基本配置	详细配置	敏捷部署
划分分支	1.2.2 1.	√
增加场所	1.2.2 2.	√
分支、场所的导入与导出	1.2.3	-
配置场所标签	1.2.4 2.	-
增加设备	1.3.1	√
管理设备	1.3.2	-
设备的导入与导出	1.3.3	-

1.1 首页

输入登录地址进入登录页，输入账号名称和密码，默认账号为h3cadmin，密码为Pwd@12345，点击<登录>按钮，进入首页。

图1-2 首页区域说明

1: 顶部导航	2: 分支场所选框	3: 左侧导航	4: 功能区

· 顶部导航：最高级别导航，包含各个业务专区、常用（快捷）操作、账户信息管理等功能。

· 分支场所选框：切换分支、场所以及设备，选择分支或场所会影响左侧导航栏显示的功能。

· 左侧导航：最高级别功能菜单。

· 功能区：功能区中将显示有关功能的所有配置项、数据展示等信息。

1.2 分支与场所

1.2.1 分支与场所简介

1. 场所

场所为存放网络设备的虚拟容器，不设存放上限。一般情况下，可以将同一个网络的多种设备规划到一个场所中。

图1-3 场所示例

2. 分支

分支为存放场所的虚拟容器，不设存放上限。一般会根据一定的规则划分分支，例如地区、品牌、“总部-分部”等。

分支标识如下图所示，总部下的分支均为分部。

图1-4 “总部-分部”结合地区划分分支示例

1.2.2 分支管理与场所配置

分支需根据运营方实际需要进行划分，以下所述内容的划分方式为“总部-分部”结合地区。

1. 划分分支

(1) 重命名分支根节点

分支初始的节点为根节点，名称为“我的网络”。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 组织”，在当前页面中点击根节点“我的网络”，而后点击<修改>按钮，将根节点重命名为“总部”。

图1-5 重命名分支根节点

(2) 增加分支节点

点击根节点“总部”，而后点击<增加>按钮，输入分支名称“北京”。（依此方法继续添加分支杭州、上海）

图1-6 增加分支节点

· 若需要删除分支，需要在选择分支后点击<删除>按钮。

· 分支根节点不能删除。

· 若分支中包含下级分支（或场所），则需要从下级到上级依次删除分支（或场所）。

2. 增加场所

若所选分支下无场所，则在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，在“场所概览”页签下点击<立即添加>按钮增加场所（若所选分支下已存在场所，则需要进入当前页面的卡片视图或列表视图，点击<增加>按钮增加场所）。

图1-7 无场所的分支下增加场所

图1-8 存在场所的分支下增加场所（卡片视图）

(1) 配置场景类型

在弹出的增加场所对话框中选择“通用”场所类型，通用场景类型适用于大多数情况，支持添加路由器、交换机、无线等多种设备类型，进行整网管理，如图1-9所示。完成此步骤配置后点击<下一步>按钮。

图1-9 通用场景类型

(2) 配置场所名称

由于总部有网络设备，因此需要在“总部”根分支下增加场所，所以“分支”选项框中应选择“总部”。（依此方法可在各分支下分别增加场所）

图1-10 配置场所名称

(3) 选择地址

根据场所所在的实际位置选择地址。

图1-11 选择地址

(4) 配置场所标签

根据场所的实际情况选择场所标签，而后完成场所添加。

图1-12 场所标签

· 若需要快速添加场所，可在顶部导航栏右侧选择“添加 > 场所”，并按步骤完成。

· 若需要删除场所，需要勾选所有待删除的场所卡片或场所列表中对应的场所，而后点击<删除>按钮。

· 若需要编辑场所，需要勾选待编辑的场所卡片或在场所列表中对应的场所操作列点击编辑图标，编辑场所相关信息。

1.2.3 分支、场所的导入与导出

1. 导出场所

若管理员需要备份当前账户下的所有场所，可使用分支、场所的导出功能，导出的电子表单将在压缩后保存到浏览器默认的下载文件夹中。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，而后在分支场所选框中选择分支，在“场所概览”页签下的卡片视图中点击“更多操作”下的<导出>按钮，该分支下所有场所（或当前场所）的基本信息会被导出。

图1-13 导出场所

2. 导入场所

若管理员需要批量增加场所时，可使用场所导入功能。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，而后在分支场所选框中选择分支，在“场所概览”页签下的卡片视图中点击“更多操作”下的<导入>按钮。在弹框中先下载模板，而后在模板中写入场所名称、场景分类等信息。最后在弹框中点击文件上传后的文本框，上传写好的模板，完成场所批量导入。

图1-14 导入场所

1.2.4 场所标签

1. 场所标签简介

仅租户有权限配置场所标签。

场所信息可满足基本的使用需求，然而不同行业根据不同的实际需求，往往会对不同的场所加上特殊的标记加以区分，便于有针对性的管理。

· 案例1：某大型服装公司在国内多个省、市、区开设了多家不同品牌的店铺，每个店铺配置为一个场所，管理员需要根据不同的品牌对场所加以标记。

· 案例2：某大型餐饮企业在国内多个省、市、区开设了多家店铺，每个店铺配置为一个场所，管理员需要根据不同店铺的性质（直营、加盟）对场所加以标记。

2. 配置场所标签

以下配置过程以增加“店面状态”标签为例。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，而后在“场所概览”页签下的卡片视图中点击“更多操作”下的<场所标签>按钮，最后点击<增加>按钮添加场所标签。

在添加场所标签页面，配置场所标签名称、数据类型、必填选项，若配置数据类型为“下拉选择”，需要在“可选值”后的文本框中逐一添加可选项，点击<确定>按钮完成添加。

图1-15 配置场所标签

添加完成后可显示当前租户已添加的所有场所标签，并可对标签进行修改和删除。

· 场所标签最多创建10个。

· 删除某一场所标签将会删除该租户下所有场所中针对该标签保存的信息记录，请谨慎操作。

完成场所标签的所有配置后，再次创建场所时会多出为场所打标签的配置步骤。

1.2.5 总览视图

总览视图下可以分支为粒度，查看分支的网络概览情况。

在平台页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，在右上角选择“总览”页签，进入场所概览页面。而后在分支场所输入框中输入分支名称或选择分支卡片指定分支，查看分支的网络概览情况：

· 概览：分支的告警信息、场所数、设备数、AP数、终端数、终端流量、健康度评分等相关信息。

· 业务统计：分支指定时间段的健康度趋势、场所健康度排行、设备离线趋势、设备离线次数排行、AP离线趋势、AP离线次数排行、终端数量趋势、终端数量排行、终端流量趋势、终端流量排行、告警数量趋势、告警数量排行等统计信息。

· 场所列表：分支中场所信息，包含场所名称、健康度、设备在线数、设备离线数。点击场所名称链接，查看该场所的相关信息。

图1-16 总览视图

1.2.6 地图视图

地图视图下可鸟瞰指定分支包含的所有场所的分布。

在平台页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 总览”，而后在分支场所选框中选择指定的分支，在“场所概览”页签下进入地图视图，如下图所示，其中的蓝色指示标标识处为场所的实际地理位置。

图1-17 地图视图

1.3 设备

1.3.1 增加设备

设备连接平台，需要保证设备能够正确解析平台服务器地址、在设备侧完成平台连接配置cloud-management server domain 192.168.0.12（AD-Campus MagicBox一体机的默认出厂IP为192.168.0.12，如您已修改默认IP，请以修改结果为准。）。

增加场所完成后可直接添加设备，也可依照下文方式添加设备。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 设备”，而后在当前页面下点击<增加设备>按钮添加设备。添加设备时需要填写的信息为：设备需要放置的场所、设备名称以及设备序列号。

图1-18 增加设备

· 若需要快速添加设备时，可在顶部导航栏右侧选择“添加 > 设备”并按步骤完成。

· 如上图所示，若需要添加IRF设备时，需要切换到“IRF设备”选项框。

1.3.2 管理设备

设备添加到场所中后，可以执行一些基本操作，如修改设备名称、批量删除设备、查看设备基本信息等。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 设备”，在分支场所选框中先选择指定的分支，再选择该分支下的指定场所（或全部场所），即可查看指定场所下（全部场所下）的所有设备。

