WebPortal无线接入认证解决方案

银行营业厅WiFiPortal认证方案提升服务品质提高店铺形象实用文档目录1.如何提高银行营业厅的服务质量和形象？ (3)2.银行营业厅对WiFi的需求 (4)2.1提供顾客免费WiFi网络连接 (4)2.2 WiFi增值营销业务 (5)2.2.1网络入口营销 (5)2.2.2 银行营业厅与顾客短信互动或者微信互动营销 (5)3.无线技术方案 (6)3.1网络结构说明 (6)4.云Portal认证 (7)4.1标准Portal认证 (7)4.2漫游Portal认证 (7)4.4 Portal自定义 (8)4.5 Portal对操作系统、分辨率、语言自适应 (8)4.6 Portal对手机运营商自适应 (8)实用文档1.如何提高银行营业厅的服务质量和形象？对于普通消费者而言，去办理一次业务差不多平均要等待1个小时。

而每次去银行营业厅办理业务，除了可以在等候区手机上网看看新闻，基本百无聊赖。

网上戏传，三大排队到想死的行业是：医院、银行营业厅、4S店，而银行营业厅的VIP贵宾(VERY IMPORTANT PEOPLE)服务变成了“VIP”(VERY INQUIRY PATIENT)耐心大考验。

作为银行来说，如何以最小的成本撬起最大的用户体验?答案是寻找用户的痛点。

而痛点是什么呢?就是为消费者解决了底层的刚性需求，比如在营业厅增加一个免费Wi-Fi，这一点就能给消费者带来好的体验。

银行营业厅的客户大多是商务人士，在互联网接入方面有着极强的需求，由于经常出入星巴克等商务咖啡馆，有着较牢固的WiFi使用习惯。

与普通WiFi不同，VTache 实用文档的产品不仅保证企业级的WiFi使用体验，还能通过银行营业厅的WiFi帮银行积累粉丝会员，和顾客形成长期互动。

银行营业厅可以利用VTache提供的微信连WiFi功能让客户通过关注银行营业厅官方微信公众账号便捷的连上门店的免费WiFi，迅速将银行营业厅的顾客转化成了微信粉丝会员，还因此建立起了微信会员俱乐部，官方定期发起各种活动和互动，在会员中大获好评。

神州数码交换机Webportal准入认证参考1.基本原理Webportal基于mac控制用户。

由Portal服务器通知交换机放行用户。

Portal认证中两种工作的模式：1，基本模式。

未认证前可以放行DNS,ARP,DHCP协议。

（已开发）2．高级模式。

只有通过dhcp获得地址后，才放行dns及arp协议。

（未开发）在DCSM服务器上添加设备类型为‘神州数码802.1x交换机’。

1.1相关版本信息1、DCS-3950-X、DCS-4500系列均支持交换机Portal认证功能2、DCS-3950-X 6.1.73.19版本在中科院测试基本没有问题（在用户vlan、管理vlan为不同vlan情况下需在用户vlan下配置一个IP地址--不要与网络规划中的IP地址冲突即可），并且在当前DCS-4500版本中存在如下bug：当取消某个接口下的webportal enable时，会导致其它webportal接口下的FreeResource无法使用，只能重新配置webporal enable或者重启交换机，测试时请注意。

3、DCS-3950-X 6.1.73.19版本在ftp://10.1.145.247/wangjz/DCS-3950-Portal/DCS-3950-Portal认证-6.1.73.19/1.2交换机WEB接入认证技术机制1.接入交换机将未认证用户的HTTP请求重定向至Portal Server2.用户得到认证界面，提交用户名和密码进行认证，3.Portal Server获得用户提交的用户名和密码，连同用户的其它接入特征信息（包括接入交换机IP、接入交换机端口、接入交换机Vlan、用户IP地址、用户MAC）等送给DCSM 服务器校验4.DCSM根据接入审查策略、计费策略等一系列判断后通知Portal Server校验结果5.Portal Server根据校验结果通知交换机方向或阻断，并通知用户校验结果6.用户在认证成功后转到保活页面，并可以访问网络。

宽带连接世界,信息改变未来WIFI+Portal认证解决方案2013年02月目录1 概述 (3)2 安朗WIFI+Portal认证系统解决方案 (3)2.1 系统拓扑 (4)2.2 系统容量估算 (4)2.3 防火墙 (5)2.4 负载均衡 (5)2.5 Portal系统 (5)2.6 AAA系统 (5)2.7 Oracle数据库 (6)2.8 磁盘阵列 (6)3 方案特点 (6)4 典型案例 (6)4.1 广州电信本地WIFI认证平台 (6)4.2 广交会WiFi+Portal 认证平台 (8)广州安朗通信科技有限公司 2 / 91概述随着智能手机和手持终端的不断普及，使用者需要随时随地上网获取信息。

