蓝海卓越WE认证(WEBPORTAL)原理及组网方式

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

蓝海AP与蓝海免费版Portal配置目录一、环境说明 (2)二、连接拓扑图 (3)三、AP配置 (3)3.1连接登录AP (3)3.1.1获取地址 (3)3.1.2登录AP (4)3.2配置IP (5)3.2.1修改地址 (5)3.2.2配置默认路由 (7)3.3.热点配置 (8)3.3.1热点对接 (8)3.3.2热点访问规则 (9)3.3.3热点DHCP (11)3.3.4热点RADIUS认证参数配置 (12)3.3.5热点高级参数设置 (14)四、PORTAL配置 (15)4.1 FreePortal PORTA的安装 (15)4.2修改地址 (15)4.3登录 (16)4.4配置对接参数 (17)4.5配置NAS记录 (18)4.6添加认证用户 (20)五、用户测试 (21)5.1用户终端连接AP (22)5.2终端登录 (25)5.3终端认证成功 (27)5.4在AP中查看用户在线 (29)注：本案例中蓝海AP采用Coova免费版AP固件。

一、环境说明准备一台电脑安装蓝海免费版的portal 软件（Windows环境下直接安装即可），如何安装详见免费portal软件安装说明。

蓝海胖AP一台，一交换机，交换机与外部网络互通。

一无线终端设备，用于连接无线测试认证和配置胖AP。

二、连接拓扑图三、AP配置3.1连接登录AP3.1.1获取地址将无线网卡设置成自动获取IP地址，连接到NatShell的网络中。

连接后查看网关地址如下图所示：3.1.2登录AP打开WEB浏览器，在地址栏中输入http://10.1.0.1并弹出登录界面输入默认用户名admin/默认密码natshell登录进去。

3.2配置IP3.2.1修改地址修改AP的上行口地址为192.168.100.30/24 如下图设置：WAN口连接方式选择为静态IP 方式DNS服务器地址输入你当地运营商提供的地址最后点击“保存”按钮3.2.2配置默认路由添加默认路由目标网络0.0.0.0 子网掩码为0.0.0.0网关地址这里为AP的WAN口的网关地址这里输入192.168.100.1 最后点击“保存”按钮3.3.热点配置3.3.1热点对接如下图所示：热点类型NatShell UAM 热点模式仅无线LAN访问热点拒绝自动配置禁用UAM主机名为portal服务器的IP地址这里应填入192.168.100.163UAM密钥为portal服务器与AP的WAN口通信的认证密码，这两设备中的该值(UAM共享密钥)需一致这里为natshellUAM标识该值为识别的符号，无实际意义最后点击“保存”按钮3.3.2热点访问规则进入“热点”—“访问列表”页面，如下图：这里主要添加Portal服务器IP地址这里为192.168.100.163Portal服务器参数设置中的“允许客户端IP地址”即热点的服务端地址10.1.0.1 终端用户的DNS服务器地址8.8.8.8 61.139.2.69最后点击该页面下方的“保存”按钮3.3.3热点DHCP进入“热点”—“DHCP”页面，如下图：热点DHCP配置中为系统默认的AP的无线服务端地址和网段默认10.1.0.0/24的网段DNS栏中可填入你当地的DNS可选高级项中的建议跟上面的网段配置一样其他栏目中的参数默认即可。

WebPortal无线接入认证解决方案12020年4月19日蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (3)4.1 方案拓扑图 (4)4.2 方案特色说明 (5)五、产品介绍 (7)5.1 蓝海卓越室外型无线AP NS712-POE (7)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11)5.3 蓝海卓越Portal服务器产品 (14)六、典型客户案例 (16)6.1 合肥某商场 (16)6.2 XX市建设银行 (19)6.3 XX省图书馆 (21)6.4 郑州某宽带运营商 (23)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网，也能够使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

可是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不但在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：。

蓝海卓越商场无线网络商业运营解决方案一、需求背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

在商场内客户对无线上网的需求也越来越强烈，进入商场内除了购物、餐饮、休闲之外，网络也成了不可缺少的一部份。

客人带着ipad平板电脑，智能手机、笔记本电脑，在购物闲暇时也可以坐在休息区或者餐饮区上网看新闻，要求随时随地上网浏览，商场内无线覆盖并提供WIFI上网已经成为大型商业场所最基本的服务功能之一，因此部署一套可运营、可管理、可靠高效的WLAN已经成为当务之急。