图1-19 设备列表

· 删除与批量删除：如图1-19所示，勾选对应设备前的勾选框后点击<删除>按钮进行单个设备的删除操作（勾选多个设备可执行批量删除操作）。

设备从场所中删除后，平台将删除为该设备保存的信息，但不会删除该设备上的配置。

· 修改设备名称：如图1-19所示，点击指定设备图标可修改设备的名称（该名称仅在平台有效）。

· 重启设备：勾选指定设备前的勾选框后点击<重启设备>按钮，可以将选中的在线设备进行重启操作。

· 重置云连接：当设备与平台连接异常时，点击<重置云连接>按钮，强制断开设备与平台的连接并重新连接。

· 命令助手：勾选指定设备前的勾选框后点击<命令助手>按钮，可使用命令助手功能通过平台直接对设备下发命令。

· 文件系统：勾选指定设备前的勾选框后点击<文件系统>按钮，可以对选择的设备进行文件系统操作、管理。

· 保存配置：勾选指定设备前的勾选框后点击<保存配置>按钮，可以保存设备当前配置。

· 配置下发：勾选指定设备前的勾选框后点击<配置下发>按钮，可对设备进行配置下发。

¡ 配置模板：在“配置下发”页签下配置模板名称、描述以及配置内容，或点击<从模板去取>按钮在弹窗中勾选模板，点击<打开>按钮从已有模板中提取配置片段。

¡ 保存配置：点击<保存>按钮保存模板。

¡ 立即下发配置：点击<下发配置>按钮立即下发配置。

¡ 定时下发配置：点击<定时下发>按钮，配置定时执行或周期执行的时间，再点击<确定>按钮，完成配置。在“定时任务”页签下查看已配置的定时任务及任务详细信息，并可对定时任务执行删除、启用、停用及修改操作。

¡ 下发记录：点击“下发记录”页签，查看该设备配置下发记录。点击操作列图标，查看模板内容。

· 设备迁移：勾选待迁移设备前的勾选框后点击<设备迁移>按钮，在选择目标场所下拉框中选择新场所，即可将所选设备批量迁移至新场所。需要注意的是，设备迁移可能造成部分配置信息丢失，需要在新场所下重新进行配置。

· 设备基本信息：如图1-19、图1-20所示，点击指定设备的设备名称可在弹窗中的“设备”页签下显示设备的基本信息、端口信息、运行信息以及部分功能配置信息，端口信息下显示设备的接口信息（仅5412及以后的软件版本支持）。此外，还支持对设备进行基础的操作，如重启、保存配置等。点击“详情”页签可跳转至此设备的详情页面。

图1-20 设备基本信息

1.3.3 设备的导入与导出

1. 导出设备

若管理员需要备份连接到平台的设备基本信息以及当前设备在线情况等内容，可使用设备导出功能，导出的电子表单将在压缩后保存到浏览器默认的下载文件夹中。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 设备”，而后在当前页面中点击“更多”下的<导出>按钮，在弹框中选择需要导出的分支，该分支下所有场所中的全部设备的信息都会被导出。

图1-21 导出设备

2. 导入设备

若管理员需要批量加入设备时，可使用设备导入功能。

在页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 设备”，而后在当前页面中点击“更多”下的<导入>按钮。在弹框中先下载模板，而后在模板中逐条写入设备需要放置的场所、设备名称以及设备序列号信息。最后在弹框中点击“文件上传”后的文本框，上传写好的模板，完成设备批量导入。

图1-22 导入设备

1.4 自动化开局

开局流程如下：

(1) 在平台场所中增加网关设备，具体操作请参见1.3.1 增加设备。

(2) 可通过U盘或者本地Web配置网关WAN口，使网关与平台连通，而后网关在平台上线。

(3) 网关设备配置DHCP Server，需要再增加以下两条配置：

dhcp option 252 + 场所密钥

dhcp option 253 + AD-Campus MagicBox一体机对应IP地址

· 场所密钥与平台场所绑定，内网设备会自动添加到场所密钥对应的场所中。平台预置场所的场所密钥是6a5b5b361227a492，其他场所的场所密钥，可通过“网络-总览-更多操作-导出”，在导出的Excel中查看。

· 先配置网关dhcp option策略，内网设备获取IP地址。

· AD-Campus MagicBox一体机的默认出厂IP为192.168.0.12，如您已修改默认IP，请以修改结果为准。

(4) 内网设备利用DHCP从网关获得IP地址等配置，连通网关，自动连上平台并纳管到对应场所，完成内网设备自动化开局。

1.5 区域管理

· 仅AC+Fit AP、云AP组网环境支持。

· AC产品仅5412及以后的软件版本支持完整的区域管理功能。

· 一个场所最多可创建1000个区域。

通常情况下，“总部-分部”结构的企业会在总部和分部分别部署AC和AP，提供无线接入服务。按照前文所述，配置多级分支再配置多个场所即可轻易地将设备按照地理位置和层级进行划分。对于整网仅总部部署了AC，其余各分部的AP跨公网向总部AC注册的部署结构，无法配置多个场所分别管理AP，因而只能在根分支下的一个场所中堆砌所有的AP。在此情形下，同一场所中管理过多AP的问题变得很棘手。区域管理功能很好地解决了这个问题。

区域管理功能的核心思想是将场所的划分方式用在区域上，即在同一场所下，按照地理位置、门店名称或品牌等规则将全部AP分区域管理。从某种程度上说，“区域”的概念是在“场所”概念的基础上的细化。

如图1-23所示，某大型企业总部部署了核心AC，而位于各个地区的分店部署了多个AP，所有AP在总部的AC上注册，接受总部直接管理。在AC所在的场所下，按照地区和门店编号创建多个区域，将各个门店的AP分别添加至多个区域中。部署完成后，管理员可对每个区域进行精细化管理和运维。

综上所述，单一场所下的AP过多时，推荐使用“区域管理”功能合理规划网络。

图1-23 区域管理分区部署示例

1.5.2 配置区域管理

在左侧导航栏中选择“视图 > 场所”，点击“区域管理”页签进入区域管理页面。

点击<编辑>按钮进入区域编辑页面，而后点击<新建区域>按钮进入新建区域页面，在当前页面配置区域的名称，通过点击“”配置多个区域的名称。

区域创建完成后可立即添加AP，或者返回区域管理页面，再进入未添加AP的区域添加AP。在“已绑定AP的区域”或“未绑定AP的区域”页签下，点击列表中“操作”列下的“”进入绑定AP页面。在当前页面可一次性添加、移除一个或多个AP，点击<提交>按钮完成操作。

· 在区域编辑页面，点击列表中的“”按钮可修改区域名称。

· 在区域编辑页面，点击列表中的“”按钮可删除指定的区域，若区域中存在AP则无法删除。

· 在区域编辑页面，勾选列表中多个区域并点击<批量删除>按钮可一次删除多个区域，若区域中存在AP则无法删除。

完成添加AP后，返回区域管理页面，在卡片视图下（点击“”按钮）可看到每个区域的评分、在线终端数以及AP上、下行总速率信息，点击卡片上的“立即重启”进入重启AP页面可对区域下的单台或所有AP进行重启；在列表视图下（点击“”按钮）可查看各区域更详尽的信息，包括健康度、评分、终端数量、AP数量等信息，点击操作列中的“”按钮查看该区域内AP概览和终端概览，点击操作列中的“”按钮重启AP。区域卡片或区域列表的上方有不同评价的区域的数量统计，包括优秀、良好、一般以及离线统计，点击以上评分按钮可筛选查看不同评价包含的区域。

AP健康度评分标准为：

等级	评分区间
优秀	>=80
良好	>=65且<80
一般	<65

区域评分和健康度评价将参考区域中的AP的评分；若区域中没有在线AP，则该区域被标记为离线。

需要注意的是，若AC从原有场所迁移到新场所，请将其管理的AP从原有区域删除后，再在新的场所下的区域中添加这些AP，否则该AP在新场所下的区域中不可见。

1.6 验收报告

1.6.1 验收报告简介

项目实施阶段完成或网络运行一段时间后，验收人员或巡检人员需要查看无线网络的运行情况及终端体验情况时，可查看平台提供的验收报告，验收报告提供丰富的数据支持，包括设备运行信息、AP运行信息、无线环境信息、终端接入体验信息等等。生成验收报告完整流程如下：

