• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

06-微信认证功能典型配置举例

本章节下载 06-微信认证功能典型配置举例  (2.01 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334129_30005_0.htm

06-微信认证功能典型配置举例


1  简介

本文档介绍ACG1000设备微信认证新功能微信连wifi配置举例,包括微信公众平台、微信认证配置。

在配置前,先了解如下几个定义:

·     微信公众平台:是腾讯公司推出的互动营销开放应用平台,主要面向名人、政府、媒体、企业等机构推出的合作推广业务。

·     公众号:开发者或商家在微信公众平台上申请的应用账号,被分成订阅号、服务号、企业号,运营主体是组织(比如企业、媒体、公益组织)的,可以申请服务号,运营主体是组织和个人的可以申请订阅号,但是个人不能申请服务号。

·     微信ID:个人微信号的唯一标识。

·     openId:是是公众号的普通用户的一个唯一的标识,只针对当前的公众号有效。(公众账号ID和微信ID通过加密算法计算出来的,针对公众账号的唯一标示符)。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     客户已经申请公众号。

·     本文档假设您已了解微信认证特性。

3  微信认证功能配置举例

3.1  组网需求1:透明桥三层组网

3.1.1  组网需求

图1所示,某公司内网无线办公网段IP地址172.16.11.0/24,有线办公网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访问点的网关,172.16.12.1/24作为有线访问点的网关。Router上开启DHCP,地址池分别为172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用ACG1000设备的ge1-0和ge1-2接口作为透明桥,串接部署在网络中,ACG上联出口FW,下联三层设备路由器。ACG1000产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:

·     移动端设备使用无线网络时,可以使用微信认证进行接入认证。

图1 微信认证透明桥三层组网图

 

3.1.2  配置思路

·     配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。

·     配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。

3.1.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.1.4  配置步骤

1. 配置微信公众平台

(1)     登录微信公众平台

图2在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。

图2 登录微信公众平台

 

(2)     添加门店

图3所示,在门店管理界面,选择新建门店,进行门店添加。

图3 添加门店

 

(3)     添加设备

图4所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。

图4   添加设备

 

图5所示,点击添加之后,效果如下:

图5 设备添加

 

(4)     为门店添加主页

图6所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。

图6 商家主页编辑

 

(5)     获取门店对应ssid的二维码

图7所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。

图7   二维码获取

 

2. 配置ACG1000微信认证

(1)     配置网桥接口

图8所示,进入网络管理>接口>网桥接口地,点击<新建>按钮创建网桥接口bvi1,把ge1-0、ge1-2加入网桥,配置接口地址为192.168.200.3/24。

图8 配置网桥接口

 

(2)     配置静态路由

图9配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。

图9 配置静态路由

 

(3)     配置微信认证地址对象

图10所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。

图10 配置微信认证地址对象

 

(4)     添加上网行为管理策略

图11所示,进入上网行为管理>策略配置>IPv4策略,点击<新建>创建审计策略,审计应用为微信,点击<提交>。

图11 添加上网行为管理审计策略

 

(5)     配置微信认证参数

图12所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。

图12 认证配置

 

(6)     配置微信认证策略

图13所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。

图13 认证策略页面

 

(7)     配置用户识别范围

图14所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。

图14 用户识别范围

 

3.1.5  配置注意事项

·     Router设备需要开启DHCP功能,地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     ACG1000在透明部署模式下配置微信认证时, bvi接口需要配置管理地址和上下联设备同网段,以便正常给认证用户推送portal页面,同时配置去往认证用户网段的路由。

·     认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。

·      由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。

3.1.6  验证配置

1. 移动客户端使用微信认证进行上网

图15所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。

图15  移动客户端导航页面

 

图16所示,用户点击一键打开微信连Wi-Fi按钮,唤醒微信,连接成功。

图16 微信认证

 

图17所示,进入日志查询>系统日志查看微信认证认证日志。

图17 微信认证用户日志

 

图18所示,进入在线用户管理→认证用户组,查看已认证成功用户。

图18 查看微信认证成功用户

 

