Professional Documents
Culture Documents
i
2.8.1 绿洲广告简介 ························································································································ 2-43
2.8.2 配置步骤 ······························································································································· 2-44
ii
1 绿洲平台简介
1.1 概览
绿洲平台是应互联网+的时代要求,建立的新 IT 在线运营平台,该平台服务于 Wi-Fi 运营类公司、
互联网+转型的 O2O 企业以及广大的中小企业等群体。
绿洲平台以 H3C 无线网络设备为核心建立大无线生态圈,使用户可以在线监控网络、运维设备、
运营 O2O 业务、与第三方平台无缝对接,帮助客户打通线上线下客流脉络。绿洲平台本着可管理
性、可靠性、高安全性、经济性、实用性的建设原则为客户提供服务。
• 可管理性:可以对网络进行在线监控,随时了解无线网络的“健康状态”,快速定位并排除故
障;可以对运营业务在线部署,随时监控员工、访客流量状况,有针对性的调整运营业务。
• 可靠性:绿洲平台仅作为在线监控、部署工具,除认证以外不做网络业务处理。对于认证业务,
当绿洲平台连接中断,设备立即启用 Portal 逃生机制,确保已认证用户可继续使用网络,未
认证用户和新接入用户免认证接入网络。另外 H3C 采用异地跨数据中心备份部署绿洲平台,
而且平台内部采用微服务架构分布式部署,多方位确保业务不中断,即便中断也可自动快速恢
复业务。
• 高安全性:绿洲平台使用微软云 Azure IaaS 平台部署,并通过部署网络防攻击、ACL 访问控
制、微服务虚拟网络隔离、VM 防火墙、应用防火墙、数据库访问控制等确保平台应用和数据
安全。H3C 尊重客户个人隐私,严格执行对外发布的隐私条款。
• 经济性和实用性:云端部署免费为租户提供网络管理服务和认证业务。第三方业务部署由绿洲
平台直接合作对接,客户根据各自需求定制即可,部分应用会收取一定的费用。
1.2 场景
根据不同类型的客户需求与应用场景,绿洲划分了若干应用场景,包括园区 Wi-Fi、园区商业 Wi-Fi、
中小企业和商铺 Wi-Fi 等。
部分型号无线设备适用于多种应用场景,用户需要结合自身实际应用,选择最贴近的场景完成设备
的部署。
1.3 租户
租户是指已在绿洲平台上注册,并租借绿洲平台来进行设备管理的用户。
1.4 场所
场所是租户在绿洲平台上创建的某个用于管理租户设备的虚拟环境,该场所中可以有若干租户的
H3C 设备。
1-1
1.5 账户分级分权
1.5.1 账户分级
绿洲平台允许租户创建子账户,也允许子账户再创建下一级的子账户。父账户拥有对子账户的创建、
修改、删除权限,可以看到所有子账户创建的子账户和场所,并且可以查看子账户的操作日志。
1.5.2 账户分权
子账户权限包括模块管理权限和区域管理权限:
• 模块管理权限即子账户登录绿洲平台后所拥有的功能模块操作权限,由子账户角色决定;
• 区域管理权限即子账户拥有的对某区域的管理权限,所能执行的操作由子账户的角色类型决定。
子账户角色分为如下三类:
• 全权子账户:拥有同租户一样的管理权限,可继续创建子账户以及场所;
• 监控子账户:以网络监控为主,没有配置管理权限;
• 运维子账户:拥有网络配置、维护权限,但不能继续创建子账户。
如果为多个子账户授予了相同区域的管理权限,子账户之间对于相同管理区域的操作是可以覆盖的,
所以在分配权限时请尽量避免多个子账户管理同一区域的同一类业务。
1-2
2 绿洲平台无线部署
2.1 绿洲组网
所有在绿洲平台上注册过的设备,都可以直接通过Internet连接到绿洲平台进行管理。设备连接绿洲
的配置请参见“2.5 设备连接绿洲”
。
图2-1 绿洲组网图
2.2 配置步骤
绿洲平台无线部署的配置步骤如下:
(1) 租户注册
(2) 配置场所
(3) 设备连接绿洲
(4) 配置无线服务
(5) (可选)配置认证
(6) (可选)配置广告
2-1
2.3 租户注册
# 登录绿洲网页 https://oasis.h3c.com/,点击<立即注册>按钮进行租户注册。已经完成注册的租
户可以直接登录。
图2-2 租户注册
# 租户注册分为手机号注册和邮箱注册。手机号注册时,租户需要填写用户名、验证码、手机号、
手机验证码、登录密码,再点击<完成注册>按钮,完成租户注册。
2-2
图2-3 手机号注册
邮箱注册时,租户需要填写用户名、邮箱、登录密码,再点击<完成注册>按钮,完成租户注册。
图2-4 邮箱注册
邮箱方式注册成功后,租户需要去邮箱激活账户后才可以登录。
2-3
图2-5 账户激活通知
登录用于绿洲注册的邮箱,点击账户激活邮件中的激活链接来激活账户。
图2-6 登录邮箱激活绿洲账户
2.4 配置场所
2.4.1 增加场所
租户登录后可以直接点击“ ”图标增加场所,然后根据分步提示完成场所与设备的添加。
2-4
图2-7 新建场所
在“增加场所”页面请填写场所名称、所属行业、场所(总部)地址、联系电话等信息,并点击<
下一步>按钮来选择场景。
图2-8 填写场所信息
在“选择场景”页面选择场景,请根据实际需求和场景支持的设备型号来选择场景,选定场景后再
点击<下一步>按钮来增加设备。
2-5
图2-9 选择场景
2-6
图2-10 增加独立设备
2-7
图2-11 增加 IRF 设备
选择右上角的“系统管理”页签,在左侧导航栏中选择“场所管理”,在“场所管理”页面中可以
增加、删除和修改场所。点击<显示设备>可以查看场所下的设备,也可以添加、删除设备。
图2-12 场所管理
2-8
设备的序列号唯一标识一台设备,且只能添加至一个场所下。当用户添加某台设备到某个场所时,
如果提示“该设备已存在”,则说明该设备已经在其他场所或帐号下添加过,此时需要先删除再重
新添加到新的场所或帐号下。
2.4.2 新建/修改区域配置
用户根据自己的业务部署,可以在首页的左侧栏建立多级门店分组,并将场所归到该分组之下管理。
