免费Portal(无线接入认证)系统解决方案

问题描述：Portal网页认证时认证页面无法弹出;解决方案：1.页面提示“portal server获取不到设备信息或者没有回应req_info报文”时，请参考百度文库“portal server获取不到设备信息或者没有回应req_info报文时的解决办法”；2.浏览器的HTTP报文头不符合规范时会导致portal页面无法弹出，表现为部分终端正常，部分终端弹出空白页面，对于v7版本iMC需要将如下选项改成“否”对于V5版本iMC需要修改配置文件iMC\portal\conf\portal.properties解决，将如下参数修改为“false”即可；3.使用IE8有问题，使用其他浏览器没有问题；IE8浏览器本身有些问题，建议更换浏览器使用；4.确认认证终端是否可以ping通portal server服务器的IP地址；portal认证时，确认认证终端可以ping通服务器地址，否则页面无法弹出；5.确认jserver（plat与eia集中式部署）或者webserver（分布式部署）进程是否正常；6.确认中间网络防火墙有无放开对应的端口，portal页面认证时需要放通终端到iMC服务器的8080或者80端口；7.输入IP地址可以弹出，输入域名无法弹出portal页面，这是由于认证终端不能访问DNS服务器导致，在设备侧增加一条到NDS server的free-rule即可；8.确认设备侧配置的重定向URL是否正确，正确配置为：Portal server xx ip x.x.x.x key xxx url http://x.x.x.x:8080/portal附：portal认证典型配置iMC UAM结合WX 3010做无线portal认证并基于不同SSID/操作系统推送不同认证页面的典型配置一、组网需求：Portal网页认证方式简单，无需客户端，且适用于各种终端如PC、手机、pad等。

本案例介绍了无线AC结合iMC进行portal网页的认证方式，并且能够实现根据不同的SSID或者操作系统推送不同的认证页面，从而满足客户多样化的需求。

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

免费Portal无线接入认证系统解决方案蓝海卓越基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对中低端用户推出一套免费的“Web Portal无线接入认证系统”，从打造可管理、可运营的无线网络角度出发，致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络，使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所，如：酒店、咖啡厅、学校、车站、商场等人流众多的地方，商家为了留住客户、解决客户在购物消费和等待时的上网问题，往往配置无线接入点提供给广大客户上网使用，而这种传统的输入密码方式不仅给管理带来了极大的不便，同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证，需要满足以下需求：1、方便部署、易于维护；使用此种解决方案的客户，无线认证规模都不是很大，大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal 系统方案，用户可以很方便的进行安装部署，中文管理界面，易于维护。

2、能够在系统中建立上网账户，对用户进行管理；本系统采用Radius认证的方式，支持标准的Radius协议，用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius，能够方便的建立用户上网账户，对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面，推送相关信息和广告内容；认证页面高度定制，可以随意的设置满足自己需求的认证页面，目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括：Portal服务器、胖AP。

Portal服务器：蓝海卓越免费版Portal系统，WINDOWS环境，安装在一台WIN 系统电脑上即可；胖AP：胖AP产品分为室内型吸顶式AP和室外型壁挂式AP，均为蓝海卓越自主开发的AP固件，集成AP、AC及路由等功能，与蓝海卓越免费版Portal系统完美对接。

方案及Portal服务器说明1、部署简单，不影响现有网络环境；Portal服务程序为WIN环境，大大降低的安装的复杂性，只需要安装在现有环境中任意一台电脑中即可；同时只需要购买蓝海卓越一台胖AP产品即可，胖AP支持多种接入方式，完全适应现有的网络环境。

