1、开启认证前,确保无线信号稳定,用户直接连上WIFI可以正常上网。
2、确保无线用户、AC、MACC三者两两之间连通性是正常的。比如:
1)AC上ping MACC ip地址可以ping通。
2)无线用户开启认证后,打开手机浏览器,在浏览器地址栏输入AC的IP地址和MACC的IP地址可以正常访问AC和MACC的web页面。
3、请先完成MACC相关配置后,再开启AC上认证,避免在未配置完成的情况下一旦开启认证对应wifi下的用户全部认证不上。
1) 配置微信认证模板
Ruijie(config)#web-auth template wechat ——》wechat模板名称不能更改
Ruijie(config.tmplt.wechat)#ip 101.37.127.140 ——》101.37.127.140为MACC服务器ip地址
Ruijie(config.tmplt.wechat)#key ruijie ——》key必须设置为ruijie,不能更改
Ruijie(config.tmplt.wechat)#service-url auth.ruijieyun.com ——》auth.ruijieyun.com为MACC服务器域名。
Ruijie(config.tmplt.wechat)#nas-ip 4.5.6.7 ——》macc和ac认证专用地址,需要设置成内网不存在且完全ping不同的ip地址,如果设置成内网可以ping通已存在的地址,可能导致用户认证过程中跳转到微信程序后提示网络链接失败等异常。
Ruijie(config.tmplt.wechat)#redirect http
2)配置NAS-ID
Ruijie(config)#ac-controller
Ruijie(config-ac)#nas-id H234942570001 ——》nas-id后跟的是AC的设备序列号,AC设备序列号可用show version命令查到。
3)配置需要免认证的IP和url
Ruijie(config)#web-auth acl white-url mina.ruijieyun.com ——》PC扫码新方案必须放通的地址
Ruijie(config)#web-auth direct-host 101.37.127.140 ——》设置MACC服务器地址101.37.127.140 为免认证用户,此配置的场景是:当MACC服务器和AC直连,MACC的地址和需要认证的无线用户所在地址在同一个网段。
Ruijie(config)#http redirect direct-site 101.37.127.140 ——》 设置MACC服务器地址101.37.127.140 为免认证网络资源,需保证无线用户在认证前可以和MACC正常通信
Ruijie(config)#http redirect direct-site 172.16.10.2 ——》 设置AC的地址172.16.10.2为免认证网络资源,需保证无线用户在认证前可以和AC正常通信
Ruijie(config)#http redirect direct-arp 192.168.51.1 ——》必须放行无线用户网关arp,192.168.51.1为无线用户网关,按实际修改
4)AC上需配置DNS,否则设备上url地址无法解析,AC的dns最好和需要认证的无线用户网段dhcp地址池的dns一致
Ruijie(config)#ip name-server 114.114.114.114 ——》114.114.114.114 为DNS地址,客户现场DNS地址按需求修改
5)在固定账号信号wlanid下开启固定账号认证功能
Ruijie(config)#wlansec 1 ——》 在固定账号认证ssid的指定wlan id下配置开启认证。wlansec后面加的数字看配置的wlan-config后配置的是哪个数字,这里假设wlanid为1
Ruijie(config-wlansec)#no webauth ——》假设原先有配置过认证,需要先将原有的认证受控状态取消
Ruijie(config-wlansec)#web-auth portal wifidog ——》调用wifidog认证模板
Ruijie(config-wlansec)#webauth ——》最重要一步:开启认证。
6)在访客信号wlanid下开启访客认证功能
Ruijie(config)#wlansec 2 ——》 在访客认证ssid的指定wlan id下配置开启认证。wlansec后面加的数字看配置的wlan-config后配置的是哪个数字,这里假设wlanid为1
Ruijie(config-wlansec)#no webauth ——》假设原先有配置过认证,需要先将原有的认证受控状态取消
Ruijie(config-wlansec)#web-auth portal wechat ——》调用微信连wifi认证模板
Ruijie(config-wlansec)#webauth ——》最重要一步:开启认证。
注意:(微信连wifi3.X是兼容协议,兼容所有认证方式,也可直接在固定账号认证下调用)
6) 无感知认证配置(此功能需要配置MACC的无感知开启)
Ruijie(config)#ip dhcp snooping
Ruijie(config)#web-auth sta-perception enable ——》mac by pass无感知认证开关
Ruijie(config)#web-auth dhcp-check ——》只处理dhcp分配的终端报文,不合法的http报文,不处理,以免导致无感知失败。
