下载文档原格式
蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展,越来越多的人随身携带者手机、平板、笔记本等移动终端。
人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈,不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。
商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网,也可以使顾客驻足停留吸引人气增加消费。
提供WIFI已经成为商家企业提升服务水平,提高品牌知名度的一种方式。
但是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不仅在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便。
更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。
因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。
二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题,商场、连锁酒店的无线接入认证解决方案需要满足以下需求:1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中,只需要填写自己的手机号码接收密码短信即可;2、商家企业可以对认证页面进行高度定制,页面支持多种设计语言,以实现对认证页面自由设计的需求;3、方便管理,能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理;4、可以进行广告推送,只要用户接入到无线网络中,除了能够在认证页面推送业务广告和促销活动信息外,同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息;5、部署方便,维护简单;商场及连锁酒店基本上都有现有的有线网络,在此基础上增加的无线网络,需要在不影响原有网络架构的前提下方便部署,同时对整体设备需要易操作易管理,维护简单。
无线认证解决方案篇一:免费Portal(无线接入认证)系统解决方案免费Portal无线接入认证系统解决方案natshell基于多年的产品运营经验及对无线网络运营需求的深刻理解,针对中低端用户推出一套免费的“Web Portal无线接入认证系统”,从打造可管理、可运营的无线网络角度出发,致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络,使无线网络的部署轻松、可靠、高效。
需求分析在众多的公共场所,如:酒店、咖啡厅、学校、车站、商场等人流众多的地方,商家为了留住客户、解决客户在购物消费和等待时的上网问题,往往配置无线接入点提供给广大客户上网使用,而这种传统的输入密码方式不仅给管理带来了极大的不便,同时也具有一定的不安全性。
为了实现方便易用、安全稳定的无线接入认证,需要满足以下需求:1、方便部署、易于维护;使用此种解决方案的客户,无线认证规模都不是很大,大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。
而我们提供的免费Portal系统方案,用户可以很方便的进行安装部署,中文管理界面,易于维护。
2、能够在系统中建立上网账户,对用户进行管理;本系统采用Radius认证的方式,支持标准的Radius协议,用户可以自行选择Radius系统或者和现有的Radius系统对接。
免费版Portal系统集成FreeRadius,能够方便的建立用户上网账户,对用户的上网时长、上传下载等进行有效管理。
3、可以设置认证界面,推送相关信息和广告内容;认证页面高度定制,可以随意的设置满足自己需求的认证页面,目前支持JAVA、PHP环境。
方案拓扑方案中所需要的设备主要包括:Portal服务器、胖AP。
Portal服务器:natshell免费版Portal系统,WINDOWS环境,安装在一台WIN系统电脑上即可;胖AP:natshell胖AP产品分为室内型吸顶式AP和室外型壁挂式AP,均为natshell自主开发的AP固件,集成AP、AC及路由等功能,与natshell免费版Portal系统完美对接。
NAC与城市热点计费系统对接说明2016年5月项目背景客户已经部署了一套华三的无线设备(包括控制器和AP)与一套TP-LINK的企业级瘦AP 架构的无线,目前需要做portal认证并计费(账号认证),单独购买我司控制器做portal服务器用于无线用户的认证并且后期也会同时,进行第三期的无线招标。
