EIA结合AC采用匹配URL临时放行的方式进行微信认证的典型配置

目前EIA支持的访客上线的方式主要有短信认证、微信认证、二维码认证、BYOD认证、访客自助预注册及访客管理员提前开户等几种方式，各自的优缺点如下：

短信认证：自助开户、不用管理员干预，易于审计，但是需要短信费用；

二维码认证：支持自动转正及管理员干预转正，自动转正的无法审计到用户，管理员干预的不适用于大规模场景；

BYOD认证：支持自助转正上线，但是无法审计到最终用户；

访客自助预注册及管理员提前开户：需要管理员审批，不适用于大规模场景；

微信认证：用户通过微信客户端自助上线，适合各种场景，同时支持审计到最终用户。

从以上对比可以看出，访客认证选择微信认证的方式更好，且目前微信认证已经在市场大规模铺开应用。

微信认证支持公众号认证和一键连WiFi方式，公众号认证方式已基本不再使用；一键连WiFi方式放通微信服务器的方法又分为：配置临时用户、配置Portal free-rule和匹配特定URL临时放行的方式，这三种里面第三种方式即匹配特定URL临时放行的方式用户体验最好，本文即介绍该种方式下的微信认证典型配置。

版本及组网说明：

EIA：要求7.3 E0505H03及以上版本，硬性要求；

AC：V7版本且必须支持if-match ,temp-pass功能，本例：version 7.1.064, Release 5208P03

微信客户端：6.5.0及以上，本例：6.5.8

认证通过前要求终端可以和iMC服务器互通；终端所在vlan 121：192.168.121.0/24，服务器所在vlan 113:192.168.113.0/24.

1.      AC侧配置

1.1配置3A认证指向iMC服务器

[V7_AC-radius-h3c]dis this

radius scheme h3c

 primary authentication 192.168.113.16 key simple 123

 primary accounting 192.168.113.16 key simple 123

 user-name-format without-domain

 nas-ip 192.168.113.252

    开启radius session-control功能，否则强制下线功能不生效。

[V7_AC]radius session-control enable

[V7_AC-isp-h3c]dis this

domain h3c

 authorization-attribute idle-cut 20 102400////20分钟内终端流量达不到100KB则下线

 authentication portal radius-scheme h3c

 authorization portal radius-scheme h3c

     accounting portal radius-scheme h3c

1.2 Portal相关配置

[V7_AC]portal web-server imc

[V7_AC-portal-websvr-imc]dis this

portal web-server imc

 url http://192.168.113.16/portal/

必须在重定向URL加上ssid、usermac和userip等信息。

 url-parameter ssid ssid

 url-parameter wlanuserip source-address

 url-parameter wlanusermac source-mac

匹配的临时放行网络的url，固定写为http://1.1.1.1,临时放行时间在wlan服务模板视图配置。终端访问iMC时，iMC会下发该URL，当用户点击一键连WiFi时终端会首先访问该IP地址，设备就会临时放通网络。

 if-match original-url http://1.1.1.1 temp-pass

[V7_AC-portal-server-imc]dis this

portal server imc

 ip 192.168.113.16 key simple 123

配置portal free rule，主要是放通DNS和iMC服务器。

portal free-rule 1 destination ip 8.8.8.8 255.255.255.255

 portal free-rule 2 destination ip 114.114.114.114 255.255.255.255

 portal free-rule 3 destination wifi.weixin.qq.com

 portal free-rule 4 destination ip 192.168.113.16 255.255.255.255

1.3用户网络相关配置

dhcp enable

[V7_AC-Vlan-interface121]dis this

interface Vlan-interface121

 ip address 192.168.121.254 255.255.255.0

dhcp server ip-pool vlan121

 gateway-list 192.168.121.254

 network 192.168.121.0 mask 255.255.255.0

 dns-list 114.114.114.114

1.4 wlan服务模板配置

[V7_AC-wlan-st-21]dis this

wlan service-template 21

 ssid weixin

 vlan 121

 akm mode psk

 preshared-key pass-phrase simple  xxxxxx

 cipher-suite tkip

 security-ie wpa

 portal enable method direct

 portal domain h3c

 portal bas-ip 192.168.113.252

 portal apply web-server imc

 portal temp-pass period 40 enable----临时放行时间为40秒

 service-template enable

1.5路由相关配置

配置默认路由保证接入设备可以访问微信服务器等互联网资源；

1.6 AP相关配置

[V7_AC-wlan-ap-ap01]dis this

wlan ap ap01 model WA4320H-ACN

 serial-id 219801A0P79166G01417

 nas-id wipportal

radio 1

  radio enable

  service-template 21

  service-template 22

 radio 2

  radio enable

  service-template 21

  service-template 22

2.公众平台配置

在微信公众平台申请公众号，并在平台上开通Wi-Fi插件，创建一个门店并在门店下增加AP设备信息；设备类型必须选择Portal型设备，并输入网络名称（SSID），本例为weixin

