请您评分并反馈意见：

目  录

1 简介

2 配置前提

3 微信认证功能配置举例

3.1 通过认证URL认证举例

3.1.1 组网需求

3.1.2 配置思路

3.1.3 配置步骤

3.1.4 配置注意事项

3.1.5 验证配置

3.2 通过小程序认证举例

3.2.1 组网需求

3.2.2 配置思路

3.2.3 配置步骤

3.2.4 配置注意事项

3.2.5 验证配置

4 微信认证功能使用限制及注意事项

1  简介

本文档介绍ACG1000设备微信认证配置举例，包括微信公众平台、微信认证配置。

微信认证支持两种认证方式：

·     通过认证URL认证。用户单击公众号指定的超链接（认证URL），该报文被设备截获，并与设备配置的认证URL进行对比，如果匹配则认证成功，并以终端IP为用户名上线。

·     通过小程序认证。用户授权小程序完成认证，小程序将获取的OpenID和手机号发给设备，设备以此将终端上线。

在配置前，先了解如下几个定义：

·     微信公众平台：是腾讯公司推出的互动营销开放应用平台，主要面向名人、政府、媒体、企业等机构推出的合作推广业务。

·     公众号：开发者或商家在微信公众平台上申请的应用账号，被分成订阅号、服务号、企业号，运营主体是组织（比如企业、媒体、公益组织）的，可以申请服务号，运营主体是组织和个人的可以申请订阅号，但是个人不能申请服务号。

·     微信ID：个人微信号的唯一标识。

·     OpenID:是是公众号的普通用户的一个唯一的标识，只针对当前的公众号有效。（公众账号ID和微信ID通过加密算法计算出来的，针对公众账号的唯一标示符）。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

在配置前，需要做如下准备：

·     客户已经申请公众号。

·     本文档假设您已了解微信认证特性。

3  微信认证功能配置举例

3.1  通过认证URL认证举例

3.1.1  组网需求

如图1所示，某公司内网无线办公网段IP地址172.16.11.0/24，在无线AP上开启DHCP，地址池为：172.16.11.2/24~172.16.11.254/24，使用设备的ge0和ge2接口以三层路由模式部署在网络中，设备上联出口FW，下联无线AP。在设备上开启微信认证功能，要求手机端设备使用无线网络时，关注指定公众号并单击公众号指定的超链接可以认证上网。

图1 微信认证路由模式三层组网图

3.1.2  配置思路

(1)     配置微信公众平台公众号，配置关键字回复或者自定义菜单等。

(2)     配置ACG1000设备

a.     配置接口及路由等基本网络配置；

b.     配置微信认证地址对象；

c.     配置微信认证参数；

d.     配置微信认证策略；

e.     配置用户识别范围；

f.     如果认证URL配置为域名时，需要配置DNS服务器及域名管理。

3.1.3  配置步骤

1. 配置微信公众平台。

(1)     登录微信公众平台。

在IE/Firefox/Chrome等浏览器中输入：HTTPS://mp.weixin.qq.com/，输入客户注册的用户名和密码，单击“登录”按钮可登录公众平台。

图2 登录微信公众平台

(2)     配置自动回复或自定义菜单。

选择“自动回复 > 关键词回复”，单击“添加回复”按钮，进入关键词回复配置界面，输入规则名称，关键词选择“全匹配”，并输入“上网”。

图3 配置关键词回复

(3)     回复内容选择“文字”，单击“文字”，新增回复文字信息如“<a href="http://www.*******.***/">点我上网</a>”，单击“确定”，完成回复内容配置。回复方式选择“全部回复”，单击“保存”后完成关键词回复配置。

图4 新增回复文字信息

2. 配置ACG1000设备

(1)     配置路由接口

如图5、图6所示，进入“网络配置>接口配置”，单击编辑ge2、ge0操作，把ge0、ge2的地址分别配置为192.168.100.2/24、172.16.11.1/24。

图5 配置ge0接口

图6 配置ge2接口

(2)     配置静态路由

如下图所示，配置访问外网的默认路由。

图7 配置静态路由

(3)     配置源NAT。

进入“策略配置>NAT转换策略>源NAT”，配置源NAT策略，接口选择外网口ge0。

图8 配置源NAT规则

(4)     配置微信认证地址对象

如下图所示，进入“策略配置>对象管理>地址对象>IPv4地址对象”，单击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，单击<提交>。

