二层认证方案



前言:

        本章节适用的认证设备型号和推荐版本:

认证设备型号

推荐最新版本

EG3000ME、EG3000GE、EG3000XE、EG3000UE、EG2000F、EG2000K、EG2000L、EG2000XE、EG2000UE、EG2000GE、EG2000CE、EG2000SE、EG2000P、EG2100-P、EG3000SE、EG3000CE、EG2000GF、EG3210、EG3220、EG3230、EG3250

EG_RGOS 11.9(0)B28,11.9PJ8

EG580-WEG_RGOS11.8(2)B2,8PJ3

NBR3000D-E、NBR2500D-E、NBR2100G-E、NBR1700G-E、NBR1300G-E、NBR1000G-E、NBR1500G、NBR2000G、NBR800G、NBR950G、NBR3000D-UE、NBR1000G-C、NBR2000G-C、NBR3000G-S、NBR6205-E、NBR6210-E、NBR6215-E

NBR_RGOS11.9(0)B28,11.9PJ8

        以上型号更新于2019年1月1日。若您的型号没在上述列表中,请使用锐捷机器人闪电兔实时获取最新支持产品型号。

        附:确认型号的方法有以下四种:

        1)登录进NBR/EG web管理页面,左侧【首页】——【系统首页】右侧,如下位置即可看到型号   

              

        2)登录进NBR/EG web管理页面,左侧【首页】——【系统首页】右侧,页面拉到最底,如下位置即可看到型号:      

              

        3)telnet到NBR/EG 底层,执行命令show version ,如下位置即可查看型号             

        1546917547531021335.png      

        4)查看设备面板      

              


   

一、开启认证前注意事项

        1、开启认证前,确保无线信号稳定,用户直接连上WIFI可以正常上网确保实际网络中用于认证的无线SSID是免密状态加密容易导致微信连WIFI认证异常。

        2、确保无线用户、NBR/EG、MCP三者两两之间连通性是正常的

            1)NBR/EG上ping MCP ip地址可以ping通。如果路由器出口是拨号线路,要特别注意mtu对认证的影响,执行ping时可分别选择数据长度为1380和1500,并根据ping结果来适当调整出接口的mtu值。  

            比如:ping 172.18.33.49 length 1500 ntimes 100,如下图,可以ping通,假设无法ping通,把length值改成1400和1380看下是否可以ping通,根据实际ping值调整,可以把出接口的MTU值修改为1400或者1380。  

              

            2)无线用户开启认证后,打开手机浏览器,在浏览器地址栏输入NBR/EG的IP地址和MCP的IP地址可以正常访问NBR/EG和MCP的web页面


        3、NBR/EG商业营销认证部分功能特性需要更新到最新的版本才支持。升级版本后必须先清除浏览器缓存,否则可能导致WEB页面与实际不符合,配置出错。     

        4、确保NBR/EG特征库需要更新到最新版本,非最新的特征库在浏览器中点击微信认证可能导致无法唤醒微信程序。   

        特征库具体查看方法:
        登录进NBR/EG web管理页面,左侧【高级】——【系统升级】——【检查当前最新特征库】,点击“检查最新版本”,确保看到如下提示:“已是最新版本!”。     

                

        5、确保需要认证的无线用户没在免审计用户里。免审计用户不会经过应用识别,因此会导致微信唤醒、IOS弹窗等异常。  

        免审计用户的检查方法:  

        登录进NBR/EG web管理页面,左侧【用户】——【用户组织】——【用户管理】,查看是否认证网段里是否有用户被添加。      

               

        6、请先完成微信公众号配置、MCP相关配置后,再开启NBR-E/EG上认证,避免在未配置完成的情况下一旦开启认证用户全部认证不上。

        7、一旦在NBR-E/EG上开启认证,所有流量有经过NBR-E/EG的终端用户(无论有线还是无线)都需要认证,所以请先确认内网需要开启认证的无线用户的网段起始IP和结束IP或者不需要进行认证的有线用户的网段起始IP和结束IP、哑终端设备(如摄像头、pos机等)的mac地址,配置过程中需要用到。

        8、在设备上ping  captive.apple.com(苹果的检测wifi地址),避免某些dns无法解析苹果域名,导致IOS终端无法自动弹窗。

            

        检查方法:如下图:【网络】——【DHCP配置】里的【DNS】配置最好和【网络】——【DNS】配置保持一致。    

           

                 

        9、如要使用微信连WIFI的PC扫码功能必须在NBR/EG设备上放通域名:mina.ruijieyun.com。


二、设备认证配置    


        1、先添加免认证用户IP或者用户MAC白名单

        上文认证前注意事项有提到,建议先确认内网需要开启认证的无线用户的网段起始IP和结束IP或者不需要进行认证的有线用户的网段起始IP和结束IP、哑终端设备(如摄像头、pos机等)的mac地址,开启认证前,先进行免认证用户IP用户mac白名单的配置。

        配置方法:EG_RGOS 11.1(6)B26以前版本,配置位置是在【用户】——【商业营销认证】——【免认证设置】里,B26及其之后版本,配置位置在【用户】——【商业营销认证】——【商业营销认证免认证】,请对比下面两图:

                


 

              

        2、开启认证      

         进入【用户】——【上网认证】——【商业营销认证】配置页面,页面如下,点击【认证快速配置】,进行认证配置。

         注:【认证快速配置】(部分版本叫微信认证快速配置,不局限于微信连wifi认证)为认证命令快速下发向导。一定要使用这种方式命令下发,否则无法保证命令会web界面被同步到底层命令行。

            

         在弹出的【商业营销认证配置引导】窗口中填写对应的参数

          


