE/upgrade/index.aspx

Mozilla Firefox下載鏈接：http://www.mozilla.org/zh-CN/firefox/new/

Google Chrome下載鏈接：http://www.google.cn/intl/zh-CN/chrome/browser/

二、認證配置

1、Portal認證配置流程

新增商戶—>添加設(shè)備(—>添加SSID或AP Group)并分配給商戶—>設(shè)備配置—>選擇并配置認證方式

2、新增商戶

在集中接入管控平臺【商戶列表】點擊【新增商戶+】，編輯商戶名稱、縮寫選擇商戶類型。

為商戶分配管理員：在商戶列表內(nèi)選中商戶，點擊操作欄內(nèi)【配置管理員】，為商戶設(shè)定管理員賬戶(該賬戶只允許登錄商戶自助管理平臺)。

3、添加設(shè)備

● 添加BRAS/AC/胖AP設(shè)備：

添加SSID或AP Group并分配給商戶，如添加SSID：

添加AP Group(胖AP不支持AP Group)：

說明：AP Group的配置就是將位于不同位置的AP按區(qū)域分組，AP Group可包含一個或若干個AP，即添加AP分組后在AP分組下可以添加一個或若干個AP的MAC關(guān)聯(lián)AP。將不同AP分組分配給不同商戶即可實現(xiàn)不同AP分組不同Portal頁面(如此，要求將統(tǒng)一個商戶按區(qū)域劃分成若干個子商戶，如：“星巴克”商戶分為“星巴克長江路店”、“星巴克火車站店”等)

● 添加認證網(wǎng)關(guān)設(shè)備：

#p#

4、華為無線控制器設(shè)備AC6605配置

Radius

IP：服務器IP地址

認證端口：1812

計費端口：1813

共享密鑰：ndkey(密鑰為添加設(shè)備時設(shè)置的值)

離線端口：默認3799

Portal

URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi

注：要求根據(jù)不同AP或AP Group推送不同Portal時，此處URL為http://localhost:8080/am/portal/ac/AC(即AC設(shè)備處提供的URL)

Portal認證模式：PAP

免認證規(guī)則(白名單/ACL放行):服務器IP、Portal IP

詳細配置：

華為AC 6605 portal 認證配置

步驟1、免認證策略配置

#
portal free-rule 1 destination ip 172.28.6.40 mask 255.255.255.0（放行ndkey-wcc服務器地址）
portal free-rule 2 destination ip 202.96.128.166 mask 255.255.255.0（放行DNS服務器地址）
#

步驟2、配置RADIUS服務器

radius-server templatendkey-wcc-radius
radius-server shared-key ndkeywcc
radius-server authentication 172.28.6.40 1812 weight 80
radius-server accounting 172.28.6.40 1813 weight 80
#

步驟3、配置外部portal URL和URL參數(shù)攜帶參數(shù)

url-template namendkey-wcc-web
urlssidKaisa-Plaze-HZ http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-parameter ac-ip AC-IP ac-mac AC-MACap-ip AP-IP ap-mac called-station ssidssid user-ipaddresswlanuserip user-mac user-macsysnamewlanacname
#

步驟4、配置portal服務器

uth-serverndkey-wcc-web-ser
server-ip 172.28.6.40
port 50100
url http://172.28.6.40:8080/am/portal/ac/kaisa/ssid/Kaisa-Plaze-HZ
url-templatendkey-wcc-web
source-ip 172.28.6.15

步驟5、把RADIUS配置在AAA里面調(diào)用

#
aaa
authentication-scheme default 
authentication-schemendkey-wcc-radius
authentication-mode radius 
authorization-scheme default 
accounting-scheme default                
accounting-schemendkey-wcc-radius 
accounting-mode radius

步驟6、配置認證域和調(diào)用RADIUS

domainhuawei.com  
authentication-schemendkey-wcc-radius 
accounting-schemendkey-wcc-radius 
  radius-server ndkey-wcc-radius
local-user admin password cipher %@%@)(9#Qv{-)26DK~8<,s>+AA)W%@%@
local-user admin privilege level 15
local-user admin service-type telnet http
#

步驟7、調(diào)用portal認證

#
interface Vlanif1
ip address 172.28.6.15 255.255.255.0 
web-auth-serverndkey-wcc-web-ser direct
portal domain huawei.com
portalauth-network 172.28.6.0 255.255.255.0
#

5、認證方式配置

5.1、短信認證

● 短信平臺對接：【系統(tǒng)設(shè)定】—【短信通道】，選擇通道類型并填寫相關(guān)鏈接參數(shù)，完成對接，可進行測試是否對接成功。

● 啟用短信認證：商戶自助管理平臺—【W(wǎng)IFI認證】—【認證配置】—選中【登錄認證】—【短信認證】

僅驗證手機號(不發(fā)送短信)：勾選后用戶登錄WIFI是輸入手機號碼，點擊“獲取驗證碼”，驗證碼信息自動填充至驗證碼輸入框。

僅啟用白名單的用戶：勾選后只允許手機號碼在【用戶】—【短信用戶】短信用戶列表內(nèi)通過認證登錄。#p#

5.2、微信認證

● 微信服務白名單：【微信設(shè)置】—【微信免認證IP】或【設(shè)備管理】—選擇您的設(shè)備—【查看微信免認證IP】

將列表內(nèi)IP地址加入到無線控制設(shè)備的免認證規(guī)則(白名單/ACL放行)內(nèi)。

當認證服務器與wifi訪問互聯(lián)網(wǎng)不屬于同一出口時，請用PC鏈接WIFI訪問：http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1

