域名放通方式i-portal认证典型配置案例

iMC智能门户管理（Intelligent Portal Management，简称IPM）是为金融、商场等场所提供WIFI营销而设计的管理平台。以网点为基础，实现门户认证策略的自主定制，并通过监控分析客流数据，实现灵活的广告推送服务。可以根据网点、网点分组、SSID、时间段等推送不同的广告页面。该平台满足门户网点管理和营销需求，综合提升各场所服务质量和用户上网体验。

系统分为分支门户创建网点及网点分组，并为每个门户定制无线网络服务。管理员创建页面模板、认证策略、网点、网点分组以及构建所有的绑定关系，用户上线认证，对认证用户进行管理，并对无线网络资源和用户信息进行实时监控。

iMC依赖版本

iMC PLAT 7.3E0503及以上

iMC WSM 7.3E0505及以上（注意参考WSM版本说明书中对PLAT的版本要求）

AC支持轻量级Portal认证（oauth），设备版本：B64D016SP32及以上

iMC中已有正确的组网，有能够正常使用的AC、AP以及SSID等WSM配置，并保证终端到iMC认证服务器、AC上行口到iMC认证服务器都是通的。

一、IPM侧配置

（1）增加广告图片

在“广告推广”-“广告管理”里增加需要的广告，如下图所示：

（2）增加页面模板

可以从缺省的模板“复制主题”复制一个模板，再根据需要定制广告首页、认证页及认证完成页，定制完后并将模板设置为已发布状态。如下所示，页面模板有三种状态：未发布（灰色，此时可以编辑）、已发布（绿色，不可编辑，只有发布状态的页面模板才能被认证策略绑定）、已绑定（红色，标示已绑定到某认证策略上）。

如果有短信认证方式，需要确认平台的短信平台是否正常配置，如下图所示：

如果有微信认证方式，需要先在 “系统配置-->微信公众号” 里先增加一个微信公众号，如下图所示。各属性和实际使用的微信公众平台里的配置一致即可，微信公众平台的配置在后面进行详述。

首页：此页面默认为倒计时5S的广告页面，此时间可以设置，定制的控件可以从基本控件栏里增加即可，增加控件后在右侧可以对控件进行编辑，如下图所示。

认证页：此页配置需要的认证方式，可以是“一键登录”或者“固定账号、短信认证、微信认证”的组合。如下图所示。

认证完成页：此页面主要配置认证完成后推送给用户的广告信息，控件也同样是从基本控件栏里选择，如果配置的图片来自广告，则需要在编辑时在右侧勾选“是广告吗？”，从已创建的广告里选择。如下图所：

（3）增加认证策略

在此绑定页面模板，设置无感知时长（用户在无感知时长内下线后再次连WIFI时，可以不用再次输入验证码，直接通过“一键认证”上网），如果页面模板里的认证方式有微信认证，则需要选择微信公众号；如果有短信认证方式，则需要设置短信短信内容以【xxx】签名开始，如: “【IPM】”，如下图所示：

（4）增加网点分组

<1>根据提示填写内容，地址和经纬度直接从地图选择即可。

<2>操作员可不用选择。

<3>绑定认证策略

（5）增加网点

<1>根据提示填写内容，地址和经纬度直接从地图选择即可。

<2>选择所属网点分组。

<3> 增加关联AP，选择实际使用的真实AP

<4> ACG可不选，如果需要配置ACG，则需要先在“系统配置-->ACG配置”增加ACG配置。

<5>绑定认证策略可以不用绑定，因为在网点分组里已绑定。

在系统配置-系统参数中，点击“立即生效”

（6）配置所属省/市

如果只是某个省下边用，请在“系统配置-->系统参数”里选择“所属省（市）”。如下图所示。

二、设备配置

AC设备配置如下：

配置认证域

# 创建并进入名称为cloud的认证域。

[AC] domain cloud

# 配置认证域的AAA方法，认证方法为免认证。

[AC-isp-cloud] authentication portal none

[AC-isp-cloud] authorization portal none

[AC-isp-cloud] accounting portal none

[AC-isp-cloud] quit

·              配置微信认证

# 配置Portal local-web-server http

[AC] portal local-web-server http

# 配置Portal WEB服务器

[AC] portal web-server authserver

#注：此IP修改为认证服务器的IP

[AC-portal-websvr-authserver] url http://80.80.80.100:8080/wsmAuth/protocol

 [AC-portal-websvr-authserver] server-type oauth

# 配置Portal WEB服务器兼容IOS连接WIFI功能

[AC-portal-websvr-authserver] captive-bypass enable

# 配置Portal WEB服务器匹配拉起微信时临时放行域名

[AC-portal-websvr-authserver] if-match original-url http://1.1.1.1 temp-pass

# 配置Portal WEB服务器匹配微信扫一扫时临时放行UA，注：此IP修改为认证服务器的IP

[AC-portal-websvr-authserver] if-match user-agent micromessenger temp-pass redirect-url http://80.80.80.100:8080/wsmAuth/protocol