宽带连接世界,信息改变未来WIFI+Portal认证解决方案2013年02月目录1 概述 (3)2 安朗WIFI+Portal认证系统解决方案 (3)2.1 系统拓扑 (4)2.2 系统容量估算 (4)2.3 防火墙 (5)2.4 负载均衡 (5)2.5 Portal系统 (5)2.6 AAA系统 (5)2.7 Oracle数据库 (6)2.8 磁盘阵列 (6)3 方案特点 (6)4 典型案例 (6)4.1 广州电信本地WIFI认证平台 (6)4.2 广交会WiFi+Portal 认证平台 (8)广州安朗通信科技有限公司 2 / 91概述随着智能手机和手持终端的不断普及，使用者需要随时随地上网获取信息。

为了给客户更好的服务，越来越多的商家开始提供免费或者收费的WIFI接入服务。

在酒店、餐饮、汽车4S店等行业，都开始都提供WIFI服务。

目前随着WIFI的接入增加，对于WIFI的认证也逐渐开始收到了更多的关注。

特别是对于WIFI的Portal认证方式收到了越来越多的应用。

对于电信运营商这一类的WIFI接入提供商来说，Portal认证系统的稳定可靠是优先考虑的，这就需要提供一个具有高可靠性的Portal 认证系统。

2安朗WIFI+Portal认证系统解决方案为了满足高可靠性的需要，安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库（负载均衡工作模式）、磁盘阵列等部分。

广州安朗通信科技有限公司 3 / 92.1 系统拓扑2.2 系统容量估算这里的系统容量主要是指各个系统需要采用的Portal服务器和AAA服务器的计算以及系统所需带宽估算，负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。

系统带宽＝页面文件大小×并发用户数页面的连接数×并发用户数＝Portal系统需要支持的连接数并发用户数/超时时间5秒（认证超时）＝AAA系统每秒需要处理认证请求数需要的Portal硬件数量= Portal需要支持的连接数/单台Portal支持的连接数广州安朗通信科技有限公司 4 / 9需要的AAA（Radius）硬件数量= AAA（Radius）需要支持的连接数/单台AAA（Radius）支持的连接数单台AAA（Radius）服务器支持并发认证数：300/秒单台Portal服务器支持并发TCP连接数：8,000个TCP连接。

________________________________________．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．银行WiFi覆盖安全认证及Portal认证的技术方案__________________________________________________________________________．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．1.客户需求银行希望通过在各大支行实施无线WLAN覆盖，建设稳定、安全可控的无线网络系统，用于为顾客提供免费便利的上网服务环境。

总体要求：1)接入网点无线网络专用光缆宽带，实现所有营业厅宽带接入，由运营商提供。

2)网点无线网络环境必须和银行内部网络严格物理隔离，严禁将支行内部网络通过连接无线设备接入互联网。

同时为确保体验设备的使用效果，采用合适带宽和其他控制手段，保障大多数用户上网质量。

3)顾客使用WiFi必须使用Portal认证机制，通过短信发送或接收密码来验证用户的真实性，并在全市范围内实现顾客的一次登录，全市自动漫游。

4)构建中心平台，实现所有WiFi的Portal管理，信息发布及推送，并且提供用户信息管理能力及报表。

5)自2005年以来，随着公安部82号令的执行和实施，相关网络服务的法律规范正式完整落实到位。

故凡是通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

根据《互联网信息服务管理办法》（国务院令第292号）第三条之规定，自然成为非经营性互联网信息服务场所。

根据《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准1997年12月30日公安部发布的公安部33号令) 的相关规定，非经营性互联网信息服务场所必须在服务时落实互联网安全技术保护措施。

该保护措施必须满足《互联网安全保护技术措施规定》（2005年12月13日公安部发布的公安部第82号令）的详细规范。

WLAN 组网中Portal 认证实例■ 广州市疾病预防控制中心 淡武强根据国家接入互联网的相关规定，在接入互联网之前必须通过身份认证。

考虑到移动终端的复杂性，在终端上安装认证客户端进行身份认证是不现实的。

而几乎全部的智能终端都装有Web 浏览器。

身份认证最好是能通过Web 页面的方式进行。

笔者单位在2018年建设了无线局域网（WLAN）。

该WLAN 建设项目覆盖范围为室内覆盖，覆盖区域含办公室、会议室、餐厅、宿舍等，采用华为敏捷分布式WLAN+放装AP 方案，AP 管理、SSID（服务集标识）管理由华为无线控制器完成，用户认证、上网权限策略、上网审计策略、终端接入管理等使用已有的深信服上编者按：Portal 认证（也称Web 认证）是近年来最流行的无线上网认证方式，它通过基于网页的形式向用户提供身份认证和个性化的信息服务，使用户上网变得简单方便，提升用户体验。

