信锐技术Portal服务器统一认证运营解决方案

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

无线认证解决方案篇一：免费Portal(无线接入认证)系统解决方案免费Portal无线接入认证系统解决方案natshell基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对中低端用户推出一套免费的“Web Portal无线接入认证系统”，从打造可管理、可运营的无线网络角度出发，致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络，使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所，如：酒店、咖啡厅、学校、车站、商场等人流众多的地方，商家为了留住客户、解决客户在购物消费和等待时的上网问题，往往配置无线接入点提供给广大客户上网使用，而这种传统的输入密码方式不仅给管理带来了极大的不便，同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证，需要满足以下需求：1、方便部署、易于维护；使用此种解决方案的客户，无线认证规模都不是很大，大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal系统方案，用户可以很方便的进行安装部署，中文管理界面，易于维护。

2、能够在系统中建立上网账户，对用户进行管理；本系统采用Radius认证的方式，支持标准的Radius协议，用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius，能够方便的建立用户上网账户，对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面，推送相关信息和广告内容；认证页面高度定制，可以随意的设置满足自己需求的认证页面，目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括：Portal服务器、胖AP。

Portal服务器：natshell免费版Portal系统，WINDOWS环境，安装在一台WIN系统电脑上即可；胖AP：natshell胖AP产品分为室内型吸顶式AP和室外型壁挂式AP，均为natshell自主开发的AP固件，集成AP、AC及路由等功能，与natshell免费版Portal系统完美对接。

NAC与城市热点计费系统对接说明2016年5月项目背景客户已经部署了一套华三的无线设备（包括控制器和AP）与一套TP-LINK的企业级瘦AP 架构的无线，目前需要做portal认证并计费（账号认证），单独购买我司控制器做portal服务器用于无线用户的认证并且后期也会同时，进行第三期的无线招标。

本次主要做技术认可，便于后期招标的进行。

一、部署网络拓扑1、在测试TPlink无线AP，采用我司有线认证达到客户需求，测试一直无法弹出portal页面，一直显示重定向次数过多，错误截图如下：原因是（1）有线认证的web认证策略配置有问题导致，（2）全局排除地址中没有排除本控制器的IP （3）软件包要采用4月18日以后的软件包，如下所示：采用WAC_3.2(20160418).ssu以后的软件包才支持有线认证的计费功能。

2、测试我司无线和城市热点计费系统对接，没有问题。

二、NAC的配置截图和说明1、基础网络配置设备以网桥的模式串在测试网络里，按照拓扑配置认证服务器Raduis:192.168.0.123(城市热点的计费系统都是标准的Raduis服务器)。

除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为sundray2、配置web认证策略这里需要注意的是，虽然是以本控制器做为portal服务器，并且采用有线认证实现portal认证计费。

但是配置web认证策略的时候，策略类型要选择：第三方设备portal 对接策略，Sundray NAC协议。

同时，复制对接URL，如果点击复制按钮没有作用，可以直接crtl +C 复制（特别是后面的url_id号）3、portal服务器添加和城市热点计费服务器添加4、放通portal服务器地址5、配置有线认证策略(1)选取认证接口区域(2)配置有线认证选取对接第三方portal服务器认证，并且选取刚才建立的portal服务器选取账号认证中的认证服务器和计费服务器，都是刚才对接的城市热点计费系统地址(3)如果选取采用本控制器作为portal服务器，你就会发现账号认证那里没有了计费服务器的选择。

NAC对接锐捷做有线portal认证2016年8月锐捷对接Portal 服务器一、项目背景：目前客户网络已经搭建了一套锐捷的无线系统（包括控制器和AP ），现在客户想使用我们的控制器当Portal 服务器实现锐捷无线网络用户的微信认证；咱们目前最新版本的控制器做portal 服务器对接锐捷设备还在完善，可以采用有线认证的方式将底下的无线用户当作有线用户统一完成对接。

二、客户网络拓扑1、锐捷无线控制器数据转发模式为集中转发，AP 和锐捷控制器跨三层部署。

2、核心交换机上vlan2096网关为10.60.16.1/20，vlan4094网关为10.0.111.1/29且此网段能够访问互联网；Vlan2096:10.60.16.1/20Vlan4094:10.0.111.1/29无线用户vlan209610.60.16.0/20TrunkTrunk信锐锐捷三、测试部署网络拓扑说明1、因为锐捷无线控制器的数据转发模式为集中转发，所以我们可以将控制器串联在核心与锐捷无线控制器之间，端口属性均设置为trunk。

2、创建vlan4094，并配置正确的路由，dns，使控制器能够与外网正常通信。

3、在有线配置--有线认证--接口区域中启用区域1，并配置认证接口为eth1，eth2，vlanif4094，认证vlan为4094。

4、在认证授权--portal服务--服务器参数中启用内置portal服务，并在web认证策略中配置好微信认证的认证策略。

5、最后在有线配置--有线认证--认证策略中新增一个有线侧认证策略，适用范围就是无线用户所处的整个网段，仅仅对这个网段的用户做认证。

在认证类型要选好当前的网络环境，比如本案例是认证用户与认证接口跨越三层网络，终端使用dhcp自动获取IP。

整体配置过程都比较简单。

现场经过测试，这样锐捷的所有无线终端都可以正常通过我司控制器进行微信认证。

四、问题分析最后在测试过程当中出现一些问题也稍微分享一下。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

多品牌设备全网统一无线认证解决方案1、专业级认证服务器，对接友商设备实现统一认证传统厂商设备认证方式单一，需要增加认证方式或扩容其他品牌设备时无法实现认证方式的统一。

现在，即使部署了其他品牌的AC、AP设备，也可以通过信锐技术无线控制器实现统一认证，并且仍然支持多种认证方式可选。

2、全面兼容各大友商，保护原有投资信锐无线控制器支持Portal服务器、RADIUS服务器，可以通过Portal2.0/RADIUS/有线等方式对接思科、ARUBA、RUCUKS、华为、华三、锐捷等厂商实现微信、短信、APP、二维码、802.1X、移动协同OA等认证方式。

3、多种无线认证方式，总有一种是你想要的支持Portal认证协议、RADIUS认证协议，集微信连Wi-Fi、短信认证、二维码审核认证、802.1X认证、证书认证、APP下载认证、临时访客认证、第三方数据库认证、移动协同OA等多种无线认证方式于一体。

4、微信连Wi-Fi，新一代Wi-Fi微信认证从公众号关注开始Wi-Fi微信认证首次将Wi-Fi认证授权与微信关注结合到一起，带来了无线认证方式的革新。

信锐技术新一代微信认证完美支持腾讯微信连Wi-Fi，有效简化了终端用户上网流程；极大提升了终端用户上网体验，增加微信公众号粉丝，给商家带来更多的商业价值。

5、手机短信认证，最经典的认证方式 没有之一信锐技术无线控制器内置短信认证网关，无需额外搭建服务器即可实现动态验证码认证。

用户通过输入手机号获取上网验证码，既减少了蹭网、有效保证用户无线上网安全，同时也为后续精准营销提供了第一手有效资料。

6、APP下载认证，应用分发市场外的又一大APP推广利器APP认证是指通过下载APP来获取上网授权，信锐无线支持认证前下载指定APP，安装并激活之后才可连接外网。

同时，下载APP使用的是无线流量，非运营商数据流量，无须担心因APP安装包大耗费用户数据流量。

7、二维码审核认证，扫描即可上网，安全简便用户连接无线后自动弹出二维码页面，指定审核人通过授权终端扫描访客二维码后，访客即可上网。