拥有某分组管理权限的账户可以管理属于该分组和下级分组的设备,但是不能查看和管理平级以及
上级分组的设备。
图2-13 门店分组
选择右上角的“系统管理”页签,在左侧导航栏中选择“场所管理”,在“场所管理”页面中点击
“ ”图标进入“修改场所”页面,可以修改场所的区域属性。
图2-14 场所列表
为场所指定一个区域后,该场所就将归到指定区域之下管理。
2-9
图2-15 修改场所区域属性
2.4.3 新建/修改子账号
选择右上角的“用户管理”页签,在左侧导航栏中选择“子账号管理”,在“子账号管理”页面中
可以增加、修改子账号。每个子账号对应一种角色,角色介绍请参见“1.5 账户分级分权”。
图2-16 新建子帐号
子帐号创建成功后,需要点击“ ”图标进入“子账户授权”页面对子帐号进行区域授权。
2-10
图2-17 子帐号管理
为子账户授权一个区域,拥有该区域权限的子帐号可以管理属于该区域和下级区域的设备,但是不
能查看和管理平级以及上级区域的设备。
图2-18 子帐号授权
2.5 设备连接绿洲平台
本节配置不适用于小贝路由系列,小贝路由系列出厂携带连接绿洲平台的配置。
1. 确认AC能解析绿洲平台地址
# 验证设备可以 Ping 通并解析 Internet 上的域名。
<H3C> ping www.h3c.com
Ping www.h3c.com (221.12.31.26): 56 data bytes, press CTRL_C to break
56 bytes from 221.12.31.26: icmp_seq=0 ttl=255 time=0.557 ms
56 bytes from 221.12.31.26: icmp_seq=1 ttl=255 time=0.318 ms
56 bytes from 221.12.31.26: icmp_seq=2 ttl=255 time=0.279 ms
56 bytes from 221.12.31.26: icmp_seq=3 ttl=255 time=0.258 ms
56 bytes from 221.12.31.26: icmp_seq=4 ttl=255 time=0.297 ms
# 验证设备可以解析绿洲平台地址 oasis.h3c.com。绿洲平台不响应 Ping 操作,验证能够解析即可。
<H3C> ping oasis.h3c.com
Ping oasisv3.chinacloudapp.cn (139.217.27.153): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
2. 配置设备连接绿洲平台
# 指定绿洲平台域名。
<H3C> system-view
[H3C] cloud-management server domain oasis.h3c.com
2-11
3. 验证设备与绿洲平台的连接状态
# 在设备侧显示绿洲平台连接的状态,状态为 Established 说明隧道连接成功。
<H3C> display cloud-management state
Cloud connection state : Established
Device state : Request_success
Cloud server address : 139.217.27.153
Cloud server domain name : oasis.h3c.com
Local port : 443
Connected at : Wed Jan 18 14:18:40 2016
Duration : 00d 00h 02m 01s
Process state : Message received
Failure reason : N/A
# 登录绿洲平台,在场景内的“综合健康度”模块可以看到设备信息。点击“系统信息”,可以查看
云端的隧道情况。
图2-19 综合健康度
隧道连接状态显示“已连接”,表示设备已经成功连接到绿洲平台。
图2-20 系统利用率
2-12
设备首次连接绿洲平台,需要一段时间来同步设备信息到云端,请耐心等待。
2.6 配置无线服务
2.6.1 园区Wi-Fi场景
在“服务模板添加”页面输入无线服务名称和SSID,并选择无线服务状态为开启后,点击<确定>
按钮完成添加。本举例添加的无线服务不对客户端进行认证,如果要配置对客户端进行认证请参考
“2.7 配置认证”。
图2-22 添加无线服务(园区 Wi-Fi)
2-13
选择要绑定的 AP 组后,点击<绑定>按钮将无线服务绑定到 AP 组。
图2-24 绑定无线服务到 AP 组(园区 Wi-Fi)
2.6.2 园区商业Wi-Fi场景
2-14
在“添加无线服务”页面输入无线服务名称和SSID,并选择无线服务状态为开启后,点击<确定>
按钮完成添加。本举例添加的无线服务不对客户端进行认证,如果要配置对客户端进行认证请参考
“2.7 配置认证”。
图2-27 添加无线服务(园区商业 Wi-Fi)
2-15
2.6.3 中小企业场景
选择中小企业场景右上角的“网络部署”页签,在左侧导航栏中选择“无线配置”,在“无线服务
配置”页面添加新的无线服务或同步设备端已有的无线服务。
图2-30 无线服务配置(中小企业)
在“增加服务”页面输入SSID后,点击<确定>按钮完成添加,添加的无线服务将自动绑定到所有
AP射频上。本举例添加的无线服务不对客户端进行认证,如果要配置对客户端进行认证请参考“2.7
配置认证”。
图2-31 添加无线服务(中小企业)
2.6.4 商铺Wi-Fi场景
2-16
(2) 配置内部 Wi-Fi
点击 图 2-32 中的<修改>按钮,进入“修改Wi-Fi”页面,可以配置Wi-Fi名称、服务状态、隐藏SSID
功能以及加密服务,完成配置后点击<确定>按钮,完成操作。
图2-33 配置内部 Wi-Fi
2. 商业Wi-Fi
商业 Wi-Fi 为企业来访宾客提供无线服务,企业来访宾客不能通过商业 Wi-Fi 访问小贝路由,最多
可同时开启三个商业 Wi-Fi。配置步骤如下:
(1) 开启或关闭商业 Wi-Fi
在“无线配置”页面点击商业 Wi-Fi 的<开/关>按钮,可以开启或关闭商业 Wi-Fi。
图2-34 开启或关闭商业 Wi-Fi
2-17
图2-35 配置商业 Wi-Fi
2.7 配置认证
2.7.1 绿洲认证简介
2-18
