OpenPortal Wifi认证、Portal协议认证、WEB认证解决方案 操作指南
OpenPortal认证系统 操作手册
5.8 产品授权
39声明 本操作手册为OpenPortal网络接入认证专家及其许可者版权所有,并保留一切权利。 未经许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。 本手册内容如发生更改,恕不另行通知。
OpenPortal网络接入认证专家
前言
OpenPortal是中国支持最全面的Portal协议,Portal认证、WIFI认证、WEB认证、无线认证、广告营销、计费、运营,认证系统平台! 支持 华为 H3C 中兴 Moto 锐捷 汉明 神州数码 FortiGate(飞塔) 爱快 ROS UniFi TP-Link RuckusAruba OpenWrt+wifidog RippleTek 集客 等设备! 支持标准Portal协议、Portal V1 V2协议、CMCC V1 V2协议、WISPr协议,PAP CHAP认证方式! 可实现页面广告展示、一键认证、微信认证、公众号关注、短信认证、二维码认证、访客认证、用户密码认证,APP内嵌认证、APP下载认证、无感知认证等功能! 内置高性能Radius服务器,并支持第三方Radius对接、AD域对接! 广泛运用于智慧社区、智慧城市、智慧医院、广场、大型商超、酒店、旅游景区、高校无线WIFI网络覆盖等! 支持支付宝、微信支付等在线支付充值功能,支持充值卡CD-KEY导出,出售实体充值卡功能! 支持计时、买断、计流量、限速等功能,管理员可以自己创建各种充值套餐、分类! 完善的订单管理统计、数据分析、日志统计、压力热图等功能! 可做大数据应用平台的用户入口层,O2O用户入口等! 多谢您的支持,感谢您使用!
一、 内容概述 本操作手册主要内容包括: 1、 系统安装部署; 2、 后台操作配置说明; 3、 标准设备配置方法简介; 二、 技术支持 2、 联系电话:17784196650 4、 业务咨询QQ: 25901875 5、 交流QQ群: OpenPortal官方交流群 119688084 (已满) OpenPortal官方老司机群 129551175 三、 致谢: 再次感谢您购买并使用我们系统,如果您对我们的产品或用户手册有什么意见和建议,可以通过电话、邮件反馈给我们。感谢您的支持!
第一章 理念与组成 本部分主要讲解OpenPortal系统的设计与软件组成,只有详细了解我们的软件,您才可以完美的使用它为您创造效益。 1.1 理念 l OpenPortal系统,主要是通过一键认证、微信、短信认证、用户名密码认证、访客认证等portal认证方式,让用户关注商家的微信公众号或者收集用户的手机号,计费收费,网络管理等,让商家能以此为基础与用户进行营销互动,为商家提供二次营销的机会及其他功能。 1.2 软件组成 l OpenPortal系统由Portal服务器、Radius服务器以及数据库组成。 l OpenPortal系统产品分为:Portal认证系统、Radius计费系统、广告系统。 l 本手册主要讲解系统的部署、配置与操作。 1.3 使用环境 l 硬件环境:双核CPU、4G内存、30G硬盘以上配置即可; l 系统运行平台:建议Centos6.5 64位Linux; l 本系统支持标准Portal 1.0协议、标准Portal 2.0协议、移动CMCC 1.0协议、移动CMCC 2.0协议、H3C(华三)IMC协议、爱快WebRadius协议、UBNT(Unifi控制器)Portal协议、Wifidog协议、FortiGate(飞塔)Web认证协议,以及Aruba、Ruckus、ROS、Tp-Link AC等世界顶尖无线产品的WISPr协议。
第二章 软件部署 2 2.1 操作系统 l 全新安装centos6.5 最小化安装 l 选择英文环境 l 时区 上海 l 不勾选 UTC 2.2 系统配置 l 配置:ip、mask、gateway、dns l 系统可访问互联网 2.3 软件部署 l 将OpenPortalServer V *.zip文件、jdk-7u79-linux-x64.rpm文件和install.sh脚本文件上传至root目录下。 l 进入到root目录下执行以下命令: cd /root chmod 777 install.sh ./install.sh
然后等待出现 ######################################### #OpenPortalServer install is OK # #MYSQL user:root # #MYSQL pass:root # #http:you ip # ######################################### 即完成安装。
