信锐技术Portal服务器统一认证运营解决方案

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

无线认证解决方案篇一：免费Portal(无线接入认证)系统解决方案免费Portal无线接入认证系统解决方案natshell基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对中低端用户推出一套免费的“Web Portal无线接入认证系统”，从打造可管理、可运营的无线网络角度出发，致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络，使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所，如：酒店、咖啡厅、学校、车站、商场等人流众多的地方，商家为了留住客户、解决客户在购物消费和等待时的上网问题，往往配置无线接入点提供给广大客户上网使用，而这种传统的输入密码方式不仅给管理带来了极大的不便，同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证，需要满足以下需求：1、方便部署、易于维护；使用此种解决方案的客户，无线认证规模都不是很大，大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal系统方案，用户可以很方便的进行安装部署，中文管理界面，易于维护。

2、能够在系统中建立上网账户，对用户进行管理；本系统采用Radius认证的方式，支持标准的Radius协议，用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius，能够方便的建立用户上网账户，对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面，推送相关信息和广告内容；认证页面高度定制，可以随意的设置满足自己需求的认证页面，目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括：Portal服务器、胖AP。

Portal服务器：natshell免费版Portal系统，WINDOWS环境，安装在一台WIN系统电脑上即可；胖AP：natshell胖AP产品分为室内型吸顶式AP和室外型壁挂式AP，均为natshell自主开发的AP固件，集成AP、AC及路由等功能，与natshell免费版Portal系统完美对接。

NAC与城市热点计费系统对接说明2016年5月项目背景客户已经部署了一套华三的无线设备（包括控制器和AP）与一套TP-LINK的企业级瘦AP 架构的无线，目前需要做portal认证并计费（账号认证），单独购买我司控制器做portal服务器用于无线用户的认证并且后期也会同时，进行第三期的无线招标。

本次主要做技术认可，便于后期招标的进行。

一、部署网络拓扑1、在测试TPlink无线AP，采用我司有线认证达到客户需求，测试一直无法弹出portal页面，一直显示重定向次数过多，错误截图如下：原因是（1）有线认证的web认证策略配置有问题导致，（2）全局排除地址中没有排除本控制器的IP （3）软件包要采用4月18日以后的软件包，如下所示：采用WAC_3.2(20160418).ssu以后的软件包才支持有线认证的计费功能。

2、测试我司无线和城市热点计费系统对接，没有问题。

二、NAC的配置截图和说明1、基础网络配置设备以网桥的模式串在测试网络里，按照拓扑配置认证服务器Raduis:192.168.0.123(城市热点的计费系统都是标准的Raduis服务器)。

除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为sundray2、配置web认证策略这里需要注意的是，虽然是以本控制器做为portal服务器，并且采用有线认证实现portal认证计费。

但是配置web认证策略的时候，策略类型要选择：第三方设备portal 对接策略，Sundray NAC协议。

同时，复制对接URL，如果点击复制按钮没有作用，可以直接crtl +C 复制（特别是后面的url_id号）3、portal服务器添加和城市热点计费服务器添加4、放通portal服务器地址5、配置有线认证策略(1)选取认证接口区域(2)配置有线认证选取对接第三方portal服务器认证，并且选取刚才建立的portal服务器选取账号认证中的认证服务器和计费服务器，都是刚才对接的城市热点计费系统地址(3)如果选取采用本控制器作为portal服务器，你就会发现账号认证那里没有了计费服务器的选择。

NAC对接锐捷做有线portal认证2016年8月锐捷对接Portal 服务器一、项目背景：目前客户网络已经搭建了一套锐捷的无线系统（包括控制器和AP ），现在客户想使用我们的控制器当Portal 服务器实现锐捷无线网络用户的微信认证；咱们目前最新版本的控制器做portal 服务器对接锐捷设备还在完善，可以采用有线认证的方式将底下的无线用户当作有线用户统一完成对接。

二、客户网络拓扑1、锐捷无线控制器数据转发模式为集中转发，AP 和锐捷控制器跨三层部署。

2、核心交换机上vlan2096网关为10.60.16.1/20，vlan4094网关为10.0.111.1/29且此网段能够访问互联网；Vlan2096:10.60.16.1/20Vlan4094:10.0.111.1/29无线用户vlan209610.60.16.0/20TrunkTrunk信锐锐捷三、测试部署网络拓扑说明1、因为锐捷无线控制器的数据转发模式为集中转发，所以我们可以将控制器串联在核心与锐捷无线控制器之间，端口属性均设置为trunk。