• 商铺 Wi-Fi 场景不支持固定账号认证、微信公众号认证和免认证功能。
• 微信连 Wi-Fi 认证、固定账号认证、短信认证、微信公众号认证可以混合组合使用,一键认证
只能单独使用。
2.7.2 配置一键认证
1. 设备侧配置
小贝路由系列不需要本节配置,其认证配置由绿洲平台下发。
(1) 配置认证域
# 创建一个名称为 cloud 的 ISP 域,并进入其视图。
<H3C> system-view
[H3C] domain cloud
# 为 Portal 用户配置认证、授权、计费方法均为 none。
[H3C-isp-cloud] authentication portal none
[H3C-isp-cloud] authorization portal none
[H3C-isp-cloud] accounting portal none
[H3C-isp-cloud] quit
(2) 配置云端 Portal 认证功能
# 配置 Portal Web 服务器 cloud 的 URL 为 http://oasisauth.h3c.com/portal/protocol,类型为 oauth。
[H3C] portal web-server cloud
[H3C-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/protocol
[H3C-portal-websvr-cloud] server-type oauth
# 开启 Portal 被动 Web 认证的优化功能,使移动终端接入网络后自动弹出 Portal 认证页面。
[H3C-portal-websvr-cloud] captive-bypass ios optimize enable
[H3C-portal-websvr-cloud] quit
# 开启服务模板的 Portal 认证功能,指定认证方式为直接认证。
[H3C] wlan service-template h3c
[H3C-wlan-st-h3c] portal enable method direct
# 引用认证域、Portal Web 服务器。
[H3C-wlan-st-h3c] portal domain cloud
[H3C-wlan-st-h3c] portal apply web-server cloud
[H3C-wlan-st-h3c] quit
# 创建本地 Portal Web 服务器,进入本地 Portal Web 服务器视图,并指定使用 HTTP 协议和客户
端交互认证信息。
[H3C] portal local-web-server http
[H3C-portal-local-websvr-http] quit
# 开启 HTTP 服务和 HTTPS 服务。
2-19
[H3C] ip http enable
[H3C] ip https enable
# 配置 Portal 免认证规则,使用户不需要经过 Portal 认证即可以访问 DNS 服务器(本文以
114.114.114.114 为例,请配置实际使用的 DNS 服务器)、绿洲认证主机名。
[H3C] portal host-check enable
[H3C] portal user log enable
[H3C] portal free-rule 1 destination ip 114.114.114.114 255.255.255.255
[H3C] portal free-rule 2 destination ip any udp 53
[H3C] portal free-rule 3 destination ip any tcp 53
[H3C] portal free-rule 4 destination oasisauth.h3c.com
# 开启 Portal 安全重定向功能,配置匹配 Portal 安全重定向允许的 HTTP User Agent 中的浏览器类
型。
[H3C] portal safe-redirect enable
[H3C] portal safe-redirect user-agent Android
[H3C] portal safe-redirect user-agent CaptiveNetworkSupport
[H3C] portal safe-redirect user-agent MicroMessenger
[H3C] portal safe-redirect user-agent Mozilla
[H3C] portal safe-redirect user-agent WeChat
[H3C] portal safe-redirect user-agent micromessenger
2. 绿洲平台配置(园区Wi-Fi、园区商业Wi-Fi、中小企业场景)
(1) 添加一键认证的认证模板
在“网络部署”页签中,选择左侧导航栏的“认证配置 > 认证模板”,在“认证模板”页面点击<
添加>按钮,在弹出的“增加认证模板”页面中选择无线服务的认证方式为“一键认证”。
图2-36 添加一键认证的认证模板
(2) 配置无线服务使用的认证模板
配置无线服务的认证方式为认证,并选择“一键认证”的认证模板。有关无线服务的详细配置请参
见“2.6 配置无线服务”
。
2-20
图2-37 配置无线服务使用的认证模板
3. 绿洲平台配置(商铺Wi-Fi场景)
在“网络管理”页签中,选择左侧导航栏的“无线配置”,在“认证模板”页面点击<认证方式>按
钮,在弹出的“认证管理”页面中点击一键认证的<开/关>按钮开启一键认证。
图2-38 开启一键认证
2-21
2.7.3 配置固定账号认证
1. 设备侧配置
固定账号认证的设备侧配置与一键认证的设备侧配置相同,不再赘述。
2. 绿洲平台配置
(1) 添加固定账号
在“网络部署”页签中,选择左侧导航栏的“认证配置 > 固定账号”,在“固定账号”页面点击<
添加>按钮,在弹出的“增加固定账户”页面中输入要添加账户的账号名和密码后,点击<确定>按
钮完成添加。
图2-39 增加固定账户
(2) 添加固定账号认证的认证模板
在“网络部署”页签中,选择左侧导航栏的“认证配置 > 认证模板”,在“认证模板”页面点击<
添加>按钮,在弹出的“增加认证模板”页面中选择无线服务的认证方式为固定账号认证后,再点