本次主要做技术认可,便于后期招标的进行。
一、部署网络拓扑1、在测试TPlink无线AP,采用我司有线认证达到客户需求,测试一直无法弹出portal页面,一直显示重定向次数过多,错误截图如下:原因是(1)有线认证的web认证策略配置有问题导致,(2)全局排除地址中没有排除本控制器的IP (3)软件包要采用4月18日以后的软件包,如下所示:采用WAC_3.2(20160418).ssu以后的软件包才支持有线认证的计费功能。
2、测试我司无线和城市热点计费系统对接,没有问题。
二、NAC的配置截图和说明1、基础网络配置设备以网桥的模式串在测试网络里,按照拓扑配置认证服务器Raduis:192.168.0.123(城市热点的计费系统都是标准的Raduis服务器)。
除portal服务器地址外其他参数默认即可,内置radius服务器的密钥固定为sundray2、配置web认证策略这里需要注意的是,虽然是以本控制器做为portal服务器,并且采用有线认证实现portal认证计费。
但是配置web认证策略的时候,策略类型要选择:第三方设备portal 对接策略,Sundray NAC协议。
同时,复制对接URL,如果点击复制按钮没有作用,可以直接crtl +C 复制(特别是后面的url_id号)3、portal服务器添加和城市热点计费服务器添加4、放通portal服务器地址5、配置有线认证策略(1)选取认证接口区域(2)配置有线认证选取对接第三方portal服务器认证,并且选取刚才建立的portal服务器选取账号认证中的认证服务器和计费服务器,都是刚才对接的城市热点计费系统地址(3)如果选取采用本控制器作为portal服务器,你就会发现账号认证那里没有了计费服务器的选择。
NAC对接锐捷做有线portal认证2016年8月锐捷对接Portal 服务器一、项目背景:目前客户网络已经搭建了一套锐捷的无线系统(包括控制器和AP ),现在客户想使用我们的控制器当Portal 服务器实现锐捷无线网络用户的微信认证;咱们目前最新版本的控制器做portal 服务器对接锐捷设备还在完善,可以采用有线认证的方式将底下的无线用户当作有线用户统一完成对接。
二、客户网络拓扑1、锐捷无线控制器数据转发模式为集中转发,AP 和锐捷控制器跨三层部署。
2、核心交换机上vlan2096网关为10.60.16.1/20,vlan4094网关为10.0.111.1/29且此网段能够访问互联网;Vlan2096:10.60.16.1/20Vlan4094:10.0.111.1/29无线用户vlan209610.60.16.0/20TrunkTrunk信锐锐捷三、测试部署网络拓扑说明1、因为锐捷无线控制器的数据转发模式为集中转发,所以我们可以将控制器串联在核心与锐捷无线控制器之间,端口属性均设置为trunk。
2、创建vlan4094,并配置正确的路由,dns,使控制器能够与外网正常通信。
3、在有线配置--有线认证--接口区域中启用区域1,并配置认证接口为eth1,eth2,vlanif4094,认证vlan为4094。
4、在认证授权--portal服务--服务器参数中启用内置portal服务,并在web认证策略中配置好微信认证的认证策略。
5、最后在有线配置--有线认证--认证策略中新增一个有线侧认证策略,适用范围就是无线用户所处的整个网段,仅仅对这个网段的用户做认证。
在认证类型要选好当前的网络环境,比如本案例是认证用户与认证接口跨越三层网络,终端使用dhcp自动获取IP。
整体配置过程都比较简单。
现场经过测试,这样锐捷的所有无线终端都可以正常通过我司控制器进行微信认证。
四、问题分析最后在测试过程当中出现一些问题也稍微分享一下。
无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。
当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。
反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal认证实现Portal认证支持NAC本地认证(内置本地服务器,最多支持65000个本地账号),也支持第三方的认证服务器:RADIUS服务器、LDAP服务器、Windows Active Directory。
三层Portal认证的流程如下:1、Portal用户通过HTTP协议发起认证请求。
HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。
Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
2、Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。
若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
5、接入设备向Portal服务器发送认证应答报文。
6、Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
多品牌设备全网统一无线认证解决方案1、专业级认证服务器,对接友商设备实现统一认证传统厂商设备认证方式单一,需要增加认证方式或扩容其他品牌设备时无法实现认证方式的统一。
现在,即使部署了其他品牌的AC、AP设备,也可以通过信锐技术无线控制器实现统一认证,并且仍然支持多种认证方式可选。
2、全面兼容各大友商,保护原有投资信锐无线控制器支持Portal服务器、RADIUS服务器,可以通过Portal2.0/RADIUS/有线等方式对接思科、ARUBA、RUCUKS、华为、华三、锐捷等厂商实现微信、短信、APP、二维码、802.1X、移动协同OA等认证方式。
3、多种无线认证方式,总有一种是你想要的支持Portal认证协议、RADIUS认证协议,集微信连Wi-Fi、短信认证、二维码审核认证、802.1X认证、证书认证、APP下载认证、临时访客认证、第三方数据库认证、移动协同OA等多种无线认证方式于一体。
4、微信连Wi-Fi,新一代Wi-Fi微信认证从公众号关注开始Wi-Fi微信认证首次将Wi-Fi认证授权与微信关注结合到一起,带来了无线认证方式的革新。
信锐技术新一代微信认证完美支持腾讯微信连Wi-Fi,有效简化了终端用户上网流程;极大提升了终端用户上网体验,增加微信公众号粉丝,给商家带来更多的商业价值。
5、手机短信认证,最经典的认证方式 没有之一信锐技术无线控制器内置短信认证网关,无需额外搭建服务器即可实现动态验证码认证。
用户通过输入手机号获取上网验证码,既减少了蹭网、有效保证用户无线上网安全,同时也为后续精准营销提供了第一手有效资料。
6、APP下载认证,应用分发市场外的又一大APP推广利器APP认证是指通过下载APP来获取上网授权,信锐无线支持认证前下载指定APP,安装并激活之后才可连接外网。
同时,下载APP使用的是无线流量,非运营商数据流量,无须担心因APP安装包大耗费用户数据流量。
7、二维码审核认证,扫描即可上网,安全简便用户连接无线后自动弹出二维码页面,指定审核人通过授权终端扫描访客二维码后,访客即可上网。
统一身份认证与终端准入解决方案目录一、内容综述 (2)1.1 背景介绍 (3)1.2 需求分析 (3)二、统一身份认证系统设计 (5)2.1 系统架构 (6)2.2 认证协议选择 (7)2.3 用户管理机制 (8)2.4 权限管理策略 (10)三、终端准入控制策略 (11)3.1 设备安全策略 (13)3.2 应用程序白名单 (14)3.3 用户行为审计 (15)3.4 端口和协议限制 (16)四、解决方案实施步骤 (17)4.1 项目启动与规划 (18)4.2 技术选型与配置 (19)4.3 系统集成与测试 (21)4.4 培训与推广 (22)五、方案优势与价值 (23)5.1 易用性 (24)5.2 安全性 (25)5.3 可扩展性 (27)六、案例分析 (28)七、技术支持与服务 (29)八、总结与展望 (30)一、内容综述随着信息技术的快速发展,网络安全问题日益突出,身份认证和终端准入成为网络安全领域的重要一环。
统一身份认证与终端准入解决方案旨在提供一种高效、安全的方式来管理用户身份和终端设备的访问权限,确保网络资源的合法使用,防止未经授权的访问和潜在的安全风险。
身份认证:提供强大的身份认证机制,包括用户名密码、动态令牌、多因素认证等方式,确保用户身份的真实性和合法性。
终端安全:对终端设备进行全面检测,包括操作系统、应用程序、安全状态等,确保终端设备符合安全标准,防止恶意软件、漏洞等带来的安全风险。
访问控制:根据用户身份和终端设备的安全状态,动态分配访问权限,控制对网络资源的访问,防止未经授权的访问和内部威胁。
风险管理:通过实时监测和数据分析,识别潜在的安全风险,及时采取应对措施,降低安全风险对网络和业务的影响。
兼容性支持:支持多种操作系统、设备和网络环境,确保解决方案的广泛适用性。
通过实施本解决方案,可以有效提高网络安全性,保护网络资源免受未经授权的访问和攻击,提升企业的业务效率和竞争力。
信锐无线Portal统一运营解决方案
一、市场背景
2015年,工信部公布移动互联网用户总数规模达9.05亿。
