一、寧盾WIFI認(rèn)證平臺簡介

1、平臺構(gòu)架

2、平臺登錄方式

瀏覽器登錄WIFI個性化平臺http://X.X.X.X:8080(X.X.X.X為服務(wù)器IP，默認(rèn)端口8080)，平臺管理員admin,默認(rèn)密碼為admin,商戶自助管理平臺帳號密碼為熱點(diǎn)管理員，由WIFI集中接入平臺統(tǒng)一配置分配。(瀏覽器建議IE9+，或Firefox、Chrome等)

IE下載鏈接：http://www.microsoft.com/china/windows/IE/upgrade/index.aspx

Mozilla Firefox下載鏈接：http://www.mozilla.org/zh-CN/firefox/new/

Google Chrome下載鏈接：http://www.google.cn/intl/zh-CN/chrome/browser/

二、認(rèn)證配置

1、Portal認(rèn)證配置流程

新增商戶—>添加設(shè)備(—>添加SSID或AP Group)并分配給商戶—>設(shè)備配置—>選擇并配置認(rèn)證方式

2、新增商戶

在集中接入管控平臺【商戶列表】點(diǎn)擊【新增商戶+】，編輯商戶名稱、縮寫選擇商戶類型。

為商戶分配管理員：在商戶列表內(nèi)選中商戶，點(diǎn)擊操作欄內(nèi)【配置管理員】，為商戶設(shè)定管理員賬戶(該賬戶只允許登錄商戶自助管理平臺)。

3、添加設(shè)備

● 添加BRAS/AC/胖AP設(shè)備：

添加SSID或AP Group并分配給商戶，如添加SSID：

添加AP Group(胖AP不支持AP Group)：

說明：AP Group的配置就是將位于不同位置的AP按區(qū)域分組，AP Group可包含一個或若干個AP，即添加AP分組后在AP分組下可以添加一個或若干個AP的MAC關(guān)聯(lián)AP。將不同AP分組分配給不同商戶即可實(shí)現(xiàn)不同AP分組不同Portal頁面(如此，要求將統(tǒng)一個商戶按區(qū)域劃分成若干個子商戶，如：“星巴克”商戶分為“星巴克長江路店”、“星巴克火車站店”等)

● 添加認(rèn)證網(wǎng)關(guān)設(shè)備：

#p#

4、思科 WLC 無線控制器配置

Radius

IP：服務(wù)器 IP 地址

認(rèn)證端口：1812

計(jì)費(fèi)端口：1813

共享密鑰：ndkey(密鑰為添加設(shè)備時設(shè)置的值)

離線端口：默認(rèn) 3799

Portal

URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi

注：要求根據(jù)不同 AP 或 AP Group 推送不同 Portal 時，此處 URL 為http://localhost:8080/am/portal/ac/AC(即 AC 設(shè)備處提供的 URL)

Portal 認(rèn)證模式：PAP

免認(rèn)證規(guī)則(白名單/ACL 放行):服務(wù)器 IP、Portal IP

詳細(xì)配置：

4.1 添加 RADIUS 認(rèn)證服務(wù)器

進(jìn)入 Security->AAA->RADIUS->Authentication:

4.2 配置免認(rèn)證規(guī)則

配置兩條 ACL，允許用戶在認(rèn)證前訪問 DKEY 的 Portal 頁面：

4.3 配置 SSID

檢查二層安全配置

將相應(yīng) SSID 的二層安裝模式配為 None：

配置 Portal 跳轉(zhuǎn)

Preauthentication ACL 配置為剛剛添加的認(rèn)證服務(wù)器 ACL。

重 定 向 地 址 配 置 為 http://ip:3080/CheckTempCredentialServlet 。 注 ： 本 次 url 填 寫 ：

http://x.x.x.x:3080/portal/apply/show_password/pc.xhtml

 

配置 SSID 的 RADIUS 認(rèn)證

5、認(rèn)證方式配置

5.1、短信認(rèn)證

● 短信平臺對接：【系統(tǒng)設(shè)定】—【短信通道】，選擇通道類型并填寫相關(guān)鏈接參數(shù)，完成對接，可進(jìn)行測試是否對接成功。

● 啟用短信認(rèn)證：商戶自助管理平臺—【W(wǎng)IFI認(rèn)證】—【認(rèn)證配置】—選中【登錄認(rèn)證】—【短信認(rèn)證】

僅驗(yàn)證手機(jī)號(不發(fā)送短信)：勾選后用戶登錄WIFI是輸入手機(jī)號碼，點(diǎn)擊“獲取驗(yàn)證碼”，驗(yàn)證碼信息自動填充至驗(yàn)證碼輸入框。

僅啟用白名單的用戶：勾選后只允許手機(jī)號碼在【用戶】—【短信用戶】短信用戶列表內(nèi)通過認(rèn)證登錄。#p#

5.2、微信認(rèn)證

● 微信服務(wù)白名單：【微信設(shè)置】—【微信免認(rèn)證IP】或【設(shè)備管理】—選擇您的設(shè)備—【查看微信免認(rèn)證IP】

將列表內(nèi)IP地址加入到無線控制設(shè)備的免認(rèn)證規(guī)則(白名單/ACL放行)內(nèi)。

當(dāng)認(rèn)證服務(wù)器與wifi訪問互聯(lián)網(wǎng)不屬于同一出口時，請用PC鏈接WIFI訪問：http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1

