部署无线接入认证

适用场景

通常适用于流动性较大，终端类型复杂的访客用户网络认证

打印机、传真机等哑终端接入认证的场景

通常适用于对安全要求较高的办公用户的网络认证

客户端需求

不需要

不需要

需要

优点

部署灵活

无需安装客户端

安全性高

缺点

安全性不高

需登记MAC地址，管理复杂

部署不灵活

用户名密码认证

使用租户管理员创建的用户名密码或者终端用户自注册来完成接入认证。

-

• 管理员创建帐号适用于用户群体相对固定，企业员工可以使用此类方式。
• 用户自注册方式需要审批，适用于确认访客访问权限场景，比如会员等。

匿名认证

无需任何帐号，直接接入网络，控制器中自动将访客登录的帐号显示为匿名帐号。

-

适用网络开放，需要免费为顾客提供上网服务的场景。

短信认证

终端用户通过点击短信获取密码按钮，在系统中注册相应的访客帐号和密码信息，并通过短信服务器通知终端用户的密码来完成接入认证。

需要配置短信服务器。

适用访客认证，通过短信认证，可以提高访客身份有效性，商家将更便捷的获得用户信息，与之形成互动。

社交媒体认证

通过与微信或者Facebook进行对接联动，确保终端用户在不另外注册帐号的情况下使用自己的社交媒体帐号和密码在业务管理器的页面进行认证，通过认证之后可获得接入网络的权限。

• 如果是微信认证，企业具有自己微信公众号平台，要求微信公众平台与iMaster NCE-Campus之间网络互通。

• 企业必须向Facebook公司申请自己独立的Facebook帐号，以便获得Facebook公司的合法授权。

• 微信认证适用于商场门店提供一键关注微信公众号免费上网的场合。
• Facebook适用于海外门店提供免费上网场景。

Passcode认证

用户通过在推送的页面上输入Passcode并完成的接入认证。

-

接入方式较简单，适用门店访客场景。

不认证

在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“OFF”。

密码认证

PSK

在“安全认证”页面中将“认证方式”设置为“半开放网络”、“需要密码”，将“密钥类型”设置为PSK并设置“加密方式”、“加密算法”和SSID接入密码。

“加密算法”：

• AES：使用AES（对称加密算法）方式加密数据。
• AES-TKIP：使用AES和TKIP混合加密。用户终端支持AES或TKIP，认证通过后，即可使用支持的算法加密数据。
• TKIP：使用TKIP（临时密钥完整性协议）方式加密数据。

PPSK

在“安全认证”页面中将“认证方式”设置为“半开放网络”、“需要密码”，将“密钥类型”设置为PPSK并设置“加密方式”、“加密算法”、“逃生策略”。如果打开“MAC自动绑定”开关，则设备在第一次接入SSID时，系统将自动完成PPSK帐户和设备MAC的绑定。

当设备接入SSID时，如果所使用的PPSK帐户已经绑定了其他设备的MAC，则该设备无法接入SSID。

iMaster NCE-Campus作为Portal服务器

用户名密码认证

1. 配置用户组和用户

   提前录入用于认证的用户名和密码。也可以由用户通过Portal推送页面自行注册。

2. （可选）定制Portal推送页面

   iMaster NCE-Campus提供默认的Portal推送页面，如果使用默认页面可不定制。

3. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台内置认证”，将“推送方式”设置为“高级推送”，并将“登录方式”设置为“用户名密码认证”。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
4. 配置Portal推送策略

   针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略，其他认证方式必须配置推送策略。

5. 配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

6. 配置授权规则

   终端用户认证通过后具备哪些权限由授权结果指定，认证通过后满足配置的授权规则，表示匹配授权规则，授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置，表示适用于所有认证通过后的终端用户。

7. （可选）配置用户在线控制策略

   针对终端用户做上网时长或流量的限制，达到阈值后强制下线。

短信认证

1. 配置短信服务器

   短信认证必须配置对接的短信服务器。终端用户认证时由短信服务器向终端用户发送包含认证密码的短信。

2. （可选）定制Portal推送页面

   提供默认的Portal推送页面，如果使用默认页面可不定制。

3. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台内置认证”，将“推送方式”设置为“高级推送”，并将“登录方式”设置为“短信认证”。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
4. 配置Portal推送策略