图1-24 生成验收报告完整流程图

(1) 使用Cloudnet App的无线验收功能，在多个AP点位附近进行测试，收集无线环境等数据并上报到平台指定账户的指定场所下。

(2) 在设备侧按需开启终端深度解析功能，分析终端接入情况。

(3) 让设备运行一段时间（推荐7天）收集较为完备和更具参考价值的运行数据。

(4) 在平台侧进行验收报告配置，选择报告输出内容。

1.6.2 配置验收报告

在平台页面顶部导航栏中选择“监控”，左侧导航栏中选择“视图 > 场所”，点击“验收报告”页签进入验收报告配置页面。

在验收报告配置页面，配置项目名称、选择导出数据的场所、指定数据采集时间，最后勾选报告中需要体现的内容，点击<生成验收报告>按钮后即可在线预览报告内容。若有需要，也可在预览报告的页面于顶部下拉框中下载或打印报告。

可手动选择显示的报告内容分为三部分：

· 设备运行：此部分内容包括AC能力集、AC稳定性、AP稳定性、接入终端信息等，所有数据由分析业务专区提供。

· 验收测试：此部分内容包括信号覆盖、信道干扰、Ping时延、网页加载、外网速率等，验收测试的数据由Cloudnet App提供。

· 深度解析：此部分内容包括终端接入耗时分析与DHCP接入耗时分析。仅在设备侧开启终端深度解析功能时生效，AC产品部分统计数据需要5420及以后的软件版本支持。

数据采集时间设置仅影响设备运行及深度解析部分。

2 监控

登录系统并进入首页后，在顶部导航栏选择“监控”进入监控业务专区。

在页面左上角选择分支或者场所时，左侧导航栏显示的菜单功能不同，选择分支时可以进行批量操作、查看当前分支下所有场所的汇总信息等功能，选择场所时可以对当前场所下的设备进行配置操作、查看统计信息等功能。

2.1 视图

2.1.1 总览

1. 场所概览

有关“场所概览”的详细介绍请参见1.2 分支与场所。

2.1.2 场所概览

本节显示的统计数据仅受限于所选的场所。

当前分支下场所信息概览信息。

在分支卡片中选择场所，而后在左侧导航栏中选择“视图 > 场所”，而后点击“场所概览”页签，可看场所五角星评分情况、告警级别统计信息。

1. 场所概览

场所中包含的设备种类、在线设备数、设备总数、在线终端数等相关信息。

2. 设备信息

设备信息显示了设备的在线状态、设备名称、类型、型号、所属场所、版本等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

· 勾选指定设备前的勾选框后点击<删除>按钮，可以将选中设备在场所中进行删除。

· 勾选指定设备前的勾选框后点击<重启设备>按钮，可以将选中的在线设备进行重启操作。

· 勾选指定设备前的勾选框后点击<重置云连接>按钮，强制断开设备与平台的连接并重新连接。

· 勾选指定设备前的勾选框后点击<命令助手>按钮，可使用命令助手功能通过平台直接对设备下发命令。命令助手详细介绍请参见3.1.3 命令助手。

· 勾选指定设备前的勾选框后点击<文件系统>按钮，可以对选择的设备进行文件系统操作、管理。文件系统详细介绍请参见3.1.4 文件系统。

· 勾选指定设备前的勾选框后点击<保存配置>按钮，可以保存设备当前配置。

· 点击指定设备的设备名称可在弹窗中的“设备”页签下显示设备的基本信息、端口信息、运行信息以及部分功能配置信息。此外，还支持对设备进行基础的操作，如重启、升级、保存配置、配置下发等。点击“详情”页签可跳转至此设备的详情页面。

3. AP明细

查看当前场所内的AP统计信息，包括AP的名称、型号、所属场所、所属AC名称、AC序列号、MAC地址、版本等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

· 点击<在线>按钮，查看在线的AP列表。

· 点击<离线>按钮，查看离线的AP列表。

· 点击<全部>按钮，查看全部的AP列表。

· 点击<无效AP>按钮，查看场所内无效状态的AP设备。

· 点击指定的AC名称可在弹窗中的“设备”页签下显示AC的基本信息、端口信息、运行信息以及部分功能配置信息。

4. 终端列表

在“在线终端列表”页签下，查看当前场所的在线终端统计，包括在线终端的用户名、MAC、IP地址、关联AP名称、SSID、在线时长等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

· 点击指定终端的备注，可修改其备注信息。

在“备注终端列表”页签下，查看当前场所的已备注的终端，包括在线终端的用户名、MAC、IP地址、关联AP名称、SSID、在线时长等信息。

· 点击列表的“切换列”按钮，可以增加或者删除展示列。

· 点击指定终端的备注，可修改其备注信息。

5. 网络拓扑

设备通过LLDP（链路层发现协议）自动发现网络中的设备，平台可自动绘制场所中的网络拓扑。在拓扑图中，云下依次连接一级、二级、三级节点，支持自动识别有线终端。其中，一级节点为租户网络中最靠近平台的第一层级设备，但不一定为网关设备，第二、三级节点依次向下更靠近终端一侧。若平台无法完整识别某台设备（如注册到其它场所的设备等情况），则该设备在拓扑中将以虚拟节点（问号图标）形式显示。

· 仅租户有权限配置网络拓扑。

· 暂不支持IRF设备以及端口聚合功能。

登录系统并进入首页后，在顶部导航栏中选择“监控”、左侧导航栏中选择“视图 > 场所”，而后可见本功能。

(1) 一键发现设备

使用本功能可查找到当前可连接平台、不在拓扑中且未注册到本场所的设备，在“”按钮中的“新发现设备”页签下显示，发现的设备可通过<一键注册>按钮注册到平台的当前场所。

点击<重新探测设备>按钮可立即触发设备重新探测。

(2) 重新计算拓扑

若场所内的设备的连接发生改变或拓扑需要更新时，可使用“重新计算拓扑”功能。

手动添加、删除设备以及“一键注册”设备后，系统会自动触发重新计算拓扑。

(3) 刷新

若拓扑已改变而当前浏览器页面下的拓扑并非最新，可点击“刷新”链接刷新拓扑。

(4) 自动刷新

开启自动刷新功能后，在1小时内每隔10秒自动刷新拓扑，1小时后自动关闭本功能。

(5) 显示设置

拓扑图可根据需要变更显示细节，如布局方向、大小、IP地址、端口名称以及仅显示指定层级内的节点。

单击拓扑图中已识别设备的图标可查看该设备的基本信息、详细信息以及运行信息，也可管理该设备（如升级、重启以及使用命令助手功能等）。

放大拓扑或修改布局方向可能导致部分设备图标被挤出画布，此时可通过鼠标点击任意一个设备图标不放，拖动调整拓扑图位置。

(6) 手动添加

点击“”图标，可查看新发现的网络设备以及未呈现在拓扑图中的网络设备。在“待处理设备”页签下，管理员可将系统无法自动加载到拓扑图的设备手动添加到拓扑中，并连接到指定设备下。目前，仅部分产品可作为网关设备被手动添加到拓扑图中。

无法自动加载到拓扑图中的设备可能处于以下几种状态：

¡ 未知版本：平台无法正常获取设备版本信息。

¡ 版本不支持：平台无法正常获取设备的硬件信息。

¡ Netconf连接未建立：设备与平台的连接异常。

¡ LLDP未使能：设备上LLDP功能未开启。

¡ 游离：以上四种状态之外的状态。

(7) 下载拓扑

点击“”图标可直接下载本场所中的网络拓扑。

2.2 告警

在左侧导航栏中选择“告警”进入告警日志信息显示页面，可以查看分支场所产生的告警信息，以便于及时了解设备的运行状态。

1. 告警订阅

默认告警策略支持修改，不可删除。

点击页面的“告警订阅”页签，然后点击<增加>按钮进入告警订阅信息页面，可以根据实际情况选择需要订阅的告警信息推送方式以及订阅告警时间：

· 配置告警策略名称、描述信息

· 选择开启或关闭区域告警。开启区域告警后，可对选择区域内的AP设备配置告警策略。

· 选择告警方式：

¡ 短信告警：此种推送方式需要购买短信包，短信包的购买方式请参见7.3.1 短信网关。

¡ 企业微信告警（机器人）：此种推送方式会将告警信息推送到指定的企业微信消息机器人。在消息机器人下拉框中选择需要推送的消息机器人，或点击页面“添加消息机器人”链接添加，添加方式请参见7.3.5 1. 企业微信群机器人。

