胖AP认证配置

前言：

本章节适用的认证设备型号和推荐版本：

认证设备型号	推荐最新版本
AP710(D)、AP720(D)、AP720-I、AP740-I、AP740-I（C）、AP130-W、AP130(L)、AP130(W)、AP130(W2)、AP520(W2)、AP630(IDA)、AP630(IODA)、AP630(CD)、AP630(CE)、AP630(IOCD)、AP520-I、AP520I(G2)、AP520、AP520(DA)、AP520(BT)、AP530-I V2	至少要升级到AP_RGOS11.1(5)B9P5版本才开始支持和MCP对接
AP860、AP840、AP880-I	至少要升级到AP_RGOS 11.9(0)B7版本才开始支持和MCP对接
AP740-I、AP730(TR)、AP730-L、AP720-L、AP710(D)、AP720(D)、AP720-I、AP630(IDA2)	至少要升级到AP_RGOS 11.1(9)B1P10版本才开始支持和MCP对接

以上型号更新于2019年1月1日。若您的型号没在上述列表中，请使用锐捷机器人闪电兔实时获取最新支持产品型号。

一、开启认证前注意事项

1、开启认证前，确保无线信号稳定，用户直接连上WIFI可以正常上网。确保实际网络中用于认证的无线SSID是免密状态。加密容易导致微信连WIFI认证异常。

2、确保无线用户、AP、MCP三者两两之间连通性是正常的。
1）AP上ping MCP ip地址可以ping通。

2）无线用户开启认证后，打开手机浏览器，在浏览器地址栏输入AC的IP地址和MCP的IP地址可以正常访问AC和MCP的web页面。

3、请先完成微信公众号配置、MCP相关配置后，再开启AP上认证，避免在未配置完成的情况下一旦开启认证对应wifi下的用户全部认证不上。

4、如要使用微信连WIFI的PC扫码功能必须在设备上放AP通域名：mina.ruijieyun.com。

二、设备认证配置

目前有两种方式：云AC下发和设备手动配置

方式一：MACC管理胖AP，使用MACC平台对胖AP下发认证配置

MACC云平台登录地址：http://cloud.ruijie.com.cn 或者 https://noc.ruijie.com.cn/nocindex/

1、在MACC上添加设备到对应的分组，确保胖AP在MACC平台上处于在线状态

$1546928139918017776.png$

2、添加认证模板

认证配置：开启

认证类型：微信连WIFI3.X

认证服务器地址：MCP 服务器IP地址或域名。注意：如果认证端口号已修改为非80端口，请在MCP 服务器地址后加上端口号。如果认证端口没修改，直接写MCP 服务器地址，可以写IP也可以写域名。

认证服务器IP：MCP服务器IP地址。

Nas IP：mcp和ap认证专用地址，需要设置成内网不存在且完全ping不同的ip地址，如果设置成内网可以ping通已存在的地址，可能导致用户认证过程中跳转到微信程序后提示网络链接失败等异常。

通信密钥：ruijie 不可更改。

认证无感知：此功能需要配合mcp无感知功能。

用户下线检测：假设设置成在60分钟内，累计流量小于0b的用户将被强制下线。达到的效果就是用户认证成功后，若用户累计流量小于0b，持续时间大于等于60分钟，AP则认为用户已不在线，会在认证表项里把用户踢下线。没满足这个条件的话，用户重新打开手机连上WIFI，因此时用户还在设备的在线列表里，用户直接连上wifi就能上网。

方式二：设备命令行手动配置

1、必备配置

1) 配置微信认证模板

Ruijie(config)#web-auth template wechat ——》wechat模板名称不能更改

Ruijie(config.tmplt.wechat)#ip 172.16.34.8 ——》172.16.34.8为MCP服务器ip地址，需要修改为实际IP地址

Ruijie(config.tmplt.wechat)#key ruijie ——》key必须设置为ruijie，不能更改

Ruijie(config.tmplt.wechat)#service-url 172.16.34.8 ——》172.16.34.8为MCP服务器ip地址，需要修改为实际IP地址。

Ruijie(config.tmplt.wechat)#nas-ip 4.5.6.7 ——》mcp和ac认证专用地址，需要设置成内网不存在且完全ping不同的ip地址，如果设置成内网可以ping通已存在的地址，可能导致用户认证过程中跳转到微信程序后提示网络链接失败等异常。

Ruijie(config.tmplt.wechat)#redirect http

注意：MCP的默认认证端口为80，若已把MCP认证端口改成非80端口，如8989，则上述配置中Ruijie(config.tmplt.wechat)#service-url 172.16.34.8需要修改为Ruijie(config.tmplt.wechat)#service-url 172.16.34.8:8989

2）配置NAS-ID

Ruijie(config)#ac-controller

Ruijie(config-ac)#nas-id H234942570001 ——》nas-id后跟的是AC的设备序列号，AC设备序列号可用show version命令查到。

3）配置需要免认证的IP和url

Ruijie(config)#web-auth acl white-url mina.ruijieyun.com ——》PC扫码新方案必须放通的地址

Ruijie(config)#web-auth direct-host 172.16.34.8 ——》设置MCP服务器地址172.16.34.8为免认证用户，此配置的场景是：当MCP服务器和AC直连，MCP的地址和需要认证的无线用户所在地址在同一个网段。

Ruijie(config)#http redirect direct-site 172.16.34.8 ——》设置MCP服务器地址172.16.34.8为免认证网络资源，需保证无线用户在认证前可以和AC正常通信

Ruijie(config)#http redirect direct-site 172.16.10.2 ——》设置AC的地址172.16.10.2为免认证网络资源，需保证无线用户在认证前可以和AC正常通信