2、创建vlan4094，并配置正确的路由，dns，使控制器能够与外网正常通信。

3、在有线配置--有线认证--接口区域中启用区域1，并配置认证接口为eth1，eth2，vlanif4094，认证vlan为4094。

4、在认证授权--portal服务--服务器参数中启用内置portal服务，并在web认证策略中配置好微信认证的认证策略。

5、最后在有线配置--有线认证--认证策略中新增一个有线侧认证策略，适用范围就是无线用户所处的整个网段，仅仅对这个网段的用户做认证。

在认证类型要选好当前的网络环境，比如本案例是认证用户与认证接口跨越三层网络，终端使用dhcp自动获取IP。

整体配置过程都比较简单。

现场经过测试，这样锐捷的所有无线终端都可以正常通过我司控制器进行微信认证。

四、问题分析最后在测试过程当中出现一些问题也稍微分享一下。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

多品牌设备全网统一无线认证解决方案1、专业级认证服务器，对接友商设备实现统一认证传统厂商设备认证方式单一，需要增加认证方式或扩容其他品牌设备时无法实现认证方式的统一。

现在，即使部署了其他品牌的AC、AP设备，也可以通过信锐技术无线控制器实现统一认证，并且仍然支持多种认证方式可选。

2、全面兼容各大友商，保护原有投资信锐无线控制器支持Portal服务器、RADIUS服务器，可以通过Portal2.0/RADIUS/有线等方式对接思科、ARUBA、RUCUKS、华为、华三、锐捷等厂商实现微信、短信、APP、二维码、802.1X、移动协同OA等认证方式。

3、多种无线认证方式，总有一种是你想要的支持Portal认证协议、RADIUS认证协议，集微信连Wi-Fi、短信认证、二维码审核认证、802.1X认证、证书认证、APP下载认证、临时访客认证、第三方数据库认证、移动协同OA等多种无线认证方式于一体。

4、微信连Wi-Fi，新一代Wi-Fi微信认证从公众号关注开始Wi-Fi微信认证首次将Wi-Fi认证授权与微信关注结合到一起，带来了无线认证方式的革新。

信锐技术新一代微信认证完美支持腾讯微信连Wi-Fi，有效简化了终端用户上网流程；极大提升了终端用户上网体验，增加微信公众号粉丝，给商家带来更多的商业价值。

5、手机短信认证，最经典的认证方式 没有之一信锐技术无线控制器内置短信认证网关，无需额外搭建服务器即可实现动态验证码认证。

用户通过输入手机号获取上网验证码，既减少了蹭网、有效保证用户无线上网安全，同时也为后续精准营销提供了第一手有效资料。

6、APP下载认证，应用分发市场外的又一大APP推广利器APP认证是指通过下载APP来获取上网授权，信锐无线支持认证前下载指定APP，安装并激活之后才可连接外网。

同时，下载APP使用的是无线流量，非运营商数据流量，无须担心因APP安装包大耗费用户数据流量。

7、二维码审核认证，扫描即可上网，安全简便用户连接无线后自动弹出二维码页面，指定审核人通过授权终端扫描访客二维码后，访客即可上网。

统一身份认证与终端准入解决方案目录一、内容综述 (2)1.1 背景介绍 (3)1.2 需求分析 (3)二、统一身份认证系统设计 (5)2.1 系统架构 (6)2.2 认证协议选择 (7)2.3 用户管理机制 (8)2.4 权限管理策略 (10)三、终端准入控制策略 (11)3.1 设备安全策略 (13)3.2 应用程序白名单 (14)3.3 用户行为审计 (15)3.4 端口和协议限制 (16)四、解决方案实施步骤 (17)4.1 项目启动与规划 (18)4.2 技术选型与配置 (19)4.3 系统集成与测试 (21)4.4 培训与推广 (22)五、方案优势与价值 (23)5.1 易用性 (24)5.2 安全性 (25)5.3 可扩展性 (27)六、案例分析 (28)七、技术支持与服务 (29)八、总结与展望 (30)一、内容综述随着信息技术的快速发展，网络安全问题日益突出，身份认证和终端准入成为网络安全领域的重要一环。

