一、需求分析
目前Portal认证是WLAN网络的主流接入认证方式之一。当采用Portal认证时,用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息,操作较为不便;特别是在一些学校、企业、政府等人员流动性比较小的场景下,用户需要做Web认证,但又不想每天来上班都要认证一遍,那么能否实现一次认证,“终生”使用呢?
二、解决方案
答案当然是可以的, AC&AP无线网络提供以下两种解决方案
方案一:启用无感知认证
客户端首次连接时需要手动认证,无线控制器记录认证客户端的认证信息(用户名、密码等);再次接入时自动进行无感知认证,无需手动输入用户名、密码等。
简单来说就是首次认证成功后,再次连接时无需输入用户名、密码等信息。
1、无感知认证-首次接入
终端首次接入时,重定向Portal页面提示用户需要认证,此时AC会记录客户端成功认证时的STA MAC、接入VLAN、用户名、密码信息。
2、无感知认证-再次接入
客户端再次在同一个VLAN中接入时,AC使用该客户端上次成功认证的用户名、密码信息向认证计费服务器发起认证,若认证成功则放行终端上网数据,客户端实现无感知接入Portal认证网络,若认证失败则重定向客户端上网数据到Portal页面,提示用户重新输入用户名、密码进行认证,并更新无感知条目存储信息。
▲由于首次接入AC已经记录了客户端信息,再次接入时直接提交认证。
3、如何设置无感知认证
在AC中设置组合认证并选择Web认证时,可在页面选择开启无感知认证功能:
设置完成,当终端认证成功接入后会在认证状态-无感知认证用户页面显示,只要无感知认证条目还在,在用户上网有效期内再次接入均不需要再进行认证啦!
方案二:取消勾选认证老化
AC认证管理--认证参数里的“认证老化”功能是默认开启的,如下图所示。
我们可以看到认证老化时间是可以自定义时间的,主要是指认证能生效的时间,客户端在老化时间内重新连接到AP,不需要重新认证,超过老化时间后接入的客户端需要重新认证。
因此为实现一次认证、“终生”使用需求,我们可以取消勾选认证老化功能,这样终端通过认证之后认证条目不再老化,无论何时接入,都可以实现“免认证”上网!
三、注意事项
1、 受限于硬件资源,不同规格AC上可记录的无感知认证条目或认证老化条目数量有限;
MAC无感知认证条目满之后,新终端接入可以顶替掉老终端条目,实现无感知认证;
取消勾选认证老化时,认证条目满之后不会老化也无法被顶替,新终端接入后无法实现“免认证”。
2、 认证条目均是记录在AC运行内存中,设备重启会导致认证信息丢失,终端需要重新进行认证。
3、 目前企业级路由器仅支持取消认证老化,不支持无感知认证,AC控制器则均支持,当两个功能同时启用时,以认证老化功能为准,条目满之后新终端接入无法实现“免认证”。