信锐技术无线控制器对接锐捷设备实现有线侧portal认证

锐捷认证客户端无线认证功能使用说明一、限制列表锐捷网络RG-Supplicant（下文简称Su）软件从Su3.63版本开始支持无线认证功能。

此功能要依赖微软操作系统的相关无线组件，微软公司不同版本操作系统的无线组件功能上稍有差别，Su的无线功能对操作系统的依赖列表如下：A、Windows XP sp2系统可以使用Su的无线认证功能，但需要确保安装微软msxml6.msi补丁以及WindowsXP-KB918997-v6补丁，在使用Su的无线功能前还需要确保开启Wireless Zero Configuration服务，并确保此服务能正常使用。

B、Windows XP sp3系统不需要安装无线补丁即可使用Su的无线认证功能。

但要确保开启Wireless Zero Configuration服务，并确保此服务能正常使用。

C、Vista以及Vista Sp1系统默认就支持无线认证，不需要额外安装补丁，但需要确保WLAN AutoConfig服务被开启，并且此服务能正常使用。

D、Su的无线认证功能不支持在Windows 2000、XP（无补丁）、XP sp1以及Windows2003系统下使用。

Su支持的无线网络认证类型为WPA- Enterprise 以及WPA2- Enterprise，不支持共享式（WPA-Personal、WPA2-Personal）无线连接，开放式无线认证方案请使用原有的EAP-MD5进行认证，结合无线网络功能所支持的无线802.1x认证类型固定为PEAP-MSCHAPv2认证，暂不支持证书认证。

安全的无线认证功能不支持使用中文用户名以及中文服务名进行认证(Su以及微软操作系统自带无线客户端均不支持中文用户名认证)，这一点要同有线认证功能区分开。

原有的开放式无线认证支持使用中文用户名以及服务名进行认证。

二、无线客户端的使用方法Su在发到用户手上的时候，无线网络一般情况下是被定制好的，用户只需按照安装时的提示要求进行安装，然后重启系统即可使用。

初级课程课时二实验1、实验一1.1实验背景提供1台NAC ，2个AP ，一个POE 交换机网络拓扑环境如下图，AP 由NAC 统一管理，给AP 分配地址网段是172.16.1.0/24，给终端分配地址网段是192.168.1.0/24，统一由NAC 做DHCP 服务器。

1.2实验拓扑INTERNETAPAP NACPOE出口网关Eth11.3 实验内容配置无线网络SSID ，认证方式为WPA-PSK/WPA2-PSK （个人），可正常认证上网。

2、实验二2.1实验背景提供2台NAC，2个AP，一个核心交换机，一个POE交换机客户现有有线网络，有线终端都从核心获取地址，客户要求核心统一做DHCP服务器给无线AP和终端分配IP地址，根据客户现有网络搭建的无线网络拓扑如下图所示。

2.2实验拓扑2.3 实验内容1)无线控制器双机部署2)无线AP跨网段激活在控制器上实现三层集中转发3)客户不同部门以及访客分别获取vlan2、3和4网段的地址正常上网3、实验三3.1实验背景提供1台NAC ，2个友商控制器（可用NAC 模拟），两个友商AP （可用NAC 模拟），一个核心交换机，一个POE 交换机（可选）现有友商无线设备，终端本地转发上网。

需要新增信锐NAC 做portal 服务器来实现portal 认证，网络拓扑如下，给AP 分配地址网段是172.16.1.0/24，给终端分配地址网段是192.168.1.0/24，统一由核心做DHCP 服务器。

3.2实验拓扑INTERNETAPAP Portal 服务器核心SW 出口网关Eth1Eth1Portal客户端POE3.3 实验内容1) 我司WAC 对接友商控制器做portal 服务器2) 配置微信认证。

NAC与城市热点计费系统对接说明2016年5月项目背景客户已经部署了一套华三的无线设备（包括控制器和AP）与一套TP-LINK的企业级瘦AP 架构的无线，目前需要做portal认证并计费（账号认证），单独购买我司控制器做portal服务器用于无线用户的认证并且后期也会同时，进行第三期的无线招标。

本次主要做技术认可，便于后期招标的进行。

一、部署网络拓扑1、在测试TPlink无线AP，采用我司有线认证达到客户需求，测试一直无法弹出portal页面，一直显示重定向次数过多，错误截图如下：原因是（1）有线认证的web认证策略配置有问题导致，（2）全局排除地址中没有排除本控制器的IP （3）软件包要采用4月18日以后的软件包，如下所示：采用WAC_3.2(20160418).ssu以后的软件包才支持有线认证的计费功能。