为了给客户更好的服务，越来越多的商家开始提供免费或者收费的WIFI接入服务。

在酒店、餐饮、汽车4S店等行业，都开始都提供WIFI服务。

目前随着WIFI的接入增加，对于WIFI的认证也逐渐开始收到了更多的关注。

特别是对于WIFI的Portal认证方式收到了越来越多的应用。

对于电信运营商这一类的WIFI接入提供商来说，Portal认证系统的稳定可靠是优先考虑的，这就需要提供一个具有高可靠性的Portal 认证系统。

2安朗WIFI+Portal认证系统解决方案为了满足高可靠性的需要，安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库（负载均衡工作模式）、磁盘阵列等部分。

广州安朗通信科技有限公司 3 / 92.1 系统拓扑2.2 系统容量估算这里的系统容量主要是指各个系统需要采用的Portal服务器和AAA服务器的计算以及系统所需带宽估算，负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。

系统带宽＝页面文件大小×并发用户数页面的连接数×并发用户数＝Portal系统需要支持的连接数并发用户数/超时时间5秒（认证超时）＝AAA系统每秒需要处理认证请求数需要的Portal硬件数量= Portal需要支持的连接数/单台Portal支持的连接数广州安朗通信科技有限公司 4 / 9需要的AAA（Radius）硬件数量= AAA（Radius）需要支持的连接数/单台AAA（Radius）支持的连接数单台AAA（Radius）服务器支持并发认证数：300/秒单台Portal服务器支持并发TCP连接数：8,000个TCP连接。

无线WIFI认证方案1.1 项目需求分析伴随各个行业信息化应用广泛深入, 新业务需求不停出现, 用户资源争抢越来越猛烈。

从提升用户感知、加大宣传力度、提升工作效率等方面考虑, 准备在内布署无线网络。

关键应用为:1.提供业务等候区用户无线上网需求, 提升用户感知2.新产品新资讯实时广告, 加大宣传力度3、随时随地实现无线办公, 提升工作效率针对专业性需求订制了高性能无线宽带多业务支持系统来服务宣传公布、无线办公、用户等候区域无线上网等需求。

为用户提供安全稳定整体处理方案。

该方案含有多业务支持、安全、稳定、兼容性高、可靠性高、布署轻易特点完全能实现无线应用需求。

1.2 系统方案设计标准本方案设计将在追求性能优越、经济实用前提下, 本着严谨、慎重态度, 从系统结构、技术方法、设备选择、系统应用、技术服务和实施过程等方面综合进行系统总体设计, 力图使该系统真正成为符合需求无线网络系统。

系统总体设计本着总体计划、分布实施标准, 充足表现系统技术优异性、高度安全可靠性、良好开放性、可扩展性, 和经济性。

在网络设计和实现中, 本方案严格遵守以下标准：优异性标准采取优异设计思想, 选择优异网络设备, 使网络在以后一定时期内保持技术上优异性。

开放性标准网络采取开放式体系结构, 易于扩充, 使相对独立分系统易于进行组合和调整。

选择通信协议符合国际标准或工业标准, 网络硬件环境、通信环境、软件环境相互独立, 自成平台, 使相互间依靠减至最小, 同时确保网络互联。

可扩充性标准网络设计在充足考虑目前情况同时, 必需考虑到以后较长时期内业务发展需要, 留有充足升级和扩充可能性。

充足利用现有通讯资源, 为以后扩充到更高速率提供充足余地。

其次, 还必需为网络规模扩展留有充足余地。

安全性标准网络系统设计必需落实安全性标准, 以预防来自网络内部和外部多种破坏。

落实安全性标准表现在以下方面:1.设备采取是扩频技术；2.提供了射频信道加密；3.用户能够经过设置自己网桥或另加独立加密设备实现更高安全性；4.网络内部对资源访问授权、认证、控制和审计等安全方法: 预防网络内部用户对网络资源非法访问和破坏。

WiFi认证方案引言随着无线网络的快速发展和普及，越来越多的公共场所和企业都提供WiFi网络服务。

然而，为了确保网络访问的安全性和可控性，WiFi认证方案成为了必不可少的一部分。

本文将介绍几种常见的WiFi认证方案，包括预共享密钥（PSK）认证、802.1X认证和Captive Portal（通知门户）认证。

预共享密钥（PSK）认证预共享密钥（PSK）认证是一种简单且常见的WiFi认证方式。

在PSK认证中，无线路由器或接入点将预设一个共享密钥，用户需要输入正确的密钥才能连接WiFi网络。

这种认证方式相对容易部署和管理，适用于小规模网络和家庭网络。

然而，PSK认证的安全性相对较低。

由于所有连接到网络的设备都使用相同的预共享密钥，一旦密钥泄露，任何人都可以访问网络。

因此，对于需要更高安全性的网络，应选择其他更加安全的认证方式。

802.1X认证802.1X认证是一种基于IEEE 802.1X标准的WiFi认证方式。

该标准定义了一种认证框架，允许网络设备通过认证服务器验证用户的身份。

在802.1X认证中，用户需要提供用户名和密码等身份凭证，并且认证服务器会对其进行验证。

只有成功验证的用户才能连接到WiFi网络。

相比于PSK认证，802.1X认证提供了更高的安全性。

每个用户都有独立的身份凭证，且通信过程中使用加密机制进行安全保护。

这种认证方式适用于企业网络和公共场所，可实现精确的用户访问控制和细粒度的权限管理。

Captive Portal认证Captive Portal（通知门户）认证是一种常见的WiFi认证方式，常用于公共场所和商业场所。

在Captive Portal认证中，用户首先通过无线网络连接到一个特定的门户页面，然后需要提供身份信息或进行其他认证操作，才能获得网络访问权限。

Captive Portal通过重定向用户的网络流量到认证页面，实现了对用户的认证和限制。

用户通常需要提供手机号码、邮箱、社交账号等信息，或者支付一定费用，以获得网络访问权限。

版权所有:杭州华三通信技术有限公司无线Portal（Web）认证故障排查一、开始本流程图针对如下组网架构：AC 或IAG （本文以AC 统一称谓）作为Portal 认证点，配合远程Portal Server 做无线Portal 认证。