统一身份认证与终端准入解决方案旨在提供一种高效、安全的方式来管理用户身份和终端设备的访问权限，确保网络资源的合法使用，防止未经授权的访问和潜在的安全风险。

身份认证：提供强大的身份认证机制，包括用户名密码、动态令牌、多因素认证等方式，确保用户身份的真实性和合法性。

终端安全：对终端设备进行全面检测，包括操作系统、应用程序、安全状态等，确保终端设备符合安全标准，防止恶意软件、漏洞等带来的安全风险。

访问控制：根据用户身份和终端设备的安全状态，动态分配访问权限，控制对网络资源的访问，防止未经授权的访问和内部威胁。

风险管理：通过实时监测和数据分析，识别潜在的安全风险，及时采取应对措施，降低安全风险对网络和业务的影响。

兼容性支持：支持多种操作系统、设备和网络环境，确保解决方案的广泛适用性。

通过实施本解决方案，可以有效提高网络安全性，保护网络资源免受未经授权的访问和攻击，提升企业的业务效率和竞争力。

信锐无线结合宁盾无线统一认证解决方案信锐无线结合宁盾无线统一认证解决方案一、问题分析成立于深圳的信锐技术是网络安全设备厂商深信服集团投资建立的公司。

信锐无线WLAN解决方案，在身份认证安全管理方面，可对网络用户的身份进行权限管理，还可对接深信服做上网行为管理，从而保保障企业信息安全。

无线网络的易扩展性和开放性，使得多期建设项目中并存多家厂商的无线设备。

多品牌设备混杂，互相协调能力差、用户难以做统一的身份认证及访问权限控制，所带来的管理和安全上的缺陷越来越明显。

因技术实现方式的差异，且受限于信锐自身硬件设备性能，信锐无线WLAN解决方案在多分支异构环境实现统一接入认证的成本昂贵。

对此，信锐无线联合宁盾一体化认证平台，打造了一套更具兼容性优势的无线统一认证解决方案，集中式管理多分支无线网络，加固无线网络的安全性，并联动上网行为管理设备，实现实名审计合规。

二、解决方案1、宁盾无线统一认证方案概述宁盾无线统一身份认证是一个轻量级、中心化的无线Portal 接入认证服务平台，经过身份认证技术及访问控制策略，加强无线网络安全。

支持多无线品牌、多分支异构及审计网关接入能力，能够帮助多分支组织机构，如大型企业、联合办公、Shopping Mall、银行网点、连锁超市、连锁门店等，建立统一的网络接入和认证管理中心。

信锐无线结合宁盾无线统一认证方案网络拓扑如下：经过在数据中心部署宁盾无线统一身份认证平台，可实现所有厂商无线设备统一认证，整合无线网络，建立多分支统一认证中心，对整个网络的用户上网进行集中认证。

且采用旁路方式无需改变现有网络基础环境，不会产生任何业务影响，补充了当前信锐无线WLAN解决方案的不足。

2、支持多种认证方式，满足不同场景需求访客场景：短信认证、微信认证、协助扫码、访客自助短信认证流程微信认证流程协助扫码流程自助认证流程员工场景：用户名密码认证（结合AD域）用户名密码认证流程三、实现功能1、多分支统一接入，全网无缝漫游建立一体化认证平台，实现多分支、多用户、多终端、多应用的统一认证和授权，集中管控所有无线接入用户。

APP认证 测试指导书信锐网科技术有限公司2015年9 月29 日目录APP认证 (1)1 认证接口描述 (3)1.1 认证原理 (3)1.2 认证接口 (4)1.3 配置要点 (4)2 APP认证场景 (5)2.1 强制APP下载 (5)2.2 强制APP注册登录 (5)3 控制器设置 (5)3.1 配置wifi信号 (5)3.2 配置微信公众账号 (6)3.3全局放通 (7)3.4 页面重定向 (8)4 注意事项 (11)1 认证接口描述1.1 认证原理认证接口实质上为一个网页链接，当终端链接wifi，请求该连接，即可通过认证。

如图1-1原理图所示，当无线用户连上wifi后需要上网，该终端发起的任何上网请求都会被重定向至客户自定义的认证系统。

通过该自定义系统portal页来引导用户做出相应行为（比如下载APP、或者在APP内登陆等等），判断出该终端已经完成了指定的动作之后，客户自定义系统立即调用我司认证接口，通过认证并放通用户上网。