二、方案概述蓝海卓越基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对商场推出一套“商用无线解决方案”，从打造可管理、可运营的无线网络角度出发，致力于为商场建设一个高效可靠、运营成本低的商用无线网络，使商场内无线网络部署轻松、可靠、高效。

该方案拥有极高的稳定性和安全性，适合7×24不间断应用和大量客户端接入应用；方案安装及实施简单，管理方便，可以有效的提升了商场的附加值，间接的提高了商场内购物者的流动量和购物热情，在经济效益方面也会产生明显的提升。

科技开创蓝海专业成就卓越 三、方案拓扑图：系统由手机、移动终端（笔记本、IPAD、平板电脑、智能手机）、AP、AC控制器、无线Portal认证服务器、短信网关组成，在整体方案中，它们充当角色分别如下：1)移动终端：属于访客使用，实现其接入商场无线；2)无线AP：无线接入点，实现商场无线网络的信号覆盖；3)AC控制器：集中管理控制不同位置的AP；4)Portal服务器：负责用户身份认证的生成、验证、访问控制以及用户管理，并支持多AC接入；5)短信网关：可复用用户现有的短信通道，用于发送短信密码；四、解决方案应用说明1.无线上网科技开创蓝海专业成就卓越 满足用户WIFI无线高速上网的需求，吸引越来越多的顾客前来逛街、逗留。

无论是商户或者厂家进行日常的销售信息互动及货品信息查询，抑或商场向会员顾客或者给来逛商场的顾客提供无线上网服务，都极大地顺应了工作与休闲的双重需求。

req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

蓝海卓越有线无线一体化认证解决方案目前在很多场合（比如出租屋、企业园区、校园网、小区宽带、商场等环境）需要使用到有线无线一体化认证的方案，蓝海卓越结合自身在有线拨号认证计费以及无线portal认证基础上，推出蓝海卓越自有的有线无线一体化解决方案。

（欢迎私信了解详情）客户需求：1、针对有线网络用户采用PPPOE拨号认证，并可以实现包月/年等计费管理功能；2、针对无线用户可以采用portal认证，需要用户手机短信认证上网，可以根据实际情况实施免费上网和付费上网；3、电脑拨号账户和无线认证账户不能互相使用；4、通过认证计费管理系统可以对所有账户进行管理；5、可以对portal认证的用户进行认证页面的定制，以便推送通知/公告或广告。

网络拓扑：方案说明：1、通过蓝海卓越BRAS网关和认证计费系统实现对有线网络电脑主机的拨号认证上网功能，同时绑定MAC；2、通过蓝海卓越AC设备对所有的AP进行集中管理，蓝海卓越AC同蓝海卓越统一无线认证管理系统（Portal）平台对接，实现对无线终端用户的portal认证上网功能，并且绑定MAC；3、无线portal认证页面可以进行随意修改，可以实现手机终端自注册，自主选择套餐并支付宝付费。

4、AP自动发现AC，并由AC进行统一管理，下发参数。

方案特点：1、有线无线在同一项目中混合部署，节约成本，同一台交换机上即可接有线电脑，也可接无线AP。

2、有线和无线混合接入，但是采用不同的认证方式。

有线用户可以采用路由器或电脑拨号上网，无线用户手机或平板、笔记本采用WEB PORTAL认证方式，符合用户的使用习惯和实际使用场景。

3、有线和无线可以支持完全不同和策略，有线收费、无线免费，或者部分无线收费，部分无线免费，可以根据运营情况灵活调。

4、收费可以按月、年、天、小时、流量等不同策略设定套餐，所有的套餐均由管理员自定义。

5、无线免费上网，支持短信注册认证、帐号密码认证、微信免费上网、一键登录免费上网等多种主流的免费上网方式。

蓝海卓越无线网络WebPortal认证设备助力WLAN业务推新一到用餐高峰期，店里人满为患，服务压力倍增；虽然店里也提供了免费WIFI 能够使顾客驻足等待，降低顾客等待情绪，但是由于网络无法管理，前来消费的顾客总是反应无法接入网速慢等问题；本想提供WIFI来减轻店铺高峰时期的服务压力，可现在却一团糟。