2、测试我司无线和城市热点计费系统对接，没有问题。

二、NAC的配置截图和说明1、基础网络配置设备以网桥的模式串在测试网络里，按照拓扑配置认证服务器Raduis:192.168.0.123(城市热点的计费系统都是标准的Raduis服务器)。

除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为sundray2、配置web认证策略这里需要注意的是，虽然是以本控制器做为portal服务器，并且采用有线认证实现portal认证计费。

但是配置web认证策略的时候，策略类型要选择：第三方设备portal 对接策略，Sundray NAC协议。

同时，复制对接URL，如果点击复制按钮没有作用，可以直接crtl +C 复制（特别是后面的url_id号）3、portal服务器添加和城市热点计费服务器添加4、放通portal服务器地址5、配置有线认证策略(1)选取认证接口区域(2)配置有线认证选取对接第三方portal服务器认证，并且选取刚才建立的portal服务器选取账号认证中的认证服务器和计费服务器，都是刚才对接的城市热点计费系统地址(3)如果选取采用本控制器作为portal服务器，你就会发现账号认证那里没有了计费服务器的选择。

NAC-3.2正式版对接电信ewifi portal平台信锐网科技术有限公司2016年 6 月 15 日目录目录 (2)项目背景 (3)一、部署网络拓扑 (3)1、portal服务器参数 (3)2、radius服务器参数 (4)3、NAC参数 (4)二、设备平台配置 (4)1、NAC-portal服务器配置 (4)2、NAC-radius服务器配置 (5)4、电信-ewifi-portal平台配置 (5)三、对接测试 (5)1、现象：Portal界面显示错误； (5)原因：portal的URL有问题 (5)2、现象：NAC发送给radius的认证用户名错误； (6)原因：portal服务器的地址和portal-URL地址是不一样的 (6)3、现象：AAA认证失败； (7)原因：NAC发送给radius服务器的认证数据缺少字段 (7)4、添加radius字段,测试认证成功 (9)四、对接总结 (10)项目背景客户的无线要使用电信的portal平台做认证,部署的是我司的无线AP和NAC，目前需要做portal认证对接,NAC做portal客户端在电信公司做短信认证测试。

一、部署网络拓扑1、portal服务器参数Portal-server地址：10.10.10.1portal-server key：123456portal-url:http:// 10.10.10.1/wlanPortal/portal_manage/entrance2、radius服务器参数radius地址: 10.10.20.1radius认证端口：1812radius计费端口：1813radius key密钥：1234563、NA C参数https:// 10.10.30.1NAC携带参数：nasid 、ap-mac、userip、user-mac、nas-ip、redirect、wlanacname二、设备平台配置1、NA C-portal服务器配置2、NA C-radius服务器配置4、电信-ewifi-portal平台配置三、对接测试1、现象：Portal界面显示错误；原因：portal的UR L有问题连接无线，发现portal界面可以弹出来，但是显示错误。

WAPI认证详细配置文档信锐网科技术有限公司2017年6月4日第1章项目背景1.1.认证协议概况当前全球无线局域网领域仅有的两个标准，分别是美国行业标准组织提出的IEEE802.11系列标准(俗称Wi-Fi，包括802.11a/b/g/n/ac等)，以及中国提出的WAPI标准。

WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准本方案已由国际标准化组织ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)正式批准发布，分配了用于WAPI协议的以太类型字段，这也是中国在该领域惟一获得批准的协议WAPI同时也是中国无线局域网强制性标准中的安全机制。

与WIFI的单向加密认证不同，WAPI双向均认证，从而保证传输的安全性。

WAPI安全系统采用公钥密码技术，鉴权服务器AS负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。

当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。

根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点APWAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理。

从而满足更多用户和更复杂的安全性要求1.2.项目背景虽然WAPI认证没有在全世界普及，但是在中国还是占有一席之地的，特别是在一些政府机关以及金融机构的办公网会见到其身影，本次项目采用的正是WAPI认证。

