路由器ER8300G2-X如何支持短信认证或微信认证上网，还需要购买什么产品实现？

组网及说明 iMC智能门户管理（Intelligent Portal Management, 简称IPM）是为金融、商场等场所提供WiFi营销而设计的管理平台。以网点为基础，实现门户认证策略的自主定制，并通过监控分析客流数据，实现灵活的广告推送服务，可以根据网点、网点分组、SSID、时间段等推送不同的广告页面。该平台满足门户网点管理和营销需求，综合提升各场所服务质量和用户上网体验。 系统为分支门户创建网点及网点分组，并为每个门户定制无线网络服务。管理员创建页面模板、认证策略、网点、网点分组以及构建所有的绑定关系，用户上线认证，对认证用户进行管理，并对无线网络资源和用户信息进行实时监控。 IPM现有“短信认证”、“账号认证”、“微信认证”三种认证方式，之前版本要求接入设备必须支持轻量级Portal认证功能，新版本IPM组件支持传统Portal认证功能，所以才可以跟ACG对接。本篇通过一个典型的案例来介绍IPM对接ACG来实现微信认证的详细配置方法。 组网及说明： 已有正确的无线组网，终端可以连接无线并获取正确的地址；并保证终端到 iMC 认证服务器、ACG上行口到 iMC 认证服务器都是通的；IMC平台及IPM组件安装完成，后台访问 iMC 服务器的客户端能上外网。 如下图所示，内网用户接入到ACG1000，实行iMC联动Portal认证上网，认证网段是192.168.100.0/24；内网iMC服务器的IP地址为192.168.30.1/24；ACG设备作为接入设备，在ACG设备上配置iMC联动Portal认证功能。具体要求如下： ACG 设备参与Portal认证和Radius认证，并把所有iMC联动Portal认证用户加入到用户组“2”中。 192.168.100.0/24网段中的认证用户在认证之前，只允许访问网关192.168.100.1的所有服务和iMC IPM服务器，其他访问全部被禁止。 192.168.100.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。 本举例是在ACG1000 R6606P06、iMC PLAT 7.3 、iMC IPM 7.3(E0509H04)版本上进行配置和验证的。 配置步骤 1.1.1 配置任务简介 ACG配置： 配置主要包括配置Portal WEB服务器、Portal Server服务器及微信放行相关配置，配置详情及举例见“设备配置”。 IPM配置： 主要介绍正常使用IPM需要的典型配置，配置广告、页面模板、认证策略、网点、网点分组即可。详见“IPM配置”。 微信公众平台配置： 如果IPM认证使用微信认证方式，则需要在微信公众平台里增加门店管理和微信连Wi-Fi的配置，详细配置见“微信公众平台配置”。 1.1.2 ACG配置： 1. 配置iMC对应的Radius服务器 如下图所示，登陆ACG的Web页面，进入“用户管理 > 认证服务器 > Radius”，点击<新建>，配置“服务器地址”为192.168.30.1，“服务器密码”和“端口”需要和iMC服务器的配置保持一致，点击<提交>。 配置iMC对应的Radius服务器 2. 配置iMC对应的Portal服务器 如下图所示，进入“用户管理 > 认证服务器 > Portal Server”，“认证服务器”选择IPM，“Portal服务器”配置为192.168.30.1，“超时时间”保持默认，“认证URL”将示例中的serverip、ssid和nasip替换为实际地址，配置为http://192.168.30.1:8080/wsmAuth/iportal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=192.168.100.1&ssid=ssid，点击<提交>。 配置iMC对应的Portal服务器 3. 配置地址对象 如下图所示，进入“对象管理 > IPv4地址”，点击<新建>，命名为“认证源地址网段”，“地址项目”选为子网地址，配置地址为192.168.100.0/24，“排除地址”为192.168.100.1，点击<提交>。 配置认证用户网段地址对象 如下图所示，进入“对象管理 > IPv4地址”，点击<新建>，命名为“认证目的地址网段”，“地址项目”选为子网地址，配置地址为0.0.0.0/0，“排除地址”配置为192.168.30.1、192.168.100.1和DNS服务器地址，点击<提交>。 配置认证目的地址对象 如下图所示，添加完成的地址对象配置如下。 地址对象配置完成 4. 配置用户策略 如下图所示，进入“用户管理 > 认证策略”，点击<新建>，源地址配置为“认证源地址网段”，目的地址配置为“认证目的地址网段”，认证方式配置为“Portal Server认证”，其他选项保持默认，点击<提交>。 配置用户策略 如下图所示，添加完成的用户策略配置如下。 用户策略配置完成 5. 指定发送Portal和Radius报文的源地址 通过如下命令配置发送给服务器的报文源接口为ge2.100，此接口地址为发送Portal和Radius报文的源地址。 prefer-source destination 192.168.30.1 ge2.100 6. 配置访问微信服务器的portal免认证规则 配置访问微信服务器的portal免认证规则用于放行微信客户端（针对先连接ssid后扫码操作），需要根据实际情况添加 user-policy whitelist host long.weixin.qq.com user-policy whitelist host szlong.weixin.qq.com user-policy whitelist host extshort.weixin.qq.com user-policy whitelist host szshort.weixin.qq.com user-policy whitelist host mp.weixin.qq.com user-policy whitelist host szextshort.weixin.qq.com user-policy whitelist host short.weixin.qq.com user-policy whitelist host minorshort.weixin.qq.com user-policy whitelist host dns.weixin.qq.com user-policy whitelist host ***.