3.2  组网需求2:透明桥二层组网

3.2.1  组网需求

图19所示,某公司内网办公网段IP地址172.16.11.0/24,其中172.16.11.1/24作为认证用户的网关。FW上开启DHCP,地址池为172.16.11.3/24~172.16.11.254/24。使用ACG1000设备的ge1-0和ge1-2接口作为透明桥,串接部署在网络中,ACG上联出口FW,下联二层交换机。ACG1000产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:

·     移动端设备使用无线网络时,可以使用微信认证进行接入认证。

图19 微信认证透明桥二层组网图

 

3.2.2  配置思路

·     配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。

·     配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。

3.2.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.2.4  配置步骤

1. 配置微信公众平台

(1)     登录微信公众平台

图20在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。

图20 登录微信公众平台

 

(2)     添加门店

图21所示,在门店管理界面,选择新建门店,进行门店添加。

图21 添加门店

 

(3)     添加设备

图22所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。

图22 添加设备

 

图23所示,点击添加之后,效果如下:

图23 设备添加

 

(4)     为门店添加主页

图24所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。

图24 商家主页编辑

 

(5)     获取门店对应ssid的二维码

图25所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。

图25 二维码获取

 

2. 配置ACG1000微信认证

(1)     配置网桥接口

图26所示,进入网络管理>接口>网桥接口地,点击<新建>按钮创建网桥接口bvi1,把ge1-0、ge1-2加入网桥,配置接口地址为172.16.11.2/24。

图26 配置网桥接口

 

(2)     配置静态路由

图27配置访问外网的默认路由。

图27 配置静态路由

 

(3)     配置微信认证地址对象

图28所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图28 配置微信认证地址对象

 

(4)     添加上网行为管理策略

图29所示,进入上网行为管理>策略配置>IPv4策略,点击<新建>创建审计策略,审计应用为微信,点击<提交>。

图29 添加上网行为管理审计策略

 

(5)     配置微信认证参数

图30所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。

图30 认证配置

 

(6)     配置微信认证策略

图31所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。

图31 认证策略页面

 

(7)     配置用户识别范围

图32所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。

图32 用户识别范围

 

3.2.5  配置注意事项

·     FW设备需要开启DHCP功能,地址池范围为172.16.11.3/24~172.16.11.254/24。

·     ACG1000在透明部署模式下配置微信认证时, bvi接口需要配置管理地址和认证用户同网段,以便正常给认证用户推送portal页面。

·     认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。

·     由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除

3.2.6  验证配置

1. 移动客户端使用微信认证进行上网

图33所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。

图33  移动客户端导航页面

 

图34所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。

图34 微信认证

   

 

图35所示,进入日志查询>系统日志查看微信认证认证日志。

图35 微信认证用户日志

 

图36所示,进入在线用户管理→微信用户组,查看已认证成功用户。

图36 查看微信认证成功用户

 

3.3  组网需求3:路由模式三层组网

3.3.1  组网需求

图37所示,某公司内网无线办公网段IP地址172.16.11.0/24,有线办公网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访问点的网关,172.16.12.1/24作为有线访问点的网关。Router上开启DHCP,地址池分别为:

172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用ACG1000设备的ge1-0和ge1-2接口以三层路由模式部署在网络中,ACG上联出口FW,下联三层设备路由器。ACG1000产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:

·     移动端设备使用无线网络时,可以使用微信认证进行接入认证。

·     笔记本使用无线网或有线网网络时,可以使用微信认证进行接入认证。

图37 微信认证路由模式三层组网图

 

3.3.2  配置思路

·     配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。

·     配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。

3.3.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.3.4  配置步骤

1. 配置微信公众平台

(1)     登录微信公众平台

图38在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。

图38 登录微信公众平台

 

(2)     添加门店

图39所示,在门店管理界面,选择新建门店,进行门店添加。

图39 添加门店

 

(3)     添加设备

图40所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。

图40   添加设备

 

图41所示,点击添加之后,效果如下:

图41 设备添加

 

(4)     为门店添加主页

图42所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。

图42 商家主页编辑

 

(5)     获取门店对应ssid的二维码

图43所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。

图43   二维码获取

 

2. 配置ACG1000微信认证

(1)     配置路由接口

图44图45所示,进入网络管理>接口,点击编辑ge1-2、ge1-0操作,把ge1-0、ge1-2的地址分别配置为192.168.100.2/24、192.168.200.1/24。