# 创建无线服务模版weixin

[AC] wlan service-template weixin

# 配置基于无线服务模板的VLAN

[AC-wlan-st-weixin]vlan 100

# 配置SSID

[AC-wlan-st-weixin] ssid WXauth

# 在无线服务模版weixin上使能直接方式的Portal认证。

[AC-wlan-st-weixin] portal enable method direct

# 在无线服务模版weixin上指定认证域。

[AC-wlan-st-weixin] portal domain cloud

# 在无线服务模版weixin上引用Portal Web服务器authserver。

[AC-wlan-st-weixin] portal apply web-server authserver

# 在无线服务模版weixin上配置临时放行功能，默认为30s，建议配成300s。

[AC-wlan-st-weixin] portal temp-pass 300 enable

[AC-wlan-st-weixin] service service-template enable

[AC-wlan-st-weixin] quit

# 配置两条基于目的的Portal免认证规则（端口号53表示DNS报文）

[AC] portal free-rule 2 destination ip any udp 53

[AC] portal free-rule 3 destination ip any tcp 53

 # 配置访问微信服务器的portal免认证规则，用于放行微信客户端（针对先连接ssid后扫码操作），需要根据实际情况添加

[H3C] portal free-rule 4 destination long.weixin.qq.com

[H3C] portal free-rule 5 destination szlong.weixin.qq.com

[H3C] portal free-rule 6 destination extshort.weixin.qq.com

[H3C] portal free-rule 7 destination szshort.weixin.qq.com

[H3C] portal free-rule 8 destination mp.weixin.qq.com

[H3C] portal free-rule 9 destination szextshort.weixin.qq.com

[H3C] portal free-rule 10 destination short.weixin.qq.com

[H3C] portal free-rule 11 destination minorshort.weixin.qq.com

[H3C] portal free-rule 12 destination dns.weixin.qq.com

[h3c] portal free-rule 13 destination ***.***

[h3c] portal free-rule 14 destination wifi.weixin.qq.com

注：为了使AC上配置的free-rule生效，必须在AC上配置DNS

[h3c] dns server ……

 #如果广告使用微信里的链接文章，则需要对***.***/放行，因为微信对图片有保护，需要处理

[h3c] portal free-rule 15 ***.***

 #如果是本地转发，需要配置portal client-gateway interface命令用来配置Portal认证时客户端访问AC的接口。

portal client-gateway interface interface-type interface-number

例如：[h3c] portal client-gateway interface vlan-interface 10

 #配置nas-id，与配置文件：iMC\client\conf\wiportal\conf.properties一致。

wlan global-configuration

 nas-id wiportal    #

 #配置逃生，配置后，当认证服务故障或没有启动时，不推送广告，直接上网。

在微信公众平台里点击左树“微信连Wi-Fi”，然后选择“设备管理”，如下图所示。如果没有“微信连Wi-Fi”，请在“添加功能插件”里添加。

（5）增加设备

在上图中点击“添加设备”，进入设备添加页面，如下图所示：

（6）查看设备SSID列表

添加设备完成后，在8.4途中点击已添加的设备的“详情”链接，进入设备SSID列表页面，如下图所示：

（7）设备详情

在上图中点击某个SSID的“详情”，进入设备详情页面，如下图所示：

（8）配置IPM中的微信公众号

在IPM中增加微信公众号，根据选项添加即可，注意SSID、ShopID、Appid和SecretKey必须和上图中的参数保持一致，如下所示：

四、终端访问效果

终端连接WiFi后，自动弹出认证广告（如果在AC上已配置自动弹出），或者用浏览器打开某一个网址，会自动跳转到认证广告也，效果如下所示：

在认证首页的倒计时展示完成后，会自动跳转至认证也，如下图所示：

在认证页中选择认证方式，根据提示填写信息提交认证，认证成功后会自动进入认证完成页，如下图所示：

1、如果是本地转发，需要配置portal client-gateway interface命令用来配置Portal认证时客户端访问AC的接口。

portal client-gateway interface interface-type interface-number

2、AC要求是H3C V7设备，并要求支持轻量级Portal认证功能，设备版本为B64D016SP32及以上。配置主要包括配置认证域的免认证、配置Portal WEB服务器、配置服务模板、指定服务模板的认证域及Portal WEB服务器、配置nas-id及微信放行相关配置