设备认证配置

 

1、注意事项

在NBR-E或者EG设备上快速配置与MACC-auth的联动,并配置微信连WIFI认证方式。

配置注意事项:

1)        关联的公众号及广告修订只需要在MACC-auth上进行,修改SSID则设备上也需要进行相应的修订。

2)        商业营销认证部分功能特性需要最新的版本才能支持,因此在碰到问题情况下,建议先升级到最新的版本。截止2018年8月25日,最新的版本为11.1(6)B27P1。

3)        在设备上ping  captive.apple.com(苹果的检测wifi地址),该操作用于排除某些dns无法解析苹果域名的问题。

4)        将特征库更新到最新。非最新的特征库在浏览器中点击微信认证时可能无法进入微信。

5)        检查免审计用户设置,免审计用户不会经过应用识别,因此会导致微信唤醒、IOS弹框等异常。对免审计用户需要同时设置到免认证中。

6)      EG/NBR-E软件版本升级操作务必先清除浏览器缓存再配置。

 

2、设置MACC-auth和设备的同步周期

登录到设备命令行,配置命令如下,设置在线用户同步周期。

注意:NBR该功能默认开启,首次配置不需要执行一下操作,EG2000K/F/CE/SE默认未开启,首次配置需要执行以下命令。


ruijie#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

ruijie(config)#webservice client-sync enable

ruijie(config)#webservice client-sync batch

ruijie(config)#webservice client-sync interval 3600

ruijie(config)#end

ruijie#wr


Building configuration...


[OK]

ruijie#


3、认证配置

1)首先,登录设备web管理页面后,进入用户--->上网认证--->商业营销认证配置页面,页面如下,点击【认证快速配置】,进行认证配置。


注:【认证快速配置】(部分版本叫微信认证快速配置)为认证命令快速下发向导。不局限于微信连wifi认证。一定要使用这种方式命令下发,否则无法保证命令会web界面被同步到底层命令行。




2)其次,进行微信连wifi认证快速配置

注意:认证配置必须通过快速配置向导来下发。



        认证方式:选择为外置认证;(B4版本选项,B9版本已删除该功能

        服务器类型:选择微信连wifi(3.X);

        服务器地址:auth.ruijieyun.com

        WiFi网络名称:填入需要做认证的网段的无线SSID名称;



3)以上配置完成后,点击“保存”,页面将自动跳转到“基本配置”页面

注意:认证配置通过快速配置向导下发后,基本设置参数已默认自动填充,无需额外设置。


 

在此页面中,在基本配置页面中,可对配置参数进行调整,具体如下:

重定向主页:  http://auth.ruijieyun.com/auth/servlet/standardAuthServlet/portal

快速配置后,设备将根据选择的通信协议自动生成,通常不需要对该字段进行修订;

通讯密码:通常使用默认值: ruijie-------------------------不可修改

服务器类型:微信连WiFi(3.X).

用户逃生功能:在服务器异常时,设备可主动关闭认证功能,所有用户可直接上网。服务器恢复后,认证功能可自动开启。

微信放行: 临时放行(临时放行微信流量90秒)、永久放行(永久放行微信流量)。

WiFi网络名称:无线的SSID名称。

认证信息:可以查看通过认证的已在线用户信息情况并将以认证用户剔除下线。

 

注:通过快速配置后,建议将服务器的IP地址同时填写到免认证外网IP地址中。如配置的是域名,可通过PING方式获取IP地址。

 

4)高级配置

在高级配置进一步配置:


源IP地址:在IPSEC VPN场景下使用,指定与总部服务器通讯的私网地址。
https重定 开启https网址(百度、新浪等)重定向功能。如果不勾选,则只有http的网址(网易、携程等)可以被重定向到认证界面。
注意:(1)开启该功能会消耗设备性能;(2) 由于缓存或者兼容性问题,某些浏览器或者APP的HTTPS无法正常重定向,这种情况下建议切换到HTTP的浏览器弹窗认证

mac-by-pass : 该功能开启后,终端在第一次连入网络时,由NBR设备向服务器通告终端接入。由服务器控制用户是否可直接上线。

下线检测:终端在一定时间内的流量小于设定值时将被设备下线。

注意:DHCP的租期需要是该检测时间的两倍以上。

网络类型:默认为二层网络,请根据网络拓扑进行选择。如要变更网络类型配置,则在所有配置变更完成后需要关闭认证再重新开启(所有用户节点将被删除,即在线用户会强制下线);

                 由于协议为二层协议,三层网络拓扑图的用户需在下联设备上做dhcp relay指向本台认证设备,然后将认证网段的DHCP地址池改到本认证设备上后,这个地方选择三层网络。

获取mac功能 该功能用于在三层网络场景下通过dhcp relay获取终端用户mac地址, 功能开启时,需要下联设备dhcp relay到本设备上。
I P 围S SID: 可配置不同网段对应到不同的SSID。

允许认证接入网段:配置后,只有该网段内的用户会进行商业营销认证,其他网段直接放行。


免认证相关配置:无需认证的网段或IP;


URL白名单:配置在该名单的域名将直接放行。建议这里这配置域名部分,如是IP字段,则配置到免认证外网IP中。

免认证用户IP该IP可直接上网不需要认证。

用户MAC白名单:该MAC可直接上网不需要认证。

用户MAC黑名单:该MAC禁止上网。

免认证外网IP:未认证用户可直接访问该IP地址。


注意:如要使用PC扫码功能必须在NBR/EG设备上放通域名:mina.ruijieyun.com。


注意:添加免认证用户时,如果“有效期”留空,则永久有效。




注意:其中URL白名单如果包含如下几个,会导致IOS手机无法自动弹出广告(打开浏览器则可以正常显示广告):

        "www.appleiphonecell.com",

        "captive.apple.com",

        "www.itools.info",

        "www.ibook.info",

        "www.airport.us",

        "www.thinkdifferent.us"