图44 配置ge1-2接口

 

图45 配置ge1-0接口

 

(2)     配置静态路由

图46配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。

图46 配置静态路由

 

(3)     配置微信认证地址对象

图47所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。

图47 配置微信认证地址对象

 

(4)     添加上网行为管理策略

图48所示,进入上网行为管理>策略配置>IPv4策略,点击<新建>创建审计策略,审计应用为微信,点击<提交>。

图48 添加上网行为管理审计策略

 

(5)     配置微信认证参数

图49所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。

图49 认证配置

 

(6)     配置微信认证策略

图50所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。

图50 认证策略页面

 

(7)     配置用户识别范围

图51所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。

图51 用户识别范围

 

3.3.5  配置注意事项

·     Router设备需要开启DHCP功能,地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。

·     由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。

3.3.6  验证配置

1. 移动客户端使用微信认证进行上网

图52所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。

图52  移动客户端导航页面

 

图53所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。

图53 微信认证

   

 

图54所示,进入日志查询>系统日志查看微信认证认证日志。

图54 微信认证用户日志

 

图55所示,进入在线用户管理→微信用户组,查看已认证成功用户。

图55 查看微信认证成功用户

 

3.4  组网需求4:路由模式二层组网

3.4.1  组网需求

图56所示,某公司内网办公网段IP地址172.16.11.0/24,其中172.16.11.1/24作为认证用户的网关。地址池为172.16.11.3/24~172.16.11.254/24。使用ACG1000设备的ge1-0和ge1-2接口以三层路由模式部署在网络中,ACG作为出口网关设备,下联二层交换机。ACG1000产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:

·     移动端设备使用无线网络时,可以使用微信认证进行接入认证;

图56 微信认证路由模式二层组网图

 

3.4.2  配置思路

·     配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。

·     配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。

3.4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.4.4  配置步骤

1. 配置微信公众平台

(1)     登录微信公众平台

图57在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。

图57 登录微信公众平台

 

(2)     添加门店

图58所示,在门店管理界面,选择新建门店,进行门店添加。

图58 添加门店

 

(3)     添加设备

图59所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。

图59 添加设备

 

图60所示,点击添加之后,效果如下:

图60 设备添加

 

(4)     为门店添加主页

图61所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。

图61 商家主页编辑

 

(5)     获取门店对应ssid的二维码

图62所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。

图62 二维码获取

 

2. 配置ACG1000微信认证

(1)     配置路由接口

图63图64所示,进入网络管理>接口,点击编辑ge1-0、ge1-2操作,把ge1-0、ge1-2的地址分别配置为192.168.100.2/24、172.16.11.1/24。

图63 配置ge1-2接口

 

图64 配置ge1-0接口

 

(2)     配置静态路由

图65配置访问外网的默认路由。

图65 配置静态路由

 

(3)     配置微信认证地址对象

图66所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图66 配置微信认证地址对象

 

(4)     添加上网行为管理策略

图67所示,进入上网行为管理>策略配置>IPv4策略,点击<新建>创建审计策略,审计应用为微信,点击<提交>。

图67 添加上网行为管理审计策略

 

(5)     配置微信认证参数

图68所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。

图68 认证配置

 

(6)     配置微信认证策略

图69所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。

图69 认证策略页面

 

(7)     配置用户识别范围

图70所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。

图70 用户识别范围

 

(8)     配置源NAT

图71所示,进入“网络配置>NAT”页面,在源NAT页面创建策略,接口选择ge1-0,其它配置默认,提交配置。

图71 配置源NAT

 

3.4.5  配置注意事项

·     ACG设备或二层交换机上需要开启DHCP功能,地址池范围为:172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。认证用户的网关地址指向172.16.11.1。

·     认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。

·     由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。

3.4.6  验证配置

1. 移动客户端使用微信认证进行上网

图72所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。

图72  移动客户端导航页面

 

图73所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。

图73 微信认证

   

 

图74 所示,进入日志查询>系统日志查看微信认证认证日志。

图74 微信认证用户日志

 

图75所示,进入在线用户管理→微信用户组,查看已认证成功用户。

图75 查看微信认证成功用户

 