¡ 钉钉告警（机器人）：此种推送方式会将告警信息推送到指定的钉钉消息机器人。在消息机器人下拉框中选择需要推送的消息机器人，或点击页面“添加消息机器人”链接添加，添加方式请参见7.3.5 2. 钉钉群机器人。

¡ 飞书告警（机器人）：此种推送方式会将告警信息推送到指定的飞书消息机器人。在消息机器人下拉框中选择需要推送的消息机器人，或点击页面“添加消息机器人”链接添加，添加方式请参见7.3.5 3. 飞书群机器人。

¡ 企业微信告警（定向）：此种推送方式会将告警信息推送到指定的企业微信用户。在第三方应用下拉框中选择需要推送的应用，或点击页面“添加第三方应用”链接添加，添加方式请参见7.3.5 4. 指定推送。

¡ 钉钉告警（定向）：此种推送方式会将告警信息推送到指定的钉钉用户。在第三方应用下拉框中选择需要推送的应用，或点击页面“添加第三方应用”链接添加，添加方式请参见7.3.5 4. 指定推送。

¡ 飞书告警（定向）：此种推送方式会将告警信息推送到指定的飞书用户。在第三方应用下拉框中选择需要推送的应用，或点击页面“添加第三方应用”链接添加，添加方式请参见7.3.5 4. 指定推送。

¡ 邮件告警：此种推送方式会将告警信息推送到账户绑定的邮箱。系统每天针对同一场所产生的告警向该场所的所有收件人共发送50封邮件；针对全部场所产生的告警向所有收件人共发送1000封邮件。特定条件下可能超出限制值。

¡ 仅显示，不推送：在告警日志中显示，不进行推送。

· 选择推送时间，可以根据自己的实际需求选择

· 选择开启或关闭维护窗口。开启维护窗口后，在告警时间范围内，若不希望被过多的告警信息打扰，可指定一个时间段及周期，选择告警生成策略，在此时间段内将不会收到告警信息

· 选择开启或关闭信息协同。开启信息协同后，信道利用率过高、接入终端数过高告警类型产生告警时，告警内容将包含CPU利用率、内存利用率、信道利用率、终端接入数量信息

· 选择告警账户，选择需要接收告警信息的账户

· 选择告警明细，用户可以根据需要勾选要接收的告警信息类型，并选择告警级别（致命、紧急、严重、关注、提示）

· 设置设备CPU、设备内存、AP批量掉线等告警类型日志的触发告警参数。

对于需要配置例外触发告警条件或不需要关注的告警，可通过创建例外规则，使后续按规则产生或屏蔽告警。为支持设置例外规则的告警类型，点击“例外”链接进入该告警类型的例外规则页面，点击<增加>按钮，配置例外规则：

¡ 配置例外规则的名称

¡ 在下拉框中选择例外规则的动作。订阅：按例外规则中的条件产生告警；关闭：对于暂时不需要使用的规则，在动作下拉框中选择“关闭”，关闭后，此规则不生效；屏蔽：按例外规则中的条件屏蔽不关注的告警。

¡ 选择生效场所、设备、射频

¡ 在可选AP列表中选择AP

¡ 设置触发告警条件

¡ 点击<确定>按钮，完成例外规则的配置

· 点击<确定>按钮，完成告警策略的增加

图2-1 告警订阅

在告警订阅页面，点击“推送设置”链接，在弹窗中设置推送信息及推送告警数量限制，设置完成后，会根据告警信息推送设置来推送。支持默认和自定义推送设置。

· 默认：默认策略不可修改，平台根据默认设置进行推送。

· 自定义：管理员根据实际使用情况自定义推送设置。

¡ 消息题头：输入推送消息的题头。

¡ 场所最大限制：输入单个场所每日向指定告警账户累计邮件推送告警的最大数量。默认为50条。

¡ 全局最大限制：输入全局每日推送告警的最大数量。对于邮件推送方式，全部场所每日向指定告警账户累计推送告警的最大数量；对于短信推送方式，全部场所每日推送告警的最大数量。默认为1000条。

2. 告警趋势

点击页面的“告警日志”页签，在“告警趋势”页面处，可以查看当前账户指定日期告警数量变化趋势，以便于管理员了解设备的整体运行状态。

3. 告警级别

点击页面的“告警日志”页签，在“告警级别”页面处，可以查看当前账户指定日期各级别告警产生数量及解除数量。

4. 告警类型TOP5

点击页面的“告警日志”页签，在“告警类型TOP5”页面处，可以查看当前账户指定日期产生数量排在前五的告警类型。

5. 告警信息

点击页面的“告警日志”页签，在“告警详情”页面处，可以查看告警信息的详情。

· 点击<筛选>按钮，可以设置搜索条件，筛选出需要关注的告警信息。

· 点击页面<导出>按钮，即可将产生的告警信息导出到Excel表格以便于后续查看告警信息。

· 勾选告警前的勾选框，点击<标为已读>按钮，即可将已选的未读告警标记为已读。

· 点击<全部标为已读>按钮，可将所有的未读告警标记为已读。

· 勾选告警前的勾选框，点击<删除>按钮，即可将已选的告警信息删除。

2.3 网络

2.3.1 设备信息

本章节内容指导管理员查看设备的基本信息、工作情况。

在分支卡片中选择场所，而后在左侧导航栏中选择“网络 > （产品类型） > 设备信息”。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