*** user-policy whitelist host wifi.weixin.qq.com 1.1.3 IPM配置： 1. 增加接入设备 在“Portal配置-->接入设备配置”里增加接入设备。如下图所示： （1）接入设备的IP地址为ACG设备的地址，此处地址跟ACG上指定的源地址一致。 （2）共享秘钥要和radius scheme中的两个秘钥保持一致。 2. 增加IP地址组 在“Portal配置-->IP地址组配置”里增加IP地址组。如下图所示： IP地址组的范围要小于等于设备分配给地址段的地址。 3. 增加Portal设备配置 在“Portal配置-->Portal设备配置”里增加IP地址组。如下图所示： （1）IP地址要和ACG发送Portal报文的IP保持一致。 （2）秘钥和设备上配置portal server的秘钥保持一致。 （3）版本要选择CMCC。 4. Portal设备绑定IP地址组 增加Portal设备后，绑定IP地址组。如下图所示： 在Portal设备列表中点击红框内的按钮进入IP地址组绑定页面。 5. 增加页面模板 可以从缺省的模板“复制主题”复制一个模板，再根据需要定制广告首页、认证页及认证完成页，定制完后并将模板设置为已发布状态。如下所示，页面模板有三种状态：未发布（灰色，此时可以编辑）、已发布（绿色，不可编辑，只有发布状态的页面模板才能被认证策略绑定）、已绑定（红色，标示已绑定到某认证策略上）。 如果有微信认证方式，需要先在 “系统配置-->微信公众号” 里先增加一个微信公众号，如下图所示。各属性和实际使用的微信公众平台里的配置一致即可，微信公众平台的配置举例参考“微信公众平台配置”。 6. 增加认证策略 在此绑定页面模板，设置无感知时长（用户在无感知时长内下线后再次连WIFI时，可以不用再次输入验证码，直接通过“一键认证”上网），如果页面模板里的认证方式有微信认证，则需要选择微信公众号。 7. 增加网点分组 (1) 根据提示填写内容，地址和经纬度直接从地图选择即可。 (2) 操作员可不用选择。 (3) 绑定认证策略（选择某一个认证策略即可）。 8. 增加网点 根据提示填写内容，地址和经纬度直接从地图选择即可。 选择所属网点分组。 增加关联IP地址组，选择实际使用Portal设备关联的IP地址组。 ACG不可选，如果配置了会导致用户异常下线。 绑定认证策略可以不用绑定，因为在网点分组里已绑定。如在分组中不统一配置，则在该处选择。 关联AP使用传统portal方式认证不用选择。 9. 配置立即生效 在“系统配置-->系统参数”里点“立即生效”。 1.1.4 微信公众平台配置： 1. 登录微信公众平台 打开https://mp.weixin.qq.com，登录已认证的微信服务号。 注意：需要微信相关功能时，腾讯服务器会校验时间，请将iMC服务器时间和网络时间保持一致。 2. 公众号信息获取 在微信公众平台里点击左树“开发/基本配置”，如下图所示。 将“公众号开发信息”对应字段填入IPM的“微信运营/增加公众号”页面： 如果只做微信认证，则只需要配置AppID。 3. 增加门店 在微信公众平台里点击“创建新门店”，进入增加门店页面，如下图所示。 4. 微信连Wi-Fi 在微信公众平台里点击左树“微信连Wi-Fi”，然后选择“设备管理”，如下图所示。如果没有“微信连Wi-Fi”，请在“添加功能插件”里添加。 5. 增加设备 点击“添加设备”，进入设备添加页面，如下图所示。 6. 查看设备SSID列表 添加设备完成后，点击已添加的设备的“详情”链接，进入设备SSID列表页面，如下图所示。 7. 设备详情 点击某个SSID的“详情”，进入设备详情页面，如下图所示： 8. 配置IPM中的微信公众号 在IPM中增加“系统配置/微信认证配置”，根据选项提示填写即可，微信公众号选择微信运营中已有的公众号。注意SSID、ShopID和SecretKey必须和上图中的参数值保持一致。如下图所示。 1.1.5 终端访问效果： 终端连接Wifi后，自动弹出认证页面（如果在ACG上已配置自动弹出），或者用浏览器打开某一个网址，会自动跳转到认证页，效果如下所示。 在认证页中选择微信认证方式，按照提示打开微信客户端，认证成功后会自动进入认证完成页，如下图所示。 配置关键点 1.IPM的之前版本要求接入设备必须支持轻量级Portal认证功能，新版本IPM组件支持传统Portal认证功能，用新版本才能跟ACG对接。 2.IPM对接ACG的推送页面URL为http://192.168.30.1:8080/wsmAuth/iportal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=192.168.100.1&ssid=ssid； IPM对接V7版本AC（支持轻量级Portal）的推送页面URL为http://192.168.30.1:8080/wsmAuth/protocol IPM对接V5版本AC（不支持轻量级Portal）的推送页面URL http://192.168.30.1/wsmAuth/iportal?devType=v5 3.认证前需保证终端和iMC服务器、终端和微信服务器wifi.weixin.qq.com、终端和DNS服务器连通。 4.ACG上没法指定NAS IP地址，可以通过如下命令配置发送给服务器的报文源接口为ge2，此接口地址为发送Portal和Radius报文的源地址。 prefer-source destination 192.168.30.1 ge2 5.IPM上增加Portal设备时一定要选择“CMCC”。 6.IPM上增加网点时，不可选择ACG，因为ACG已经参与认证，如果再选择会导致认证异常下线。