本次对接的WAPI服务器厂商是北京数字认证股份有限公司，该公司在全国各个行业都有着十分丰富的客户案例。

第2章配置细节2.1.网络拓扑本次因为是测试项目，故没有深入的与客户网络进行对接，客户只是简单的提供几个IP地址，供WAPI 认证服务器与我司设备能够网络可达。

NAC对接锐捷做有线portal认证2016年8月锐捷对接Portal 服务器一、项目背景：目前客户网络已经搭建了一套锐捷的无线系统（包括控制器和AP ），现在客户想使用我们的控制器当Portal 服务器实现锐捷无线网络用户的微信认证；咱们目前最新版本的控制器做portal 服务器对接锐捷设备还在完善，可以采用有线认证的方式将底下的无线用户当作有线用户统一完成对接。

二、客户网络拓扑1、锐捷无线控制器数据转发模式为集中转发，AP 和锐捷控制器跨三层部署。

2、核心交换机上vlan2096网关为10.60.16.1/20，vlan4094网关为10.0.111.1/29且此网段能够访问互联网；Vlan2096:10.60.16.1/20Vlan4094:10.0.111.1/29无线用户vlan209610.60.16.0/20TrunkTrunk信锐锐捷三、测试部署网络拓扑说明1、因为锐捷无线控制器的数据转发模式为集中转发，所以我们可以将控制器串联在核心与锐捷无线控制器之间，端口属性均设置为trunk。

2、创建vlan4094，并配置正确的路由，dns，使控制器能够与外网正常通信。

3、在有线配置--有线认证--接口区域中启用区域1，并配置认证接口为eth1，eth2，vlanif4094，认证vlan为4094。

4、在认证授权--portal服务--服务器参数中启用内置portal服务，并在web认证策略中配置好微信认证的认证策略。

5、最后在有线配置--有线认证--认证策略中新增一个有线侧认证策略，适用范围就是无线用户所处的整个网段，仅仅对这个网段的用户做认证。

在认证类型要选好当前的网络环境，比如本案例是认证用户与认证接口跨越三层网络，终端使用dhcp自动获取IP。

整体配置过程都比较简单。

现场经过测试，这样锐捷的所有无线终端都可以正常通过我司控制器进行微信认证。

四、问题分析最后在测试过程当中出现一些问题也稍微分享一下。

信锐无线结合宁盾无线统一认证解决方案信锐无线结合宁盾无线统一认证解决方案一、问题分析成立于深圳的信锐技术是网络安全设备厂商深信服集团投资建立的公司。

信锐无线WLAN解决方案，在身份认证安全管理方面，可对网络用户的身份进行权限管理，还可对接深信服做上网行为管理，从而保保障企业信息安全。

无线网络的易扩展性和开放性，使得多期建设项目中并存多家厂商的无线设备。

多品牌设备混杂，互相协调能力差、用户难以做统一的身份认证及访问权限控制，所带来的管理和安全上的缺陷越来越明显。

因技术实现方式的差异，且受限于信锐自身硬件设备性能，信锐无线WLAN解决方案在多分支异构环境实现统一接入认证的成本昂贵。

对此，信锐无线联合宁盾一体化认证平台，打造了一套更具兼容性优势的无线统一认证解决方案，集中式管理多分支无线网络，加固无线网络的安全性，并联动上网行为管理设备，实现实名审计合规。

二、解决方案1、宁盾无线统一认证方案概述宁盾无线统一身份认证是一个轻量级、中心化的无线Portal 接入认证服务平台，经过身份认证技术及访问控制策略，加强无线网络安全。

支持多无线品牌、多分支异构及审计网关接入能力，能够帮助多分支组织机构，如大型企业、联合办公、Shopping Mall、银行网点、连锁超市、连锁门店等，建立统一的网络接入和认证管理中心。

信锐无线结合宁盾无线统一认证方案网络拓扑如下：经过在数据中心部署宁盾无线统一身份认证平台，可实现所有厂商无线设备统一认证，整合无线网络，建立多分支统一认证中心，对整个网络的用户上网进行集中认证。

且采用旁路方式无需改变现有网络基础环境，不会产生任何业务影响，补充了当前信锐无线WLAN解决方案的不足。

2、支持多种认证方式，满足不同场景需求访客场景：短信认证、微信认证、协助扫码、访客自助短信认证流程微信认证流程协助扫码流程自助认证流程员工场景：用户名密码认证（结合AD域）用户名密码认证流程三、实现功能1、多分支统一接入，全网无缝漫游建立一体化认证平台，实现多分支、多用户、多终端、多应用的统一认证和授权，集中管控所有无线接入用户。

基本网络配置目录1.管理口登入设备 (3)2.配置接口地址、静态路由、DNS已经vlan接口地址 (4)3.激活AP (8)4.配置无线网络 (9)注：控制器的基本网络配置与硬件以及软件版本无关，不同版本界面有所不同，但是配置方法都是一致的。