1. 基本信息

设备基本信息显示了设备的类型、在线状态、硬件使用率、版本信息以及评分。

· 本节显示的统计数据仅受限于所选的场所以及设备。

· 仅AC、路由器、交换机、云网关产品支持本功能。

为获取设备的更多信息，请将设备在平台上上线。

· 在线时长：设备成功连接平台后的持续正常工作时间。

· 运行时长：设备本次启动后的持续正常运行时间。

在设备评分栏目可以通过以下几个方面的表现综合得到设备的总体评分：

· AC产品

¡ 剩余带宽：根据出口带宽占设置的租用总带宽比例计算评分，比例越小评分越高。点击剩余带宽后面的图标，在弹出的“设定额定带宽“窗口配置设备的上、下行带宽。

¡ AP在线率：根据在线AP数量与总AP数量的占比计算评分，在线AP数量越多评分越高。

¡ 终端速率：根据低速率终端数与AP总数比例计算评分，低速率终端越少评分越高。

¡ 安全评价：根据当前无线网络是否存在仿冒AP等情况进行评分，仿冒AP越少，评分越高。

¡ 无线环境：根据设备下连AP当前所处的无线环境进行评分，干扰越小评分越高。

¡ 系统健康度：根据CPU及内存使用率进行评分，使用率越低评分越高，最终评分取二者最低值。

· 路由器产品

¡ 设备状态：根据CPU及内存使用率进行评分，使用率越低评分越高，最终评分取二者最低值。

¡ 上行带宽：根据带宽使用率进行评分，使用率越低评分越高。

¡ 接口能力：根据接口速率和工作模式对所有UP状态的接口进行评分，最终评分为所有分数的平均值。

2. 设备上下线记录

通过查看设备上下线记录，可以了解设备在具体时间点的状态以及上下线的原因，以便于管理员定位网络问题。

3. CPU内存趋势

CPU内存趋势图显示的是一天内或连续多天CPU及内存使用变化走势，管理员可据此查看设备硬件使用率变化情况。

系统每隔5分钟统计一次CPU及内存使用率，若选择查看多日的数据，将使面积图数据显示间隔过小，管理员可缩小面积图下方滚动条的宽度而后左右拖动滚动条查看。

使用鼠标在面积图中滑动可显示每个数据统计时刻设备的CPU、内存使用率。

选择周期为多日时无法包含今天的数据。

4. 速率监控

统计当前场所单台设备在指定日期内端口的上、下行速率，管理员可据此知悉端口发送流量情况。

系统每隔5分钟统计一次上、下行速率，若选择查看多日的数据，将使面积图数据显示间隔过小，管理员可缩小面积图下方滚动条的宽度而后左右拖动滚动条查看。

使用鼠标在面积图中滑动可显示每个统计时刻上、下行速率。

点击<设置额定带宽>按钮，在弹出的窗口内可以配置上、下行带宽，面积图中的纵坐标将根据设置的值修改显示范围。额定带宽应设置为从运营商处购买的实际出口带宽。

当管理员需要查看每天设备上行速率均值与下行速率均值时，必须选择查看的日期以及每天进行统计的时间段，而端口可以根据需要选择。

选择周期为多日时无法包含今天的数据。

5. AP离线排行TOP10

统计当前场所单台设备在指定日期内离线次数最多的10个AP。管理员可查看频繁出现掉线的AP。掉线次数是以天为单位进行统计，即系统汇总每天每个AP掉线次数，在管理员选定的日期范围内按照掉线次数对AP进行由多到少的排列，取前10个AP。

6. 终端趋势

终端趋势图显示的是当前场所在指定日期内接入终端总数的变化走势，管理员可据此查看终端接入高峰时段或高峰日接入终端总数。

¡ 选择周期为1天（单日）时，以1小时为单位在整点统计与上一整点间接入终端的数量。

¡ 选择周期为多日时，统计每天接入终端的总数量。

7. 流量

仅云网关产品支持本功能。

展示当前设备在指定时段内端口的上、下行流量，鼠标悬浮在面积图中可显示每个统计时刻上、下行流量。管理员根据需要选择查看流量的时间段及端口。

8. 面板信息

适用于AC、路由器、云网关产品。关于交换机产品的面板信息、概览、接口管理、VLAN、链路聚合、端口隔离、PoE相关介绍请参见3.2.4 2. 基础配置。

展示当前设备的面板信息，选中某一接口，可查看其接口名、接口工作状态、接口配置速率、接口实际速率、双工模式、端口链路类型以及接口描述信息。

9. 设备日志

统计当前场所单台设备最近一个月的操作日志，包括操作的用户、用户IP、操作描述信息、操作时间及操作结果。在列表右上角自定义统计时间，查看对应时间的设备最近操作日志。

10. 日志告警

统计当前场所单台设备在指定日期内产生的日志告警统计信息，包括告警推送方式、告警级别、解除状态、告警类型、所属场所、告警设备、告警内容、产生告警时间等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

· 点击<筛选>按钮，可以设置搜索条件，筛选出需要关注的告警信息。

· 点击页面的<导出>按钮，即可将产生的告警信息导出到Excel表格以便于后续查看告警信息。勾选指定日志告警信息。

· 点击<标记已读>或<全部标为已读>按钮，将选中的告警或全部告警标记为已读告警。

11. AP列表

仅AC、路由器、云网关产品支持本功能。

统计场所下单台设备当前的AP统计信息，包括AP的名称、序列号、型号、MAC地址、版本等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

· 点击<在线>按钮，查看在线的AP列表。

· 点击<离线>按钮，查看离线的AP列表。

· 点击<全部>按钮，查看全部的AP列表。

· 点击<无效AP>按钮，查看场所内无效状态的AP设备。

· 点击指定的AP名称可在弹窗中的修改AP名称。

12. 终端列表

仅AC、路由器、云网关产品支持本功能。

统计当前场所单台设备当前在线的终端统计信息，包括终端的MAC、IP地址、厂商、关联AP的名称、SSID、在线时长、RSSI、频段、信道、上线时间、终端模式等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

13. 工具

仅AC、路由器、交换机产品支持本功能。

提供“Ping”、“Trace”、“寻找AP”工具来实现对设备的维护。详细介绍请参见3.1.8 工具。

14. Wi-Fi信息

仅云网关产品支持本功能。

显示本场所最近一个采样周期的射频收发流量信息，每隔五分钟进行一次采样。

2.3.2 AP信息

仅AC、路由器、交换机产品支持本功能。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“网络 > （产品类型） > AP信息”。

1. AP统计

统计当前场所在线AP数、离线AP数、AP总数、无效AP数，管理员可据此了解指定场所的AP在线情况。

所选场所可以为单场所或多场所。

离线AP数统计的数据为当前不在线的AP数量，且只记录收到发送了离线报文的AP，对于异常下线的AP系统将清除该AP的统计信息。

本节显示的统计数据仅受限于所选的场所。

2. 实时AP流量排行TOP5

此栏目显示的是本场所今天截止到现在所有AP发送流量最多的5个AP。点击栏目右上角的，在弹出的“全部AP实时流量排行“窗口可以查看所有AP的名称、序列号、场所名称和发送流量情况。管理员可查看今天发送流量较多的AP。

发送流量：指AP发往终端的下行流量。

若本场所不足5个AP则全部显示。

本节显示的统计数据仅受限于所选的场所。

3. 实时AP用户排行TOP5

此栏目显示的是本场所今天截止到现在所有AP接入用户最多的5个AP。点击栏目右上角的，在弹出的“全部AP用户排行“窗口可以查看所有AP的名称、序列号、场所名称和用户接入数。管理员可查看今天接入用户较多的AP。

若本场所不足5个AP则全部显示。

本节显示的统计数据仅受限于所选的场所。

4. AP离线次数占比

此栏目显示的是当前场所在指定日期内AP离线次数统计。管理员可查看一段时间内AP离线情况。

本节显示的统计数据仅受限于所选的场所与日期。

5. AP离线原因占比

此栏目显示的是当前场所在指定日期内AP离线原因统计。管理员可查看一段时间内离线AP的离线原因。

本节显示的统计数据仅受限于所选的场所与日期。

6. AP离线排行TOP10

此栏目显示的是当前场所在指定日期内离线次数最多的10个AP。管理员可查看频繁出现掉线的AP。掉线次数是以天为单位进行统计，即系统汇总每天每个AP掉线次数，在管理员选定的日期范围内按照掉线次数对AP进行由多到少的排列，取前10个AP。

本节显示的统计数据仅受限于所选的场所与日期。

2.3.3 AP明细

仅AC、路由器、交换机产品支持本功能。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“网络 > （产品类型） > AP明细”，查看对应分支或者场所的AP设备明细统计信息。

1. AP明细

本节显示的统计数据仅受限于所选的场所。

· 点击“AP明细”页签，可以查看AP设备的详细统计信息。

· 点击“AP名称”列的AP名称，可以修改AP设备的名称。

· 点击页面右侧<在线>、<离线>、<全部>按钮，可以查看在线/离线/全部AP列表。

· 点击页面右侧<无效AP>按钮，查看无效AP列表详情。

· 点击页面右侧的按钮，可以增加或者删除展示列。

· 点击页面左上角的<刷新>按钮显示当前在线或离线设备的数据信息。

· 点击页面左上角的<导出>按钮，可以将AP明细信息导出并保存到本地。

图2-2 AP明细

2. 射频明细

本节显示的统计数据仅受限于所选的场所。

点击“射频明细”页签，查看AP设备的射频详细信息。点击页面左上角的<导出>按钮，可以将AP射频明细信息导出并保存到本地。

点击页面左上角的<刷新>按钮显示当前在线或离线设备的数据信息。

图2-3 射频明细

3. 事件明细

· 本节显示的统计数据仅受限于所选的场所与日期。

· 仅显示30天内的数据。

点击“事件明细”页签，查看AP设备的事件明细信息，事件类型包括创建、删除、重命名、上线、下线。首先选择页面右上角的统计日期，然后点击页面左上角的<导出>按钮，可以将AP事件明细信息导出并保存到本地。

图2-4 事件明细

4. 离线明细

· 本节显示的统计数据仅受限于所选的场所与日期。

· 仅显示30天内的数据。

点击“离线明细”页签，查看AP设备的离线明细信息，获取离线AP设备下线原因以及离线时间。首先选择页面右上角的统计日期，然后点击页面左上角的<导出>按钮，可以将AP离线明细信息导出并保存到本地。

