iMC 智能门户管理（Intelligent Portal Management, 简称 IPM）是为金融、商场等场所提供 WiFi 营销而设计的管理平台。以网点为基础，实现门户认证策略的自主定制，并通过监控分析客流数据，实现灵活的广告推送服务，可以根据网点、网点分组、SSID、时间段等推送不同的广告页面。该平台满足门户网点管理和营销需求，综合提升各场所服务质量和用户上网体验。

系统为分支门户创建网点及网点分组，并为每个门户定制无线网络服务。管理员创建页面模板、认证策略、网点、网点分组以及构建所有的绑定关系，用户上线认证，对认证用户进行管理，并对无线网络资源和用户信息进行实时监控。

IPM现有“短信认证”、“账号认证”、“微信认证”三种认证方式，本篇通过一个典型的案例来介绍IPM微信认证的详细配置方法。

已有正确的无线组网，终端可以连接无线并获取正确的地址；有能够正常使用的 AC、AP 及 SSID 等 WSM 配置，并保证终端到 iMC 认证服务器、AC 上行口到 iMC 认证服务器都是通的。后台访问 iMC 服务器的客户端能上外网。

如果需要配合ACG对认证用户的上网行为进行规范审计，需要配置ACG和IPM的上下线用户同步，本案例不涉及ACG，故不包含此部分。

一、版本要求

1.无线AC须支持轻量级 Portal 认证，设备版本：B64D016SP32 及以上；

2.iMC PLAT 7.3 E0503及以上；

3.iMC WSM 7.3 E0504及以上；

4.iMC IPM 7.3 E0503及以上；本案例使用7.3 E0504P03；

二、安装iMC IPM

1.在部署监控代理界面点击【安装/升级】，如下图所示：

2.点击【浏览】选择IPM安装包目录，如下图所示：

3.按照安装向导提示一步步完成IPM的安装和部署。如下图所示：

4.安装部署完成后启动iMC，保证所有的进程都运行正常。

注：IPM组件依赖于WSM，所以安装前必须先安装部署配套的PLAT和WSM。具体操作方法可参考《iMC智能管理平台安装部署指导》。

三、在WSM中增加AC设备

1.登录iMC管理页面点击【资源/增加设备】将无线控制器加入iMC，添加过程中需要配置好SNMP读写团体字参数，保证iMC能正确识别设备型号，如下图所示：

2.上步完成后等待一段时间，在“业务--无线业务管理--资源管理--无线控制器列表”页面即可看到无线控制器已经被WSM正确识别，如下图所示：

四、微信公众平台配置

1.登录微信公众平台http://mp.weixin.qq.com，在“门店管理”中新建门店，如下图所示：

2.在“微信连WiFi”中增加用于微信认证的设备，设备类型选择“portal型”，网络名称（SSID）填写现场所用的无线SSID，如下图所示：

3.上步添加完成后在“详细信息”中可以看到微信认证设备的详细信息，如下图所示：

注：“微信连WiFi”是微信公众平台的一个用于认证的功能模块，需要事先向腾讯申请开通好。

五、增加IPM微信配置

1.登录iMC管理页面，为了页面显示效果好，在配置IPM时首先建议切换到“智能门户管理”视图，如下图所示：

2.在“系统参数--微信认证配置”页面增加微信公众号配置，相关参数要和微信公众平台上配置的一致，名称可以随便填，如下图所示：

六、增加页面广告

在“广告推广--广告管理”页面点击【增加】来增加想要的广告页面，如下图所示：

七、增加页面模板

在“页面模板”页面根据需要定制广告首页、认证页及认证完成页，定制完后并将模板设置为已发布状态。如下所示，页面模板有三种状态：未发布（灰色，此时可以编辑）、已发布（绿色，不可编辑，只有发布状态的页面模板才能被认证策略绑定）、已绑定（红色，标示已绑定到某认证策略上）。

八、增加认证策略

在“认证策略”页面点击【增加】新建一个认证策略，在策略中可以设置无感知时长（用户在无感知时长内下线后再次连WIFI时，可以不用再次输入验证码，直接通过“一键认证”上网），闲置时长等参数。如果所绑定的页面模板里的认证方式有微信认证，则需要选择微信公众号；如下图所示：

九、增加网点分组

网点分组用于将网点规范管理，在创建网点前可以先创建网点分组，网点分组中可以配置绑定的认证策略，后续此网点分组下的网点都会绑定到对应的认证策略，网点分组中的区域和地址等是用于后续IPM微信运营功能的，和微信平台上的门店配置不要求完全一致，如下图所示：

十、增加网点

根据提示填写，地址和经纬度直接从地图选择即可，选择所属网点分组；增加关联AP，选择实际使用的真实AP，ACG可不选，如果需要配置ACG，则需要先在“系统配置-->ACG配置”增加ACG配置。如果已在上步的网点分组中绑定了认证策略，则这步可不绑定认证策略。如下图所示：

