网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 功能配置 认证配置 二维码审核认证配置指导手册
{{sendMatomoQuery("网络控制器NAC","二维码审核认证配置指导手册")}}

二维码审核认证配置指导手册

更新时间:2023-12-07

1原理介绍

1.1内部员工审核访客

访客接入二维码认证的无线网络,NAC将终端上网请求重定向至认证页面首先需要输入访客的姓名、手机号等基本身份信息,然后生成一个二维码,内部员工使用具有审核权限的终端扫描访客终端的二维码,并且将访客的信息上传至NAC作为二维码访客账号记录,届时访客就已经通过认证。

1.2云助手APP审核访客

访客接入二维码认证的无线网络,NAC将终端的上网请求重定向至认证页面,访客需要输入姓名、手机号等基本身份信息,点击下一步,然后信锐云助手APP就会收到二维码访客的审核通知。云助手管理员进行审批通过,将访客的基本信息上传至NAC,此时访客即通过认证可以上网。

优势:管理员所在地点不受限制,可通过手机流量打开云助手APP审核。

2内部员工审核访客基本配置

二维码审核的认证方式需要创建两个SSID,一个是内部员工“sundray”(审核人员)作为审核者,一个是访客“Guest”。

2.1审核人配置

审核人员的认证方式不能为访客认证,配置正确的认证后角色,这里配置一个简单的PSK个人密码认证方式。

  1. 【接入点配置】-【无线网络】点击新增一个名称为sundray的无线信号,如下图所示。

图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成

  1. 配置无线网络的名称、接入点位置、数据转发模式等信息,如下图所示。

图形用户界面, 应用程序

描述已自动生成

  1. 认证类型为:WPA-PSK/WPA2-PSK(个人),设置接入密钥,如下图所示。

图形用户界面, 应用程序

描述已自动生成

  1. VLAN设置里配置给终端分配IP地址的vlan id(vlan id根据实际情况填写),如下图所示。

图形用户界面, 应用程序

描述已自动生成

  1. 如果所有的内部员工都作为审核人员,在权限设定里未匹配规则的终端设置“内部员工”,点击提交。

图形用户界面, 应用程序

描述已自动生成

2.2访客(被审核人)配置

  1. 【接入点配置】-【无线网络】新增一个无线信号名称为Guest。

图形用户界面, 应用程序

描述已自动生成

  1. 认证类型:开放式+web认证,认证方式为访客认证,认证前角色:选择默认SecureRole角色,或者也可以点击帮我创建认证前角色(自动创建角色之后系统会自动将这个角色设置为只允许DNS),默认勾选放通微信流量。

图形用户界面, 应用程序, Teams

描述已自动生成

  1. 配置无线网络的访客认证方式,选择添加。

图形用户界面, 应用程序

描述已自动生成

勾选【二维码认证】,选择【审核权限】,新增审核人、可分配角色、可分配上网时长等信息。

注意:这里审核人角色就是如sundray无线信号的所配置的角色

图形用户界面, 应用程序, Teams

描述已自动生成

选择【认证附加信息】,配置访客需要填写的内容,可自定义自己想要收集的信息字段

图形用户界面, 应用程序

描述已自动生成

配置完成后,选择刚才新增的二维码访访客认证的策略

图形用户界面, 应用程序, Teams

描述已自动生成

  1. 配置无线网络的VLAN设置,填写给无线终端分配IP地址的vlan id,这里示例填写1,然后点击提交即可。

图形用户界面, 应用程序

描述已自动生成

2.3指定终端审核访客

  1. 基于目录3.1的配置,在配置内部员工无线网络的权限设定时,可以添加条件规则根据终端的mac地址等属性分配认证后角色,即给指定的终端分配内部员工的角色(具有审核访客的权限),如下图所示。

图形用户界面, 应用程序

描述已自动生成

图形用户界面, 应用程序

描述已自动生成

  1. 配置二维码认证方式的审核权限,将审核人的角色选择为内部员工即可,如图所示。

图形用户界面, 应用程序, Teams

描述已自动生成

3云助手APP审核访客基本配置

云助手APP审核不需要配置审核人的无线网络,因为是通过云助手APP来审核的,只需要配置访客的二维码审核认证的无线网络即可。

3.1配置二维码审核认证的无线网络

  1. 访客认证需要选择二维码认证方式,在【认证配置】-【Web认证】-【访客认证】新增/修改二维码认证方式,配置审核权限和附加选项。(此处审核人需要选择管理员账号)并勾选有审核权限的管理员账号。

图形用户界面, 应用程序

描述已自动生成

图形用户界面, 文本, 应用程序

描述已自动生成

  1. 接下来是新增二维码审核的无线网络,配置可参照第3章中3.2节的步骤2、3、4、5

3.2登陆信锐云助手账号

  1. 确保控制器能ping通过外网,在【系统管理】-【信锐云】输入信锐云账号和密码。

图形用户界面

描述已自动生成

  1. 【系统管理】-【信锐云】通知开关确保已勾选二维码访客审核通知,在通知策略配置中确保“二维码访客审核通知”事件类型的云管家管理已选择目前控制器登录的账号(默认是选择全部管理员)。

图形用户界面, 应用程序, Teams

描述已自动生成

4认证效果

4.1内部员工审核访客

  1. 内部员工连接sundray无线信号获取具有审核访客的权限。

Screenshot_2019-05-24-18-29-04-962_com.android.se

  1. 访客连接guest无线信号,终端弹出认证页面要求访客输入基本信息,点击提交后生成二维码。

A8DFF9A979AC77956C4FC4FE338C611F2004BF89AB8C6EA78A638701F19D1C495D7ED6D17F73C208308336DA05BF513AIMG_256

  1. 内部员工打开微信使用扫一扫功能扫描访客手机上的二维码进行审核。

Screenshot_2019-05-24-18-14-48-027_com.tencent.mmScreenshot_2019-05-24-18-15-11-023_com.tencent.mmScreenshot_2019-05-24-18-15-21-301_com.tencent.mm

4.2云助手APP审核访客

访客连接guest无线网络,终端弹出认证界面输入访客姓名、手机号等基本信息点击下一步,效果图如5.1中的第2步,然后信锐云助手APP就会收到二维码访客的审核通知,具体认证流程如下图所示。

Screenshot_2019-05-24-18-18-05-750_com.sundray.clScreenshot_2019-05-24-18-19-08-493_com.sundray.clScreenshot_2019-05-24-18-15-21-301_com.tencent.mm

5附加配置

如下图所示,在【认证配置】-【访客账号】二维码认证中查看访客认证信息

图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成

6注意事项

  1. 无线网络为二维码审核认证方式,员工的认证方式(授权终端连接的无线网络)不能为“WEB+开放式”认证中访客认证其中的一种(访客不能审核访客),否则无法审核。
  2. 在配置访客认证方式的时候注意配置审核者的角色时要和内部员工SSID中的认证后角色保持一致,否则无法审核。