1.管理口登入设备设备出厂是没有任何配置的，需要用管理口登入并进行基本的网络配置管理口地址：10.10.252.252/24为了登入设备，需要将自己的本地网卡地址配置为10.252.252.25掩码255.255.255.0网关地址和dns可以不填，然后打开网页，在地址栏输入https://10.252.252.252，登入的账号密码均为admin。

图（1）图（2）2.配置接口地址、静态路由、DNS已经vlan接口地址将eth1口接在内网交换机上接口配置为三层接口，并配置一个内网地址，eth2接口配置为二层口access vlan1，如图（3）的示例：图（3）1）核心交换机地址为192.200.4.254，eth1配置一个与核心相同网段的ip地址192.200.4.842）配置静态路由和DNS3）eth2口接poe交换机，vlan接口配置为access vlan1，并配置vlan1的接口地址和DHCP 服务器，这个DHCP服务用来给AP分配IP地址；在配置一个access vlan2，供终端连接无线时使用Ping百度，1received表示控制器已经可以正常访问公网3.激活AP这边可以看到AP获取到地址是192.168.1.2，是vlan1网段的，激活的时候配置控制器ip地址为192.168.1.1激活之后在线用户这边可以看到AP已经上线（激活AP有时需要一段时间，因为AP要同步和控制器相同的版本，再次期间AP都是属于离线状态的）4.配置无线网络设置无线网络名称设置无线网络接入密码设置终端使用的地址段，用我们刚刚配置的vlan2。

如何在家属区使用锐捷认证无线上网
1、配置无线路由器时，最好采用网线连接的方式，网线需要二根，室内墙壁的LAN端口
至无线路由器的WAN端口需一根，无线路由器的LAN端口至电脑网线口需一根。

将电脑的有线网卡设为自动IP、自动DNS，通过登录http://192.168.1.1，连到路由器的管理页面，可设置路由器的名称（张静家的名称目前为Lenovo-PC_Network）（SSID），无线加密方式、接入密码等。

完成后拔出电脑上的网线。

2、配置无线网卡，将其IP、网关、子网掩码、主备DNS填写为申请账号时获得的数据。

3、重要步骤：将室内墙壁的LAN端口至无线路由器的网线由W AN端口移至任一LAN端
口。

4、启用无线网卡（如果原来是停用的话），连接至配置好的无线路由器，连接成功后任务
栏右侧会有类似图标，如下：
5、打开锐捷认证，输入申请账号时获得的用户名、密码，选择无线网卡，点击“连接”，
待成功后即可正常使用网络。

APP认证 测试指导书信锐网科技术有限公司2015年9 月29 日目录APP认证 (1)1 认证接口描述 (3)1.1 认证原理 (3)1.2 认证接口 (4)1.3 配置要点 (4)2 APP认证场景 (5)2.1 强制APP下载 (5)2.2 强制APP注册登录 (5)3 控制器设置 (5)3.1 配置wifi信号 (5)3.2 配置微信公众账号 (6)3.3全局放通 (7)3.4 页面重定向 (8)4 注意事项 (11)1 认证接口描述1.1 认证原理认证接口实质上为一个网页链接，当终端链接wifi，请求该连接，即可通过认证。

如图1-1原理图所示，当无线用户连上wifi后需要上网，该终端发起的任何上网请求都会被重定向至客户自定义的认证系统。

通过该自定义系统portal页来引导用户做出相应行为（比如下载APP、或者在APP内登陆等等），判断出该终端已经完成了指定的动作之后，客户自定义系统立即调用我司认证接口，通过认证并放通用户上网。

注意：该接口是复用的微信认证接口，故在实际配置过程中，需要按照微信认证配置流程进行。

图1-1 认证接口原理图1.2 认证接口http://2.2.2.1/wx.html?href=‘.$encrypt.’&id＝$id下边是encrypt的构造过程$time = date(‘Y-m-d-H-i-s’,time()); //时间戳，2.0正式版本后可以填充一个固定的，后台不在校验$key = “sangfor”; //加密密钥，不要加密可忽略$str = “n=”.$nickname.“&u=”.$openid.“&t=”.$time; //这里openid，nickname表示微信用户个人信息$len = strlen($str); //有效信息长度$str_str = $str .“&l=”.$len; //长度和有效内容合并成统一字符串$encrypt_str = $this->mc_encrypt($str_str,$key); //aes加密，也可以不加密,不加密直接用bin2hex转为16进制即即可$encrypt = bin2hex($encrypt_str); //二进制转为16进制$id //微信公众平台原始id，可随意填充注意：该接口需要客户研发在认证系统（APP下载页面，或者APP登陆等页面）中调用。