   针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略，其他认证方式必须配置推送策略。

5. 配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

6. （可选）配置授权规则

   终端用户认证通过后具备哪些权限由授权结果指定，认证通过后满足配置的授权规则，表示匹配授权策略，授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置，表示适用于所有认证通过后的终端用户。

7. （可选）配置用户在线控制策略

   针对终端用户做上网时长或流量的限制，达到阈值后强制下线。

匿名认证

1. （可选）定制Portal推送页面

   提供默认的Portal推送页面，如果使用默认页面可不定制。

2. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台内置认证”，将“推送方式”设置为“高级推送”，并将“登录方式”设置为“匿名认证”。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
3. 配置Portal推送策略

   针对不同认证条件推送差异化页面。如果使用缺省策略，对匿名认证的所有终端用户推送系统默认页面。

4. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

5. （可选）配置授权规则

   终端用户认证通过后具备哪些权限由授权结果指定，认证通过后满足配置的授权规则，表示匹配授权策略，授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置，表示适用于所有认证通过后的终端用户。

Facebook认证

访客通过Facebook帐号接入网络

Passcode认证

1. 配置用户组和用户

   提前录入用于认证的Passcode。

2. （可选）定制Portal推送页面

   提供默认的Portal推送页面，如果使用默认页面可不定制。

3. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台内置认证”，将“推送方式”设置为“高级推送”，并将“登录方式”设置为“Passcode认证”。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
4. 配置Portal推送策略

   针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略，其他认证方式必须配置推送策略。

5. 配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

6. 配置授权规则

   终端用户认证通过后具备哪些权限由授权结果指定，认证通过后满足配置的授权规则，表示匹配授权策略，授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置，表示适用于所有认证通过后的终端用户。

7. （可选）配置用户在线控制策略

   针对终端用户做上网时长或流量的限制，达到阈值后强制下线。

作为中继服务器

API对接

1. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台中继认证”，将“对接方式”设置为“API”。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
2. 配置Portal推送策略

   针对不同认证条件推送差异化页面。此处需要在策略中配置“登录方式”为“第三方认证”，“对接方式”设置为“API”，“第三方认证URL”设置为第三方Portal服务器的URL。

3. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。只下发策略，策略管理由第三方Portal服务器负责。

RADIUS中继对接

1. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“云平台中继认证”，将“对接方式”设置为“RADIUS中继”。
   2. 设置第三方Portal页面认证所需的用户名、密码等参数，并选择RADIUS中继服务器。
   3. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
2. 配置Portal推送策略

   针对不同认证条件推送差异化页面。此处需要在策略中配置“登录方式”为“第三方认证”，“对接方式”设置为“中继”，配置“URL模板”，“第三方认证URL”设置为第三方Portal服务器的URL。

3. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。只下发策略，策略管理由第三方Portal服务器负责。

第三方Portal服务器

1. 定制配置模板

   添加第三方Portal服务器模板和RADIUS模板。

2. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“开放网络”，将“是否推送页面”设置为“ON”，将“页面推送方式”设置为“第三方认证”，通过模板指定第三方Portal服务器和RADIUS服务器。
   2. （可选）根据需要，配置“Portal免认证”、“默认放行规则”、“逃生策略”。
      说明：

      只有V200R009C00及以后的版本才支持“Portal免认证”和“逃生策略”。

   3. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
3. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

第三方RADIUS服务器

802.1X认证

1. 定制配置模板

   添加RADIUS模板。

2. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“安全网络”，设置加密方式，并通过模板指定RADIUS服务器。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
3. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。

MAC认证

1. 定制配置模板

   添加RADIUS模板。

2. 配置SSID
   1. 在“安全认证”页面中将“认证方式”设置为“半开放网络”、“不需要密码”，并通过模板指定RADIUS服务器。
   2. 在“策略控制”页面中不配置任何信息，以后面配置的“认证授权策略”为准。
3. （可选）配置授权结果

   指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。