第一章 配置方式 1 1.1AC端需要填写的参数 1.1.1Radius配置 l AC与radius对接地址为:portal服务器IP地址; l 端口:1812; l 认证方法:默认CHAP;Ruckus设备为PAP; l 默认密钥:portal 1.1.2Portal服务器配置 l AC中portal服务器对接地址为:portal服务器IP地址; l URL重定向根据需求设定。 1.2 示例:Ruckus 1.2.1 设置radius服务器 l 配置—AAA服务器—新建。 l 根据需求设置Radius服务器名称,例如:raidus l 类型选择radius; l 认证方法选择PAP; l IP Address:portal服务器IP地址; l 端口:1812 l 共享密钥默认为portal,可根据需求修改,但要与portal服务器统一。 l 配置好radius服务器后,可以测试AC与radius server通信是否正常,测试对象选择刚才建立的radius server; l 测试账号密码默认账号为:aaa,密码:aaa 1.2.2 设置热点服务 l 选择“配置”,进入“热点服务”,点击“新建”。 l 输入热点服务名称; l 重定向页:http:// portal.openportal.com.cn/AuthAPI l 地址需替换成自己portal服务IP或域名:端口号 l 身份验证服务器选择已经建立的radius服务器。 1.2.3 创建wlan l 选择配置,选择wlan,点击新建。 l 设置ESSID; l 类型选择“热点服务(WISPr)”; l 设置可用热点服务:选择之前设置的热点服务,如:portal。 1.3 示例:Aruba(胖AP) 1.3.1设置SSID l 根据需求设置SSID名称; l Wlan主要用途选择“访客”。 1.3.2IP地址与Vlan设置 l 客户端IP地址分配,根据需求选择虚拟控制器受管理,或者由网络分配; l Vlan指定方式:默认。 1.3.3设置portal服务 l 在“安全”项中,Captive portalprofile栏目中,选择新建。 l 根据需求设置portal服务器名称; l 类型选择:Radius Authenticatic; l 主机IP设置为:portal服务器实际IP地址; l URL设置为:/aruba l 端口为:80 l Use https选择禁用。 1.3.4设置radius服务器 l 新建radius服务器。 l 设置radius服务器名称; l IP地址:选择portal服务器实际IP地址; l 共享密钥默认为:portla,可根据实际需求修改,但要与portla服务器统一。 1.3.5配置“围墙花园”白名单 l 打开围墙花园。 l 在白名单中将portal服务器的真实IP地址,添加进白名单。 1.3.6重启胖AP l 在主页面右上角“维护”中选择重启胖AP。 1.4 示例:H3C(web配置方法) 1.4.1创建radius方案,添加radius认证服务器 l 认证—radius,点击“新建”,填写方案名称,服务类型”Extended”,用户名格式“不带域名”; l 点击“添加”,服务器类型“主认证服务器”,填写radiusserver的IP、端口、密钥。 1.4.2创建认证域 l 认证—AAA,填写认证域名,缺省域选择”enable”。 l 点击“认证”,勾选”portal认证”,”radius”,并选择方案。 l 点击“授权”,勾选”portal认证”,”radius”,并选择方案。 1.4.3创建portal服务器 l 进入“认证”选项,点击“portal认证”,点击“配置portal服务器”,选择“新建”,接口选择需要进行portal认证的接口,portal服务器选择“新建portal服务器”,认证域选择之前创建的,认证方式根据实际情况选择; l 填写portal服务器名称、IP、密钥、重定向URL(认证页面链接)。 