NAC做portal服务器与H3C对接说明2016年4月H3C 对接portal 服务器项目背景客户已经部署了一套华三的无线设备（包括控制器和AP ），目前需要做portal 认证（微信认证），单独购买我司控制器做portal 服务器用于无线用户的认证一、 部署网络拓扑1、 在测试之前的拓扑中，测试一直无法弹出portal 页面，原因是当华三的控制器开启认证后无线用户与NAC 控制器之间无法通信，只有单独在放通无线终端的IP 地址后才可以重定向到我们的认证页面（此时是已经放通了控制器IP 的） 2、 最后修改网络架构为全网vlan1使用华三的IMC 协议对接二、NAC portal配置截图1、基础网络配置设备以单臂模式部署在客户网络中，h3c无线控制器和portal设备在同一局域网，华三的无线控制器做集中转发，通过portal的微信连WiFi功能认证。

2、配置认证服务器除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为1234563、配置web认证策略协议这里需要注意，默认华三的控制器依然采用的是CMCC的portal2.0协议，配置时需要与华三工程师确认修改为IMC协议（也可以采用portal2.0，也测试过可以通过认证）确保我司portal服务器与华三的控制器的端口正常通信三、华三配置截图1、web页面认证配置步骤（此处与深信服portal服务器与H3C对接文档中的截图类似，只是地址不相同而已）首先新建radius认证服务器配置AAA：点击认证->AAA，填写域名，并且应用点击认证，按如下的配置进行配置，最后点击应用点击认证->portal认证->新建选端口名称选择之前配置好的vlan口，portal服务器选择新建portal服务器，认证方式选择Direct，认证域选择刚才配好的认证域，填写新建portal服务器信息（服务器ip为portal 的ip）点击确定需要注意的是还需要放通固定的一些地址段（如下图）1、portal服务器的IP地址2、华三控制器的通信IP地址3、网关地址、以及整个认证网段（这样表示华三无线进行免认证，只是重定向url即可）4、DNS地址放通四、华三后台调试命令说明1、接口配置interface Vlan-interface1ip address 192.168.0.17 255.255.0.0portal server WAC method directportal domain WAC2、指向URL配置及对接协议指向：portal server NAC ip 192.168.0.18 key cipher$c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525 server-type imc3、放通免认证的白名单地址认证网段为192.168.0.0/16的网段白名单：portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255 白名单：portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.04、RADIUS认证配置192.168.0.18是我司portal服务器radius scheme WACserver-type extendedprimary authentication 192.168.0.18key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==user-name-format without-domainretry stop-accounting 105、域设置配置domain WACauthentication portal radius-scheme WACauthorization portal radius-scheme WACaccess-limit disableaccounting optionalstate activeidle-cut enable 15 10000self-service-url disable说明：如果不配置“accounting optional”这条命令就会出现当用户portal认证通过后被设备踢出，网上查出描述如下五、测试后效果1、认证通过后的系统状态截图六、排查问题过程1、portal页面无法弹出配置完后终端无法弹出portal页面，通过抓包确认终端未有任何数据包到NAC，说明华三的无线控制器并没有重定向url成功2、认证成功后的用户被踢下，需要马上重新认证（反复认证）a)我们NAC已经认证通过了，见radius accept包b)华三主动发起了踢人动作从华三设备的2000端口（portal协议通信端口）发到NAC的50100端口（注销消息接受端口）注意：最好是用命令后台配置，如果只在页面配置可能会出现功能不生效的问题。

信锐技术智慧路灯解决方案信锐网科技术有限公司版权声明本书版权归深圳市信锐网科技术有限公司所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市信锐网科技术有限公司。

未经深圳市信锐网科技术有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。

信锐网科技术有限公司已尽最大努力确保本文档内容准确可靠，但不提供任何形式的担保，任何情况下，信锐网科技术有限公司均不对（包括但不限于）最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。