图2-5 离线明细

2.3.4 云AP概览

仅云AP支持本功能。

在分支卡片中选择场所，而后在左侧导航栏中选择“网络 > 云AP > 概览”进入云AP概览页面，可以查看当前场所的AP统计、AP流量排行TOP5、AP用户排行TOP5和AP告警排行TOP5。

· AP统计：包括AP总数、在线AP数和离线AP数。

· AP流量排行TOP5：显示当前场所今天上下行总流量排在前5的AP。

· AP用户排行TOP5：显示当前场所今天上线终端数量排在前5的AP。

· AP告警排行TOP5：显示当前场所告警数排在前5的AP。

2.3.5 AP列表

仅云AP支持本功能。

在分支卡片中选择场所，在左侧导航栏中选择“网络 > 云AP > AP列表”进入AP列表页面，可以查看当前场所的AP统计信息，包括AP在线状态、MAC地址、版本和射频等信息。

(1) 点击页面右侧的按钮，可以编辑列表展示列。

(2) 点击页面<刷新>按钮，可以刷新当前在线或离线设备的配置信息。

(3) 点击页面<导出>按钮，可以将AP列表信息导出并保存到本地。

(4) 点击<筛选>按钮，而后输入AP名称、MAC、本地IP或版本、选择在线状态或通过设置高级搜索条件等信息，点击<搜索>按钮，筛选出符合条件的AP。

(5) 点击AP名称，可以查看当前AP的详细统计信息。

¡ 状态：可以查看当前AP设备的基本信息、当天CPU及内存使用情况、当天设备收发的上下行流量。

¡ 事件：可以查看当前AP设备的操作日志和告警信息，以便于发生故障时，管理员对当前设备定位问题。

¡ 终端：可以查看当前AP设备当天各时间段终端接入的数量、最近一个采样周期的在线终端信息，采样周期为五分钟。在“在线终端信息”页面，点击终端的MAC地址，可以查看终端的详细信息，包括状态信息和统计信息。

¡ 工具：可以提供Ping、Trace和寻找AP功能。通过使用Ping功能，用户可以检查指定地址的设备是否可达，测试链路是否通畅。通过使用Trace功能，用户可以查看IP报文从源端到达目的端所经过的三层设备，从而检查网络连接是否可用。通过寻找AP功能，用户可以通过修改AP指示灯状态寻找AP，所修改指示灯状态最多保持30分钟，离开此页面自动恢复到修改之前。

2.3.6 4G/5G管理

仅路由器支持本功能。

在分支卡片中选择场所后，在左侧导航栏中选择“网络 > 路由器 > 4G/5G管理”。

1. 4G/5G信息

点击“4G/5G信息”页签，查看本场景下所有4G/5G设备的详细信息，每个SIM卡对应一行。点击页面左上角的<刷新>按钮可刷新当前4G/5G设备信息。勾选需要锁定的4G/5G信息，然后点击页面左上角的<锁定区域>按钮可批量设置列表中设备的区域锁定。

· 设备名称：显示设备添加到平台时用户为设备添加的设备名称。

· IMSI：SIM卡的IMSI码。

· 网络类型：SIM卡所属的网络运营商类型。

· SIM卡状态：SIM卡的在线状态。

· 信号强度：SIM卡的信号强度。

· 在线时长：SIM卡本次上线的累计时长。

· 下行流速：SIM卡对应接口的下行流速。

· 上行流速：SIM卡对应接口的上行流速。

· 累计流量：SIM卡累计使用的流量。

图2-6 4G/5G信息

4G/5G信息的操作列包含对当前行所对应设备的操作或页面入口。

· GIS定位

点击操作列的GIS定位图标，进入GIS定位地图页面，地图上显示该场所下所有设备的位置，当前设备标识为红色在地图中心，其他设备标识蓝色表示SIM卡在线，灰色表示SIM卡不在线。

点击位置图标显示设备信息，设备定位方式分为自动定位和手动定位，由于自动定位精度相对较低，用户可以通过拖动位置图标手动修改设备位置，点击<位置重置>按钮，可以撤销手动定位，恢复自动定位。

· 区域锁定

点击操作列的区域锁定图标，进入区域锁定页面，开启区域锁定功能并设置锁定范围，当设备位置超出设定的范围后，用户会收到平台发出的告警通知。

· 流量告警

点击操作列的流量告警图标，进入流量告警页面，开启流量告警功能并设置告警阈值，当SIM卡使用流量超出用户设定的告警阈值时，用户会收到平台发出的告警通知。

· 信号强度告警

点击操作列的信号强度告警图标，进入信号强度告警页面，开启信号强度告警功能并设置告警阈值，当SIM卡信号强度低于用户设定的告警阈值时，用户会收到平台发出的告警通知。

· 设备详情

点击操作列的设备详情图标，查看当前设备的配置情况和基本信息。

· 链路检测

点击操作列的链路检测图标，进入链路检测页面，开启链路检测并配置检测目的IP地址、检测接口和告警阈值。配置完成后，设备每隔5分钟会检测用户配置的检测接口与检测目的IP地址之间的链路连接情况，当检测不通的次数超过用户设置的阈值时，用户会收到平台发出的告警通知。

2. 在线统计

点击“在线统计”页签，查看设备的在线状态概览、在线数和离线数、基于运营商在线概览以及信号强度概览。

· 在线状态概览：显示该场所下所有设备的在线率和离线率。

· 在线数和离线数：显示该场所下所有设备的在线数和离线数。

¡ 在线率告警

点击<在线率告警>按钮，进入在线率告警页面，开启在线率告警功能并设置告警阈值，当该场所下设备的在线率低于用户设定的阈值时，用户会收到平台发出的告警通知。

¡ 查看在线率趋势

点击“在线率趋势”，进入在线率趋势图页面，查看一个月内指定日期该场所的设备在线率。

· 基于运营商在线概览

该栏目按照运营商的类型划分所有设备，显示各运营商类型设备的在线率；该栏目的饼图分为两层，内层表示各运营商设备所占比例，外层表示各运营商设备的在线率和离线率。

3. 信号质量

点击“信号质量”页签，进入查看信号质量页面。

· 查看信号质量

查看设备名称、IMSI、信号质量以及操作。点击操作列的图标进入信号质量趋势页面，可以查看一个月内指定日期的信号质量记录。

· 信号强度概览

该栏目显示设备信号强度所占比率，信号强分为优、良、一般、差和无信号。

4. 流量详情

点击“流量详情”页签，查看设备的流量分析柱状图，该图包含了该场所下所有4G/5G设备的4G/5G流量使用情况，包括上行流量、下行流量和总流量。

点击“查看详情”，进入“流量流速分析概览页面”，查看设备名称、IMSI、总流量、上行流速、下行流速以及操作。

点击操作列的图标进入流量流速趋势图页面。

· 流量趋势图：查看一个月内指定日期设备的上行流量、下行流量和总流量的数据记录。

· 流速趋势图：查看一个月内指定日期设备的上行流速、下行流速、总流速的数据记录。

2.4 终端

2.4.1 终端统计

终端统计、流量统计通过记录用户在一段时间内的接入访问信息，构建数据库，根据需求以图表的形式呈现出来，为管理员提供可靠的分析依据。

表2-1 关键词

关键词		说明
单场所、多场所		若在分支卡片中选定了某一场所，则最终选择的是单场所；若在分支卡片中选定了分支，且该分支包含不止一个场所，则最终选择的是多场所
终端类型	关联终端	已关联至当前场所的设备的终端，包括已通过云认证和未通过云认证的终端
终端类型	认证终端	当前场所下已通过云认证的终端，若本场所未配置认证则认证终端统计数据为0
日期		分为管理员手动指定的周期以及系统预定义的今天、昨天、周（近7天）、月（近30天）手动指定的周期包括单日和多日两种通过在周期选择框中对同一单日点击两次完成单日的选择不同功能支持的日期选择方式不同

