更新时间:2024-07-22
1功能简介
1.1应用场景
临时账号认证的无线网络,有以下两种认证方式,用户可以通过本地访客账号和密码进行认证,也可以将本地访客账号密码生成一个二维码,用户连接无线后不需要输入账号密码,直接扫描二维码进行认证,方便快捷。一般适用于酒店、商场等给来访访客临时上网使用。
1、访客连接无线输入账号和密码进行认证。
2、访客连接无线扫描二维码进行认证。
1.2适用版本
NAC3.13.0。
1.3配置思路
1、新增临时账号认证方式
2、新增临时账号访客认证后角色
3、新增临时账号认证的SSID
4、新增临时访客账号名和密码
5、生成临时访客二维码
6、配置访客Portal有效期
2注意事项
2.1业务影响范围
新增新SSID配置临时账号认证不影响当前业务。
2.2注意事项
1、给临时账号认证的SSID分配的VLAN需要联网,用户连接此SSID才能自动弹出Portal页面。
2、使用扫描访客二维码认证时,手机必须先连接无线再扫描二维码认证。
3 配置步骤
3.1网络说明
本文档示例网络如下,NAC给AP下发信号xx-Guest,用于给访客认证。访客可以通过输入管理员提供的账号密码认证,或扫描二维码认证。
3.2 新增临时账号认证方式
在【认证配置-认证授权-Web认证-访客认证】中点击新增,输入认证方式名称,勾选临时账号认证方式,点击提交。
3.3新增临时账号认证后角色
在【认证配置-认证授权-角色授权】中点击新增访客认证后角色,主要用于区别其他无线用户的角色,方便给访客做应用或流量的管控。如无特殊需求也可以使用系统自带的默认角色。
在【无线授权】根据网络需求给访客角色设置对应的无线访问控制策略、流速限制策略、流量/时长配额策略等。
3.4 新增 SSID
1、在【接入点管理-无线网络-无线网络】新增 SSID。在【基础配置】输入SSID名称,数据模式根据网络架构选择是本地转发还是集中转发,其他可以保持默认。
2、在【认证类型】设置认证类型为“开放式+Web认证”,认证方式选择“访客认证”,其他可以保持默认。
如果要实现访客使用微信扫描访客二维码的方式认证,微信流量需要勾选“放通微信流量”,否则不需要勾选。
3、在【访客认证】认证方式选择章节3.2创建的临时账号认证方式,角色分配选择章节3.3创建的临时账号认证后角色。
4、在【VLAN设置】填写给访客分配IP地址的VLAN网段。此VLAN需要先联网,用户连接SSID才能自动弹出认证页面。
注意:
(1)本文档测试的环境是无线本地转发,访客从内网核心获取IP,给终端分配地址的VLAN是VLAN 10,如果要让访客获取的IP地址跟AP的IP地址相同网段,这里需要填写1。
(2)如果无线是集中转发,直接填写给访客分配IP地址的对应VLAN ID。
3.5新增临时账号用户名和密码
在【认证配置-用户管理-访客账号-临时账号认证】新增临时访客账号,输入账号名和密码,选择对应的分组和账号有效期。
PS:有效期支持设置最小1小时,最大1000天。如果临时账号有效期过了,账号将不能再接入,需要重新新建临时账号或者修改临时账号过期时间。
3.6扫描二维码认证配置
注意:如果仅用账号密码认证,则此步骤无需配置!
让访客通过扫描二维码的方式进行认证,需要将章节3.5创建的账号密码生成二维码。操作如下:
勾选要打印二维码的账号,点击“更多-打印二维码”生成二维码,点击“二维码附加信息设置”设置二维码附加信息,如图示例。通过截图或打印的方式将二维码保存下来,摆放在接待访客的前台,或贴在访客易接触到的墙面、桌子上。
!!!注意:一般使用扫描二维码的方式认证,是不需要用户连接无线后自动弹出portal页面的,可以关闭无线网络自动弹portal。配置如下:
在【接入点管理-无线网络-无线网络】编辑xx-Guest,在认证类型里的认证页面点击“你已选择 Android和iOS自动弹出认证页面”后面的“配置”,勾选“针对IOS终端有效”、“针对Android终端有效”并提交。
3.7配置访客Portal有效期
PS:临时账号认证的认证有效期即是账号有效期,见章节3.5。
临时账号访客Portal有效期在【认证配置-认证高级选项】设置“访客认证免弹Portal页面有效期”,默认永久有效,支持指定时间最小1分钟,最大1000天。
访客认证免弹Portal页面有效期:访客用户首次登录认证后,用户断开WiFi的时间超过页面设置的“访客认证免弹Portal页面有效期”的时间,则在下次连接WiFi时,会弹出portal页面,只显示登陆按钮,点击“登录”即可完成老用户快速登陆;如未超过,则在下次连接WiFi时,可以直接接入,不会弹出portal页面。
4其他附加配置项
4.1访客管理员配置
访客账号通常不是由网络管理员管理,而是由负责访客接待的人员管理。因此,系统提供了访客管理员,以区别于网络控制器的管理员。访客管理员只允管理访客账号,无法修改网络控制器的其它设置。
访客管理员的登录地址为:https://设备地址/guest.php,例如:https://192.200.246.122/guest.php
在【认证配置-用户管理-访客账号-临时账号认证】点击“更多-配置访客管理员”,新增临时访客管理员账号和密码。
打开浏览器输入临时访客管理地址:https://设备地址/guest.php,输入新建的访客管理员账号和密码登录。
登录成功后,即可新增访客账号。
4.2批量导入临时账号
在【认证配置-用户管理-访客账号-临时账号认证】点击“更多-导入临时账号”,下载示例模板,根据模板填写之后批量导入临时账号。
4.3临时访客分组管理
在【认证配置-用户管理-访客账号-临时账号认证】点击“更多-管理临时访客分组”添加和删除分组。
5 效果 演示
5.1输入账号密码认证流程
1、用户连接上临时访客无线网络xx-Guest。
2、用户自动弹出portal页面,点击“认证上网”跳转到认证页面。
3、认证页面上输入临时访客账号和密码后点击登录。
4、登录成功并跳转到欢迎页面。
手机端:
PC端:
5.2扫描二维码认证流程
PS:必须先连接无线再扫码。
1、用户连接上临时访客无线网络xx-Guest。(如此时弹出了portal页面,请参考章节3.6关闭自动弹portal)
2、用户打开微信/浏览器扫一扫,扫描访客二维码。
3、登录成功并跳转到欢迎页面。
5.3 用户认证状态查看
在【首页-终端-在线用户】查看登录成功的用户。
5.4Portal有效期超时重新认证流程
假如临时访客Portal有效期“访客免弹Portal页面有效期”设置2分钟,用户无线认证后,断开无线的时间超过了2分钟,用户再次连接无线会自动弹出Portal页面进行认证,此时不需要重新输入账号密码认证,点击“登录”即可完成认证。
6常见问题
6.1用户已过期
问题:用户输入临时账号和密码登录,提示“用户已过期,请联系管理员”。
原因:账号有效期过期。临时账号有效期过期后,只要认证过的用户无线不断开可以一直使用,用户断开无线重连就会弹出portal,需要使用未过期的账号重新认证。
在设备的用户认证日志也可以查看到认证失败的相关日志。
解决方法:
1、修改临时账号有效期。
2、使用未过期的临时账号和密码登录认证。