无线WEB认证功能与BYOD方案——BYOD方案-WEB认证相关：无线访客短信自主开户认证

目录

Ⅰ  无线访客短信自助开户认证原理介绍

Ⅱ  配置案例    

Ⅲ  常见问题    

Ⅳ  常见故障    

---

 

Ⅰ  无线访客短信自助开户认证原理介绍

1、短信注册的基本原理

      上网用户没有上网账号但是又需要接入网络，上网用户可通过短信注册的方式(需要输入手机号)自助注册上网账号，上网用户提交注册申请后，系统使用上网用户的手机号作为用户名并生成6位数字的随机密码添加用户信息，并将用户名与随机密码以短信的方式通知给上网用户。目前短信自助注册支持：内部员工(普通用户)自助注册/访客用户自助注册，以及支持通过短信猫/短信网关方式来发送短信。

    

2、访客短信自助注册及认证流程

   访客短信自注册及认证业务流程如下

流程说明：

   第一步、访客终端关联相应SSID，无线终端浏览器中输入任意域名，无线AC拦截访问的URL，并自动重定向到Portal的认证页面；

第二步、访客点击认证页面中的访客用户认证按钮，打开访客认证界面后用户输入手机号点击获取密码，将注册信息提交SMP/ESS进行处理。

第三步、SMP/ESS接收到注册申请后，使用手机号作为用户名，生成随机6位数字的密码，调用短信猫或者短信网关的接口将用户名、密码以及账号有效期以短信的方式发送给访客，发送成功后，SMP/ESS将生成的用户信息保存到数据库，并返回注册结果给访客；以下两种情况将返回注册失败提示信息：

    1.如果手机号已经被其他用户所占用，则注册失败

    2.如果短信发送失败，也会注册失败。

第四步、访客接收到短息后，得到用户名与密码，就可以使用用户名与密码认证上网。

第五步、当访客注册的账号超过有效期时，账号将会被自动删除，访客如果想继续上网的话，需要重新进行注册才能认证。

    内部用户的自注册的业务流程与访客自注册业务流程基本相似这里不做过多描述，内部用户自注册唯一的差异在于SMP是否进行手机号“可信度“判断。   

3、功能介绍：

      无线网络为用户提供了便利的接入方式，只要有无线信号覆盖的区域用户都可以连接无线网络，无线网络与有线网络最显著的区别是无线网络没有明显的边界，也正因此无线网络的安全性比有线网络显得更加棘手。

      如何控制访客访问网络是每个网络管理员需要考虑的问题，有线网络可以通过物理端口进行控制，无线网络只能通过接入身份认证检查接入用户是否合法。早期无线网络访客账号通过管理员创建部分临时账号的方式，为了保障账号的安全性，管理员需要定期更改账号密码，管理较为繁琐。锐捷根据访客上网的特点推出了访客短信自助开户的功能，访客连接访客对应SSID后打开浏览器，终端将显示认证界面，访客输入自己手机号且点击“获取密码“手机将收到临时密码，访客通过该账号登录无线网络。通过该模式网络管理员将账户开通的权限下发到所有用户，减轻了网络管理员的压力，同时通过访客开通上网账号时提交的信息可以对访客身份进行确认，如果发生安全事件可以定位到相关责任人，保证了网络的安全性。在我们的认证应用中，提供了两种类型的短信注册方式：

       2  内部员工短信自注册

       2  访客短信自注册

       其中访客短信自注册允许任意用户进行短信注册，而内部短信自注册只允许SMP服务器中设置的可信任手机号进行注册，从而杜绝了非内部员工进行注册的安全问题。

---

Ⅱ  配置案例    

1、组网需求    

（1）配置一个SSID供访客进行短信自助注册；

（2）需要portal设备，比如eportal、SMP等；    

（3）需要radius设备，比如SMP、ESS等。    

2、组网拓扑    

3、配置要点    

（1）配置给访客连接进行短信自助注册的SSID    

（2）配置访客短信自助注册的认证配置（与二代web认证命令类似，只是重定向的url不同）    

4、配置步骤    

（1）先在AC上配置一个SSID给访客连接做短信自助认证。

      配置好后进行接下来的步骤。    

（2）启用web认证的 AAA    

         Ruijie(config)#aaa new-model ------>开启aaa    

         Ruijie(config)#aaa group server radius smp  ------>配置radius组，名称为smp    

         Ruijie(config-gs-radius)# server 172.18.34.16 ------>配置radius服务器地址    

         Ruijie(config-gs-radius)#exit    

         Ruijie(config)#aaa accounting update ------>开启aaa记账更新    

         Ruijie(config)#aaa accounting network acct-web start-stop group smp------>配置记账更新列表，名字为acct-web，对应的radius服务器是名为smp的服务器组    

         Ruijie(config)#aaa authentication web-auth auth-web group smp ------>配置web认证列表，名字为auth-web，对应的radius服务器是名为smp的服务器    

（3）配置radius服务器相关参数    

         Ruijie(config)#ip radius source-interface vlan 1  ------>使用vlan1 地址与radius对接    

         Ruijie(config)#radius dynamic-authorization-extension enable ------>配置AC支持radius扩展属性，用于踢用户下线（11.x版本默认开启，11.x无需配置）    

         Ruijie(config)#radius-server host 172.18.34.16 key ruijie    ------>配置radius服务器KEY及IP    

         Ruijie(config)#radius-server attribute 31 mac format ietf  ------>【可选配置】如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况，可以尝试调整MAC格式    

（4）配置portal    

         Ruijie(config)#web-auth portal key 123456    ------>portal服务器密钥：123456（密码后面不能有空格）,只支持配置一个portal key

