信锐无线结合宁盾无线统一认证解决方案

提升企业无线网络可靠性解决方案相对于传统的有线网络连接，无线网络具备诸多优势，诸如摆脱线缆的束缚、灵活性较高、便于扩展等，这些优点也让越来越多的企业部署无线网络。

但相比线缆传输的方式，无线信号受干扰的影响明显，提升稳定性、可靠性成为无线组网的首要问题。

作为下一代企业级无线网络解决方案提供商，信锐技术从硬件、软件、服务等多角度保障无线网络运行的稳定，让用户在享受无线办公带来便捷的同时，还可体验到如有线传输般的稳定性、可靠性。

1、企业级芯，设备质量稳定可靠信锐无线设备（包括无线AP、无线AC、交换机）均采用企业级芯片和电子元器件，工作稳定，寿命长；设备软件基于CMMI 5最高水平开发，代码优化、程序流畅、长时间稳定工作不宕机；2、智能AC灾备逃生，无线上网永不掉线信锐廋AP+无线AC架构，即使当无线AC宕机故障，也不影响AP的正常使用；通过智能AC灾备逃生，老用户依旧正常上网，新用户仍然可以认证接入；3、无线AC双机备份、异地备份通过部署两台无线控制器，实现双机互相备份，防止一台控制器单点故障后影响上网或者网络安全策略；采用集结号（分层AC）部署的多分支集团，可以实现分支端与邻近分支端的水平异地备份、分支端与中心端的垂直异地备份，在实现智能安全边缘计算的同时保证整个网络的高可靠性；4、重要关键核心应用优先传输通过无线AC应用识别，智能区分上网行为，优先保障核心业务；基于应用的空口资源管理，灵活的识别办公、娱乐、视频、下载等上网行为，优先确保办公业务带宽；5、无感知快速漫游，移动办公永不断线信锐无线AC控制器支持无缝漫游，不同AP信号覆盖之间，接入终端切换速度不高于20ms；同一组网内，用户从设备1移动到设备3到设备5，都能保持无线连接，移动办公永不断线。

6、覆盖黑洞自动补偿，确保信号覆盖无盲区信锐无线AP发射功率线性可调，根据实际部署密度，可适时调整发射功率，避免AP之间的相互干扰；传统的无线路由器故障后将出现无线覆盖黑洞，信锐支持覆盖黑洞自动补偿，邻近AP智能感知周围环境并自动调整发射功率，确保信号覆盖无盲区。

宁盾WIFI认证平台结合H3C无线认证配置指南V2.0版20149目录一、宁盾WIFI认证平台简介 (2)1、平台构架 (2)2、平台登录方式 (2)二、认证配置 (3)1、Portal认证配置流程 (3)2、新增商户 (4)3、添加设备 (5)4、H3C WX无线控制器设备配置 (7)5、认证方式配置 (8)5.1、短信认证 (8)5.2、微信认证 (8)5.3、用户名 (11)三、页面管理 (13)四、调查问卷配置 (16)五、策略控制 (17)一、宁盾WIFI认证平台简介1、平台构架2、平台登录方式浏览器登录WIFI个性化平台http://X.X.X.X:8080（X.X.X.X为服务器IP，默认端口8080），平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员，由WIFI集中接入平台统一配置分配。

（浏览器建议IE9+，或Firefox、Chrome等）IE下载链接：/china/windows/IE/upgrade/index.aspxMozilla Firefox下载链接：/zh-CN/firefox/new/Google Chrome下载链接：/intl/zh-CN/chrome/browser/二、认证配置1、Portal认证配置流程新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式2、新增商户在集中接入管控平台【商户列表】点击【新增商户+】，编辑商户名称、缩写选择商户类型。

