中学无线认证系统

一、需求定义 
 

1.共57所小学校园网络准入认证，老师上网，学生不允许接入互联网 
 

2.有线无线认证统一认证，采用PORTAL认证的方式进行上网准入控制 
 

3.每学校单独接入互联网，教育局统一管控老师帐号 
 

4.后期可能采用对接管理系统的数据库进行身份认证 
 

5.同一个帐号，允许多个终端同时在线，超过允许在线数后，将先上的用户踢下线 
 

6.用户接入网络，认证后才可访问学校的内网资源和外网资源。

 

二、网络拓扑

 

三、方案说明： 
 

1.每学校采用一台流控网关设备接入互联网，互联网线路由学校直接向电信公司申请 
 

2.流控网关下接主交换机，学校的内网服务器，无线AC控制器及其他内网资源均通过有线方式接入主交换机 
 

3.主交换机上接NAC准备控制器，NAC准备设备下接POE交换机，无线AP和有线电脑之间同时在交换机上接入，混和组网，交换机上无需划分VLAN 
 

4.所有的用户上网均采用PORTAL认证的方式进行，同时支持帐号密码认证、手机短信认证、自注册认证和微信认证等方式 
 

5.统一认证准入系统，接入教育局机房，学校的NAC设备通过网络与教育局机房的统一认证准入系统对接，实现多种认证方式 
 

6.统一认证准入系统，与教育局的数据库系统对接，通过接口读取认证用户信息，实现用户统一管理。每认证成功一次，就将用户认证数据写入统一认证准入系统 
 

7.可以采用与公众号对接，实现微信认证

 

四、认证方式及说明 
 

1、帐号密码认证 
 

PORTAL认证，需要NAC与统一认证准入系统联动实现认证，流程为： 
 

用户终端接入网络，自动弹出PORTAL页面 
 

用户需要在页面输入帐号密码进行身份认证 
 

认证成功，系统下发认证参数配置，授权用户的权限配置 
 

用户正常访问互联网 
 

认证成功后，通过设置MAC无感知认证方式，让用户终端接入认证，无需再次弹出PORTAL页面，实现全自动认证。提升用户上网体验。 
 

如果用户更换了终端设备，则会重新弹出PORTAL页面，要求用户输入帐号密码进行认证。 
 

2、微信公众号认证 
 

微信公众号认证，需要与微信公众号服务器联动，实现认证，流程为： 
 

用户终端接入网络，自动弹出PORTAL页面 
 

用户点击PORTAL页面的微信连WIFI按纽，呼起微信公众号的微信连WIFI页面，点击认证，此时NAC上实现微信预放行，要求统一认证平台与NAC之间能互访（预放行时间通常为2分钟） 
 

认证成功，跳转到关注页面，引导用户关注 
 

用户选择关注公众号，腾讯将关注信息，通知给公众号服务器，公众号服务器调用统一认证准入系统的接口，进行开户 
 

开户完成，对用户进行上网认证提交，用户正常上网 
 

如果用户选择不关注公众号，则不对用户进行开户和上网认证提交，预防行时间过后，用户网络断开，无法上网，重新弹出PORAL页面 
 

关注公众号并认证成功后，通过设置MAC无感知认证方式，让用户终端接入认证，无需再次弹出PORTAL页面，实现全自动认证。提升用户上网体验。 
 

如果用户更换了终端设备，则会重新弹出PORTAL页面，要求用户重新使用微信连WIFI的方式进行认证 

 

3、三方数据库对接认证 
 

第三方数据库对接认证，需要统一认证准入系统与第三方联动实现认证，流程为： 
 

用户终端接入网络，自动弹出PORTAL页面 
 

用户需要在页面输入帐号密码进行身份认证 
 

统一认证准入系统首先查询本机是否有该帐号存在，如果有，则优先以本机数据库为准进行认证，如果没有，则通过接口查询第三方数据库提供的帐号信息，并根据返回的结果对用户认证结果决定放行还是拒绝。第三方数据库提供的接口，至少应该包括：用户名、密码、状态 
 

如果认证成功，则第三方数据库接口，返回用户信息，包括用户的手机号、真实姓名、到期时间等信息；统一认证准入系统将该用户信息写入本机数据库，实现开户，下次认证，即直接从本机读取 
 

认证成功，系统下发认证参数配置，授权用户的权限配置 
 

用户正常访问互联网 
 

认证成功后，通过设置MAC无感知认证方式，让用户终端接入认证，无需再次弹出PORTAL页面，实现全自动认证。提升用户上网体验。 
 

如果用户更换了终端设备，则会重新弹出PORTAL页面，要求用户输入帐号密码进行认证。

 

4、MAC无感知认证 
 

MAC无感知认证，与所有的认证方式进行配合使用，其基本流程如下： 
 

用户首次认证，则统一认证准入系统将用户的MAC地址进行记录 
 

用户再次连接网络，NAC会将接收到用户的上网请求（NAC与用户必须是在同一个二层网络），接收到后，NAC设备会把用户的MAC地址向统一认证准入系统提交认证 
 

统一认证准入系统接收到NAC发来的认证请求，判断该用户状态为合法正常用户后，对用户进行放行操作，用户可正常上网 
 

整个过程，用户从连入网络，到认证成功，费时约1-2秒，由于所有的认证是由NAC设备发起并完成 ，用户的上网终端不会有任何提示和PORTAL页面弹出，用户感觉是正常的上网，无需认证。但是在平台上，是可以看到用户完成了认证，能看到用户终端的在线状态。便于管理和统计

 

5、MAC绑定认证 
 

统一认证准入系统，支持对用户的上网终端MAC地址进行绑定 
 

用户终端绑定可以在1-99个之间，自由设定 
 

管理员在设定了MAC绑定后，无需手动进行绑定，用户在第一次认证成功后，自动绑定 
 

绑定的终端数满了后，系统不再自动绑定新的MAC地址，如果用户更换了上网终端，需要由管理员手动清除该用户的MAC地址，或由用户通过自助系统清除绑定的MAC，以实现新终端的MAC绑定
 

 

6、PORTAL认证页面的编辑和修改 
 

统一认证准入系统的PORTAL模板页面，支持多种编辑和修改方式，包括： 
 

WEB管理页面，编辑图片和文字、链接 
 

自定义模板上传 
 

现有模板下载后修改编辑 
 

WEB管理页面对模板进行源码编辑 
 

支持PC模板和手机模板分开编辑，在手机和PC上展示不同的内容 
 

 

 

 

上一篇：中学无线接入平台
下一篇：中学无线统一认证