移动互联网的快速发展,无线需求旺盛,数据显示,WiFi上网接入占比持续扩大,接近七成,成为排名第一的上网方式。
目前主流的国内企业级无线厂商有华为、华三、锐捷、信锐,国外厂商思科、Aruba、Ruckus。
还有一些不知名厂商。
无线网络易扩展性的特点,使多期模式建设项目中存在多家厂商的无线网络设备。
技术实现方式的差异导致,部署无线后很难实现统一的认证接入、用户管理、数据采集等。
信锐无线控制器内置Portal服务器,可以实现所有厂商无线的统一认证,包括支持Portal2.0协议以及不支持Portal2.0协议,有AC的廋AP组网或者没有AC的胖AP。
二、解决方案
2.1整体解决方案
新建的无线网络与一期已上线的无线网络统一整合,部署信锐无线Portal统一运营平台,
对整个网络的用户上网进行统一认证,达到各网络切换无需重新认证、简单管理的效果。
信锐Portal运营平台还提供丰富的无线增值功能,包括多种认证方式、丰富的认证前广告推送、精准营销推送(可选定制),大数据分析(可选定制)等增值功能,为运营提供更多的利润点和决策支持。
信锐无线Portal统一运营解决方案网络架构如下图所示:
网络架构优势:信锐技术提供双机备份机制,通过部署2台控制器,实现整个无线网络的双机热备冗余,当主AC宕机后,备AC立即接替工作,减少单个设备故障带来的客户业务中断问题,提升了客户业务的可靠性,增加网络可靠性,避免单点故障,让无线网络更稳定。
2.2接入规则
Portal认证,是一种强制门户,强制用户在web页面上输入用户名密码校验后上网的一种认证形式。
Portal认证的核心为其使用的Portal协议,现今,大多数运营商通过Portal2.0协议与其Radius服务器对接,实现认证、计费的功能。
新建的无线网络与一期已上线的无线网络需统一SSID(无线网络名称),统一认证方式(web认证)。
2.3 Portal2.0对接
2.3.1技术实现
信锐AC Portal服务器采取旁路部署,信锐 AC做portal服务器统一认证,提供给支持CMCC portal2.0的客户端,比如锐捷、华为、H3C以及Aruba、cisco对接,将所有的用户认证工作交给portal服务器,让其他的控制器(客户端)的无线用户在接入上网认证时,访问信锐AC上的认证页面。
认证页面上可选认证方式:微信连WIFI认证、短信认证、账号认证,从而实现各个厂商的统一认证。
对接原理:信锐无线Portal统一运营平台使用Portal2.0协议,其本质就是为了实现统一认证效果。
统一认证实现原理是通过Portal2.0协议实现,其规定了终端与服务器之间交互信息的格式。
详细原理参考:中国移动WLAN业务portal协议规范
2.3.2对接效果
✧效果一(原生态Portal2.0):在跨厂商的AP连接时需要二次认证。
由于不同厂商的Portal2.0协议稍有不同,通过Portal2.0协议本身对接是无法实现真正的认证漫游的,Portal客户端每次接收到用户的连接请求时都会将认证请求转发到Portal服务端,因此最终在跨厂商的AP连接时需要二次认证。
这类厂商典型代表:锐捷、思科、ARUBA
✧效果二(原生态Portal2.0+MAC地址免认证):在跨厂商的AP连接时无需二次认证
为了进一步提高用户的上网体验,有些厂商在Portal2.0协议的基础上增加了MAC地址免认证功能,用户首次在Portal服务器上认证通过后,可以将MAC地址同步到其他Portal客户端(AC),厂商的AC接收记录用户的MAC地址并实现免认证,因此最终在跨厂商的AP连接时无需二次认证。
这类厂商典型代表:华为、华三、Ruckus
2.3.3配置展示
信锐无线portal统一运营平台目前支持四种服务器协议
2.4非Portal2.0对接
2.4.1局域网内技术实现:
对于不支持portal2.0的客户端,在网络中部署信锐无线控制器,原WLAN网络采用开放式OPEN认证,信锐AC部署在出口网络。
当用户预想上网时,信锐AC截取用户的上网流量并重定向认证页面给用户,即接受友商AP 的上网请求进行统一认证。
用户首次认证(微信、短信、账号)成功后,AC即通知用户上线,并记录该用户MAC地址,最终实现一次认证、永久有效的无感知认证。
信锐AC对于其他厂商的AP只起到统一认证作用,认证数据经过信锐AC(认证服务器),但AP 仍然由原厂商的AC或者胖AP独立工作。
应注意,非信锐APWiFi覆盖区域.AC只能进行增加微信关注量,而无法进行微信推广,O2O增值营销功能。
有AC,但不支持Portal2.0协议没有AC,胖AP组网
2.4.2跨互联网技术实现:
上述讲述的是友商AP和信锐AC是同处于一个局域网内,那如果是跨互联网有如何实现远程的有线认证呢?