是否有一种方便简单的WIFI管理系统，既能方面的提供给顾客WIFI，又能降低高峰期的服务压力？ ------- 某快餐店经营者随着酒店行业市场的竞争日益激烈，每个酒店企业都在考虑除了酒店自身硬件的提高以外，还能如何提高酒店入住率，又如何为顾客及会员提供更好更优的服务；随着80、90后渐渐成为主要消费群体，之前的舒适客房环境和配套餐饮服务已经不能够满足他们，我需要如何做才能在提高服务的同时又能留住顾客？------- 某连锁酒店企业主随着智能机、平板等移动终端的增多，宽带运营商已不满足在小区、写字楼中开展宽带业务，公司计划在繁华地段、街区甚至校园里开展无线宽带业务，但是对具体的无线接入认证方式以及合适的运营模式一直没有把握，不知道市场是是否有可行的可盈利的无线运营方案？------- 某宽带运营商快餐店经营者希望能够方便的管理无线网络，使免费WIFI系统能够帮助经营者吸引客户并提高销售额；连锁酒店企业主希望能够找到一种方式更容易吸引80、90后消费人群，同时通过更贴心的服务措施能够在竞争激烈的酒店行业中稳步发展；传统的宽带运营商也希望能够借助移动终端的广大人群能够在无线宽带市场分得一杯羹，但是苦于没有合适的运营模式和盈利模式。

蓝海卓越凭借多年对宽带接入认证市场的发掘，敏锐的发掘无线宽带接入认证市场的强烈而又复杂的需求，目前已推出蓝海卓越Portal系统产品和无线宽带运营解决方案，完全满足现有市场上那些计划以无线接入认证为基础来开展运营业务或提升自身服务价值的客户需求。

下面我们来详细阐述蓝海卓越Portal 系统解决方案是如何满足不同客户群体的各种需求的。

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

蓝海卓越计费如何使用VPN建议多项目认证蓝海卓越的计费平台可与海蜘蛛的网关PPPOE进行无缝对接，是一种经济实用的计费解决方案，适合小型运营商使用。

但在实际使用过程中，由于计费和海蜘蛛进行RADIUS对接时，两端均需要配置IP地址，才能正常使用，如果是在一个项目使用，那么蓝海卓越的计费和海蜘蛛可以通过配置局域网IP进行互通，但是如果想实现一个蓝海卓越的计费管理多台海蜘蛛设备，那就需要把蓝海卓越的计费放置在公网上，配置公网IP，同时每台海蜘蛛均需要配置固定IP的光纤线路，这样就会导致成本增加。

目前在实际使用过程中，很多海蜘蛛路由器设备是汇聚了多条ADSL线路进行接入后再给用户提供网络服务，此种方式可以有效的降低带宽使用费用。

但这样就给一个计费管理多台海蜘蛛造成了麻烦。

因为ADSL每次拨号后IP会变，那么我们配置了对接后，只要IP一变，之前的配置就不生效了。

鉴于此，蓝海卓越工程师提出了以下的解决方案：第一步，将蓝海卓越的计费放置于一个项目A的内部，并于此项目建立好认证对接第二步，在项目A的海蜘蛛上配置动态域名如，使我们可以随时通过动态域名访问。

第三步，在项目A的海蜘蛛上建立PPTP VPN服务，详细请参考下文，并且建立如下用户：用户名：aaa，指定IP地址为10.10.10.11用户名：bbb，指定IP地址为10.10.10.12用户名：ccc，指定IP地址为10.10.10.13第四步，在项目B、C、D几个项目的海蜘蛛上建立PPTP VPN客户端，使用刚才建立的帐号进行PPTP连接，PPTP服务器地址就填写项目A设备的动态域名，拨上号后，会分别获得如上指定的地址。

第五步，项目A的内网地址配置为192.168.0.1，计费接入项目A的内网，并且配置IP 地址为192.168.0.250，网关地址配置为：192.168.0.1，这样计费就可以与VPN用户通讯。

第六步，在计费上配置NAS认证，将上述几个地址做为NAS设备的地址添加进RADIUS 管理，同时在项目B、C、D的RADIUS认证地址指向：192.168.0.250，这样就可以进行对接了。

req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。