11.X版本portal服务器配置方法：    

         Ruijie(config)# web-auth template duanxin v2----->配置web认证模板，可以进一步进行web认证的相关配置

         Ruijie(template.eportalv2)#ip 172.18.34.16----->配置potal服务器的ip地址    

         Ruijie(template.eportalv2)#url  http://172.18.34.16:80/smp/guestauth ------>配置二代web认证信息，portal名字为duanxin，portal 的ip地址是172.18.34.16 。url地址需要根据portal设备上的说明为准。

         Ruijie(template.eportalv2)#exit    

（5）在用于访客连接的SSID下开启web认证且调用二维码认证界面    

         Ruijie(config)#wlansec 5

         Ruijie(config-wlansec)# web-auth portal duanxin  ------>调用二代portal服务器，名称为ewm

         Ruijie(config-wlansec)# web-auth authentication v2 auth-web   ------>配置web认证调用的认证列表 【必选配置】    

         Ruijie(config-wlansec)# web-auth accounting v2 acct-web   ------>配置web认证调用的记账列表 【必选配置】    

         Ruijie(config-wlansec)# webauth ------>开启web认证    

         Ruijie(config-wlansec)# exit    

（6）配置SNMP服务器    

         Ruijie(config)#snmp-server enable traps     

         Ruijie(config)#snmp-server community ruijie rw ------> 与radius（比如SMP、ESS）上的团体字一致    

（7）其他配置

         Ruijie(config)#http redirect direct-arp 192.168.51.1  ------>没有配置arp-check情况下，可以不配置网关arp直通；如果有配置arp-check，且非11.1(5)b8p3以及11.1(5)b9p5及之后版本，则必须开放无线用户网关arp（让无线客户端可以发起http请求）。详情请参见无线安全功能-防ARP欺骗功能章节。

         Ruijie(config)#end    

         Ruijie#write    

（8）短信猫相关设备

       根据接口类型不同，短信猫可以分为串口短信猫、USB口短信猫和USB转串口短信猫。对于SMP这三种接口类型的短信猫都支持。而对于ESS，则只支持USB口短信猫和USB转串口短信猫，其中USB转串口短信猫，需要额外购买一个USB转串口接头。根据运营商的不同，短信猫可以分为GSM短信猫和CDMA短信猫。其中GSM适合中国移动、中国联动的卡，CDMA适合中国电信的卡。

       值得注意的是，如果连接的是USB口短信猫或USB转串口线的短信猫，需要安装驱动才能识别串口端口号（ESS上默认有该驱动），查看端口号的方式如下：

       如果是ESS上，则会在开启短信猫功能时自动识别到是否有插入短信猫，如果插入了短信猫，会自动识别到短信猫的端口号。如果是SMP，则需要打开设备管理器->端口(COM和LPT)，展开查看端口号，如下图的COM1。

         

 COM1端口相关参数设置如下：

（9）SMP相关配置

    第一步：开启短信服务：在SMP的系统配置->短信服务配置页面开启短信服务配置功能，其中串口端口号和波特率可以根据上面的方式获取，数据位和SIM卡PIN码一般保持默认即可，厂商型号根据实际的短信猫型号进行选择，保存配置后，可以观察SMP顶部的系统状态是否变成告警状态，如果没有告警，则说明短信猫的配置应该是正确的。也可以通过“发送测试短信”按钮验证是否可以发送成功。

第二步：SMP服务器开启访客短信自助开户功能，【身份认证管理】--【web认证配置】--【勾选“启动方可注册“】--【勾选“启用访客短信自助注册”】

第三步：SMP服务器开启普通用户短信自助注册功能，普通用户相对于访客可以增加了手机号“可信度”检查的功能。如果需要控制只允许特定的手机用户才能进行注册的话，需要勾选“只允许可信手机号码进行注册”，并且点击“管理可信手机”进行可信手机添加或者导入，以防止非法用户进行注册接入。设置步骤如下所示：

    开启普通用户的短信自注册全局开关

 选择普通用户自助注册的方式：“短信方式”

 如果需要对手机号进行可信管理需要在SMP提前设置用户手机号，如果需要通过第三方身份中心进行用户信息更新可以选择“自动学习用户信息”，需要注意的是该功能并非自动获取终端信息。

 进行可信手机号添加或者批量导入，如果不进行手机可信管理则可以跳过此步。   

设置完上述配置后点击“完成”按钮。

第四步、添加无线控制器，系统中添加无线控制器，【身份认证管理】-【管理设备】-【添加】（添加无线设备之前需要修改无线设备模版中的相关参数如radius key、portal key等参数）    

5、配置验证    

      第一步： 访客打开Wifi，选择访客对应的SSID，连接成功后打开浏览器访问网络资源弹出web认证页面，在弹出的web认证界面中点击“访客用户认证“标签

                     

  第二步：在访客用户认证页面输入注册用户的手机号，点击获取密码按钮，短信发送后认证界面提示“您的临时密码已申请成功，请注意查收短信！“约5秒钟后，您将会收到SMP发送来的短信，如下图所示，短信息将显示在顶部的通知区域，用户无需切换到短信箱查看。

  第三步：输入短信中的临时密码，认证后界面显示如下  

第四步：   SMP   上的用户管理页面可以看到生成了该短信注册的用户信息   

第五步：   SMP   上查看访客的在线信息   

---

Ⅲ  常见问题    

1、短信是如何发出来的？

SMP/ESS对接短信网关或者短信猫，短信猫或者短信网关发送短信给无线终端。

---

Ⅳ  常见故障    

1、短信认证，终端收不到短信  

     短信是跟认证服务器对接的短信猫或者短信网关发送的，    根据以往故障处理来看，主要可疑点有如下几个没，请分别排查：  

     需要排查短信猫或者短信网关是否欠费，跟服务器对接是否正常，另外不排除运营商对短信数目等做了限制。