击<确定>按钮完成添加。
2-22
图2-40 添加固定账号认证的认证模板
(3) 配置无线服务使用的认证模板
配置无线服务的认证方式为认证,并选择“固定账号”认证的认证模板。有关无线服务的详细配置
请参见“2.6 配置无线服务”。
图2-41 配置无线服务使用的认证模板
2.7.4 配置短信认证
1. 设备侧配置
短信认证的设备侧配置与一键认证的设备侧配置相同,不再赘述。
2. 绿洲平台配置(园区Wi-Fi、园区商业Wi-Fi、中小企业场景)
(1) 注册短信网关
选择首页右上角的“系统管理”页签,在左侧导航栏中选择“短信配置”,在“短信配置”页面进
行短信网关配置,需要先到亿美平台 www.emay.cn 购买短信网关,然后注册到绿洲平台,并联系
亿美客服将绿洲域名 oasis.h3c.com 的 IP 地址与短信网关进行绑定。
2-23
图2-42 短信配置
输入短信网关的序列号、序列号 Key、序列号密码等信息进行短信网关注册。
图2-43 注册短信网关
(2) 添加短信认证的认证模板
选择场景右上角的“网络部署”页签,在左侧导航栏中选择“认证配置 > 认证模板”,在“认证模
板”页面点击<添加>按钮,在弹出的“增加认证模板”页面中选择无线服务的认证方式为短信认证。
若选择记住手机号,用户在一个月时间内不需要再获取验证码就可以直接认证。
图2-44 添加短信认证的认证模板
2-24
(3) 配置无线服务使用的认证模板
配置无线服务的认证方式为认证,并选择“短信认证”的认证模板。有关无线服务的详细配置请参
见“2.6 配置无线服务”
。
图2-45 配置无线服务使用的认证模板
3. 绿洲平台配置(商铺Wi-Fi场景)
(1) 注册短信网关
参考 2.7.4 2. (1)注册短信网关。
(2) 开启短信认证
在“网络管理”页签中,选择左侧导航栏的“无线配置”,在“认证模板”页面点击<认证方式>按
钮,在弹出的“认证管理”页面中点击短信认证的<开/关>按钮开启短信认证。
2-25
图2-46 开启短信认证
2.7.5 配置微信公众号认证
1. 设备侧配置
(1) 配置认证域
# 创建一个名称为 cloud 的 ISP 域,并进入其视图。
<H3C> system-view
[H3C] domain cloud
# 为 Portal 用户配置认证、授权、计费方法均为 none。
[H3C-isp-cloud] authentication portal none
[H3C-isp-cloud] authorization portal none
[H3C-isp-cloud] accounting portal none
[H3C-isp-cloud] quit
2-26
(2) 配置云端 Portal 认证功能
# 配置 Portal Web 服务器 cloud 的 URL 为 http://oasisauth.h3c.com/portal/protocol,类型为 oauth。
[H3C] portal web-server cloud
[H3C-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/protocol
[H3C-portal-websvr-cloud] server-type oauth
# 开启 Portal 被动 Web 认证功能,使移动终端接入网络后不会自动弹出 Portal 认证页面。
[H3C-portal-websvr-cloud] captive-bypass enable
# 配置 Portal 临时放行功能的匹配规则,对用户代理信息为 CaptiveNetworkSupport 的用户报文临
时放行,并重定向到 http://wifi.weixin.qq.com;对用户代理信息为 micromessenger 的用户报文临
时放行,并重定向到 http://oasisauth.h3c.com/portal/protocol;对访问 http://10.168.168.168 的用
户报文临时放行,不进行重定向。
[H3C-portal-websvr-cloud] if-match user-agent CaptiveNetworkSupport redirect-url
http://wifi.weixin.qq.com
[H3C-portal-websvr-cloud] if-match user-agent micromessenger temp-pass redirect-url
http://oasisauth.h3c.com/portal/protocol
[H3C-portal-websvr-cloud] if-match original-url http://10.168.168.168 temp-pass
[H3C-portal-websvr-cloud] quit
# 开启服务模板的 Portal 认证功能,指定认证方式为直接认证。
[H3C] wlan service-template h3c
[H3C-wlan-st-test] portal enable method direct
# 引用认证域、Portal Web 服务器。
[H3C-wlan-st-h3c] portal domain cloud
[H3C-wlan-st-h3c] portal apply web-server cloud
[H3C-wlan-st-h3c] quit
# 创建本地 Portal Web 服务器,进入本地 Portal Web 服务器视图,并指定使用 HTTP 协议和客户
端交互认证信息。
[H3C] portal local-web-server http
[H3C-portal-local-websvr-http] quit
# 开启 HTTP 服务和 HTTPS 服务。
[H3C] ip http enable
[H3C] ip https enable
# 配置 Portal 免认证规则,使用户不需要经过 Portal 认证即可以访问 DNS 服务器(本文以
114.114.114.114 为例,请配置实际使用的 DNS 服务器)、绿洲认证主机名、微信公众平台主机名
等。
[H3C] portal host-check enable
[H3C] portal user log enable