信息反馈如果您有任何宝贵意见，请反馈：地址：深圳市南山区学苑大道1001号南山智园A4栋邮编：518055您也可以访问信锐技术官方网站：获得最新技术和产品信息。

目 录一 概述 (5)1.1 什么是智慧路灯 (5)1.2 智慧路灯将成为智慧城市的入口 (6)二 项目背景 (6)2.1 智慧路灯发展趋势 (6)2.2 智慧路灯对智慧城市的价值 (7)三 智慧路灯需求分析 (8)3.1 无线覆盖需求 (8)3.2 无线桥接回传需求 (8)3.3 监控接入需求 (8)3.4 其他扩展需求（传感器等） (8)四 信锐智慧路灯解决方案 (9)4.1 信锐智慧路灯无线组网架构 (9)4.1.1 智慧路灯无线组网拓扑图 (9)4.1.2 智慧路灯无线射频规划 (9)4.1.3 无线侧质量指标 (10)4.1.4 室外AP (10)4.2 信锐智慧路灯物联网组网架构 (11)4.2.1 智慧路灯物联网拓扑图 (11)4.2.2 智慧路灯物联网架构 (12)4.2.3 智慧路灯物联网前端设备简介 (12)4.3 智慧路灯盈利可行性分析 (13)4.3.1 租金 (13)4.3.2 广告 (13)4.3.3 大数据 (14)4.3.4 数据接口 (14)4.4 无线城市兼容性方案 (14)4.4.1 兼容无线上网计费系统 (14)4.4.2 兼容友商无线设备做统一认证 (14)五 信锐智慧路灯解决方案优势 (16)5.1 专注无线领域 (16)5.2 产品功能领先 (17)5.3 业内最安全的无线 (17)5.4 丰富的无线增值功能 (18)5.4.1 无线城市信息化运营 (18)5.4.2 微信连wifi，增加微信关注量 (19)5.4.3 移动信息承载体—微信平台 (20)5.4.4 丰富的信息推送 (20)5.4.5 内置人流分析系统 (21)5.4.6 搜索分析—关键字排行 (21)5.4.7 热点地图&人流密度 (22)六 案例介绍 (23)6.1 河南平顶山无线城市 (23)6.2 桂林中山中路无线城市 (24)6.3 甘肃武威市（凉州区）无线城市 (25)七 售后服务 (26)7.1 服务体系介绍 (26)7.2 服务机制 (26)7.3 售后服务承诺 (27)一 概述1.1什么是智慧路灯狭义的智慧路灯智慧路灯是指通过应用先进、高效、可靠的电力线载波通信技术和无线GPRS/CDMA 通信技术等，实现对路灯的远程集中控制与管理的路灯，智慧路灯具有根据车流量自动调节亮度、远程照明控制、故障主动报警、灯具线缆防盗、远程抄表等功能，能够大幅节省电力资源，提升公共照明管理水平，节省维护成本。

电脑wifi设置，解决wifi与锐捷IP冲突问题，设置wifi自启动1.电脑wifi网络的建立1、打开虚拟wifi软件，在光标处输入1 ，按回车。

按提示输入你想要设置的wifi账号和密码，回车结束。

然后再打开“网络和共享中心”--“更改适配器设置”看看是不是多了一项，若果有多出的这一项“Microsoft Virtual WiFi Miniport Adapter”,那么设置正确。

2、设置Internet连接共享在“网络连接”窗口中，右键单击已连接到Internet的网络连接，看清楚是已连接到Internet的网络连接。

选择“属性”→“共享”，勾上“允许其他连接(N)”并选择“虚拟WiFi”（你刚才设置的名字，虚拟网络）。

一切顺利后，上面会提示，“共享的”。

3、开启无线网络再一次打开软件，再次输入账号密码。

（可与之前不一样）。

成功会提示已启动承载网络。

这时候打开“网络和internet-网络连接”会发现，虚拟网路上的X没了。

至此，虚拟WiFi的红叉叉消失，WiFi基站已组建好，主机设置完毕。

赶快拿出你的手机，平板，打开wifi搜索到你设置的无线网络的名字，输入你设置的密码，就能共享上网啦!2.wifi和锐捷IP冲突问题解决在大学的校园里，大部分应该使用的是（锐捷网络）锐捷客户端。

建立虚拟WiFi后你会发现锐捷客户端出问题了，也就是刚才建立的wifi和锐捷客户端相冲突，这是因为锐捷软件在其代码中植入了每30秒检测双网卡的语句，也就是说不能同时开有线网卡和无线网卡，我们学校就是，这样就限制了，你办理一个账号就只能在一个电脑上使用，而且网络管理员会把你的IP地址绑定，还有你的物理地址MAC绑定，这样如果别人想用你的账号上网，就必须改成你的物理地址，才可以上网。