注意：该接口是复用的微信认证接口，故在实际配置过程中，需要按照微信认证配置流程进行。

图1-1 认证接口原理图1.2 认证接口http://2.2.2.1/wx.html?href=‘.$encrypt.’&id＝$id下边是encrypt的构造过程$time = date(‘Y-m-d-H-i-s’,time()); //时间戳，2.0正式版本后可以填充一个固定的，后台不在校验$key = “sangfor”; //加密密钥，不要加密可忽略$str = “n=”.$nickname.“&u=”.$openid.“&t=”.$time; //这里openid，nickname表示微信用户个人信息$len = strlen($str); //有效信息长度$str_str = $str .“&l=”.$len; //长度和有效内容合并成统一字符串$encrypt_str = $this->mc_encrypt($str_str,$key); //aes加密，也可以不加密,不加密直接用bin2hex转为16进制即即可$encrypt = bin2hex($encrypt_str); //二进制转为16进制$id //微信公众平台原始id，可随意填充注意：该接口需要客户研发在认证系统（APP下载页面，或者APP登陆等页面）中调用。

NAC做portal服务器与H3C对接说明2016年4月H3C 对接portal 服务器项目背景客户已经部署了一套华三的无线设备（包括控制器和AP ），目前需要做portal 认证（微信认证），单独购买我司控制器做portal 服务器用于无线用户的认证一、 部署网络拓扑1、 在测试之前的拓扑中，测试一直无法弹出portal 页面，原因是当华三的控制器开启认证后无线用户与NAC 控制器之间无法通信，只有单独在放通无线终端的IP 地址后才可以重定向到我们的认证页面（此时是已经放通了控制器IP 的） 2、 最后修改网络架构为全网vlan1使用华三的IMC 协议对接二、NAC portal配置截图1、基础网络配置设备以单臂模式部署在客户网络中，h3c无线控制器和portal设备在同一局域网，华三的无线控制器做集中转发，通过portal的微信连WiFi功能认证。

2、配置认证服务器除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为1234563、配置web认证策略协议这里需要注意，默认华三的控制器依然采用的是CMCC的portal2.0协议，配置时需要与华三工程师确认修改为IMC协议（也可以采用portal2.0，也测试过可以通过认证）确保我司portal服务器与华三的控制器的端口正常通信三、华三配置截图1、web页面认证配置步骤（此处与深信服portal服务器与H3C对接文档中的截图类似，只是地址不相同而已）首先新建radius认证服务器配置AAA：点击认证->AAA，填写域名，并且应用点击认证，按如下的配置进行配置，最后点击应用点击认证->portal认证->新建选端口名称选择之前配置好的vlan口，portal服务器选择新建portal服务器，认证方式选择Direct，认证域选择刚才配好的认证域，填写新建portal服务器信息（服务器ip为portal 的ip）点击确定需要注意的是还需要放通固定的一些地址段（如下图）1、portal服务器的IP地址2、华三控制器的通信IP地址3、网关地址、以及整个认证网段（这样表示华三无线进行免认证，只是重定向url即可）4、DNS地址放通四、华三后台调试命令说明1、接口配置interface Vlan-interface1ip address 192.168.0.17 255.255.0.0portal server WAC method directportal domain WAC2、指向URL配置及对接协议指向：portal server NAC ip 192.168.0.18 key cipher$c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525 server-type imc3、放通免认证的白名单地址认证网段为192.168.0.0/16的网段白名单：portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255 白名单：portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.04、RADIUS认证配置192.168.0.18是我司portal服务器radius scheme WACserver-type extendedprimary authentication 192.168.0.18key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==user-name-format without-domainretry stop-accounting 105、域设置配置domain WACauthentication portal radius-scheme WACauthorization portal radius-scheme WACaccess-limit disableaccounting optionalstate activeidle-cut enable 15 10000self-service-url disable说明：如果不配置“accounting optional”这条命令就会出现当用户portal认证通过后被设备踢出，网上查出描述如下五、测试后效果1、认证通过后的系统状态截图六、排查问题过程1、portal页面无法弹出配置完后终端无法弹出portal页面，通过抓包确认终端未有任何数据包到NAC，说明华三的无线控制器并没有重定向url成功2、认证成功后的用户被踢下，需要马上重新认证（反复认证）a)我们NAC已经认证通过了，见radius accept包b)华三主动发起了踢人动作从华三设备的2000端口（portal协议通信端口）发到NAC的50100端口（注销消息接受端口）注意：最好是用命令后台配置，如果只在页面配置可能会出现功能不生效的问题。

Portal页面调用操作指南信锐网科技术有限公司2015年9 月25 日第1章 Portal页面重定向原理1.1.重定向原理终端连接配置为“开放式+Web认证”的WiFi后，会获取一个认证前角色，该角色只允许用户进行DNS 解析，拒绝其他协议的流量。