[H3C] portal free-rule 1 destination ip 114.114.114.114 255.255.255.255
[H3C] portal free-rule 2 destination ip any udp 53
[H3C] portal free-rule 3 destination ip any tcp 53
[H3C] portal free-rule 9 destination oasisauth.h3c.com
[H3C] portal free-rule 10 destination short.weixin.qq.com
[H3C] portal free-rule 11 destination mp.weixin.qq.com
[H3C] portal free-rule 12 destination long.weixin.qq.com
[H3C] portal free-rule 13 destination dns.weixin.qq.com
[H3C] portal free-rule 14 destination minorshort.weixin.qq.com
2-27
[H3C] portal free-rule 15 destination extshort.weixin.qq.com
[H3C] portal free-rule 16 destination szshort.weixin.qq.com
[H3C] portal free-rule 17 destination szlong.weixin.qq.com
[H3C] portal free-rule 18 destination szextshort.weixin.qq.com
[H3C] portal free-rule 19 destination isdspeed.qq.com
[H3C] portal free-rule 20 destination wx.qlogo.cn
# 开启 Portal 安全重定向功能,配置匹配 Portal 安全重定向允许的 HTTP User Agent 中的浏览器类
型。
[H3C] portal safe-redirect enable
[H3C] portal safe-redirect user-agent Android
[H3C] portal safe-redirect user-agent CaptiveNetworkSupport
[H3C] portal safe-redirect user-agent MicroMessenger
[H3C] portal safe-redirect user-agent Mozilla
[H3C] portal safe-redirect user-agent WeChat
[H3C] portal safe-redirect user-agent micromessenger
2. 绿洲平台和微信公众平台配置
(1) 确认拥有经过腾讯认证的订阅号或服务号
登录微信公众平台 https://mp.weixin.qq.com/,用申请好的公众号登录后,确认公众号已经过腾讯
认证。
2-28
(3) 将微信公众号添加到绿洲平台
在绿洲平台的“网络部署”页签,选择左侧导航栏中的“认证配置 > 公众号”,在“微信公众号”
页面点击<添加>按钮,在弹出的“公众号名称”页面中选择公众号类型为订阅号或服务号,并选择
经过腾讯认证,输入公众号名称和在微信公众平台获取到的 AppID、AppSecret。
在高级设置中配置 TOKEN,并随机生成认证地址和加密密钥,再点击<确定>按钮保存配置。
图2-48 添加微信公众号
(4) 服务器配置
进入微信公众平台“开发 > 基本配置”页面,修改服务器配置。将绿洲平台上生成的 TOKEN、认
证地址和加密密钥复制到此处,即与绿洲平台上的配置一致。
图2-49 服务器配置
(5) 配置网页授权
在微信公众平台“开发 > 接口权限 > 网页服务 > 网页授权”页面,配置网页授权。
2-29
图2-50 配置网页授权
配置网页授权域名为 oasisauth.h3c.com/weixin。
图2-51 配置网页授权域名
(6) 添加微信公众号认证的认证模板
在绿洲平台的“网络部署”页签,选择左侧导航栏中的“认证配置 > 认证模板”,在“认证模板”
页面点击<添加>按钮,在弹出的“增加认证模板”页面中选择无线服务的认证方式为微信公众号认
证并选择认证使用的公众号。
2-30
图2-52 添加微信公众号认证的认证模板
(7) 配置无线服务使用的认证模板
配置无线服务的认证方式为认证,并选择微信公众号认证的认证模板。有关无线服务的详细配置请
参见“2.6 配置无线服务”。
图2-53 配置无线服务使用的认证模板
2.7.6 配置微信连Wi-Fi认证
2-31
1. 设备侧配置
小贝路由系列不需要本节配置,其认证配置由绿洲平台下发。
(1) 配置认证域
# 创建一个名称为 cloud 的 ISP 域,并进入其视图。
<H3C> system-view
[H3C] domain cloud
# 为 Portal 用户配置认证、授权、计费方法均为 none。
[H3C-isp-cloud] authentication portal none
[H3C-isp-cloud] authorization portal none
[H3C-isp-cloud] accounting portal none
[H3C-isp-cloud] quit
(2) 配置云端 Portal 认证功能
# 配置 Portal Web 服务器 cloud 的 URL 为 http://oasisauth.h3c.com/portal/protocol,类型为 oauth。
[H3C] portal web-server cloud
[H3C-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/protocol
[H3C-portal-websvr-cloud] server-type oauth
# 开启 Portal 被动 Web 认证的优化功能,使移动终端接入网络后自动弹出 Portal 认证页面。
[H3C-portal-websvr-cloud] captive-bypass ios optimize enable
