- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-微信认证功能典型配置举例
本章节下载 (2.04 MB)
目 录
本文档介绍F1000-C8102设备微信认证新功能微信连wifi配置举例,包括微信公众平台、微信认证配置。
在配置前,先了解如下几个定义:
· 微信公众平台:是腾讯公司推出的互动营销开放应用平台,主要面向名人、政府、媒体、企业等机构推出的合作推广业务。
· 公众号:开发者或商家在微信公众平台上申请的应用账号,被分成订阅号、服务号、企业号,运营主体是组织(比如企业、媒体、公益组织)的,可以申请服务号,运营主体是组织和个人的可以申请订阅号,但是个人不能申请服务号。
· 微信ID:个人微信号的唯一标识。
· openId:是公众号的普通用户的一个唯一的标识,只针对当前的公众号有效。(公众账号ID和微信ID通过加密算法计算出来的,针对公众账号的唯一标示符)。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
在配置前,需要做如下准备:
· 客户已经申请公众号。
· 本文档假设您已了解微信认证特性。
如图1所示,某公司内网无线办公网段IP地址172.16.11.0/24,有线办公网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访问点的网关,172.16.12.1/24作为有线访问点的网关。Router上开启DHCP,地址池分别为172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用设备的ge1-0和ge1-2接口作为透明桥,串接部署在网络中,设备上联出口FW,下联三层设备路由器。F1000-C8102产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:
· 移动端设备使用无线网络时,可以使用微信认证进行接入认证。
· 配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。
· 配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。
(1) 登录微信公众平台
如图2在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。
图2 登录微信公众平台
(2) 添加门店
如图3所示,在门店管理界面,选择新建门店,进行门店添加。
(3) 添加设备
如图4所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。
图4 添加设备
如图5所示,点击添加之后,效果如下:
(4) 为门店添加主页
如图6所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。
(5) 获取门店对应ssid的二维码
如图7所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。
(1) 配置网桥接口
如图8所示,进入网络管理>接口>网桥接口地,点击<新建>按钮创建网桥接口bvi1,把ge1-0、ge1-2加入网桥,配置接口地址为192.168.200.3/24。
(2) 配置静态路由
如图9配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。
(3) 配置微信认证地址对象
如图10所示,进入资源管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。
(4) 添加IPv4策略
如图11所示,进入防火墙>安全策略>IPv4安全策略,点击<新建>创建应该过滤策略,应用选择“微信”,点击<提交>。
(5) 配置微信认证参数
如图12所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。
(6) 配置微信认证策略
如图13所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。
(7) 配置用户识别范围
如图14所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。
· Router设备需要开启DHCP功能,地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。
· 设备在透明部署模式下配置微信认证时, bvi接口需要配置管理地址和上下联设备同网段,以便正常给认证用户推送portal页面,同时配置去往认证用户网段的路由。
· 认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。
· 由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。
如图15所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。
图15 移动客户端导航页面
如图16所示,用户点击一键打开微信连Wi-Fi按钮,唤醒微信,连接成功。
如图17所示,进入日志查询>系统日志查看微信认证认证日志。
如图18所示,进入在线用户管理→认证用户组,查看已认证成功用户。
如图19所示,某公司内网办公网段IP地址172.16.11.0/24,其中172.16.11.1/24作为认证用户的网关。FW上开启DHCP,地址池为172.16.11.3/24~172.16.11.254/24。使用设备的ge1-0和ge1-2接口作为透明桥,串接部署在网络中,设备上联出口FW,下联二层交换机。F1000-C8102产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:
· 移动端设备使用无线网络时,可以使用微信认证进行接入认证。
· 配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。
· 配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。
(1) 登录微信公众平台
如图20在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。
(2) 添加门店
如图21所示,在门店管理界面,选择新建门店,进行门店添加。
(3) 添加设备
如图22所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。
如图23所示,点击添加之后,效果如下:
(4) 为门店添加主页
如图24所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。
(5) 获取门店对应ssid的二维码
如图25所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。
(1) 配置网桥接口
如图26所示,进入网络管理>接口>网桥接口地,点击<新建>按钮创建网桥接口bvi1,把ge1-0、ge1-2加入网桥,配置接口地址为172.16.11.2/24。
(2) 配置静态路由
如图27配置访问外网的默认路由。
(3) 配置微信认证地址对象
如图28所示,进入资源管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 添加IPv4策略