Ruijie(config)#http redirect direct-arp 192.168.51.1 ——》必须放行无线用户网关arp，192.168.51.1为无线用户网关，按实际修改

4）AC上需配置DNS，否则设备上url地址无法解析，AC的dns最好和需要认证的无线用户网段dhcp地址池的dns一致

Ruijie(config)#ip name-server 114.114.114.114 ——》114.114.114.114 为DNS地址，客户现场DNS地址按需求修改

5）在指定wlanid下开启微信认证功能

Ruijie(config)#wlansec 1 ——》在需要认证ssid的指定wlan id下配置开启微信认证。wlansec后面加的数字看配置的wlan-config后配置的是哪个数字，这里假设wlanid为1

Ruijie(config-wlansec)#no webauth ——》假设原先有配置过认证，需要先将原有的认证受控状态取消

Ruijie(config-wlansec)#web-auth portal wechat ——》调用微信连wifi认证模板

Ruijie(config-wlansec)#webauth ——》最重要一步：开启认证。

2、高级配置

6) 无感知认证配置（此功能需要配置MCP的无感知开启）

Ruijie(config)#ip dhcp snooping

Ruijie(config)#web-auth sta-perception enable ——》mac by pass无感知认证开关

Ruijie(config)#web-auth dhcp-check ——》只处理dhcp分配的终端报文，不合法的http报文，不处理，以免导致无感知失败。请注意，一旦配置了web-auth dhcp-check，必须配置ip dhcp snooping，否则会导致用户跳转wifi后无法重定向到广告页面。

Ruijie(config)#web-auth valid-ip-acct timeout 30 ——》配置允许等待用户获取IP的时间，超过该时间用户未获取IP地址将被踢下线，timeout可选配置，不配置就默认30s

Ruijie(config)#web-auth sta-preemption enable ——》开启IP地址抢占功能

7)https重定向

Ruijie(config)#http redirect port 8443

Ruijie(config)#http redirect port 443

以上两条命令开启后，浏览器点击https网址（百度、淘宝、新浪等）重定向到广告页面。如果不勾选，则只有http的网址（网易、携程等）可以被重定向到认证界面。

请注意：

①开启该功能后，设备在重定向前还要进行一次解密https网站的过程，会消耗设备性能；

②由于缓存或者兼容性问题，某些浏览器或者APP的HTTPS无法正常重定向，这种情况下建议切换到HTTP的浏览器弹窗认证；

③该功能存在限制，无法保证100%成功，若还是显示不了，建议更换http的网站进行重定向。

8)配置IOS设备弹窗

Ruijie(config)#http redirect adapter ios ——》配置后ios手机弹窗的时候wifi图标会点亮并且右上角显示完成，不配置这个ios弹窗之后wifi图标不点亮，右上角显示取消，推荐不配置，可根据客户想要的效果进行配置（B9P5版本之后微信连wifi和wifidog都支持）

9）修改防抖动时间和下线检测时间

修改防抖动时间：

Ruijie(config)#wlansec 1 ——》开启认证的wlansec下

Ruijie(config-wlansec)#webauh prevent-jitter 3600 ——》防抖动时间设置为60分钟，3600的单位是秒。

Ruijie(config)#ac-controller

Ruijie(config-ac)#prevent-jitter authed-only ——》设置防抖动时间只针对认证用户有效。

修改下线检测时间：

Ruijie(config)#wlansec 1 ——》开启认证的wlansec下

Ruijie(config-wlansec)#web-auth offline-detect interval 60 flow 0 ——》60的单位是分钟，0的单位0kb。意为：一旦检测到大于等于60分钟，该用户产生的流量是0kb，立马把用户踢下线。

Ruijie(config)#ap-config all

Ruijie(config)#sta-idle-timeout 3600 ——》3600的单位是秒，对应上面的60分钟。时间配置要配置成一致。

下线检测时间配置后达到的效果就是用户认证成功后，若手机锁屏时间（这段时间内用户没有产生任何流量）大于等于60分钟，AC则认为用户已不在线，会在认证表项里把用户踢下线。若用户锁屏时间小于60分钟，用户重新打开手机连上WIFI，因此时用户还在设备的在线列表里，用户直接连上wifi就能上网。

假设配置防抖动时间5分钟，配置下线检测时间10分钟，如果终端离开了网络，因为防抖动时间小于下线检测时间，防抖功能优先触发web认证将用户下线。

10)逃生配置

Ruijie(config)#web-auth wechat interval 10 ——》10的单位是分钟

Ruijie(config)#web-auth wechat-escape interval 65530 times 5 ——》655350的单位是655350，5的单位是个数，用户数

Ruijie(config)#web-auth portal-escape

Ruijie(config)#web-auth portal-check

以上配置后达到的效果就是检测周期为10分钟，3个10分钟检测周期内检测到5个用户无法认证，所有用户集体逃生65535分钟。

11）其他配置

Ruijie(config)#web-auth direct-host 192.168.51.129 ——》设置192.168.51.129为免认证用户，即不用认证就可以上网的用户，按实际修改

Ruijie(config)#http redirect direct-site 172.16.10.1 ——》设置172.18.10.3为免认证网络资源，即用户没有认证前就可以访问的资源，比如某些内网网站或者外网IP，按实际修改

Ruijie(config)#free-url url baidu.com ——》设置URL白名单，把百度这个网站设置为免认证网络资源，按实际修改

注意：URL白名单如果包含如下几个，会导致IOS手机无法自动弹出广告（打开浏览器则可以正常显示广告），请勿设置为URL白名单中！！

"www.appleiphonecell.com",
"captive.apple.com",

             "www.itools.info",
             "www.ibook.info",
             "www.airport.us",

"www.thinkdifferent.us"