1.      iMC侧配置

配置缺省访客服务，服务后缀需要与Radius配置保持一致，也可以配置访客策略使用明细的访客服务。

配置缺省访客管理员，也可以配置访客策略使用明细的访客管理员。

配置单点登录，此处配置的共享密钥用于EIA校验第三方Web应用系统（此处指微信认证进程）的合法性，只有二者一致才认为是合法的。由于微信认证进程是由H3C开发的，可认为是可信的程序，因此将微信认证进程设计为直接从数据库中读取此处配置的共享密钥，所以共享密钥可任意配置。

公众号配置

公众号名称随意填写，勾选微信连WiFi，其他选项根据实际情况填写。

公众号里面增加AP设备，shopid等信息可从微信公众平台获取。配置的AP数量取决于现场的SSID数目，如果只有一个SSID，则只配置一个AP即可

点击生效

右上角必须勾选“微信认证临时放行”，否则iMC不会下发1.1.1.1的URL。

Portal相关配置，本例只截取了端口组配置，如果不是用页面推送策略，则缺省认证页面必须配置phone-微信认证。

页面推送策略配置，保证PC认证时弹出PC的微信认证页面，手机认证时弹出手机的认证页面。

接入设备配置（略）

终端上线测试，连接SSID：weixin，弹出微信认证页面后点击一键连WiFi。

上线成功。

查看在线用户

PC连接上SSID，打开浏览器，页面重定向到二维码认证页面，用户打开微信客户端扫一扫二维码开始认证，如下图所示。

微信客户端扫完二维码，跳转到确认上网页面，如下图所示。

在手机上点击<确认>，PC通过认证可以上网。

获取手机号配置：

手机号获取无需前台配置，只需要在服务器对配置文件进行修改即可。考虑对微信用户的隐私性，我们在认证后，只能获取到微信的tid的值，该值是对用户的手机号进行加密过的，如需要获取手机号，需要向腾讯申请对应该公众号的加密密钥，通过密钥才能对tid进行解密，具体配置方式如下

密钥申请方式

1：填写《微信连WiFi登录认证申请表》，并打印后盖上公章。

2：准备带有公章的《微信连WiFi登录认证申请表》（从本文附件获取）、《营业执照》、申请人身份证（正反）的扫描件。

3：填写《微信连WiFi登录认证申请表》电子版一份

4： 将上述准备好的材料一并发送邮件到wifiaq@***.***，并抄送v_hhzhu@***.***等待审核通过后会邮件收到手机号的解密key和使用帮助说明。

配置说明

1.        首先需要向腾讯申请解密tid参数值的密钥。

2.        修改配置文件

\iMC\client\conf 找到该路径下的tidSecret.xml文件，并打开。

配置格式示例如下：

<appid id="wxee7c564c5caafacd">

    <secret>39b55321c8db8f4ee457006086cba775</secret>

    <secret>2c2916bce444a4e8dd8037c66438c48e</secret>

    <secret>a3d32b429a59a8c5004aae887a12f55b</secret>

    <secret>cd491ffc37bdf4eb4b1c4bc8ef89e4be</secret>

    <secret>8a5d63da71c1c74960dc545786a37c0a</secret>

    <secret>c2b1640d3c448eb60fe4cafb46585b45</secret>

    <secret>7508e398e1eb11199441599970454e7c</secret>

    <secret>33096f4202771b24b5f74be2334f3b1c</secret>

  </appid>

appid标签中的id值为微信公众号的appid，将appid填入id=" "中。

八个<secret></secret>标签中的值，对应申请得到的八个密钥，依次填入标签中即可。

配置完成后，iMC前台页面微信公众号中点击“生效”，使配置生效。

强制关注公众号的条件：

1：前台页面需要勾选“强制关注公众号”功能；

2：必须配置AppSecret值，只有手机支持强制关注，PC支持。

获取用户昵称的条件：

1：勾选腾讯认证账号；

2：终端认证通过后关注公众号；

3：配置AppSecret值。

终端自动弹页面配置

1：如果想要iOS自动弹Portal页面，配置mac-triger时免费流量阈值必须设置；

2：iOS默认会自动弹Portal页面，但是iOS 9.3自动弹得慢，所以一般推荐把自动弹页面功能关掉。

v7设备配置

portal web-server 123

captive-bypass enable关闭iOS自动弹页面功能；

v5设备配置

portal silent android 禁止安卓自动弹页面功能；

portal silent ios user-agent CaptiveNetworkSupport  禁止iOS自动弹页面。