并將獲取的IP添加到AC或網(wǎng)關(guān)設(shè)備上。

注：該部分不配置免認證規(guī)則時，用戶將要求先通過移動流量關(guān)注微信公眾號，并通過與微信工作號交互獲取登錄密碼，才能通過密碼登錄Portal。

● 啟用微信認證：商戶自助管理平臺—【W(wǎng)IFI認證】—【認證配置】—選中【登錄認證】—【微信認證】

是否使用私有公眾號：是，商戶自己綁定微信公眾號;否，繼承集中接入管控平臺內(nèi)微信設(shè)置。

公眾帳號：為用戶需要關(guān)注獲取上網(wǎng)權(quán)限的微信公眾號

模式：鏈接模式，平臺通過提供一個鏈接添加到微信公眾號自定義菜單處;API模式，提供微信公眾號開發(fā)者中心內(nèi)所需的URL與TOKEN

SSID名稱：wifi熱點名稱

密碼有效期：微信公眾好提供的密碼有效期控制，默認30分鐘

● 微信公眾號平臺(http://mp.weixin.qq.com)：

鏈接模式微信公眾號配置：【自定義菜單】—【菜單管理】—【添加菜單】，如：“免費wifi”，【設(shè)置動作】—選【跳轉(zhuǎn)到網(wǎng)頁】

API模式微信公眾號配置配置

5.3、用戶名

根據(jù)需要設(shè)置用戶源：

● 添加本地用戶

● 鏈接外部數(shù)據(jù)源，選擇外部用戶源類型

以標準AD為例：

● 啟用外部訪客，啟用外部訪客認證需配有本地用戶或外部數(shù)據(jù)源用戶審核

● 啟用用戶名認證，選取以上配置的用戶源中的一類或幾類。

#p#

三、頁面管理

WIFI認證平臺Portal頁面分為：封面頁、認證頁、廣告頁與成功頁;

其中封面頁、廣告頁為可選頁面，頁面展現(xiàn)時間可設(shè)定，默認3秒后向下一頁面跳轉(zhuǎn)。

【頁面管理】

● 封面頁、認證頁、廣告頁、成功頁均可選擇【不同設(shè)備使用不同界面】或【不同設(shè)備使用相同界面】

【不同設(shè)備使用不同界面】模式下可分別編輯手機端界面、PC&PAD界面

【不同設(shè)備使用相同界面】模式下，編輯通用界面。

以下選擇【不同設(shè)備使用相同界面】為例

● 封面頁、廣告頁啟用(可根據(jù)需要是否啟用)，默認未啟用“對”，啟用后“錯”即可對該頁面進行編輯。以封面頁為例。

如下：點擊更換圖片，即可修改該頁面展示的圖片，點擊編輯文字可修改該頁面展示時長(默認3秒)，修改完成保存即可。

● 認證頁、成功頁編輯時點擊“更換圖片”、”編輯文字”即可更改相應位置內(nèi)容。

四、調(diào)查問卷配置

【W(wǎng)IFI認證】—【調(diào)查問卷】

創(chuàng)建問卷內(nèi)容:點擊“創(chuàng)建一個問題”，編輯問題內(nèi)容。

發(fā)布問卷調(diào)查，并應用至封面頁或成功頁。當應用于“封面頁”時，封面頁的內(nèi)容將會被取代，調(diào)查問卷要求用戶完成問卷調(diào)查才允許登錄;當應用于“成功頁”時，成功頁的內(nèi)容將會被取代調(diào)查問卷展現(xiàn)在用戶登錄成功后的頁面處，不對用戶強制要求是否完成調(diào)查內(nèi)容。

發(fā)布成功后可查看當前問卷調(diào)查統(tǒng)計結(jié)果。

五、策略控制

登錄WIFI商戶自助管理平臺或在WIFI集中接入管控平臺通過商戶列表操作“管理”按鈕進入，WIFI認證—認證配置—高級配置，即可編輯相應控制策略。

點擊策略明細圖標 ，可查看當前策略明細，并可編輯設(shè)置高級策略 ，高級策略可針對終端設(shè)備類型或登錄認證類型逐一設(shè)置。如下圖：

● 上網(wǎng)時長控制：每用戶每天的上網(wǎng)時長控制

● ***在線設(shè)備：單用戶允許登錄的設(shè)備數(shù)量控制

● 在用用戶***流量控制：在設(shè)定的時間范圍內(nèi)，用戶使用的流量低于目標值踢該用戶下線。該策略可設(shè)置空閑檢測時長，及當用戶斷開wifi鏈接，默認情況下AC不會立即讓用戶從AP上下線，而是存在默認15分鐘檢測時間;另該策略可設(shè)置為一時間段內(nèi)將流量設(shè)置為一個不可達數(shù)值，即可是的用戶在超過此時間段須重新認證。

● 允許上網(wǎng)的時段：該策略針對WIFI熱點允許設(shè)置允許的上網(wǎng)時段控制，默認全時段

● 是否允許登錄：針對wifi熱點設(shè)置，可新增高級策略設(shè)置指定終端設(shè)備類型或登錄方式不允許登錄，當設(shè)定不允許登錄是即用戶無法通過認證正常鏈接wifi上網(wǎng)。

● 二次免認證時間：針對登錄認證的用戶設(shè)置其登錄設(shè)備的MAC地址有效期，在有效期內(nèi)用戶可使用器MAC地址點擊一鍵登錄即可完成登錄認證功能。