1.5 示例:H3C(命令行配置方法) 1.5.1 配置portal模版 例: l 配置portal服务器模版,指定为IMC认证方式 l portal服务器IP为192.168.200.200 1.5.2 配置Portal放行列表 例: l VLan30网关:192.168.30.1/32 l DNS:114.114.114.114/32 l 上联IP:192.168.100.1/24 l Portal服务器IP:192.168.200.1/24 portal free-rule 0 source ip anydestination ip 192.168.30.1 mask 255.255.255.255 portal free-rule 1 source ip 192.168.30.1mask 255.255.255.255 destination any portal free-rule 2 source ip anydestination ip 114.114.114.114 mask 255.255.255.255 portal free-rule 3 source ip 114.114.114.114mask 255.255.255.255 destination any portal free-rule 4 source ip anydestination ip 192.168.100.0 mask 255.255.255.0 portal free-rule 5 source ip 192.168.100.0mask 255.255.255.0 destination any portal free-rule 6 source ip anydestination ip 192.168.200.0 mask 255.255.255.0 portal free-rule 7 source ip 192.168.200.0mask 255.255.255.0 destination any 1.5.3 配置portal服务器心跳检测方式 l 心跳检测方式为HTTP 例: portal server portal server-detect methodhttp action permit-all interval 500 retry 5 1.5.4 配置radius模版 例: radiusscheme portal server-type extended primary authentication 192.168.200.200 primary accounting 192.168.200.200 keyauthentication cipher portal keyaccounting cipher portal user-name-format without-domain nas-ip 192.168.30.1 1.5.5 配置portal认证域 例: domainportal authentication portal radius-scheme portal authorization portal radius-scheme portal accounting portal radius-scheme portal access-limit disable state active idle-cut enable 60 10240 self-service-url disable 1.5.6 Vlan参数配置 需要启用Portal认证的Vlan30启用: l portal模版 l 认证域 l 配置URL传参 例: interfaceVlan-interface 30 ipaddress 192.168.30.1 255.255.255.0 portal server portal method direct portal domain portal portal nas-ip 192.168.30.1 portal url-param nas-ip 192.168.30.1 portal url-param include user-mac param-namemac portal url-param include nas-ip param-namebasip portal url-param include user-url param-nameurl portal url-param include user-ip param-namewlanuserip portal url-param include ac-name param-namenasname portal url-param include ssid param-name ssid portalurl-param include ap-mac param-name apmac portal url-param include ap-ip param-name apip 1.6 示例:华为 1.6.1创建radius方案,添加radius认证服务器 l 进入“安全管理”,进入“AAA”配置选项,选择“radius设置”,新建radius模板,根据要求填写radius配置参数; l 新建“radius认证服务器”,选择模板、服务器类型“认证服务器”、IP、端口号。 