如何改，我现在来说一下，下载UltraEdit软件（随便百度一下就有），用UltraEdit打开锐捷安装后目录下的8021x.exe文件, 查找60EA00006A06,修改为60EAFFFF6A06（由于打开的文件全是十六进制数，不可能一一查找，怎么办，用一下查找选项吧），然后将所更改后的文件另存为8021x.exe，注意：文件名和后缀都不能改，再打开锐捷的安装目录，将原来的8021x.exe文件删掉（此时可能出现无法删除的现象，只需要将锐捷退出就好了），删除以后，再将刚才修改后的8021x.exe文件拖入锐捷的安装目录中。

详解不同品牌无线AP实现统一认证的几种方式无线局域网组网过程中，经常会有已经部署了不同品牌无线设备的情况，实现这些设备的复旧利用无疑会节省一部分建设成本，但不同品牌设备想要实现统一认证显然也不是简单事，信锐技术无线控制器则轻松实现了这一功能。

信锐无线控制器内置认证服务器及证书颁发中心，可以兼容主流厂商设备，不过这个兼容友商设备是指实现的统一认证，而不是对友商AP配置管理（胖AP可独立运行，廋AP管理还是由友商AC进行管理）。

特殊情况下，如果需要在信锐无线控制器平台上对友商无线AP的基本运行状态进行统一监测（主要是在线/离线），可以通过定制实现。

下面，我们来看看信锐技术无线控制器兼容友商品牌无线AP实现统一认证的几种方式和具体应用场景。

(一)Portal2.0对接通过Portal2.0对接，需要友商的无线AC支持portal2.0协议，可以实现web认证（包括微信、短信、Portal账号密码、二维码审核、临时访客(不含二维码)、Facebook等），友商AC作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证；(二)Radius对接通过Radius对接，需要友商的无线AC支持Radius协议，可以实现企业认证（主要是802.1X、CA证书，不支持WAPI），友商AC作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证；(三)有线侧对接通过信锐AC串行在网络中利用有线侧对接，需要开通有线侧上网行为管理功能，可以实现web认证（包括微信、短信、Portal账号密码、二维码审核、临时访客(含二维码)、Facebook等），不能实现802.1X、CA、WAPI认证；(四)智能交换机对接（Portal或Radius）通过智能交换机的Portal和Radius/802.1x认证功能，交换机作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证。

这里需要强调的是，智能交换机需支持Portal和802.1x认证功能，目前信锐的交换机已经规划了该功能，对接其他厂商的交换机需要其支持该功能并进行兼容性认证。

文档密级：公开应用控制技术白皮书V0.1信锐网科技术有限公司SUNDRAY TECHNOLOGIES CO.,LTD.版权所有侵权必究All rights reserved目录1.技术背景 (1)2.应用识别 (1)3.技术价值 (2)1.技术背景随着互联网的普及，网络应用越来越丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。

随着移动互联网的迅速发展，网络办公日益流行，互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。

但是，在享受着电脑办公和互联网带来的便捷同时，员工非工作上网现象越来越突出，企业普遍存在着电脑和互联网络滥用的严重问题。

网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽，严重影响了正常的工作效率。

2.应用识别识别是管理的基础，全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。

信锐AC拥有多种应用识别技术，全面识别各种应用，进而有效管控和审计。

主要包括：a)URL识别：信锐AC内置千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术。

信锐AC除了内置的上百种URL类别以外，管理员还可以自定义URL分组。

根据组织内部特殊需求，将一些指定的URL划分到一个URL分组下，此时，各种权限策略就可以引用这个URL分组来做控制，满足精细化的URL控制需求，让企业内网管理更加灵活高效，更加满足“权限最小化”的管理原则。

b)应用规则识别库：信锐AC拥有国内最大的应用识别库，该库由深信服（信锐母公司）应用规则研发团队定期维护，保证库处于最新状态；该库支持2100种以上网络主流应用，4500条以上规则，能识别106种以上IM、66种以上P2P/P2P流媒体、254种以上游戏、39种以上OA、19种以上网银、53种以上金融行情软件、45种以上金融交易软件、13种木马、37种以上代理软件和470种以上移动APP，涵盖主流的网络应用；c)文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，信锐AC同样能识别和报警；d)深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；e)智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别技术，识别出不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

文档来源：信锐技术 基本网络组网测试指导手册基本网络组网测试指导手册信锐网科技术有限公司前言概述本文对信锐无线控制器在绝大部分场景下的部署做了一个整理，梳理了各种部署场景下的简单测试配置，用户可根据此文档快速将设备接入到内网配置无线信号上网。