解决方案:我们可以通过IPSec VPN将友商的上网流量转发到总部信锐中心AC,实现有线认证,最终实现统一认证。
注意:总部必须额外部署一台IPSec网关,虽然信锐无线控制器也支持IPSec VPN功能,但是如果胖AP的IPSec直接与信锐无线控制器建立IPSec VPN隧道将无法实现有线认证。
2.4.3对接效果
实现一次认证、永久有效的无感知认证。
需要说明的是,此种方式的实现需要用户的上网流量经过信锐AC,因此对于AC设备的性能要求将提高。
2.4.4配置展示
2.5认证方式介绍
通过Portal2.0和非Portal2.0(有线侧)对接都可以实现微信认证、短信认证、账号认证该三种方式。
具体介绍如下:
2.5.1微信连WiFi
微信连Wi-Fi是解决传统商务Wi-Fi连接授权认证的一个方案,代替传统web认证需要用户输入用户名、密码等信息的过程,并在微信界面给予有安全性认证的Wi-Fi服务提供商一个信息展示广告位的入口,以充实其商业化价值。
微信连WIFI一键上网具有便捷、安全、营销能力强的优势功能
便捷--无需部署二维码,解决微信认证需要部署二维码的痛点,微信连wifi一键上网只需终端连上无线网络,点击portal页面的“微信连Wi-Fi上网”即可。
安全--只有通过腾讯认证的厂商提供微信连wifi功能才具有“正在使用扫一扫Wi-Fi”的标识,对于非法钓鱼WiFi以及其他WiFi,均不会显示该标识,可以有效的预防钓鱼WiFi,保
证无线网络的安全性。
采用微信连Wi-Fi,如果是用QQ、邮箱注册的微信号,在认证过程中,腾讯微信会检测是否绑定了手机号码(要求绑定手机号码),若用户未绑定手机号码,系统会提示用户需要绑定手机号码,否则认证不通过(这也是公安部对腾讯的要求),当用户认证上网后,我们会记录用户的微信openID、手机号码、手机MAC地址、IP地址、接入时间、访问时间等,满足审计要求。
营销能力强--信锐微信连Wi-Fi可获取用户微信号openID,实现在线广告推送、终端出现、首次接入、主动推送等微信认证的营销推送功能。
微信连Wi-Fi能够获取到用户的手机号码,若客户需要获取通
过微信连Wi-Fi接入无线终端的手机号码需要配置微信连Wi-Fi无
线网络的配置获取手机号码里的8个秘钥,并勾选获取手机号码,
当用户微信连WiFi认证通过后即可访客数据库查看到对应终端手
机号码(获取手机号码解密密钥需要通过企业营业执照自行向腾讯
申请或通过信锐技术向腾讯申请)。
2.5.2短信认证
短信认证是一种有增值意义的、直观快捷认证方式,可以帮助商家收集用户的手机号码,进行短信营销。
用户连接WiFi后,在短信认证界面里输入自己的手机号码,点击获取验证码,验证码会通过手机短信的形式发送到用户手机上,用户查看后并输入收到的短信验证码,点击登录即可上网。
信锐的短信认证相比于其他厂商的短信认证,具有一次认证,永久有效的特点,即只需首次接入时获取验证码,后续上网直接点击登录即可接入互联网,对于部署无线的客户来说,减少了短信支出费用;对于用户来说,提高了上网体验。
2.5.3账号认证
用户通过HTTP访问其他外网,被强制访问Portal认证页面输入用
户名和密码进行认证,只有认证通过后才可以使用互联网资源。
信锐
无线支持Portal认证页面自定义,根据自己的需求来制定Portal认
证页面,包括但不限于页面标题、logo、背景颜色、文字描述、广告图片等信息。