用户打开浏览器，访问域名时先解析为网站对应的公网IP地址，然后控制器将用户的访问页面重定向到Portal页面（http:// ）。

当用户通过认证后，会获取认证后角色，该角色允许用户访问网络。

1.2.SSID认证方式配置本文档采用免认证方式作案例进行配置。

新建SSID，在【认证类型】中选择开放式+Web认证，认证方式选择访客认证。

认证页面选择使用统一的认证页面，使用默认全屏显示竖向广告模板。

选择Android不自动弹出认证页面，iOS自动弹出认证页面。

使用“帮我创建认证前角色”功能自动创建一个认证前角色。

访客认证中勾选免用户认证，认证通过后统一分配默认角色。

设置正确的VLAN，认证后跳转到，提交并点击立即生效。

在能够正常进行DNS解析的情况下，连接该SSID，访问网络，会弹出Portal认证页面。

笔记本页面如下：手机页面如下：第2章内置Portal页面编辑2.1.内置Portal页面模板编辑设备内置的Portal页面模板支持编辑，点击【认证页面】【终端页面】中模板名称即可。

内置模板支持上传修改LOGO，设置认证区域透明度，编辑页面文字，选择是否启用免责声明，默认显示的语言，支持中英文切换。

页面文字编辑中，可以对各种认证方式标题、描述和按钮名称进行修改。

在广告展示效果中，支持设置为播放广告图片或显示其他网站的广告页面。

可启用强制用户必须浏览一定时长的广告后才允许进行认证。

若选择播放广告图片，可添加需要播放的广告图片，和点击图片后跳转的连接。

该连接地址需要在认证前角色中允许通过。

若选择显示其他网站的广告页面，需指定该网站的URL地址。

第3章自定义Portal页面调用3.1.Portal页面模板下载点击认证页面模板右边的下载，可以下载该模板进行编辑。

信锐技术智慧路灯解决方案信锐网科技术有限公司版权声明本书版权归深圳市信锐网科技术有限公司所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市信锐网科技术有限公司。

未经深圳市信锐网科技术有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。

信锐网科技术有限公司已尽最大努力确保本文档内容准确可靠，但不提供任何形式的担保，任何情况下，信锐网科技术有限公司均不对（包括但不限于）最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。

信息反馈如果您有任何宝贵意见，请反馈：地址：深圳市南山区学苑大道1001号南山智园A4栋邮编：518055您也可以访问信锐技术官方网站：获得最新技术和产品信息。

目 录一 概述 (5)1.1 什么是智慧路灯 (5)1.2 智慧路灯将成为智慧城市的入口 (6)二 项目背景 (6)2.1 智慧路灯发展趋势 (6)2.2 智慧路灯对智慧城市的价值 (7)三 智慧路灯需求分析 (8)3.1 无线覆盖需求 (8)3.2 无线桥接回传需求 (8)3.3 监控接入需求 (8)3.4 其他扩展需求（传感器等） (8)四 信锐智慧路灯解决方案 (9)4.1 信锐智慧路灯无线组网架构 (9)4.1.1 智慧路灯无线组网拓扑图 (9)4.1.2 智慧路灯无线射频规划 (9)4.1.3 无线侧质量指标 (10)4.1.4 室外AP (10)4.2 信锐智慧路灯物联网组网架构 (11)4.2.1 智慧路灯物联网拓扑图 (11)4.2.2 智慧路灯物联网架构 (12)4.2.3 智慧路灯物联网前端设备简介 (12)4.3 智慧路灯盈利可行性分析 (13)4.3.1 租金 (13)4.3.2 广告 (13)4.3.3 大数据 (14)4.3.4 数据接口 (14)4.4 无线城市兼容性方案 (14)4.4.1 兼容无线上网计费系统 (14)4.4.2 兼容友商无线设备做统一认证 (14)五 信锐智慧路灯解决方案优势 (16)5.1 专注无线领域 (16)5.2 产品功能领先 (17)5.3 业内最安全的无线 (17)5.4 丰富的无线增值功能 (18)5.4.1 无线城市信息化运营 (18)5.4.2 微信连wifi，增加微信关注量 (19)5.4.3 移动信息承载体—微信平台 (20)5.4.4 丰富的信息推送 (20)5.4.5 内置人流分析系统 (21)5.4.6 搜索分析—关键字排行 (21)5.4.7 热点地图&人流密度 (22)六 案例介绍 (23)6.1 河南平顶山无线城市 (23)6.2 桂林中山中路无线城市 (24)6.3 甘肃武威市（凉州区）无线城市 (25)七 售后服务 (26)7.1 服务体系介绍 (26)7.2 服务机制 (26)7.3 售后服务承诺 (27)一 概述1.1什么是智慧路灯狭义的智慧路灯智慧路灯是指通过应用先进、高效、可靠的电力线载波通信技术和无线GPRS/CDMA 通信技术等，实现对路灯的远程集中控制与管理的路灯，智慧路灯具有根据车流量自动调节亮度、远程照明控制、故障主动报警、灯具线缆防盗、远程抄表等功能，能够大幅节省电力资源，提升公共照明管理水平，节省维护成本。