图9 配置微信认证地址对象

(5)     配置微信认证参数

进入“用户管理>认证管理>认证方式>微信认证”页面，选择用户名为IP地址，公众号名称配置为已申请的公众号。

图10 微信认证配置

(6)     配置微信认证策略

如下图所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“微信认证”，提交策略。

图11 认证策略页面

(7)     配置用户识别范围

如下图所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图12 用户识别范围

(8)     配置DNS服务器。

进入“网络配置>基础网络>DNS服务>DNS服务器”页面，添加DNS服务器，提交配置。

(9)     配置域名管理

进入“网络配置>基础网络>DNS服务>域名管理”页面，单击“新建”，配置域名为微信认证的URL中的域名，IP配置设备接口地址，提交配置。

图13 配置域名管理页面

3.1.4  配置注意事项

·     认证用户网段必须在用户识别范围中，否则单击一键打开微信连wifi按钮后无法正常唤起微信，导致不能正常认证。

·     微信公众平台配置的关键词必须要与设备微信认证页面配置的“认证步骤说明”中的描述信息一致。

·     微信公众平台添加的回复文字信息，href中url必须要与设备中配置的“认证URL”一致。

·     认证URL配置为URL地址时必须为http前缀，此处的URL需要配置为不可达的地址。

·     如果设置用户在公众号中输入关键字请求后进入认证，需要在微信公众号配置自动回复；如果设置用户单击菜单请求后进入认证，需要配置自定义菜单回复。此举例以自动回复为例，详细操作步骤可以查看微信公众平台的使用说明：https://kf.qq.com/faq/120911VrYVrA150210BBJvei.html。

·     认证URL可以配置为IP地址和域名，配置IP地址时必须是设备IP地址；配置为域名时需要配置DNS服务器和域名管理，在域名管理中必须将域名地址指向设备地址并且开启DNS映射，此处以域名为例。

·     认证步骤说明支持自定义配置，可以根据公众号的设置来配置认证步骤说明。

3.1.5  验证配置

1. 移动客户端使用微信认证进行上网。

(1)     移动客户端连接ssid上网时，浏览器弹出portal页面。

图14 移动客户端认证页面

(2)     用户单击“打开微信”，唤醒微信，搜索公众号并关注，回复“上网”。

(3)     单击“点我上网”，完成微信认证。

2. 在设备上查看认证用户

(1)     进入“数据中心>日志中心>终端日志>用户上下线日志”，单击“查询”，日志内容为“微信”，可以查看微信认证用户日志。

图15 微信认证用户日志

(2)     进入“数据中心>监控统计>在线用户”，单击“认证用户”，可以查看已认证成功用户，用户名显示为IP地址。

图16 查看微信认证成功用户

3.2  通过小程序认证举例

3.2.1  组网需求

如3.1.1  图1所示，某公司内网无线办公网段IP地址172.16.11.0/24，在无线AP上开启DHCP，地址池为：172.16.11.2/24~172.16.11.254/24，使用设备的ge0和ge2接口以三层路由模式部署在网络中，设备上联出口FW，下联无线AP。在设备上开启微信认证功能，要求手机端设备使用无线网络时，关注指定公众号并打卡小程序进行授权后，可以认证上网。

图17 微信认证路由模式三层组网图

3.2.2  配置思路

(1)     配置微信公众平台公众号

a.     配置小程序、

b.     配置自定义菜单。

(2)     配置ACG1000设备

a.     配置接口及路由等基本网络配置；

b.     配置微信认证地址对象；

c.     配置微信认证参数；

d.     配置微信认证策略；

e.     配置用户识别范围；

f.     配置DNS服务器及域名管理。

3.2.3  配置步骤

1. 配置微信公众平台。

(1)     登录微信公众平台。

在IE/Firefox/Chrome等浏览器中输入：HTTPS://mp.weixin.qq.com/，输入客户注册的用户名和密码，单击“登录”按钮可登录公众平台。