十一、配置立即生效

配置更改后系统需要等待下一次轮训才能使其生效，如果需要立即生效的话可以点击系统参数中的“认证数据及系参数配置”立即生效，如下图所示：

十二、AC配置

本案例只涉及IPM微信认证过程所涉及的配置，像AP注册、网络路由等基础配置请参考相关无线配置案例预先配置好。

1.配置认证域，创建并进入名称为cloud的认证域
#[H3C] domain cloud

2.配置认证域的AAA方法，认证方法为免认证
[H3C-isp-cloud] authentication portal none
[H3C-isp-cloud] authorization portal none
[H3C-isp-cloud] accounting portal none
[H3C-isp-cloud] quit

3.配置portal local-web-server
# 
[H3C] portal local-web-server http
#
注：默认情况下AC的portal local-web-server http视图下可能存在default-logon-page defaultfile.zip、tcp-port 8080这两行配置，需要手工删掉。

4.配置Portal WEB服务器
# 
[H3C] portal web-server authserver
[H3C-portal-websvr-authserver] url http://172.17.0.100:8080/wsmAuth/protocol //此 IP 修改为认证服务器的 IP
[H3C-portal-websvr-authserver] server-type oauth
[H3C-portal-websvr-authserver] captive-bypass enable //配置Portal WEB服务器兼容IOS连接WIFI功能
[H3C-portal-websvr-authserver] if-match original-url http://1.1.1.1 temp-pass //配置Portal WEB服务器匹配拉起微信时临时放行域名
[H3C-portal-websvr-authserver] if-match user-agent micromessenger temp-pass
redirect-url http://172.17.0.100:8080/wsmAuth/protocol //配置Portal WEB服务器匹配微信扫一扫时临时放行UA，注：此IP修改为认证服务器的IP
#

5.创建无线服务模版weixin
# 
[H3C] wlan service-template weixin
[H3C-wlan-st-weixin]vlan 50 //配置基于无线服务模板的 VLAN
[H3C-wlan-st-weixin] ssid WXauth //配置 SSID
[H3C-wlan-st-weixin] portal enable method direct //在无线服务模版weixin上使能直接方式的Portal认证
[H3C-wlan-st-weixin] portal domain cloud //在无线服务模版weixin上指定认证域
[H3C-wlan-st-weixin] portal apply web-server authserver  //在无线服务模版weixin上引用Portal Web服务器 authserver
[H3C-wlan-st-weixin] portal temp-pass period 300 enable  //在无线服务模版weixin上配置临时放行功能，默认为30s，建议配成300s
[H3C-wlan-st-weixin] service service-template enable  //使能服务模板
[H3C-wlan-st-weixin] quit
# 

6.配置两条基于目的的 Portal 免认证规则（端口号 53 表示 DNS 报文）
#
[H3C] portal free-rule 2 destination ip any udp 53
[H3C] portal free-rule 3 destination ip any tcp 53
# 

7.配置访问微信服务器的 portal 免认证规则，用于放行微信客户端（针对先连接 ssid
后扫码操作），需要根据实际情况添加
#
[H3C] portal free-rule 4 destination long.weixin.qq.com
[H3C] portal free-rule 5 destination szlong.weixin.qq.com
[H3C] portal free-rule 6 destination extshort.weixin.qq.com
[H3C] portal free-rule 7 destination szshort.weixin.qq.com
[H3C] portal free-rule 8 destination mp.weixin.qq.com
[H3C] portal free-rule 9 destination szextshort.weixin.qq.com
[H3C] portal free-rule 10 destination short.weixin.qq.com
[H3C] portal free-rule 11 destination minorshort.weixin.qq.com
[H3C] portal free-rule 12 destination dns.weixin.qq.com
[H3C] portal free-rule 13 destination ***.***
[H3C] portal free-rule 14 destination wifi.weixin.qq.com
[H3C] dns server 114.114.114.114  //为了使 AC 上配置的 free-rule 生效，必须在 AC 上配置 DNS ,本案例DNS Server为114.114.114.114
#

8.如果广告使用微信里的链接文章，则需要对 ***.***/放行，因为微信对图片有保护，需要处理
#
[h3c] portal free-rule 15 ***.***
#

9.配置nas-id，与配置文件iMC\client\conf\wiportal\conf.properties一致
#
wlan global-configuration
nas-id wiportal
#

10.在AP射频口引用服务模板，并启用射频口
#
[H3C]wlan ap ap1
[H3C-wlan-ap-ap1]radio 1
[H3C-wlan-ap-ap1-radio-1]service-template weixin
[H3C-wlan-ap-ap1-radio-1]radio enable
#

十三、终端上线测试

使用手机连接无线信号WXauth，浏览器访问任一网站，会自动重定向到IPM微信认证页面，如下图所示：

点击“微信连接Wi-Fi”按钮，弹出调用手机微信弹窗，如下图所示：

选择“打开”页面会自动唤起微信并进行认证，待终端上线后返回认证成功页面。如下图所示：

1.IPM 7.3E0504P03及之前版本的配置向导中微信公众号配置链接到的是微信运营，实际配置中需要在系统参数中配置微信平台；

2.IPM提供强大的运营管理功能，网点分组、网点、微信运营中的配置都是后续展现数据所用，和认证流程本身无关；

3.认证前需保证终端和iMC服务器、终端和微信服务器wifi.weixin.qq.com、终端和DNS服务器连通；

4.AC上portal web-server配置部分的URL是http://172.17.0.100:8080/wsmAuth/protocol，而不是http://172.17.0.100:8080/wsmAuth/portal，切勿混淆；