1.6.2创建认证方案、认证域 l 安全管理—AAA,认证/授权/计费方案,新建认证方案,第一方案选择radius认证。 l 点击”域管理”,新建认证域,填写域名称,认证方案选择之前新建的方案,授权方案为空,计费方案用default。 1.6.3创建portal认证服务器、免认证策略 l 进入“安全管理”,选择“Portal认证”,新建portal认证服务器,填写名称、URL、共享密钥、服务器IP。 l 免认证策略可能要添加DNS、微信服务器IP、以及苹果服务器IP(将captive.apple.com及 www.apple.com两个域名解析为IP) 1.6.45.4应用认证域、portal服务器 l 进入“Wlan业务”,选择“服务集”中“BSS接口”,选择需要进行portal认证的BSS接口,选择“编辑高级选项”,强制域和允许域都选择之前创建的认证域。 l 进入“接口管理”,选择“VLAN”中 “VLANIF”,选择需要进行portal认证的VLANIF,点击“编辑”,认证服务器类型选择“外置服务器”,选择之前创建的portal服务器,用户接入方式需要结合实际情况来选择,portal认证域选择none(在BSS接口下启用就可以了)。 第二章 认证方式介绍 2 2.1 认证方式及说明 l 用户通过认证终端(手机,平板电脑,电脑等)搜索无线热点; l 用户接入无线网络,portal系统自动推送或者打开浏览器访问任何网站自动重定向认证页面到认证终端; 2.1.1广告延迟认证 l 商户自定义Portal认证页面时,可设置广告图片冻结时间; l 待冻结时间过后,用户点击“点击上网”按钮,即可认证通过。 2.1.2微信一键认证 l 用户上弹出认证页面引导用户关注商户微信号,一键自动完成认证上网; l 顾客在PC上选择SSID后,在浏览器打开portal页,页面上展示连Wi-Fi二维码。用手机微信扫描该二维码,点击手机页面上的“确认”按钮,PC连上Wi-Fi,同时浏览器的portal页自动跳转到商家配置的链接。 2.1.3短信认证 l 用户需要在认证页面上输入手机号码,点击获取密码; l portal系统会自动生成一个密码下发到认证终端,用户通过密码就可以上网。 2.1.4APP下载认证 l 用户下载商户指定APP,并安装后进入APP点击上网按钮,即可完成认证。 2.1.5账号密码认证 l 通过输入账号密码认证上网,在无线设备加密的基础上,增加了一个安全认证步骤,可用于运营收费等需求 2.1.6微信公众号认证 l 用户通过认证终端(手机,平板电脑等)搜索无线热点; l 打开微信添加或扫描商家微信公众号(二维码)关注商家微信公众号; l 在商家微信公众账号中做一个免费上网按钮; l 用户点击免费上网按钮,即可上网; l 取消关注则无法点击免费上网按钮。 注:微信认证方式可为商家大量吸粉,可以收集用户的信息,商家可以通过微信订阅号进行二次营销。 2.1.7访客认证 l 来访客户连接SSID后,让已经认证过的企业员工扫描二维码,授权访客登录内部网络。 第三章 后台功能与配置 3 3.1 首页 l 点击首页及展现后台系统首页。 l 首页由:数据统计、用户状态、认证日志、本地接入用户统计以及快捷面板灯实时展现模块。 l 首页右上角认证主页面可以打开认证系统终端展现页面; l 官方网站可以让用户查看系统官网。 3.2 系统管理 3.2.1分类管理 l 操作人员部门分类管理,不选择上级分类则默认为顶级; 3.2.2角色管理 l 操作人员管理;设置操作人员以及操作人员的权限; 3.2.3权限管理 l 对系统中所有选项进行权限管理,可根据需求添加子权限; 3.2.4用户管理 l 添加操作人员,以及操作人员分类及角色分类 3.2.5系统版本管理 l 展现当前系统版本; l 清楚所有缓存、日志、临时文件; l 重启Portal服务,Portal设置和radius设置修改后,需要重启服务。 l 数据库备份; l 导入数据库。 3.3 Portal设置 3.3.1基础对接设置: l BAS IP地址:填写AC控制器IP地址; l BAS端口:2000 l 共享秘钥:一定要和AC控制器上统一,否则认证会失败; l 服务器端口号:默认为50100 l 公共账号、公共密码:默认为aaa,如果在每项认证方式中有所修改,如果是Localuser模式则一定要在AC控制器中设置相对应的账号密码,如果是Radius对接模式则一定要在Radius用户系统中设置对应可用的帐号密码,实现不同认证方式下发不同的限速、流量、时长等策略。 