功能介绍:

       二维码最早起源于日本,它是用特定的几何图形按一定规律在平面(二维方向)上分布的黑白相间的图形,是所有信息数据的一把钥匙。在现代商业活动中,可实现的应用十分广泛,如:产品防伪溯源、广告推送、网站链接、数据下载、商品交易、定位/导航、电子凭证、车辆管理等等。

       在我们的认证应用上,主要用于接待访客使用,由原来的输入用户名密码的方式,转变成扫描二维码的方式,访客接入打开浏览器后会显示一个二维码界面,该界面包含了终端相关信息,企业内部员工使用已经认证过的终端只要扫一扫访客终端显示的二维码界面即可完成对访客上网授权。二维码授权不仅形式新颖,同时给用户带来了极大的方便,极大提高了用户的体验。

一、组网需求:

1、已经有一个SSID供内部员工连接和使用。(推荐使用web认证)

2、需要portal设备,比如eportal、SMP等;

3、需要radius设备,比如SMP、ESS等。

二、组网拓扑:

image.png 

三、配置要点

1、配置给内部员工连接的SSID

2、配置访客二维码认证配置(与二代web认证命令类似,只是重定向的url不同)

四、配置步骤

1、先在AC上配置一个SSID给内部员工连接为访客做二维码扫描认证。而且用户使用这个SSID时需要在radius设备上做认证,建议该SSID使用二代web认证部署。

      配置好后进行接下来的步骤。

2、启用web认证的 AAA

Ruijie(config)#aaa new-model ------>开启aaa

Ruijie(config-gs-radius)#aaa group server radius smp  ------>配置radius组,名称为smp

Ruijie(config-gs-radius)# server 172.18.34.16 ------>配置radius服务器地址

Ruijie(config-gs-radius)#aaa accounting update ------>开启aaa记账更新

Ruijie(config)#aaa accounting network acct-web start-stop group smp------>配置记账更新列表,名字为acct-web,对应的radius服务器是名为smp的服务器组

Ruijie(config)#aaa authentication web-auth auth-web group smp ------>配置web认证列表,名字为auth-web,对应的radius服务器是名为smp的服务器

3、配置radius服务器相关参数

Ruijie(config)#ip radius source-interface vlan 1  ------>使用vlan1 地址与radius对接

Ruijie(config)#radius dynamic-authorization-extension enable ------>配置AC支持radius扩展属性,用于踢用户下线

Ruijie(config)#radius-server host 172.18.34.16 key ruijie    ------>配置radius服务器KEY及IP

Ruijie(config)#radius-server attribute 31 mac format ietf  ------>【可选配置】如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式

4、配置portal

Ruijie(config)#web-auth portal key 123456    ------>portal服务器密钥:123456(密码后面不能有空格),只支持配置一个portal key

11.X版本portal服务器配置方法:

Ruijie(config)# web-auth template ewm----->配置web认证模板,可以进一步进行web认证的相关配置

Ruijie(template.eportalv2)#ip 172.18.34.16----->配置potal服务器的ip地址

Ruijie(template.eportalv2)#url  http://172.18.34.16:80/smp/qrcodeservlet   ------>配置二代web认证信息,portal名字为ewm,portal 的ip地址是172.18.34.16 。url地址需要根据portal设备上的说明为准。

5、在用于访客连接的SSID下开启web认证且调用二维码认证界面

Ruijie(config)#wlansec 2

Ruijie(config)# webauth ------>开启web认证

Ruijie(config)# web-auth portal ewm  ------>调用二代portal服务器,名称为ewm

Ruijie(config)# web-auth authentication v2 auth-web   ------>配置web认证调用的认证列表 【必选配置】

Ruijie(config)# web-auth accounting v2 acct-web   ------>配置web认证调用的记账列表 【必选配置】

6、配置SNMP服务器

Ruijie(config)#snmp-server enable traps

Ruijie(config)#snmp-server community ruijie rw ------> 与radius(比如SMP、ESS)上的团体字一致

7、其他配置

Ruijie(config)#web-auth acct-update-interval  5  ------>web认证记账更新周期为5分钟

Ruijie(config)#http redirect direct-arp 192.168.51.1  ------>必须开放无线用户网关arp,让无线客户端可以发起http请求【必选配置】

8、SMP相关配置

1】添加无线控制器,系统中添加无线控制器,【身份认证管理】-【管理设备】-【添加】(添加无线设备之前需要修改无线设备模版中的相关参数如radius key、portal key等参数)

image.png 

2】正式员工开通访客授权权限,【身份认证管理】--【用户组管理】--【上网行为管理】--【勾选允许用户在锐捷自助服务平台及锐捷客户端上添加、查询、删除访客用户

image.png 

3】开启Web认证,【身份认证管理】--【web认证配置】--【勾选启用访客管理--【勾选启用访客二维码注册】,同时配置二维码扫描界面提示信息和扫描成功界面的提示信息,如下图所示:

image.png 

五、配置验证

1、访客使用无线网络终端(例如平板电脑、智能手机、笔记本电脑等,本次测试以笔记本电脑/win7系统进行测试)连接访客对应的无线SSID:GUEST,访客终端关联成功以后访客打开浏览器输入任意域名,终端界面显示二维码认证界面(如果终端无法通过DNS解析域名需要手动输入任意网络地址)

image.png 

备注: 访客终端显示二维码认证界面期间,访客终端与SMP存在定期报文交互,周期时间为1秒,如果该交互报文异常将会导致授权成功后访客终端无法显示授权成功界面。

2、内部员工使用已认证手机终端为访客进行二维码扫描,扫描时可能出现两种情况:内部员工使用手机上安装的二维码扫描软件扫描后手机终端显示一个访问连接,内部员工需要点击该连接才可以完成对访客的授权,授权成功后内部员工手机终端上显示访客用户使用二维码认证成功;部分扫描软件扫描后自动连接通过二维码解析出的链接,此时减少了内部员工点击访问链接的步骤,内部员工扫描后直接显示“”访客使用二维码认证成功

image.png 

访客终端将显示授权成功,此时访客已经成功接入网络,授权成功界面如下图所示

image.png 

3、SMP服务器上创建该访客信息,访客信息如下图所示:

image.png