# 配置 Portal 临时放行功能的匹配规则,对用户代理信息为 CaptiveNetworkSupport 的用户报文临
时放行,并重定向到 http://wifi.weixin.qq.com;对用户代理信息为 micromessenger 的用户报文临
时放行,并重定向到 http://oasisauth.h3c.com/portal/protocol;对访问 http://10.168.168.168 的用
户报文临时放行,不进行重定向。
[H3C-portal-websvr-cloud] if-match user-agent CaptiveNetworkSupport redirect-url
http://wifi.weixin.qq.com
[H3C-portal-websvr-cloud] if-match user-agent micromessenger temp-pass redirect-url
http://oasisauth.h3c.com/portal/protocol
[H3C-portal-websvr-cloud] if-match original-url http://10.168.168.168 temp-pass
[H3C-portal-websvr-cloud] quit
# 开启服务模板的 Portal 认证功能,指定认证方式为直接认证。
[H3C] wlan service-template h3c
[H3C-wlan-st-h3c] portal enable method direct
# 引用认证域、Portal Web 服务器。
[H3C-wlan-st-h3c] portal domain cloud
[H3C-wlan-st-h3c] portal apply web-server cloud
# 配置 Portal 临时放行规则。
[H3C-wlan-st-test] portal temp-pass period 60 enable
[H3C-wlan-st-test] quit
# 创建本地 Portal Web 服务器,进入本地 Portal Web 服务器视图,并指定使用 HTTP 协议和客户
端交互认证信息。
[H3C] portal local-web-server http
[H3C-portal-local-websvr-http] quit
2-32
# 开启 HTTP 服务和 HTTPS 服务。
[H3C] ip http enable
[H3C] ip https enable
# 配置 Portal 免认证规则,使用户不需要经过 Portal 认证即可以访问 DNS 服务器(本文以
114.114.114.114 为例,请配置实际使用的 DNS 服务器)、绿洲认证主机名、微信公众平台主机名
等。
[H3C] portal host-check enable
[H3C] portal user log enable
[H3C] portal free-rule 1 destination ip 114.114.114.114 255.255.255.255
[H3C] portal free-rule 2 destination ip any udp 53
[H3C] portal free-rule 3 destination ip any tcp 53
[H3C] portal free-rule 9 destination oasisauth.h3c.com
[H3C] portal free-rule 10 destination short.weixin.qq.com
[H3C] portal free-rule 11 destination mp.weixin.qq.com
[H3C] portal free-rule 12 destination long.weixin.qq.com
[H3C] portal free-rule 13 destination dns.weixin.qq.com
[H3C] portal free-rule 14 destination minorshort.weixin.qq.com
[H3C] portal free-rule 15 destination extshort.weixin.qq.com
[H3C] portal free-rule 16 destination szshort.weixin.qq.com
[H3C] portal free-rule 17 destination szlong.weixin.qq.com
[H3C] portal free-rule 18 destination szextshort.weixin.qq.com
[H3C] portal free-rule 19 destination isdspeed.qq.com
[H3C] portal free-rule 20 destination wx.qlogo.cn
[H3C] portal free-rule 21 destination wifi.weixin.qq.com
# 开启 Portal 安全重定向功能,配置匹配 Portal 安全重定向允许的 HTTP User Agent 中的浏览器类
型。
[H3C] portal safe-redirect enable
[H3C] portal safe-redirect user-agent Android
[H3C] portal safe-redirect user-agent CaptiveNetworkSupport
[H3C] portal safe-redirect user-agent MicroMessenger
[H3C] portal safe-redirect user-agent Mozilla
[H3C] portal safe-redirect user-agent WeChat
[H3C] portal safe-redirect user-agent micromessenger
2. 绿洲平台和微信公众号平台配置
(1) 添加微信连 Wi-Fi 插件
登录微信公众平台 https://mp.weixin.qq.com/,用申请好的公众号登录后,在左侧导航栏选择“添
加功能插件”
