基于华为云平台上iMaster-NCE Campus的中继认证(RADIUS方式)方案简介及配置参考

基于华为云平台上iMaster-NCE Campus的中继认证(RADIUS方式)方案简介及配置参考

功能概述

第三方认证主要应用于商业Wi-Fi终端用户在商场酒店、机场地铁、企业来访等情景通过Wi-Fi访问互联网的场景，需要对接入网络的访客进行用户认证，同时提供宣传，推荐及营销等功能，通过认证的访客被允许接入Wi-Fi使用网络。

第三方合作伙伴或开发者为接入访客提供认证Portal页面(如下图)，并调用华为iMaster NCE-Campus API授权接口，或通过标准RADIUS协议与iMaster NCE-Campus交互，从而实现认证、计费、用户分析、市场营销等服务。

环境拓扑

此方案涉及功能点如下：

1.华为网络设备(Cloud AP)提供接入网络等功能。
2.华为云平台(iMaster NCE-Campus)提供设备管理功能。
3.第三方Portal服务器提供Portal推送功能。
4.第三方RADIUS服务器提供用户信息校验，授权下发等功能。

认证流程

终端用户在需要访问互联网时，连接Wi-Fi的SSID，登录由第三方系统推送的Portal页面进行认证。随后第三方RADIUS系统与华为iMaster NCE-Campus云平台通过标准RADIUS协议对接，实现认证与计费功能。

配置流程

一.配置模板

1.进入模板配置。在主菜单中选择“设计 > 基础网络设计 > 模板管理”。

2.配置ACL模板，用于放通Portal和云平台的IP或域名，以及根据项目放通需要的其他地址(DNS，社交媒体等)。

3.配置URL模板，定义访问Portal Page URL时，传递的参数和取值。

4.配置RADIUS中继服务器模板，认证业务选择”Portal认证“，配置认证和计费服务器地址、密钥等信息。

二.配置Portal页面推送策略
云平台中继RADIUS认证模式下，用户需配置Portal 推送策略，并且url模版里要选用云平台中继认证的方式，终端关联WI-FI后，根据Portal推送策略给终端用户推送指定的Portal页面。

1.在主菜单中选择“准入 > 准入资源 > 页面管理”。选择“Portal页面推送策略”，单击“创建”。
a. 设置Portal页面推送名称，接入方式选择“无线”。

b. 配置认证方式为“云平台中继认证”，对接方式为“RADIUS中继”，URL模板选择配置模板章节中配置的模板，第三方认证URL填写相应的URL。并点击应用。

三.配置SSID
SSID是终端用户无线接入网络时看到的网络名称。每个SSID可以指定一种认证方式，从而实现对无线接入的终端用户准入控制。

本章描述作为中继服务器时，通过配置SSID使终端接入网络，进行RADIUS中继方式认证。

1.选择站点。

a. 在主菜单中选择“配置 > 物理网络 > 站点配置”。
b. 在左上角“站点”下拉框中选择站点，将该站点设为操作对象。

2.在左侧导航中选择“AP > SSID”，单击“创建”，配置SSID基本信息。并点击下一步。

4.配置终端用户使用SSID接入网络时的认证方式。

设置“认证方式”为“开放网络”，“是否推送页面（Portal认证）”为“ON”，“页面推送方式”为“云平台中继认证”，“对接方式”为“RADIUS中继”。

设置第三方Portal页面认证所需的用户名、密码等参数信息。下图中第三方Portal服务器用户名参数为username，密码参数为password，成功页面参数为successUrl。

5.配置RADIUS中继服务器和默认放行推送的Portal页面地址，配置默认放行规则，添加默认放行的地址或域名后，用户在认证前可访问该地址或域名。

RADIUS中继服务器和默认放行规则可以使用配置模板章节中创建的模板，也可以在当前页面直接创建。

6.配置Portal免认证和实时计费。

7.如果需要，可以开启Portal免认证功能和实时计费功能。

8.最后单击“确定”。

完成以上配置后，终端客户能连上SSID，并会跳转到portal页面进行认证，认证成功后可正常访问网络。

参考文档

1.华为云园区网络文档
2.https://devzone.huawei.com/cn/enterprise/cloudcampus/radiusSolution.html
3.https://devzone.huawei.com/cn/enterprise/cloudcampus/apiSettings.html