举例：管理员可通过选择根分支“总部”、“关联终端”、“月”，查看所有场所近30天全部关联终端的统计信息。

2. 终端概览

本节内容帮助管理员掌握实时或近期新、老用户到访情况。同时，通过对一段时间内的数据进行对比，为数据分析提供更加可靠的依据。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“终端 > 终端统计 > 终端概览”。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 终端统计

终端统计将对在线终端数、首次接入终端数、多次接入终端数、终端总数、平均在线时长进行统计。管理员可据此掌握当前的客流、单日客流峰值以及一段时间内新、老终端的接入情况。

在线终端数为所有场所今日实时在线的终端数量，所以该统计数据不受限于所选的场所、终端类型与日期。

平均在线时长：选择单场所时，统计每天每人次的接入时长平均值；选择多场所时，统计每场所每天每人次的接入时长平均值。

若选择日期为多日周期，则显示的数值为多日统计数值之和。

· 终端数量排行

管理员可查看首次接入终端、多次接入终端或所有终端接入最多的场所或大量接入的日期。

选择场所的数量不同，显示的方式不同：

¡ 若选择单场所时，则显示本场所终端总数排在前5及后5位的日期；

¡ 若选择多场所时，则显示终端总数排在前5及后5位的场所。

若选择日期为今天，则默认按照近7天的数据显示。

· 终端在线时长排行

管理员可查看长时间接入网络的终端。

¡ 若选择单场所时，则显示本场所在线时长排在前10的终端；

¡ 若选择多场所时，则显示多个场所在线时长排在前10的终端。

· 接入终端占比

显示所选日期中次接入终端与多次接入终端的占比。

· 终端趋势

终端趋势图显示的是一天内或连续多天接入终端变化走势，管理员可据此查看客流高峰时段或高峰日接入终端数。

¡ 选择周期为1天（单日）时，以5分钟为单位在整点统计与上一整点间接入终端的数量；

¡ 选择周期为多日时，统计每天接入终端的总数量。

无论以“分钟”为单位还是以“天”为单位，在一个单位时间内多次接入的终端只统计1次。

· 基于终端厂商统计

基于接入无线服务的所有终端的厂商统计用户数。

· 基于SSID统计

基于用户接入的无线服务统计用户数。

· 接入时长比例分布

显示所选日期中终端接入时长比例，管理员可据此知悉多个时长区段所包含的停留人次。

所选日期统计的数据并不会去重，即同一区段统计值包含同一终端多次接入时长数据。

· 平均接入时长趋势

以天为单位统计所选日期中终端平均接入时长，管理员可据此知悉接入终端停留情况。

一天中同一终端接入时长累加计算。

若选择日期为今天，则默认按照近7天的数据显示。

# 对比数据——终端趋势

在终端趋势栏目点击<对比数据>按钮，跳转到对比数据显示页面。在该页面内，可以选择需要对比的场所和时间段，对比的场所可以为单场所或多场所。

选择周期为多日时无法包含今天的数据。

选择对比的两个场所为同一场所时：

· 可以比较不同单日周期的终端数，通过在周期选择框中对同一单日点击两次完成单日的选择。

· 可以比较不同多日周期的终端数，但两个所选周期所包含天数必须相同。例如：A场所4月28～30号的终端数对比A场所5月1～3号的终端数，周期均为3天。

选择对比的两个场所为不同场所时，可以比较两场所相同的周期（单日或多日）、今天、昨天、近7天或近30天的用户接入数。

# 对比数据——平均接入时长趋势

在平均接入时长趋势栏目点击<对比数据>按钮，跳转到对比数据显示页面。在该页面内，可以选择需要对比的场所和时间段，对比的场所可以为单场所或多场所。

选择周期为多日时无法包含今天的数据。

选择对比的两个场所为同一场所时：

· 可以比较不同单日周期的平均接入时长，通过在周期选择框中对同一单日点击两次完成单日的选择。

· 可以比较不同多日周期的平均接入时长，但两个所选周期所包含天数必须相同。例如：A场所4月28～30日的平均接入时长对比A场所5月1～3日的平均接入时长，周期均为3天。

选择对比的两个场所为不同场所时，可以比较两场所相同的周期（单日或多日）、昨天、近7天或近30天的用户平均接入时长，但无法对比日期为今天的数据。

· 周接入次数及趋势

以周为单位统计用户接入次数，管理员可据此了解每周用户接入频次情况以及连续多周的变化走势。

系统定义周一至周日为一周。

若选择单日，则系统将统计当日所在周的用户接入频次数据。例如：选择2022年8月3日，则系统默认统计2022年8月1～7日这周的接入频次数据。

若选择多日，则系统将统计多日所跨多周的用户接入频次数据。例如：选择2022年8月7～9日，则系统默认统计2022年8月1～7日和2022年8月8～14日两周的接入频次数据。

3. 终端报表

管理员可根据需要导出指定场所特定日期的日报表、周报表或月报表，以便使用电子表格软件的诸多功能对导出的终端数据进行更加深入的分析（例如：筛选功能等）。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“终端 > 终端统计 > 终端报表”。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 日报表

以天为单位，统计所选周期内每天新、老终端接入当前场所的数量及平均接入时长，并以列表形式显示。管理员可导出日报表并将压缩后的报表保存至本地。

日报表平均接入时长汇总表示统计所选周期中单日或多日的数据（一天中同一终端只计算一次，多天有多次接入则进行累加统计）。

所选场所可以为单场所或多场所。

日报表支持统计近30天的数据，但不支持统计终端接入次数以及今日数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

· 周报表

以周为单位，统计每周新、老终端接入当前场所的数量、平均接入时长以及接入次数，并以列表形式显示。管理员可导出周报表并将压缩后的报表保存至本地。

周报表平均接入时长汇总表示统计所选周期横跨的多周的数据（一个自然周同一终端只计算一次，多周有多次接入则进行累加统计）。

所选场所可以为单场所或多场所。

若在周期选择框中选择单日，则系统将统计并显示当日所在周的终端接入和造访频次数据。例如：选择2022年8月3日，则系统默认统计并显示2022年8月1～7日这周的数据。

若在周期选择框中选择多日，则系统将统计并显示多日所跨多周的终端接入和造访频次数据。例如：选择2022年8月7～8日，则系统默认统计2022年8月1～7日和2022年8月8～14日两周的数据。

周报表支持统计近六个月的数据，但不支持统计本周数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

· 月报表

以月为单位，统计每月新、老终端接入当前场所的数量及平均接入时长，并以列表形式显示。管理员可导出月报表并将压缩后的报表保存至本地。

月报表平均接入时长汇总表示统计所选月份的数据（一个自然月同一终端只计算一次，多月有多次接入则进行累加统计）。

所选场所可以为单场所或多场所。

通过在周期选择框中选择起始和终止的月份，可查看1个月或多个月的数据。

月报表支持统计至上月的数据，但不支持统计终端接入次数以及本月数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

4. 终端明细

本节内容指导管理员查看、导出在线、离线终端的详细统计信息。管理员可使用电子表格软件的诸多功能对导出的终端数据进行更加深入的分析（例如：筛选功能等）。

在分支卡片中选择场所，而后在左侧导航栏中选择“终端 > 终端统计 > 终端明细”。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 在线终端信息

显示当前场所此刻在线的终端的详细信息，根据终端类型不同以列表形式显示不同信息。管理员可导出在线终端的全部信息并将压缩后的电子表格保存至本地。

所选场所只能为单场所。

列表显示的内容默认不包含全部内容，可通过更改自定义列按钮提供的选项显示需要的信息。

本节显示的统计数据仅受限于所选的场所与终端类型。

· 历史终端信息

显示近7天内（单日或多日）当前场所已离线的终端的详细信息，根据终端类型不同以列表形式显示不同信息。管理员可导出离线终端的全部信息并将压缩后的电子表格保存至本地。

所选场所只能为单场所。

支持统计今天已离线的终端的数据。

列表显示的内容默认不包含全部内容，可通过更改自定义列按钮提供的选项显示需要的信息。

5. 流量概览

本节内容指导管理员查看终端流量各统计图表，知晓实时或近期所有终端流量使用总量。同时，通过对一段时间的数据进行对比，为数据分析提供更加可靠的依据。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“终端 > 终端统计 > 流量概览。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 流量统计