无线Portal 认证流程简述：首先，终端和Portal Server 通过Http 协议建立连接，通过web 交互方式上传用户名、密码；其次，PortalServer通过Portal协议向AC发起认证；最后，AC通过Radius协议向AAA服务器验证用户身份。

认证成功后AC对终端准予放行。

所以定位故障的思路是：首先确保终端和Portal服务器的web通信正常，其次检查Port al和AAA交互的过程。

1、终端关联AC、获取IP无线Portal认证是根据用户IP地址来标识用户的，所以Portal认证前用户必须已经关联AC并获取到有效的IP地址。

可以在AC上通过命令查看用户的关联状态。

AC命令：display wlan client 例如：通过命令查看无线用户有无关联75dbm以上，保证正常关联。

例如：Win7客户端显示的无线信号强度在3格以上。

（2）确保终端通过DHCP获取正确的IP地址。

版权所有:杭州华三通信技术有限公司为了排查DHCP的故障点，可以在AC上起三层用户vlan接口，配置动态获取ip地址，观察AC能否获取正确IP地址。

如果AC都无法获取IP地址，需要排查有线侧DHCP Server的配置和二层vlan互通性。

命令：ip address dhcp-alloc 例如：在业务Vlan999上配置动态获取IP地址display ip interface brief命令：Portal的业务模式是用户在认证前访问的任何页面都会被AC重定向到Portal认证主页，AC重定向成功的直观表现是浏览器上能看到地址栏自动跳转为Portal认证url，且url中有服务器要求添加的相关参数，如nasip、AC_NAME、userip、ssid等。

无线认证解决方案随着无线网络的广泛应用，无线认证成为了保护网络安全的重要一环。

无线认证解决方案做为一种常用的网络验证手段，可以有效地确保只有授权用户能够接入网络，避免未经授权的用户或设备对网络资源进行非法访问。

一、概述无线认证解决方案是一种通过身份验证和访问控制来确认用户身份，并授予合法用户接入网络的技术手段。

它能够阻止未授权的用户或设备接入网络，保护网络系统的完整性和机密性。

二、基本原理无线认证解决方案的基本原理是通过认证服务器对用户进行身份验证，将用户的身份信息与授权信息进行比对。

只有当用户的身份信息与授权信息匹配时，才能顺利连接到网络。

这样做可有效防止未授权用户接入网络。

三、常用认证技术1. WEP（Wired Equivalent Privacy）WEP是最早被广泛应用的无线网络加密标准。

它通过使用共享密钥对数据进行加密，从而保证传输数据的机密性。

然而，WEP加密算法存在漏洞，易受到黑客攻击，因此现在已经不再推荐使用。

2. WPA（Wi-Fi Protected Access）WPA是WEP的升级版，通过动态密钥生成和分发的方式，增强了网络的安全性。

WPA可以使用预共享密钥（PSK）或802.1X/EAP （Extensible Authentication Protocol）进行认证。

WPA是目前使用最为广泛的无线网络认证技术。

3. WPA2（Wi-Fi Protected Access 2）WPA2是WPA的改进版，采用更加安全的加密算法来保护数据传输的安全性。

WPA2使用更强大的加密算法，如AES（Advanced Encryption Standard），对无线网络进行加密和身份验证。

四、部署方案1. 认证服务器搭建无线认证解决方案需要建立一个认证服务器来处理用户认证请求。

认证服务器可以部署在本地或云端，根据实际需求选择合适的搭建方案。

2. 用户身份认证用户可以通过多种方式进行身份认证，如用户名和密码、数字证书、一次性密码等。

蓝海卓越WEB认证（WEB PORTAL）原理及组网方式Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。

目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.下图是WEB认证的原理图(CHAP认证):本文所要描述的就是PortalServer的原理与算法.PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式:以下是部分源代码和说明.typedef struct portal_header{u_int8_t ver; //版本,在本例中为1u_int8_t type; //报文类型u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议u_int8_t rsv; //保留字段,恒为零u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的u_int16_t reqid; //应答IDu_int32_t userip; //用户的IPu_int16_t userport; //用户端口,恒为零u_int8_t errcode; //错误码,非常有用的字段u_int8_t attrnum; //属性个数}portal_header_t;定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性.以下是构造挑战报文的代码:sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码req_chap->ver=ver;req_chap->type=REQ_CHALLENGE;req_chap->auth_type=CHAP;req_chap->rsv=0x00;req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。