图18 登录微信公众平台

(2)     配置小程序。

单击“小程序管理”，选择“关联小程序”。根据提示添加已申请的小程序，关联成功后的页面如下图所示。

图19 关联小程序页面

(3)     配置自定义菜单，

单击“自定义菜单”，菜单内容选择“跳转小程序”，单击“选择小程序”选择已配置的小程序，配置完成后单击“保存并发布”。

图20 自定义菜单页面

2. 配置ACG1000设备

(1)     配置路由接口

如3.1.3  2. (1)图5、3.1.3  2. (1)图6所示，进入“网络配置>接口配置”，单击编辑ge2、ge0操作，把ge0、ge2的地址分别配置为192.168.100.2/24、172.16.11.1/24。

图21 配置ge0接口

图22 配置ge2接口

(2)     配置静态路由

如下图配置访问外网的默认路由。

图23 配置静态路由

(3)     配置源NAT。

进入“策略配置>NAT转换策略>源NAT”，配置源NAT策略，接口选择外网口ge0。

图24 配置源NAT规则

(4)     配置微信认证地址对象

如下图所示，进入“策略配置>对象管理>地址对象>IPv4地址对象”，单击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，单击<提交>。

图25 配置微信认证地址对象

(5)     配置微信认证参数

进入“用户管理>认证管理>认证方式>微信认证”页面，选择用户名为OpenID，公众号名称配置为已申请的公众号，配置相应参数后单击提交。

图26 微信认证配置

(6)     配置微信认证策略

如下图所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“微信认证”，提交策略。

图27 认证策略页面

(7)     配置用户识别范围

如下图所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图28 用户识别范围

(8)     配置DNS服务器。

进入“网络配置>基础网络>DNS服务>DNS服务器”页面，添加DNS服务器，提交配置。

(9)     配置域名管理

进入“网络配置>基础网络>DNS服务>域名管理”页面，单击“新建”，配置域名为微信认证小程序中设置的域名，IP配置设备接口地址，提交配置。

图29 配置域名管理页面

3.2.4  配置注意事项

·     认证用户网段必须在用户识别范围中，否则单击一键打开微信连wifi按钮后无法正常唤起微信，导致不能正常认证。

·     配置通过小程序认证，用户名选择OpenID时，用户上线后用户名显示为OpenID，用户名选择手机号时，用户上线后用户名显示为手机号。此处以用户名选择OpenID为例，选择手机号时，需要在微信认证的配置中，用户名选择“手机号”，其它配置步骤与OpenID相同。

3.2.5  验证配置

1. 移动客户端使用微信认证进行上网。

(1)     移动客户端连接ssid上网时，浏览器弹出portal页面。

图30 移动客户端认证页面

(2)     用户单击“打开微信”，唤醒微信，搜索公众号并关注，单击“微信认证”菜单。

图31 微信认证菜单

(3)     单击“授权申请”，进行OpenID和手机号的授权。

(4)     选择“允许”，完成微信认证。

2. 在设备上查看认证用户

(1)     进入“数据中心>日志中心>终端日志>用户上下线日志”，单击“查询”，日志内容为“微信”，可以查看微信认证用户日志。

图32 微信认证用户日志

(2)     进入“数据中心>监控统计>在线用户”，单击“认证用户”，可以查看已认证成功用户，用户名显示为OpenID。

图33 查看微信认证成功用户

4  微信认证功能使用限制及注意事项

·     微信认证一台设备下只支持一个SSID，暂不支持多个SSID。

·     部分安卓手机扫码后接wifi后不会发送http流量，不自动弹微信认证页面。与个别手机自己连wifi机制有关，设备是对终端的http流量进行重定向，如果终端手机没有http流量所以无法自动弹portal。此时需要手动打开浏览器触发弹portal完成接下来的认证流程，实现上网。

·     不支持pc端微信认证。

·     弹出微信认证页面后点击“打开微信”后，流量默认会放通1分钟，在这1分钟之内，对用户的流量不会进行阻断，所以用户在这1分钟内没有完成认证也可以发送消息。

·     微信认证不支持强制关注。

·     微信软件版本7.0.9-7.0.13支持浏览器从认证页面唤醒微信；微信软件版本7.0.14及以上版本点击认证页面的打开微信后需要手动打开微信完成接下来的认证流程，实现上网。