为商户分配管理员：在商户列表内选中商户，点击操作栏内【配置管理员】，为商户设定管理员账户（该账户只允许登录商户自助管理平台）。

3、添加设备添加BRAS/AC/胖AP设备：添加SSID或AP Group并分配给商户，如添加SSID：添加AP Group(胖AP不支持AP Group)：说明：AP Group的配置就是将位于不同位置的AP按区域分组，AP Group可包含一个或若干个AP，即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。

WAPI认证详细配置文档信锐网科技术有限公司2017年6月4日第1章项目背景1.1.认证协议概况当前全球无线局域网领域仅有的两个标准，分别是美国行业标准组织提出的IEEE802.11系列标准(俗称Wi-Fi，包括802.11a/b/g/n/ac等)，以及中国提出的WAPI标准。

WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准本方案已由国际标准化组织ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)正式批准发布，分配了用于WAPI协议的以太类型字段，这也是中国在该领域惟一获得批准的协议WAPI同时也是中国无线局域网强制性标准中的安全机制。

与WIFI的单向加密认证不同，WAPI双向均认证，从而保证传输的安全性。

WAPI安全系统采用公钥密码技术，鉴权服务器AS负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。

当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。

根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点APWAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理。

从而满足更多用户和更复杂的安全性要求1.2.项目背景虽然WAPI认证没有在全世界普及，但是在中国还是占有一席之地的，特别是在一些政府机关以及金融机构的办公网会见到其身影，本次项目采用的正是WAPI认证。

本次对接的WAPI服务器厂商是北京数字认证股份有限公司，该公司在全国各个行业都有着十分丰富的客户案例。

第2章配置细节2.1.网络拓扑本次因为是测试项目，故没有深入的与客户网络进行对接，客户只是简单的提供几个IP地址，供WAPI 认证服务器与我司设备能够网络可达。

信锐技术金融营业厅无线解决方案一、金融行业办公及营业网点无线建设需求分析金融业务需求：客户通过移动终端现场体验网上银行、手机银行等在线业务，及让客户经理对业务推介、业务展示、指导客户手机银行应用下载；为排队等候区客户提供无线上网服务，提高服务体验。

广告推广营销：金融营业厅每年会在广告营销方面投入大量的费用，相对与传统平面广告平台，WIFI平台指向性更好、针对性更强、客户粘度更高，如果能结合WIFI平台进行广告推广、营销，则可大大提高WIFI建设的回报收益。

利用WIFI平台的广告效应，可显著提高银行网点的营销能力，同时降低营销成本。

无线高速上网：部署WIFI的金融营业厅往往能够吸引更多的客户来光顾，提升客户的体验和满意度。

而在大部分金融营业厅都部署WIFI的情况下，用户体验则成为客户对比的重要考虑。

高速、稳定的上网既能提高客户的满意度，同时能提升银行网点的档次、形象。

高速的WIFI体验，让客户的业务体验倍增，提升了客户满意度,增强了客户忠诚度。

安全风险规避：进入金融营业厅的客户能访问互联网网页，发帖、发微博等等，营业厅网点本身无法对这些行为做出限制。

当客户中有人发布不良信息导致一些严重的安全事件或者政府事件时，公安机关和营业网点希望能追查信息发布来源，从而进行网络安全风险的规避。

简化集中管理：在金融营业厅进行无线部署和管理时，无线接入点数量庞大，布置地点多，距离远。

众多的无线WIFI热点配置、升级、维护需要统一化的集中管理，降低维护成本，提高整体的稳定性，减少故障率。

二、信锐技术金融行业无线网络解决方案无线安全设计：多SSID，员工、客户网络逻辑隔离：根据金融营业厅需要，根据用户的种类、应用的种类设置多个SSID，例如：客户和员工网络分别设置不同的SSID。

不同的SSID 采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。

另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的接入。

NAC对接锐捷做有线portal认证2016年8月锐捷对接Portal 服务器一、项目背景：目前客户网络已经搭建了一套锐捷的无线系统（包括控制器和AP ），现在客户想使用我们的控制器当Portal 服务器实现锐捷无线网络用户的微信认证；咱们目前最新版本的控制器做portal 服务器对接锐捷设备还在完善，可以采用有线认证的方式将底下的无线用户当作有线用户统一完成对接。