以下无线控制器的功能配置和截图均基于无线控制器 WAC3.7.0 版本。

图示符号说明+注意有潜在风险，请谨慎操作。

Ñ窍门能帮助您解决某个问题或节省您的时间。

&说明是正文的附加信息，是对正文的强调和补充。

目录1组网简介 (1)1.1简介 (1)2常见组网-路由部署 (2)2.1路由常用拓扑 (2)2.2基本配置 (3)3常见组网-旁挂部署 (10)3.1旁挂常用拓扑 (10)3.2基本配置 (11)4常见组网-网关部署 (16)4.1网关常用拓扑 (16)4.2基本配置 (17)1 组网简介1.1 简介因内网网络环境组网的复杂性，要求新加入设备对内网造成的改动影响需极力降至最低。

为坚持这一理念，信锐无线控制器推出多种设备接入内网的方式：旁挂内网网络、串联内网网络、出口网关部署。

以下给出部分常见组网的基本配置指导，可进行借鉴。

旁挂组网：无线控制器旁路接入局域内网，对整个有线内网的影响最小，且当无线控制器故障时，也不会对内网有线造成影响，属最常用组网部署方式。

路由组网：无线控制器串联到内网中，对内网的有线网络有一定的影响，当设备故障时，会对控制器以下的有线网络产生影响，导致无法上网，一般情况下不推荐采用此种部署方式。

特殊的，网关部署也属于路由组网，无线控制器充当出口设备，承接内外网的访问转换，对内网的有线网络上网具有决定性影响，当然如果有远程部署的需求，此种部署场景比较便捷，远程部署实施比较快。

1组网简介1.1简介2常见组网-路由部署2.1路由常用拓扑2.2基本配置3常见组网-旁挂部署3.1旁挂常用拓扑3.2基本配置4常见组网-网关部署4.1网关常用拓扑4.2基本配置2 常见组网-路由部署2.1路由常用拓扑2.2基本配置控制器登录控制器默认管理口（manage）登录地址：https://10.252.252.252 用户名a dmin 密码a dmin 电脑网线直连控制器的管理口（manage），将电脑的有线网卡i pv4 手动设置一个i p 地址为10.252.252.10，掩码为 255.255.255.0 的地址，网关和 dns 可不做配置。

信锐无线Portal统一运营解决方案一、市场背景2015年，工信部公布移动互联网用户总数规模达9.05亿。

移动互联网的快速发展，无线需求旺盛，数据显示，WiFi上网接入占比持续扩大，接近七成，成为排名第一的上网方式。

目前主流的国内企业级无线厂商有华为、华三、锐捷、信锐，国外厂商思科、Aruba、Ruckus。

还有一些不知名厂商。

无线网络易扩展性的特点，使多期模式建设项目中存在多家厂商的无线网络设备。

技术实现方式的差异导致，部署无线后很难实现统一的认证接入、用户管理、数据采集等。

信锐无线控制器内置Portal服务器，可以实现所有厂商无线的统一认证，包括支持Portal2.0协议以及不支持Portal2.0协议，有AC的廋AP组网或者没有AC的胖AP。

二、解决方案2.1整体解决方案新建的无线网络与一期已上线的无线网络统一整合，部署信锐无线Portal统一运营平台，对整个网络的用户上网进行统一认证，达到各网络切换无需重新认证、简单管理的效果。

信锐Portal运营平台还提供丰富的无线增值功能，包括多种认证方式、丰富的认证前广告推送、精准营销推送（可选定制），大数据分析（可选定制）等增值功能，为运营提供更多的利润点和决策支持。

信锐无线Portal统一运营解决方案网络架构如下图所示：网络架构优势：信锐技术提供双机备份机制，通过部署2台控制器，实现整个无线网络的双机热备冗余，当主AC宕机后，备AC立即接替工作，减少单个设备故障带来的客户业务中断问题，提升了客户业务的可靠性，增加网络可靠性，避免单点故障，让无线网络更稳定。

2.2接入规则Portal认证，是一种强制门户，强制用户在web页面上输入用户名密码校验后上网的一种认证形式。

Portal认证的核心为其使用的Portal协议，现今，大多数运营商通过Portal2.0协议与其Radius服务器对接，实现认证、计费的功能。

新建的无线网络与一期已上线的无线网络需统一SSID（无线网络名称），统一认证方式（web认证）。