3.5  认证流程

3.5.1  手机扫码/连接ssid认证流程

1. 手机3G或4G模式下扫码连wifi

图76所示,手机在3G或者4G模式下,扫描二维码,使手机连接对应的ssid。

图76 手机连接对应的ssid

 

2. 微信认证

图77所示,连接ssid之后推出portal,开始认证流程。

图77 推出portal,开始认证

 

4  微信认证功能使用限制及注意事项

·     微信认证一台设备下只支持一个SSID,暂不支持多个SSID。

·     不支持HA主备、HA主主同步微信认证用户。

·     微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。

·     若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。

·     微信认证用户IP必须在用户识别范围中,否则无法唤醒微信,因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。

·     设备上的SSID一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。

·     ACG下联设备为二层设备时,认证用户的网关不能是二层设备上的vlan接口的IP地址,否则在ACG会出现用户MAC来回切换,一会是二层设备vlan接口的MAC, 一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。

·     微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。

·     微信公众平台仅支持移动端微信认证,不支持PC微信认证。

·     移动终端浏览器推荐:

表1 浏览器推荐

手机品牌

推荐浏览器

iPhone

QQ浏览器、百度浏览器

ipad

QQ浏览器、百度浏览器

三星

QQ浏览器、百度浏览器

华为

QQ浏览器、百度浏览器

oppo

QQ浏览器、百度浏览器

小米

QQ浏览器、百度浏览器

魅族

QQ浏览器、百度浏览器

 

·     部分安卓手机浏览器弹出portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换推荐的浏览器尝试,如果能自动跳转,则忽略提示信息。

·     微信连wifi不支持扫码认证,扫码只是让移动终端连接对应SSID,然后还要继续完成后续认证流程。

·     设备上的wifi名称(SSID)不建议使用中文、如果使用中文可能会存在兼容性问题出现乱码或无法连接的问题。具体请参考微信公众平台说明:https://mp.weixin.qq.com/wiki,附截图78说明如下:

图78 SSID名称规则

 

·     为了实现微信内置浏览器弹Portal,默认放通了dns.weixin.qq.com(DNS报文会封装到这个域名的报文中)、short.weixin.qq.com(获取用户OpenId)的流量。

·     不认证的情况下微信能正常收发消息,微信收发消息被封装在short.weixin.qq.com的报文中了。

·     微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议加密,导致不能弹portal,此类url host一般是http://mp.weixin.qq.com,例如:http://mp.weixin.qq.com/s/YOkQ0zn7fYi35KK8m3Gw8w,经测试统计这类应用的比例高达40%左右。

·     微信内置浏览器中的https页面不支持弹portal。

·     部分http页面不能弹portal,原因是终端建立tcp3次握手后,不发送GET请求了,与终端行为有关。

·     苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。

·     订阅号中的应用不支持弹portal,都是内置在微信服务器上的应用,微信不会响应302重定向报文。

·     强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。

·     电脑上弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试。

原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。 参见Wi-Fi硬件鉴权协议接口说明——3.7 常见问题。

·     在开启强制关注后,若有两个及以上门店使用同一个微信公众号,则需要搭建第三方token服务器,并将token-url设置为token服务器的地址,否则会导致强制关注功能异常,因为门店ACG网关每105分钟会去微信公众号更新access-token,一旦access-token更新就会失效,这样就会导致同一时间总有一个门店获取关注用户列表失败的情况,设置一个token-url间接获取token就能避免这样的情况出现。

·     微信认证支持用户名模式切换,默认用户名取openidopenid:是加密后的微信号,每个用户对每个公众号的OpenID是唯一的。对于不同公众号,同一用户的openid不同),可以通过命令切换成tidtid:为加密后的用户手机号码(仅作网监部门备案使用))。Conffig配置视图,命令:user-wechat name-mode openidtid}。当把用户名切换成tid模式时,会出现同一个用户每次认证时的tid发生变化的情况,经过测试验证和抓包确认,怀疑是由于tid每次都使用了随机加密方式,报文中的实际tid每次也都会不一样,所以请谨慎使用,只有在有用户明确要求使用tid的特殊场景下使用

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》 中的“用户管理”

·     《H3C SecPath ACG1000系列应用控制网关 对外测试手册》中的“上网行为策略”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们