二、客户网络拓扑1、锐捷无线控制器数据转发模式为集中转发，AP 和锐捷控制器跨三层部署。

2、核心交换机上vlan2096网关为10.60.16.1/20，vlan4094网关为10.0.111.1/29且此网段能够访问互联网；Vlan2096:10.60.16.1/20Vlan4094:10.0.111.1/29无线用户vlan209610.60.16.0/20TrunkTrunk信锐锐捷三、测试部署网络拓扑说明1、因为锐捷无线控制器的数据转发模式为集中转发，所以我们可以将控制器串联在核心与锐捷无线控制器之间，端口属性均设置为trunk。

2、创建vlan4094，并配置正确的路由，dns，使控制器能够与外网正常通信。

3、在有线配置--有线认证--接口区域中启用区域1，并配置认证接口为eth1，eth2，vlanif4094，认证vlan为4094。

4、在认证授权--portal服务--服务器参数中启用内置portal服务，并在web认证策略中配置好微信认证的认证策略。

5、最后在有线配置--有线认证--认证策略中新增一个有线侧认证策略，适用范围就是无线用户所处的整个网段，仅仅对这个网段的用户做认证。

在认证类型要选好当前的网络环境，比如本案例是认证用户与认证接口跨越三层网络，终端使用dhcp自动获取IP。

整体配置过程都比较简单。

现场经过测试，这样锐捷的所有无线终端都可以正常通过我司控制器进行微信认证。

四、问题分析最后在测试过程当中出现一些问题也稍微分享一下。

锐捷无线网络身份认证方案一、面临挑战无线局域网络产业发展、技术革新及大量WiFi移动终端设备的出现，促使企业的工作方式向移动化转型，随之涌现出大量部署在移动终端上的企业应用，无线网络上承载了越来越多的关键应用。

这在提高企业生产效率的同时，也对无线网络的安全性提出了更高要求。

在大型连锁商业机构中，如联合办公、Shopping Mall、银行网点、多分支连锁门店，过去分布式无线网络架构互相协调能力差、用户难以做统一的身份认证及访问权限控制，所带来的管理和安全上的缺陷越来越明显。

而无线网络用户却期待在各种场景下，包括办公室、生产线、仓库、园区、联合办公空间、连锁商超、跨区域网点等中都能获得便捷的访问体验，实现SSO 单点登录及全网漫游。

面对以上问题，为向集中式无线控制管理模式转型、降低运营维护成本、加固无线网络的安全性、优化移动终端接入体验，多分支企业商业对实现总部及分支的无线网络统一认证的需求也变为刚性。

二、解决方案1. 锐捷无线网络身份认证解决方案概述宁盾锐捷无线网络身份认证方案是一个轻量级、中心化的无线Portal接入认证服务平台。

支持多分支统一接入，通过在数据中心部署一套宁盾一体化无线认证平台，结合锐捷无线设备，建立多分支统一认证中心。

总部集中式控制，分支个性化运营，总部至分支可无线漫游，让用户在任何节点、任何时间都可以获得同样便捷的信息接入和快速响应，有效提高业务的灵活性和竞争力。

另外可保证跨地域漫游用户与无线网内部用户的逻辑隔离，允许无线漫游访问的同时，有效提高业务的安全性。

它提供了健全的无线身份认证访问控制，防止未经授权用户的接入，而对合法接入的用户基于其身份做访问权限控制，实现所有类型无线用户集中化认证及管理。

用户认证成功后，由宁盾一体化无线认证平台将用户的访问权限下发到锐捷无线设备上，实现用户接入锐捷无线网络后只能访问指定资源，同时和上网行为管理设备联动，实现用户上网行为可实名审计，保障网络信息资源的安全。