,添加“微信连Wi-Fi”插件。
2-33
图2-54 添加微信连 Wi-Fi 插件
(2) 新建通过腾讯审核的门店
在微信公众平台左侧导航栏中选择“功能 > 门店管理”,在“门店管理”页面点击<新建门店>按钮
新建经过腾讯审核的门店。
图2-55 新建门店
(3) 添加设备
在微信公众平台左侧导航栏中选择“功能 > 微信连 Wi-Fi”
,在“微信连 Wi-Fi”页面中选择“设备
管理”页签,点击<添加设备>按钮添加设备。
图2-56 添加设备
2-34
在“添加设备”页面选择设备所属门店,设备类型为 Portal 型设备,并配置设备连接的网络名,点
击<添加>按钮完成操作。
图2-57 设备设置
2-35
图2-59 添加微信公众号(园区 Wi-Fi、园区商业 Wi-Fi、中小企业场景)
2-36
图2-61 认证 URL
(7) 服务器配置
在微信公众平台“开发 > 基本配置”页面,修改服务器配置。将绿洲平台上生成的 TOKEN、认证
地址和加密密钥复制到此处,即与绿洲平台上的配置一致。
图2-62 服务器配置
(8) 微信门店配置
2-37
图2-63 导入门店
如果添加了多个微信公众号,可以在右上角的“选择微信公众号”处选择某个微信公众号,在对应
该公众号的门店中选择门店后,再点击操作列的“ ”按钮导入门店。
图2-64 导入已申请的门店
2-38
图2-65 添加微信连 Wi-Fi 认证的认证模板
(10) 配置无线服务使用的认证模板
配置无线服务的认证方式为认证,并选择微信认证连Wi-Fi的认证模板。有关无线服务的详细配置请
参见“2.6 配置无线服务”。
图2-66 配置无线服务使用的认证模板
在“网络管理”页签中,选择左侧导航栏的“无线配置”,在“认证模板”页面点击<认证方式>按
钮,在弹出的“认证管理”页面选择微信连 Wi-Fi 的公众号和门店后,再点击<确定>按钮开启微信
连 Wi-Fi 认证。
2-39
图2-67 开启微信连 Wi-Fi 认证
2.7.7 配置组合认证
1. 园区Wi-Fi、园区商业Wi-Fi和中小企业场景
(1) 添加组合认证的认证模板
以开启短信认证、微信公众号认证和固定账号认证方式为例。在绿洲平台的“网络部署”页签,选
择左侧导航栏中的“认证配置 > 认证模板”,在“认证模板”页面点击<添加>按钮,在弹出的“增
加认证模板”页面中选择无线服务的认证方式为短信认证、微信公众号认证和固定账号认证,每一
种认证方式都另外需要相应的配置,请参见对应认证方式中的相关配置。
2-40
图2-68 添加组合认证的认证模板
(2) 无线服务引用认证模板
配置无线服务的认证方式为认证,并选择组合认证的认证模板。有关无线服务的详细配置请参见
“2.6 配置无线服务”。
图2-69 无线服务引用认证模板
2. 商铺Wi-Fi场景
在“网络管理”页签中,选择左侧导航栏的“无线配置”,在“认证模板”页面点击<认证方式>按
钮,在弹出的“认证管理”页面选择微信连 Wi-Fi 的公众号和门店,并点击短信认证的<开/关>按钮
开启短信认证后,再点击<确定>按钮开启短信和微信连 Wi-Fi 组合认证。
2-41
图2-70 开启短信认证和微信连 Wi-Fi
2.7.8 配置再次连接免认证
开启再次连接免认证功能后,用户再次接入网络时无需手工输入认证信息便可以自动完成 Portal 认
证。再次连接免认证方式分为 Portal 免认证和 MAC-trigger 认证。
• Portal 免认证:该方式下,用户再次接入网络时,需打开浏览器触发重定向来完成自动 Portal
认证,并且可以向用户推送广告。
• MAC-trigger 认证:该方式下,用户再次接入网络时,无需打开浏览器触发重定向,可以直接
访问网络,但无法向用户推送广告。
1. 配置Portal免认证
在“网络部署”页签中,选择左侧导航栏的“认证配置->认证模板”,在“认证模板”页面选择开启
“再次连接免认证”功能。若勾选“推送广告页”,当用户使用浏览器进行自动 Portal 认证时,会
2-42
向用户推送出页面模板配置的认证成功页、主页(当认证模板上配置了认证成功后跳转地址,主页
会被该地址对应的页面替代)的广告。
图2-71 开启再次连接免认证功能
2. 配置MAC-trigger认证
(1) 在绿洲平台上开启再次连接免认证功能
与Portal免认证配置相同,参考 2.7.8 1. 。
(2) 在设备侧配置云端 MAC-trigger 认证
# 创建 MAC 绑定服务器 cloud,并进入 MAC 绑定服务器视图。
<H3C> system-view
[H3C] portal mac-trigger-server cloud
# 开启 Portal 云端 MAC-trigger 认证功能,并配置设备向 MAC 绑定服务器发起 MAC 地址查询的最
大尝试次数为 2 次,查询时间间隔为 3 秒
[H3C-portal-mac-trigger-server-cloud] cloud-binding enable
[H3C-portal-mac-trigger-server-cloud] binding-retry 2 interval 3
[H3C-portal-mac-trigger-server-cloud] quit
# 在无线服务模板 h3c 上应用 MAC 绑定服务器 cloud。
[H3C] wlan service-template h3c
[H3C-wlan-st-h3c] portal apply mac-trigger-server cloud
2.8 配置广告
2.8.1 绿洲广告简介
绿洲平台为用户提供了广告页面推送服务,最多可提供 4 个广告页:首页、登录页、登录成功页、
主页,每个页面都可以嵌入 URL 链接。由于首页和登录页是认证通过前推送的,如果需要嵌入 URL
链接,需要在设备上配置 URL 白名单,因此建议在登录成功页和主页嵌入 URL 链接。
绿洲平台提供的缺省广告页面模板如下,用户可以自行在广告页面编辑图片、文字、logo、电话、
链接等内容。
2-43
图2-72 绿洲广告页面
首页 登录页 登录成功页 主页
2.8.2 配置步骤
1. 园区Wi-Fi、园区商业Wi-Fi和中小企业场景
(1) 添加页面模板
选择场景右上角的“网络部署”页签,在左侧导航栏中选择“认证配置->页面模板”,在“页面模板”