本文通过WLAN 建设、运维的经验，总结出适合本单位的wlan 认证方案，以及如何从技术上杜绝非法设备的接入。

网行为管理设备进行管控，无线网络信号覆盖效果良好，用户认证、应用控制及对非法终端的处理效果非常理想。

WLAN 网络拓扑如图1所示。

本项目WLAN 网络结构中，对于AP 的管理和SSID的创建由华为无线控制器A C 6005完成，创建了gzcdc 和guest 两个SSID，分别由员工和访客使用。

两个SSID 使用不同的业务vlan，业务vlan 可在Cisco 核心交换机上创建，也可在华为AC6005上创建。

员工人数320人，笔记本电脑、手机、PAD 等移动终端数按500计算，名称为gzcdc 的员工SSID，其业务vlan 106地址池使用23位子网掩码；访客人数少，名称为guest 的访客SSID，其业务vlan 104地址池使用24位子网掩码。

用户管理、用户认证功能既能由AC6005来做，也能由深信服AC 完成。

两者均支持用户导入功能，华为AC6005支持的认证方式有不图1 网络拓扑结构认证、密钥认证、微信认证、Portal 认证、802.1x 认证，其中密钥认证为预共享密钥方式，不适用于企业，微信认证需部署第三方服务器，Portal 认证支持AC 内置或第三方外置Portal 服务器，如图2所示。

无线portal认证流程无线portal认证流程是指在使用无线网络时，通过访问一个特定网页或应用程序进行身份验证，以确保只有经过授权的用户可以访问网络。

这是无线网络安全的重要组成部分，特别是在公共场所、企事业单位和教育机构等地方。

以下是无线portal认证流程的详细介绍，包括了准备工作、身份验证、访问控制和错误处理等方面的内容。

1.准备工作在开始认证流程之前，用户需要确保自己具备以下条件：-一台支持无线网络连接的设备，如笔记本电脑、智能手机或平板电脑。

-已经连接上无线局域网（WLAN）的设备。

-一个正常工作且与无线局域网相连的无线路由器或接入点。

2.身份验证-用户连接到无线局域网后，无法访问互联网或其他资源。

这时，用户尝试访问任何网站都会自动重定向到认证页面或弹出验证窗口。

-用户输入指定的认证网址或启动认证应用程序，如浏览器、客户端等。

-认证页面或应用程序展示一个登录界面，用户需要输入自己的凭据，如用户名和密码。

-提交凭据后，认证服务器对用户进行认证，验证身份信息的正确性。

3.访问控制-如果用户输入的凭据正确，认证服务器会向用户的设备发送一个授权令牌。

-用户的设备和认证服务器之间的连接会自动刷新，以确保设备可以正常访问网络。

-设备会定期发送心跳包到认证服务器，以保持与服务器的连接和授权状态。

4.错误处理-如果用户输入的凭据错误，认证页面或应用程序会给出相应的错误提示，并要求用户重新输入凭据。

-如果用户多次输入错误的凭据，认证页面或应用程序可能会锁定用户账号一段时间，以防止恶意攻击。

无线portal认证流程是保障无线网络安全的重要手段之一、它可以限制未经授权的访问，防止黑客入侵和数据泄漏。

同时，它也可以提供用户身份追踪和访问统计等功能，便于管理者了解网络使用情况和资源分配。

因此，在设计和实施无线网络时，认证流程的安全性和有效性都需要得到充分的考虑和重视。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。