l 部署环境设置:本Portal支持云端部署,在云端部署时需选择“外网部署” l 设备类型:选择设备类型以及协议版本 l 设置电脑是否允许登录: 3.3.2多BAS设置 l 可根据需求设置多个品牌设备连接Portal认证系统; l 可自定义名称与AC的IP地址,其他设置方式与基础设置一样; 3.3.3URL参数设置 l 可根据需求设置自定义参数携带 3.3.4微信设置 l 根据企业公众号,设置微信认证对接配置 3.3.5短信设置 l 可自定义对接短信平台,无法通过设置对接的短信平台,需要根据短信平台的参数定制开发才可使用,目前支持爱快、阿里大鱼、移动企信通、虚拟短信等网关。 3.3.6最大时长设置 l 可根据认证方式设置每天最大上网时长,每种认证方式单独设置; l 可根据手机号码或者Mac地址限制每天上网时长 3.3.7默认页面管理 l 可下载当前UI页面,修改后再上传。 3.3.8页面模板管理 l 可上传多个UI页面。 l 页面模版选择优先级 AP设置 > BAS设置 > 用户IP段设置。 3.3.9无感知认证 l 根据不同的认证方式设置无感知认证时长 3.4 Radius设置 3.4.1Radius nas添加 l IP地址:填写AC的IP地址 l 名称:名称是AC的设备名称 l 密钥:自定义密钥,一定要和AC统一否则将认证失败 l 设备类型:根据需求,选择设备类型。 3.4.2限速管理 l 根据需求,设置限速管理。 3.5 账户管理 3.5.1账户列表 l 显示所有账户的列表; l 可新增、删除账户; l 可给账户充值、MAC地址管理、修改账户信息与密码等。 3.5.2账户导入 l 通过Excel导入账号密码; 3.5.3账户导出 l 点击导出用户列表,开始准备数据; l 用户文件生成后,即可选择文件导出。 3.5.4连接记录 l 可统计账户上网时长 l 可查看用户IP地址与mca地址; l 可手动删除用户。 3.5.5日志列表 l 可统计用户IP、mca地址、认证方式、上线时长等信息。 3.5.6在线列表 l 可查看在线用户信息; l 可强行踢用户下线和冻结用户; l 可统计用户上线时间、上网时长、以及认证方式。 3.6 充值卡管理 3.6.1充值卡分类 l 自定义充值卡类型、数量、与价格。 3.6.2充值卡列表 l 统计充值卡所有类型、分类与CD-KEY; l 统计时长以及状态。 3.6.3充值卡导出 l 可导出当前所有充值卡。 3.7 财务管理 3.7.1财务报表 l 可统计订单报表财务信息; l 可统计充值卡出售财务信息; 3.7.2财务报表导出 l 可在系统中预览财务报表; l 可导出财务报表。 3.8 产品授权 l 用户下载系统标识文件,提供给我们; l 我们根据客户具体需求生成正式授权文件; l 用户上传授权文件即可激活。 VIP服务:捐助100起加入VIP群,享受远程安装部署调试对接问题咨询服务。 免费版本:100最大在线、高级功能不可使用。 系统授权:300元起 1000在线用户数、对接3个微信公众号、对接3台BAS设备; 高级功能全部可以使用。 授权期限4年。 每增加100元,增加1000在线用户数、1个公众号、1个BAS设备。 高级功能: 限速、无感知、每日最大在线时长设置,不同AP、不同BAS设备、不同用户IP独立不同的认证页面,支付宝、微信支付在线支付充值等等,以及以后更新版本的新功能。 OEM版本 6000元; 源代码12000元; 定制开发按需求报价。 5.9典型案例 经典案例一 深圳南山区公共WIFI接入工程 深圳南山区公共WIFI接入工程,使用OpenPortal接入认证系统实施,实现短信认证、APP认证。 "无线南山"是南山区政府实施的民生工程之一,由南山区政府购买宽带,供公共免费使用。电信、移动和联动用户均可登录。 1."深圳公共无线局域网"是由深圳市人民政府提供的免费WLAN网络,是一项利民、便民、惠民的民生工程,旨在为公众提供更多"信息福利"。 2.WLAN网络的稳定性与周边障碍物(树、墙壁、栅栏、车辆等)、电磁环境(同频干扰、微波炉干扰等)、天气等有密切关系,所以稳定性不及有线网络,影响用户体验。此外,用户终端本身信号发射功率大小也在一定程度上影响用户体验。 3."深圳公共无线局域网"支持中国移动、中国电信、中国联通三家运营商手机号码认证上网。 4."深圳公共无线局域网"支持智能手机、平板电脑、笔记本电脑等具有无线上网功能的终端接入上网。 5.成功登录"深圳公共无线局域网"后,若终端连续15分钟无流量时,认证系统自动将用户作下线处理。用户重新登录即可正常使用。