安全护航Aruba&企业Wi-Fi安全管家目录1、背景介绍 ......................................................................................................................... - 3 -2、整体解决方案................................................................................................................ - 5 -2.1、方案架构............................................................................................................. - 6 -2.2、先进可靠的网络系统架构............................................................................. - 6 -2.3、Aruba无线控制器优势 .................................................................................. - 7 -2.4、Aruba 无线接入点.......................................................................................... - 8 -2.5、如何保证网络安全........................................................................................... - 8 -3、员工上网管理方案..................................................................................................... - 13 -3.1、员工AD域账号登录..................................................................................... - 14 -3.2、802.1X方式认证 ............................................................................................ - 15 -4、访客上网管理方案..................................................................................................... - 17 -4.1、员工授权访客认证......................................................................................... - 18 -4.2、微信认证方式.................................................................................................. - 19 -4.3、短信认证........................................................................................................... - 19 -4.4、密码认证........................................................................................................... - 20 -5、会议室上网管理方案................................................................................................. - 21 -6、方案特点和优势.......................................................................................................... - 22 -6.1、统一集成........................................................................................................... - 22 -6.2、极大简化网络运维......................................................................................... - 22 -1、背景介绍数据网络对于提高企业的生存能力和生产力至关重要。

目录一、项目背景 .................................................................................................................... 错误!未定义书签。

二、需求分析 .................................................................................................................... 错误!未定义书签。

三、组网拓扑图 ................................................................................................................ 错误!未定义书签。

3.1网络现实状况（运行商无线覆盖+自建办公网络） ................................................ 错误!未定义书签。

3.2 改造后网络拓扑图 .................................................................................................... 错误!未定义书签。

四、智云wifi系统架构.................................................................................................... 错误!未定义书签。

4.1系统结构 ...................................................................................................................... 错误!未定义书签。

详解不同品牌无线AP实现统一认证的几种方式无线局域网组网过程中，经常会有已经部署了不同品牌无线设备的情况，实现这些设备的复旧利用无疑会节省一部分建设成本，但不同品牌设备想要实现统一认证显然也不是简单事，信锐技术无线控制器则轻松实现了这一功能。

信锐无线控制器内置认证服务器及证书颁发中心，可以兼容主流厂商设备，不过这个兼容友商设备是指实现的统一认证，而不是对友商AP配置管理（胖AP可独立运行，廋AP管理还是由友商AC进行管理）。

特殊情况下，如果需要在信锐无线控制器平台上对友商无线AP的基本运行状态进行统一监测（主要是在线/离线），可以通过定制实现。

下面，我们来看看信锐技术无线控制器兼容友商品牌无线AP实现统一认证的几种方式和具体应用场景。

(一)Portal2.0对接通过Portal2.0对接，需要友商的无线AC支持portal2.0协议，可以实现web认证（包括微信、短信、Portal账号密码、二维码审核、临时访客(不含二维码)、Facebook等），友商AC作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证；(二)Radius对接通过Radius对接，需要友商的无线AC支持Radius协议，可以实现企业认证（主要是802.1X、CA证书，不支持WAPI），友商AC作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证；(三)有线侧对接通过信锐AC串行在网络中利用有线侧对接，需要开通有线侧上网行为管理功能，可以实现web认证（包括微信、短信、Portal账号密码、二维码审核、临时访客(含二维码)、Facebook等），不能实现802.1X、CA、WAPI认证；(四)智能交换机对接（Portal或Radius）通过智能交换机的Portal和Radius/802.1x认证功能，交换机作为认证客户端，将所有认证请求发送到信锐AC认证服务器，实现统一认证。

这里需要强调的是，智能交换机需支持Portal和802.1x认证功能，目前信锐的交换机已经规划了该功能，对接其他厂商的交换机需要其支持该功能并进行兼容性认证。