        认证方式:选择为【外置认证】;(老版本选项,B9版本之后已删除该功能)

        服务器类型:选择【微信连wifi(3.X)】;

        服务器地址:MCP的IP地址;

        联动WSO:本一本通描述的方案是和MCP对接,非和WSO对接方案,无需开启;

        WiFi网络名称:填入需要做认证的无线网段SSID名称;


        以上配置完成后,点击“保存”,经过上述配置后,页面将自动跳转到如下页面,路由器自动填充了【基本设置】里的参数,除了【微信放行】功能以外,请不要随意更改其他参数。

        原因:若是用户手动修改重定向主页和通讯密码、服务器类型等参数,很容易出现因协议参数不匹配导致认证出现异常。

          


        在【基本配置】页面中,可调整的参数如下:

        用户逃生功能:在服务器异常时,设备可主动关闭认证功能,所有用户可直接上网。服务器恢复后,认证功能可自动开启。

        微信放行:下拉菜单有三种选择:  

                         ①永久放行(永久放行微信流量):在开启认证的情况下用户连上WIFI没进行认证,也可永久使用微信上网。  

                         ②临时放行(临时放行微信流量):在开启认证的情况下用户连上WIFI没进行认证,点此重定向页面的”点此免费上网“后有90s的时间可以使用微信上网。  

                         ③不放行:在开启认证的情况下用户连上WIFI没进行认证,无法使用微信上网。微信连WIFI不能选择不放行,因为认证过程中微信客户端需要和微信服务器进行通信。  

        认证信息:可以查看通过认证的已在线用户信息情况并将以认证用户剔除下线。

   

   

        3、在高级配置进一步配置:

            

        源IP地址:VPN场景下必备配置。IPSEC VPN场景下使用,指定与总部服务器通讯的私网地址。  

       https重定:推荐开启。开启后,浏览器点击https网址(百度、淘宝、新浪等)重定向到广告页面。如果不勾选,则只有http的网址(网易、携程等)可以被重定向到认证界面。  

                             1)开启该功能后,路由器在重定向前还要进行一次解密https网站的过程,会消耗设备性能;  

                             2)由于缓存或者兼容性问题,某些浏览器或者APP的HTTPS无法正常重定向,这种情况下建议切换到HTTP的浏览器弹窗认证;                               

                             3)该功能存在限制,无法保证100%成功,此时建议更换http的网站进行重定向。  

       mac-by-pass:此功能需要和MCP服务器认证配置里的开启无感知功能相配合使用,详情可见一本通08-04-05-01章节。

       下线检测模式:该功能默认开启,默认设置的下线检测时间为60分钟。

                             1)此配置的效果是:用户认证成功后,若手机锁屏时间(这段时间内用户没有产生任何流量)大于60分钟,路由器则认为用户已不在线,会在认证表项里把用户踢下线。若用户锁屏时间小于60分钟,用户重新打开手机连上WIFI,因此时用户还在设备的在线列表里,用户直接连上wifi就能上网。

                             2)此功能必须开启,不能关闭。推荐配置:终端DHCP租期是下线检测时间的2倍以上。

                             3)下线检测时间设置太短容易导致用户频繁认证,用户体验不好;下线检测时间太长容易导致残留表项过大,认证表项容量一旦耗尽,新用户接入网络无法被重定向,无法认证。

        网络类型和获取mac地址功能:对于商业营销认证来说,这两个功能是配套使用的。二层认证方案,这两个功能保持默认(网络类型二层,获取mac地址功能不开启),不要更改。

        IP范围SSID:网关设备默认无法识别SSID,此功能在不同SSID不同认证方式场景才需要设置,单SSID场景无需设置。  

        允许认证接入网段:配置后,只有该网段内的用户会进行商业营销认证,其他网段直接放行。若是用户内网通过NBR/EG区分了有线和无线网段,请将需要认证的无线用户所在网段填写到允许认证接入网段中。


        4、免认证配置

        B26以前版本,配置位置是在【用户】——【商业营销认证】——【免认证设置】里,B26及其之后版本,配置位置在【用户】——【商业营销认证】——【商业营销认证免认证】,请

          


        URL白名单:开启认证后,需要认证的无线用户连上WIFI即使没有进行认证也可正常访问配置在该名单的域名。最大可配置100个域名。
                     1)微信连WIFI认证PC扫码需要额外放通的域名:mina.ruijieyun.com;    

                     2)MCP服务器若是公网映射,使用域名访问的场景,也需要在URL白名单里添加MCP域名。

                     3)以下URL白名单如果包含如下几个,会导致IOS手机无法自动弹出广告(打开浏览器则可以正常显示广告),请勿添加到URL白名单中!!

        "www.appleiphonecell.com",

        "captive.apple.com",

        "www.itools.info",

        "www.ibook.info",

        "www.airport.us",

        "www.thinkdifferent.us"

        免认证用户IP: 开启认证后,该IP或者该IP段可直接上网不会推送广告也不需要认证。最大可设置50条规则。

                     1)此功能与高级设置里的”允许认证接入网络“功能相反。

                     2)假设有IP既被添加到允许认证接入网络中,又被添加到免认证用户IP里,那免认证用户IP设置的优先级更高,该IP直接可上网,无需看广告无需认证。

        用户MAC白名单:开启认证后,该MAC可直接上网不会推送广告也不需要认证,最大可设置100条规则。

        用户MAC黑名单:开启认证后,该MAC直接被禁止接入网络。连上WIFI访问网页不会被重定向。最大可设置100条规则。

        免认证外网IP:开启认证后,未认证用户可直接访问该IP地址。MCP服务器若是公网映射,使用公网IP访问的场景,需要在此处添加MCP公网IP。