如图29所示,进入防火墙>安全策略>IPv4安全策略,点击<新建>创建应用过滤策略,应用为微信,点击<提交>。
图29 添加IPv4安全策略
(5) 配置微信认证参数
如图30所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。
(6) 配置微信认证策略
如图31所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。
(7) 配置用户识别范围
如图32所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。
· FW设备需要开启DHCP功能,地址池范围为172.16.11.3/24~172.16.11.254/24。
· F1000-C8102在透明部署模式下配置微信认证时, bvi接口需要配置管理地址和认证用户同网段,以便正常给认证用户推送portal页面。
· 认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。
· 由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除
如图33所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。
图33 移动客户端导航页面
如图34所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。
如图35所示,进入日志查询>系统日志查看微信认证认证日志。
如图36所示,进入在线用户管理→微信用户组,查看已认证成功用户。
如图37所示,某公司内网无线办公网段IP地址172.16.11.0/24,有线办公网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访问点的网关,172.16.12.1/24作为有线访问点的网关。Router上开启DHCP,地址池分别为:
172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用设备的ge1-0和ge1-2接口以三层路由模式部署在网络中,设备上联出口FW,下联三层设备路由器。F1000-C8102产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:
· 移动端设备使用无线网络时,可以使用微信认证进行接入认证。
· 笔记本使用无线网或有线网网络时,可以使用微信认证进行接入认证。
· 配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。
· 配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。
(1) 登录微信公众平台
如图38在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。
(2) 添加门店
如图39所示,在门店管理界面,选择新建门店,进行门店添加。
(3) 添加设备
如图40所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。
图40 添加设备
如图41所示,点击添加之后,效果如下:
(4) 为门店添加主页
如图42所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。
(5) 获取门店对应ssid的二维码
如图43所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。
图43 二维码获取
(1) 配置路由接口
如图44、图45所示,进入网络管理>接口,点击编辑ge1-2、ge1-0操作,把ge1-0、ge1-2的地址分别配置为192.168.100.2/24、192.168.200.1/24。
(2) 配置静态路由
如图46配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。
(3) 配置微信认证地址对象
如图47所示,进入资源管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。
(4) 添加IPv4安全策略
如图48所示,进入防火墙>安全策略>IPv4安全策略,点击<新建>创建IPv4安全策略,应用为微信,点击<提交>。
图48 添加IPv4安全策略
(5) 配置微信认证参数
如图49所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。
(6) 配置微信认证策略
如图50所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。
(7) 配置用户识别范围
如图51所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。
· Router设备需要开启DHCP功能,地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。
· 认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。
· 由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。
如图52所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。
图52 移动客户端导航页面
如图53所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。
如图54所示,进入日志查询>系统日志查看微信认证认证日志。
如图55所示,进入在线用户管理→微信用户组,查看已认证成功用户。
如图56所示,某公司内网办公网段IP地址172.16.11.0/24,其中172.16.11.1/24作为认证用户的网关。地址池为172.16.11.3/24~172.16.11.254/24。使用F1000-C8102设备的ge1-0和ge1-2接口以三层路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。F1000-C8102产品上开启微信认证功能,且要求只有关注了公司微信公众号的用户才能长时间上网。具体应用需求如下:
· 移动端设备使用无线网络时,可以使用微信认证进行接入认证;
· 配置微信公众平台公众号,对进行门店添加、设备添加、二维码下载等操作。
· 配置设备微信认证界面,添加应用ID、应用密钥、门店ID和微信认证跳转URL等信息。
(1) 登录微信公众平台
如图57在IE/Firefox/Chrome等浏览器中输入:https://mp.weixin.qq.com/ ,输入客户注册的用户名和密码,点击<登录>按钮可登录公众平台。
(2) 添加门店
如图58所示,在门店管理界面,选择新建门店,进行门店添加。
(3) 添加设备
如图59所示,在微信连Wi-Fi的设备管理界面,进行设备添加,在添加设备时,需要选择设备所属门店,设备类型选择portal型,ssid需要和门店为用户提供的ssid一致。
如图60所示,点击添加之后,效果如下:
(4) 为门店添加主页
如图61所示,在微信连Wi-Fi的商家主页管理界面,点击编辑,可以选择不同的商家页面进行配置,即微信首页的显示界面。
(5) 获取门店对应ssid的二维码