并將獲取的IP添加到AC或網(wǎng)關(guān)設(shè)備上。

注：該部分不配置免認(rèn)證規(guī)則時，用戶將要求先通過移動流量關(guān)注微信公眾號，并通過與微信工作號交互獲取登錄密碼，才能通過密碼登錄Portal。

● 啟用微信認(rèn)證：商戶自助管理平臺—【W(wǎng)IFI認(rèn)證】—【認(rèn)證配置】—選中【登錄認(rèn)證】—【微信認(rèn)證】

是否使用私有公眾號：是，商戶自己綁定微信公眾號;否，繼承集中接入管控平臺內(nèi)微信設(shè)置。

公眾帳號：為用戶需要關(guān)注獲取上網(wǎng)權(quán)限的微信公眾號

模式：鏈接模式，平臺通過提供一個鏈接添加到微信公眾號自定義菜單處;API模式，提供微信公眾號開發(fā)者中心內(nèi)所需的URL與TOKEN

SSID名稱：wifi熱點(diǎn)名稱

密碼有效期：微信公眾好提供的密碼有效期控制，默認(rèn)30分鐘

● 微信公眾號平臺(http://mp.weixin.qq.com)：

鏈接模式微信公眾號配置：【自定義菜單】—【菜單管理】—【添加菜單】，如：“免費(fèi)wifi”，【設(shè)置動作】—選【跳轉(zhuǎn)到網(wǎng)頁】

API模式微信公眾號配置配置

5.3、用戶名

根據(jù)需要設(shè)置用戶源：

● 添加本地用戶

● 鏈接外部數(shù)據(jù)源，選擇外部用戶源類型

以標(biāo)準(zhǔn)AD為例：

● 啟用外部訪客，啟用外部訪客認(rèn)證需配有本地用戶或外部數(shù)據(jù)源用戶審核

● 啟用用戶名認(rèn)證，選取以上配置的用戶源中的一類或幾類。

#p#

三、頁面管理

WIFI認(rèn)證平臺Portal頁面分為：封面頁、認(rèn)證頁、廣告頁與成功頁;

其中封面頁、廣告頁為可選頁面，頁面展現(xiàn)時間可設(shè)定，默認(rèn)3秒后向下一頁面跳轉(zhuǎn)。

【頁面管理】

● 封面頁、認(rèn)證頁、廣告頁、成功頁均可選擇【不同設(shè)備使用不同界面】或【不同設(shè)備使用相同界面】

【不同設(shè)備使用不同界面】模式下可分別編輯手機(jī)端界面、PC&PAD界面

【不同設(shè)備使用相同界面】模式下，編輯通用界面。

以下選擇【不同設(shè)備使用相同界面】為例

● 封面頁、廣告頁啟用(可根據(jù)需要是否啟用)，默認(rèn)未啟用“對”，啟用后“錯”即可對該頁面進(jìn)行編輯。以封面頁為例。

如下：點(diǎn)擊更換圖片，即可修改該頁面展示的圖片，點(diǎn)擊編輯文字可修改該頁面展示時長(默認(rèn)3秒)，修改完成保存即可。

● 認(rèn)證頁、成功頁編輯時點(diǎn)擊“更換圖片”、”編輯文字”即可更改相應(yīng)位置內(nèi)容。

四、策略控制

登錄WIFI商戶自助管理平臺或在WIFI集中接入管控平臺通過商戶列表操作“管理”按鈕進(jìn)入，WIFI認(rèn)證—認(rèn)證配置—高級配置，即可編輯相應(yīng)控制策略。

點(diǎn)擊策略明細(xì)圖標(biāo) ，可查看當(dāng)前策略明細(xì)，并可編輯設(shè)置高級策略 ，高級策略可針對終端設(shè)備類型或登錄認(rèn)證類型逐一設(shè)置。如下圖：

● 上網(wǎng)時長控制：每用戶每天的上網(wǎng)時長控制

● ***在線設(shè)備：單用戶允許登錄的設(shè)備數(shù)量控制

● 在用用戶***流量控制：在設(shè)定的時間范圍內(nèi)，用戶使用的流量低于目標(biāo)值踢該用戶下線。該策略可設(shè)置空閑檢測時長，及當(dāng)用戶斷開wifi鏈接，默認(rèn)情況下AC不會立即讓用戶從AP上下線，而是存在默認(rèn)15分鐘檢測時間;另該策略可設(shè)置為一時間段內(nèi)將流量設(shè)置為一個不可達(dá)數(shù)值，即可是的用戶在超過此時間段須重新認(rèn)證。

● 允許上網(wǎng)的時段：該策略針對WIFI熱點(diǎn)允許設(shè)置允許的上網(wǎng)時段控制，默認(rèn)全時段

● 是否允許登錄：針對wifi熱點(diǎn)設(shè)置，可新增高級策略設(shè)置指定終端設(shè)備類型或登錄方式不允許登錄，當(dāng)設(shè)定不允許登錄是即用戶無法通過認(rèn)證正常鏈接wifi上網(wǎng)。

● 二次免認(rèn)證時間：針對登錄認(rèn)證的用戶設(shè)置其登錄設(shè)備的MAC地址有效期，在有效期內(nèi)用戶可使用器MAC地址點(diǎn)擊一鍵登錄即可完成登錄認(rèn)證功能。