经典案例二 南京栖霞区政务公共WIFI接入工程 南京栖霞区政务公共WIFI接入工程,使用OpenPortal网络接入认证系统实施,对接内部OA系统及短信网关,实现WIFI接入认证,采用OA内部用户系统数据实现认证用户区分,内部用户开启了无感知认证模式。 经典案例三 合肥四创电子智慧城市WIFI接入工程 安徽四创电子股份有限公司(以下简称公司)位于合肥国家高新技术产业开发区,2000年8月由中国电子科技集团公司第三十八研究所发起成立,现注册资本1.367亿元,总资产31.97亿元。 2004年5月,公司在上海证券交易所挂牌上市,成为国内第一家以雷达为主业的上市公司,被誉为“中国雷达第一股(股票代码:600990)”。公司是国家级高新技术企业、国家技术创新示范企业、国家火炬计划重点高新技术企业、全国电子信息行业标杆企业、中国“平安城市”建设优秀安防工程建设企业,是首批安徽省创新型企业、安徽省产学研联合示范企业、安徽省重点软件企业、安徽省著名商标企业。 公司现拥有国家认定企业技术中心、国家级博士后科研工作站、安徽省院士工作站、安徽省公共安全信息技术重点实验室、安徽省网络安全和信息化工程技术研究中心。公司本科及以上学历员工占比近70%,研发技术人员占比45%,拥有政府特殊津贴专家、国家科技部专家、省级联系专家、合肥市228创新团队和拔尖技术人才等各类高端领军人才。多年来,公司主持参与了多项国家科技支撑计划、国家高技术研究发展计划(863计划)项目和国家重大科学仪器设备开发专项,先后取得国家级、省部级科技进步奖14项,国家级、省部级重点新产品26项,国家专利240项,多项成果填补国内空白。 公司将继续秉持“实践创新,追求卓越”的宗旨,坚持“观念创新、管理创新、产品创新、知识创新”的发展理念,面向国家战略需求,专注雷达电子、安全电子两大业务,集聚资源,壮大产业,将公司建设成为集设计、开发、制造、服务为一体的高新技术典范企业,实现股东和员工、企业和社会的多赢共进。 依托OpenPortal实现的智慧城市WIFI接入工程有:安徽省合肥市智慧城市WIFI接入工程,四川省成都市WIFI接入工程I-ChengDu 经典案例四 石家庄怀特集团WIFI营销认证平台 河北怀特集团公司成立于1996年2004年进行了股份制改革,2004年11月16日更名为"河北怀特集团股份有限公司"拥九家全资子公司和十几家企事业单位,商业经营面积60万平方米,从业员工3580人公司现有资产总额34.58亿元。自2002年起连续3年被评为河北省百强企业。 怀特国际商城建筑面积11万平方米,是一个多业态的商业项目,以大型零售业为主、众多专业店为辅,规模大,功能全。其独特的新型业态、新颖布局,有别于传统商业项目。 怀特商业广场是由河北怀特集团股份有限公司投资建设的,怀特集团是一个以自主开发建设现代 商业设施、发展高端服务业为主的商业企业。近年来,怀特集团公司依托地域优势,主动服务城市,大力发展商业项目。成功运作了怀特国际商城、怀特装饰城、怀特家居城、怀特大厦、怀特古文化茶城等一大批商业项目。目前开发商业项目近200万平方米,总投资120亿元,固定资产原值近千亿元,在石家庄东南形成了 人气最旺、投资最活跃、回报率最高的商业中心,汇聚了15000余家实力雄厚的经济实体前来投资发展,被称之为“怀特黄金商圈”。 经典案例五 云南大理巍山旅游 WIFI接入系统 云南大理巍山旅游 公共WIFI接入项目,采用OpenPortal网络接入认证系统实施,使用公众号认证、APP认证。 经典案例六 上海市第十人民医院(同济大学附属医院)WIFI接入工程 十人民医院(同济大学附属医院)WIFI接入工程,采用OpenPortal实施。 经典案例七 深圳皇庭广场CBD购物中心WIFI营销认证平台 皇庭广场位于深圳福田中心区,北倚市民中心,南接会展中心,是深圳地铁1、4号线上盖物业,与会展中心、五星级酒店、地铁商业街、公交枢纽无缝连接;总占地面积4.23万平方米,总建筑面积约13.8万平方米,汇聚国际一线奢侈品牌、国际流行品牌旗舰店、次主力店、高端餐饮、时尚潮流品牌、精品书店等,是集餐饮、购物、娱乐、休闲、旅游为一体的高端购物中心。开发商:深圳市皇庭国际企业股份有限公司(简称“皇庭国际”,股票代码:A股000056;B股200056)、深圳市皇庭地产集团有限公司共同投资建设。 深圳皇庭广场公共商业WIFI接入项目,采用 OpenPortal接入认证系统,使用微信关注认证。 经典案例八 浙江省丽水市移动商业无线WIFI认证系统 浙江省丽水市中国移动商业无线认证系统,采用OpenPortal实施。 另外,OpenPortal还有众多的OEM集成商衍生产品。
| 
川公网安备 51010702002559号