如图62所示,在微信连Wi-Fi的用户连网方式页面,选择“扫二维码连网”方式点击立即配置,下载门店ssid对应的二维码。
(1) 配置路由接口
如图63、图64所示,进入网络管理>接口,点击编辑ge1-0、ge1-2操作,把ge1-0、ge1-2的地址分别配置为192.168.100.2/24、172.16.11.1/24。
(2) 配置静态路由
如图65配置访问外网的默认路由。
(3) 配置微信认证地址对象
如图66所示,进入资源管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 添加IPv4安全策略
如图67所示,进入防火墙>安全策略>IPv4安全策略,点击<新建>创建IPv4安全策略,应用为微信,点击<提交>。
图67 添加IPv4安全策略
(5) 配置微信认证参数
如图68所示,进入“用户管理> 认证设置 > 微信认证 >”页面,应用ID、应用密钥等详细信息从微信公众号复制过来,并填入对应的配置框中,并勾选开启强制关注功能。
(6) 配置微信认证策略
如图69所示,进入“用户管理>认证策略”页面,选择新建认证策略,源接口选择内网口ge1-2,源地址选择“认证用户”,认证方式使用“微信认证”,提交策略。
(7) 配置用户识别范围
如图70所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,其它配置默认,提交配置。
(8) 配置源NAT
如图71所示,进入“网络配置>NAT”页面,在源NAT页面创建策略,接口选择ge1-0,其它配置默认,提交配置。
· F1000-C8102设备或二层交换机上需要开启DHCP功能,地址池范围为:172.16.11.3/24~172.16.11.254/24。认证用户的网关地址指向172.16.11.1。
· 认证用户网段必须在用户识别范围中,否则点击一键打开微信连wifi按钮后无法正常唤起微信,导致不能正常认证。
· 由于微信公众平台发布通知,后续不再支持PC端微信连wifi功能,本文档中已将PC连wifi的相关内容删除。
如图72所示,移动客户端连接ssid或扫描二维码上网时,浏览器弹出portal页面。
图72 移动客户端导航页面
如图73所示,用户点击一键打开微信连Wi-Fi按钮,从浏览器跳转到微信界面,点击立即连接后,成功上网。
如图74 所示,进入日志查询>系统日志查看微信认证认证日志。
如图75所示,进入在线用户管理→微信用户组,查看已认证成功用户。
如图76所示,手机在3G或者4G模式下,扫描二维码,使手机连接对应的ssid。
如图77所示,连接ssid之后推出portal,开始认证流程。
图77 推出portal,开始认证
· 微信认证一台设备下只支持一个SSID,暂不支持多个SSID。
· 不支持HA主备、HA主主同步微信认证用户。
· 微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。
· 若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。
· 微信认证用户IP必须在用户识别范围中,否则无法唤醒微信,因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。
· 设备上的SSID一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。
· 设备下联设备为二层设备时,认证用户的网关不能是二层设备上的vlan接口的IP地址,否则在设备会出现用户MAC来回切换,一会是二层设备vlan接口的MAC, 一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。
· 微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。
· PC端进行微信认证时的浏览器支持IE9及以上,火狐、谷歌浏览器,对于火狐浏览器网银模式不支持,请勿使用网银模式。
· 移动终端浏览器推荐:
表1 浏览器推荐
|
手机品牌 |
推荐浏览器 |
|
iPhone |
QQ浏览器、百度浏览器 |
|
ipad |
QQ浏览器、百度浏览器 |
|
三星 |
QQ浏览器、百度浏览器 |
|
华为 |
QQ浏览器、百度浏览器 |
|
oppo |
QQ浏览器、百度浏览器 |
|
小米 |
QQ浏览器、百度浏览器 |
|
魅族 |
QQ浏览器、百度浏览器 |
· 部分安卓手机浏览器弹出portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换推荐的浏览器尝试,如果能自动跳转,则忽略提示信息。
· 微信连wifi不支持扫码认证,扫码只是让移动终端连接对应SSID,然后还要继续完成后续认证流程。
· 设备上的wifi名称(SSID)不建议使用中文、如果使用中文可能会存在兼容性问题出现乱码或无法连接的问题。具体请参考微信公众平台说明:https://mp.weixin.qq.com/wiki,附截图78说明如下:
图78 SSID名称规则
· 为了实现微信内置浏览器弹Portal,默认放通了dns.weixin.qq.com(DNS报文会封装到这个域名的报文中)、short.weixin.qq.com(获取用户OpenId)的流量。
· 不认证的情况下微信能正常收发消息,微信收发消息被封装在short.weixin.qq.com的报文中了。
· 微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议加密,导致不能弹portal,此类url host一般是http://mp.weixin.qq.com,例如:http://mp.weixin.qq.com/s/YOkQ0zn7fYi35KK8m3Gw8w,经测试统计这类应用的比例高达40%左右。
· 微信内置浏览器中的https页面不支持弹portal。
· 部分http页面不能弹portal,原因是终端建立tcp3次握手后,不发送GET请求了,与终端行为有关。
· 苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。
· 订阅号中的应用不支持弹portal,都是内置在微信服务器上的应用,微信不会响应302重定向报文。
· 强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。
· 电脑上弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试。
原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。 参见Wi-Fi硬件鉴权协议接口说明——3.7 常见问题。
· 在开启强制关注后,若有两个及以上门店使用同一个微信公众号,则需要搭建第三方token服务器,并将token-url设置为token服务器的地址,否则会导致强制关注功能异常,因为门店设备网关每105分钟会去微信公众号更新access-token,一旦access-token更新就会失效,这样就会导致同一时间总有一个门店获取关注用户列表失败的情况,设置一个token-url间接获取token就能避免这样的情况出现。
· 《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》 中的“用户管理”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