页面点击<添加>按钮,在弹出的“增加页面模板”页面中输入模板名称和描述后,点击<确定>按钮
完成添加。
图2-73 添加页面模板
(2) 编辑页面模板
点击<编辑>按钮进入模板编辑页面。
2-44
图2-74 进入模板编辑页面
点击“组件”中的<文字>或<图片>在模板上添加相应的组件。点击已添加的组件,可以修改、删除
组件。
图2-75 编辑页面模板
2-45
(3) 编辑图片组件
点击图片组件的<修改>按钮,会弹出“图片编辑”窗口。点击“图片编辑”窗口中的<增加>按钮在
该图片组件增加显示图片,每个图片组件最多可使用三张图片。
图2-76 添加显示图片
点击“图片框”来上传图片。
图2-77 上传图片
选择一张图片进行上传,上传的图片大小不能超过 2M。
2-46
图2-78 选择要上传的图片并保存
为每张图片设置投放时间后,每一张图片将在相应的时间内进行投放。对于投放时间之外的时间段,
固定投放第一张图片。例如 图 2-79 中,设置第一张图片的投放时间为 2017-02-08~2017-02-12,
第二张图片的投放时间为 2017-02-13~2017-02-19,那么在 2017-02-08~2017-02-19 之外的时间
段将投放第一张图片。
为每张图片设置图片链接后,在移动终端上点击图片将跳转至图片链接所在的网页。设置的图片链
接需要以http或https开头,例如 http://www.h3c.com.cn。
图片投放时间和图片链接设置完成后,点击<发布>按钮进行发布。每一次编辑完成后,都要重新进
行发布。
图2-79 设置图片投放时间和图片链接
(4) 编辑文字组件
点击“组件”窗口中的<文字>按钮,可以为页面添加文字组件。点击已添加的文字组件,可以修改、
删除该组件。
2-47
图2-80 添加文字组件
点击<修改>按钮,将弹出“文字编辑”窗口,编辑要显示的文字后,再点击<发布>按钮进行发布。
每一次修改完成后,都要重新进行发布。
图2-81 文字编辑
2. 商铺Wi-Fi场景
选择场景右上角的“网络管理”页签,在左侧导航栏中选择“广告编辑”,在“广告编辑”页面点
击<编辑>按钮进入模板编辑页面。
页面模板的编辑请参考 2.8.2 1. 。
2-48
2-49
3 常见问题
3.1 绿洲注册常见问题
1. 设备没有配置正确的DNS
在设备上 Ping oasis.h3c.com 没有解析出正确的 IP 地址,一般运营商都有自己的 DNS 服务器,有
些 DNS 服务器无法解析 oasis.h3c.com,可以给设备配置 114.114.114.114 或其他可用的 DNS 地
址。(注:此处的 DNS 服务器和用户端用的 DNS 无关,只是设备与绿洲连接使用。)
2. IRF设备如何添加至绿洲
添加设备时需要勾选 IRF 选项,全部 IRF 成员设备需要添加至同一分组,且该分组仅包含该 IRF 成
员设备。
3. 在设备上查看隧道始终无法建立,尝试给设备配置固定域名地址:
[H3C] dns proxy enable
[H3C] ip host oasis.h3c.com 139.217.27.153
[H3C] ip host oasisdev.h3c.com 139.217.27.118
[H3C] ip host lvzhoudev.h3c.com 139.217.22.254
[H3C] ip host oasisauth.h3c.com 139.217.11.74
4. 隧道处于初始化阶段一直无法成功建立
如果上行链路存在防火墙,则需要防火墙放行以下地址,否则会导致隧道无法建立。
oasis.h3c.com
oasisdev.h3c.com
lvzhoudev.h3c.com
oasisauth.h3c.com
5. 首页和流量监控页面没有流量
对于没有 WAN 口的设备,请在绿洲平台“网络监控 > 设备概览 > 流量监控”右上角漏斗图标选择
要监控的端口;对于有 WAN 口的设备,目前只统计 WAN 口的流量,如果 WAN 口没有流量,则不
显示。
6. 系统信息中的上行剩余带宽怎么使用
点击铅笔图标,设置参考带宽(不具备设备侧配置意义),将根据当前开销与参考带宽比例计算。
3.2 绿洲认证常见问题
1. 微信公众号认证和微信连Wi-Fi注意事项
(1) 微信连 Wi-Fi 注意事项:
• 需要在微信平台上添加微信连 Wi-Fi 的的功能插件
• 需要在微信平台添加门店,并且添加的门店需经过腾讯审核
• 需要将门店信息导入绿洲平台
(2) 微信公众号认证需要申请经过腾讯认证的服务号,订阅号仅能用于微信连 Wi-Fi 认证。
3-1
(3) 微信连 Wi-Fi 和微信公众号这两种认证方式均需要终端已安装微信 APP,并且登录的微信账
号绑定了手机号码,否则将不能进行认证。
2. Portal被动Web认证功能相关
如果只做微信公众号认证,不需要自动弹出 Portal 认证页面时,可配置开启 Portal 被动 Web 认证
功能。
<H3C> system-view
[H3C] portal web-server cloud
[H3C-portal-websvr-cloud] captive-bypass enable
Portal 被动 Web 认证功能处于关闭状态,即 ioS 系统和部分 Android 系统的用户接入已开启 Portal
认证的网络后会自动弹出 Portal 认证页面。
对于 ioS 系统,如果现网测试发现 ioS 系统连上无线后,Wi-Fi 图标无法点亮,可以配置开启 Portal
被动 Web 认证优化功能,既可以实现点亮 Wi-Fi 图标,又可以实现自动弹出 Portal 认证页面。
[H3C] portal web-server cloud
[H3C-portal-websvr-cloud] captive-bypass ios optimize enable
3. 认证时,显示“错误码:60013,重定向URL不能为空”
一般是因为 AC 上的业务 VLAN 内没有配置对应的 IP 地址。请为业务 VLAN 配置相应的 IP 地址或
使用 portal client-gateway interface 命令重新指定一个客户端可以访问的 AC 接口。
4. 闲置切断时间
建议配置绿洲认证时,需在绿洲的认证模板上配置闲置切断时间,最长配置不要超过 DHCP server
地址租约时间的一半。
3-2