Ruijie(config)#interfacegigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ——》将连接DHCP服务器接口开启信任,如果用户的DHCP在AC上则不用配置该命令。
请注意:一旦配置了web-auth dhcp-check,必须配置ip dhcp snooping,否则会导致用户跳转wifi后无法重定向到广告页面。
Ruijie(config)#web-auth valid-ip-acct timeout 30 ——》配置允许等待用户获取IP的时间,超过该时间用户未获取IP地址将被踢下线,timeout可选配置,不配置就默认30s
Ruijie(config)#web-auth sta-preemption enable ——》开启IP地址抢占功能
7)https重定向
Ruijie(config)#http redirect port 8443
Ruijie(config)#http redirect port 443
以上两条命令开启后,浏览器点击https网址(百度、淘宝、新浪等)重定向到广告页面。如果不勾选,则只有http的网址(网易、携程等)可以被重定向到认证界面。
请注意:
①开启该功能后,AC在重定向前还要进行一次解密https网站的过程,会消耗设备性能;
②由于缓存或者兼容性问题,某些浏览器或者APP的HTTPS无法正常重定向,这种情况下建议切换到HTTP的浏览器弹窗认证;
③该功能存在限制,无法保证100%成功,若还是显示不了,建议更换http的网站进行重定向。
8)配置IOS设备弹窗
Ruijie(config)#http redirect adapter ios ——》配置后ios手机弹窗的时候wifi图标会点亮并且右上角显示完成,不配置这个ios弹窗之后wifi图标不点亮,右上角显示取消,推荐不配置,可根据客户想要的效果进行配置(B9P5版本之后微信连wifi和wifidog都支持)
9)修改防抖动时间和下线检测时间
修改防抖动时间:
Ruijie(config)#wlansec 1 ——》开启认证的wlansec下
Ruijie(config-wlansec)#webauh prevent-jitter 3600 ——》防抖动时间设置为60分钟,3600的单位是秒。
Ruijie(config)#ac-controller
Ruijie(config-ac)#prevent-jitter authed-only ——》设置防抖动时间只针对认证用户有效。
修改下线检测时间:
Ruijie(config)#wlansec 1 ——》开启认证的wlansec下
Ruijie(config-wlansec)#web-auth offline-detect interval 60 flow 0 ——》60的单位是分钟,0的单位0kb。意为:一旦检测到大于等于60分钟,该用户产生的流量是0kb,立马把用户踢下线。
Ruijie(config)#ap-config all
Ruijie(config)#sta-idle-timeout 3600 ——》3600的单位是秒,对应上面的60分钟。时间配置要配置成一致。
下线检测时间 配置后达到的效果就是 用户认证成功后,若手机锁屏时间(这段时间内用户没有产生任何流量)大于等于60分钟,AC则认为用户已不在线,会在认证表项里把用户踢下线。若用户锁屏时间小于60分钟,用户重新打开手机连上WIFI,因此时用户还在设备的在线列表里,用户直接连上wifi就能上网。
假设配置防抖动时间5分钟,配置下线检测时间10分钟,如果终端离开了网络,因为防抖动时间小于下线检测时间,防抖功能优先触发web认证将用户下线。
10)逃生配置
Ruijie(config)#web-auth wechat interval 10 ——》10的单位是分钟
Ruijie(config)#web-auth wechat-escape interval 65530 times 5 ——》655350的单位是655350,5的单位是个数,用户数
Ruijie(config)#web-auth portal-escape
Ruijie(config)#web-auth portal-check
以上配置后达到的效果就是检测周期为10分钟 ,3个10分钟检测周期内检测到5个用户无法认证,所有用户集体逃生65535分钟。
11)其他配置
Ruijie(config)#web-auth direct-host 192.168.51.129 ——》设置192.168.51.129为免认证用户,即不用认证就可以上网的用户,按实际修改
Ruijie(config)#http redirect direct-site 172.16.10.1 ——》设置172.18.10.3为免认证网络资源,即用户没有认证前就可以访问的资源,比如某些内网网站或者外网IP,按实际修改
Ruijie(config)#free-url url baidu.com ——》设置URL白名单,把百度这个网站设置为免认证网络资源,按实际修改
注意:URL白名单如果包含如下几个,会导致IOS手机无法自动弹出广告(打开浏览器则可以正常显示广告),请勿设置为URL白名单中!!
"www.appleiphonecell.com",
"captive.apple.com",
"www.itools.info",
"www.ibook.info",
"www.airport.us",