图1- 1 网络拓扑
本文档涉及的拓扑仅为示例, 该拓扑适用于新项目测试或者新项目功能验证时进行环境 快速搭建。实际项目中以具体网络环境为准, 原则上瘦模式 AP 组网均可满足演示二维码审核认证的条件。
1.1.1 硬件工具准备
|
资源名称 |
数量 |
备注 |
|
测试手机 |
1 台 |
无线网卡支持双频 |
|
测试电脑 |
1 台 |
无线网卡支持双频 |
1.1.2软件环境准备
|
资源名称 |
数量 |
备注 |
|
信锐云助手 |
1 套 |
信锐云助手 APP |
根据实际网络情况搭建演示环境, 保证 AP 合理摆放且正常激活上线到控制器上,下面 以集中转发信号为例, 在控制器开启了 VLAN126 的 DHCP 服务,并且要求 VLAN126 网段可以访问互联网。
二维码认证场景多用户内部员工招待外来访客使用, 因此配置前需要先明确内部员工在 连接无线信号时匹配上的用户角色。对于内部员工所使用的认证方式可能根据实施场景不通, 因此本文中不详细赘述,此处主要介绍如何确认审核人角色。
1)在【接入点配置】-【无线网络】中, 找到内部员工使用的无线信号, 在权限设定选项中,确认当前内部员工分配的角色名称。
2)也可以直接使用手机连接内部员工信号,确认具有审核权限的人员群体,当前获取的角色情况。在【系统状态】 -【在线用户】处,搜索终端 IP 即可过滤出在线用户。
1)在【认证授权】-【Web 认证】-【访客认证】选项下,新增访客认证策略, 其中名称填写任意,常用认证勾选二维码认证。
2)配置审核权限, 其中审核人是具体扫描权限的终端角色, 一般情况下为内部员工信 号连接后分配的角色,可参照 2.2 获取;可分配角色为被扫描二维码放通上网的访客最终可以获取的角色, 在可分配角色中可以自行定义访问控制策略;可分配时长为被扫描二维码放通上网的访客有效的上网时间。
3)配置云助手 APP 审核,此配置主要针对有需求使用手机 APP 审核二维码的场景,点击新增可以新增审核人策略, 点击管理员账号后,选择 admin 管理员账号。
4)提交保存访客认证策略。
1) 点开【接入点配置】-【无线网络】新增无线信号, 点击新增按钮,在基本配置中配置 SSID 名称,模式按需可以选择集中转发。
2)在认证类型项目中, 选择开放式+web 认证, 认证方式为访客认证, 认证前角色点击蓝色字体“帮我创建认证前角色 ”,按提示设置名称后提交即可,勾选放通微信流量。
3) 在访客认证项目中, 选择之前创建的二维码认证方式
4) 在 VLAN 设置中,设置未匹配规则的终端用户设置默认 VLAN 池为文档 2.1 只可以 上网的 VLAN126 。注意,此处强调这个 VLAN 要能上网, 是由于自动弹出页面是需 要终端在连接无线信号时的默认域名能被正常解析并且重定向到认证页面, 因此网段要能上网才能自动弹出二维码, 若遇到特殊环境下无法上网, 可以通过手动在浏览器输入 2.2.2.1,进行弹出二维码测试。
3) 输入信息后终端页面会生成一个二维码, 下一步需要内部员工连接无线进行审核
4) 内部员工需要连接上内部员工无线, 并且获取对应有审核权限的角色, 打开微信扫码功能。
5) 扫描二维码后,会呈现之前访客输入的认证信息, 点击下一步进行分配角色
6) 选择对应的角色名称以及上网有效期
7) 点击确认完成审核。
8) 可以在控制器【系统状态】 -【在线用户】,查询到两个用户。
在右上角【应用中心】 -【认证中心】 -【用户管理】 -【访客账号】,在【二维码认证】菜单下,可以找到对应审核的信息。
除了 3.1 描述的内部员工授权之外,管理员可以使用自己的 APP 进行访客授权
1) 访客使用手机连接二维码认证信号后,会有弹出信息输入框
2) 输入姓名、 手机号信息后点击下一步
3) 输入信息后终端页面会生成一个二维码, 下一步需要管理员登录信锐云进行审核操作
4) 打开信锐云助手 APP(安卓和 IOS 均支持),登录云管家账号。
5) 在“通知”栏中, 会收到云管家推送给超级管理员的二维码审核申请。
6) 点击审核后会有分配角色栏和认证有效期栏目
7) 点击审核后用户即可通过认证
在认证过程中, 手机连接访客信号后会弹出访客信息录入框, 若用户在连接信后不想弹出信息录入框直接跳转到二维码页面, 可以联系原厂售后技术协助处理。
1 、查看终端是否获取到 IP 地址并且获取的 IP 地址是否正确, 若获取地址不对, 按照终端获取不到地址排查;
2 、手动在浏览器输入 2.2.2.1 测试认证页面是否可以弹出 portal 页面, 若不可以, 检查 AP 和控制器间的 udp 7077 数据隧道端口是否正常, 远程部署时, 检查 udp7077 端口是否映射成功;
3 、认证前角色配置错误,【接入点配置】-【无线网络】点开 web 认证的无线,【认证类 型】中找到“认证前角色 ”,点击蓝色字体“帮我创建认证前角色 ”,自动创建一个角色后测试
4、检查当前终端获取的 vlan 是否可以正常上外网, 新建一个开放式无线网络, 配置为 同一个 vlan,测试连接无线后是否可以上网,如果无法访问外网,是不会自动弹出认证页面的;
5、检查用户是否已经认证过,【系统状态】 -【在线用户】中搜索该用户,认证过的用户, 且在认证有效期内,无需弹 portal 页面
二维码审核的认证方式,如果要实现审核人和访客不在同一地点或局域网内来审核访客,NAC 3.7.4.2 及之后的版本,审核人可以通过下载信锐云助手 APP 来实现,访客接入无线后, 云助手 APP 会提示,管理员只需要在云助手 APP 上(【应用】-【认证授权】-【二维码审核】)审批即可; NAC 3.7.4.2 之前的版本不支持这个功能。
在给用户分配用户角色时会有分配时长的操作, 从访客接入无线网络开始计时, 到分配时长后,用户会自动下线。
二维码审核有效期最长时间只能设置为 1000 天。
NAC 3.7.4.2 之前的版本在【认证授权】-【认证高级选项】中“二维码认证有效期 ”设置;
NAC 3.7.4.2 版本开始在【认证授权】-【访客账号】-【二维码认证】-【有效期】里设置有效期,审核人在审核时即可对该用户定义角色和上网时长,上网时长最长可分配 1000 天;
NAC 3.7.9.7 及之后版本, 在 NAC Web 界面右上角【应用中心】 -【认证中心】 -【用户管理】 -【访客账号】-【二维码认证】-【有效期】中设置。