流量统计将对指定日期所有终端流量使用总量进行汇总，并计算人均流量用量。管理员可据此知悉流量大致使用情况。

除流量总量以及人均流量使用统计，系统还提供环比变化统计与30天内的流量峰值统计。

若所选日期包含多天，则不显示环比变化统计。

· 总流量排行

管理员可查看指定日期流量使用最多的场所或大量使用的日期。

选择场所的数量不同，显示的方式不同：

¡ 若选择单场所时，则显示本场所流量使用量排在前5及后5位的日期；

¡ 若选择多场所时，则显示流量使用量排在前5及后5位的场所。

若选择日期为今天，则默认按照近7天的数据统计。

· 终端流量排行

管理员可查看流量使用量较多的终端。

¡ 若选择单场所时，则显示本场所流量使用量排在前10的终端；

¡ 若选择多场所时，则显示多个场所流量使用量排在前10的终端。

· 总流量监控趋势

总流量监控趋势图显示的是当天或连续多天流量使用总量变化走势，管理员可直观的查看大量使用流量的日期或时间。

# 对比数据

在总流量监控趋势栏目点击<对比数据>按钮，跳转到对比数据显示页面。在该页面内，可以选择需要对比的场所和时间段，对比的场所可以为单场所或多场所。

不支持对比包含今天的数据。

选择对比的两个场所为同一场所时：

· 可以比较不同单日周期的流量使用情况，通过在周期选择框中对同一单日点击两次完成单日的选择。

· 可以比较不同多日周期的流量使用情况，但两个所选周期所包含天数必须相同。例如：A场所4月28～30号的流量使用情况对比A场所5月1～3号的流量使用情况，周期均为3天。

选择对比的两个场所为不同场所时，可以比较两场所相同的周期（单日或多日）、昨天、周（近7天）或月（近30天）的流量使用情况。

· 人均流量排行

管理员可以通过人均流量排行栏目查看指定日期中，人均流量使用最多的场所或大量使用的日期。

¡ 若选择单场所时，则显示本场所人均流量使用量排在前5及后5位的日期；

¡ 若选择多场所时，则显示人均流量使用量排在前5及后5位的场所。

若选择日期为今天，则默认按照近7天的数据统计。

· 人均流量监控趋势

人均流量监控趋势图显示的是当天或连续多天人均流量使用量变化走势，管理员可直观的查看大量使用流量的日期。

对比数据同“总流量监控趋势”栏目。

6. 流量报表

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“终端 > 终端统计 > 流量报表”。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 日报表

以天为单位，统计所选周期内每天产生的全部（或平均）上传、下载流量，并以列表形式显示。管理员可导出日报表并将压缩后的报表保存至本地。

所选场所可以为单场所或多场所。

日报表支持统计近30天的数据，但不支持统计今日数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

· 周报表

以周为单位，统计每周产生的全部（或平均）上传、下载流量，并以列表形式显示。管理员可导出周报表并将压缩后的报表保存至本地。

所选场所可以为单场所或多场所。

若在周期选择框中选择单日，则系统将统计并显示当日所在周产生的流量数据。例如：选择2022年8月3日，则系统默认统计并显示2022年8月1～7日这周的数据。

若在周期选择框中选择多日，则系统将统计并显示多日所跨多周产生的流量数据。例如：选择2022年8月7～8日，则系统默认统计2022年8月1～7日和2022年8月8～14日两周的数据。

周报表支持统计近六个月的数据，但不支持统计本周数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

· 月报表

以月为单位，统计每月产生的全部（或平均）上传、下载流量，并以列表形式显示。管理员可导出月报表并将压缩后的报表保存至本地。

所选场所可以为单场所或多场所。

通过在周期选择框中选择起始和终止的月份，可查看1个月或多个月的数据。

月报表支持统计至上月的数据，但不支持统计本月数据。

若选择了多场所，在<导出>按钮旁边的场所详情页面，可显示场所明细，显示内容与所选周期有关。

7. 流量明细

本节内容指导管理员查看、导出在线、离线终端的详细流量统计信息。管理员可使用电子表格软件的诸多功能对导出的终端流量数据进行更加深入的分析（例如：筛选功能等）。

在分支卡片中选择场所，而后在左侧导航栏中选择“终端 > 终端统计 > 流量明细”。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 在线终端流量信息

显示当前场所此刻在线的终端的详细流量统计信息，根据终端类型不同以列表形式显示不同信息。管理员可导出在线终端的全部流量统计信息并将压缩后的电子表格保存至本地。

所选场所只能为单场所。

本节显示的统计数据仅受限于所选的场所与终端类型。

· 历史终端流量信息

显示近7天内（单日或多日）当前场所已离线的终端的详细流量统计信息，根据终端类型不同以列表形式显示不同信息。管理员可导出离线终端的全部流量统计信息并将压缩后的电子表格保存至本地。

所选场所只能为单场所。

支持统计今天已离线的终端的数据。

2.4.2 智能终端

1. 关键终端

关键终端适用于将终端做为固定资产管理的场景，可对关键终端进行监控和管理。支持关键终端上下线的告警消息推送。

在分支卡片中选择分支（或场所），而后在左侧导航栏中选择“终端 > 智能终端 > 关键终端”，查看对应分支或者场所的关键终端的统计信息。

如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 添加关键终端

点击“点此添加关键终端”链接，跳转至终端资产页面。有关“终端资产”的详细介绍请参见7.4.2 终端资产。

· 设备统计

对当前分支或场所下的全部终端、当前在线终端、当前离线终端、今日离线终端、当前离线AP、今日离线AP进行统计。管理员可据此掌握终端设备的在线情况。

· 告警

可查看所选时段内关键终端上线、终端下线和终端频繁离线的告警消息统计。关于关键终端的告警消息推送配置，请参见2.2 1. 告警订阅。

· 流量排行Top10

可查看所选时段内终端或场所流量使用量较多的前10个终端或场所。

¡ 若选择单场所时，则显示本场所流量使用量排在前10的终端。

¡ 若选择多场所时，可选择“按终端查看”方式显示多场所流量使用量排在前10终端；或选择“按场所查看”方式显示流量使用量排在前10的场所。

· 离线次数排行Top10

可查看所选时段内终端或场所离线次数较多的前10个终端或场所。

¡ 若选择单场所时，则显示本场所离线次数排在前10的终端。

¡ 若选择多场所时，可选择“按终端查看”方式显示多场所离线次数排在前10终端；或选择“按场所查看”方式显示离线次数排在前10的场所。

· 关键终端

可查看分支中各场所的关键终端总数和在线关键终端数量统计。

· 终端趋势图

终端趋势图显示的是所选时段在线关键终端数、离线关键终端数的变化走势。

· 终端实时表

在“终端实时表”页签下，显示分支或场所内关键终端的实时统计信息，包括在线状态、所属场所、上线时间等信息。点击<筛选>按钮，选择场所、在线状态，输入终端名称、IP地址、SSID等筛选信息，单击<搜索>按钮，筛选出符合条件的关键终端。

· 终端离线日志

在“终端离线日志”页签下，可以查看分支或场所中关键终端的离线日志信息，包括终端所属场所、终端名称、SSID、上线时间、下线时间等信息。

2. 摄像头

平台维护了摄像头指纹库，当网络中接入了摄像头，会自动进行识别，并展示摄像头信息。也可手动增加摄像头到平台。可支持摄像头离线、流量异常的告警消息推送。

(1) 摄像头监控

· 如无特指，本节显示的统计数据受限于所选的场所、终端类型与日期。

· 智能发现摄像头需要设备使能LLDP功能，并支持配置EPA功能。

· 支持掩码版本EPA须升级到RELEASE 6320版本以上

· 设备统计

对当前分支或场所下的全部摄像头、当前在线摄像头、当前离线摄像头、今日离线摄像头进行统计。管理员可据此掌握摄像头的在线情况。

· 告警

可查看所选时段内摄像头离线数和流量异常数的告警消息统计。关于摄像头的告警消息推送配置，请参见2.2 1. 告警订阅。

· 流量排行

可查看场所内所选时段流量使用量的前5个和后5个摄像头。

· 离线次数排行Top10

可查看场所内所选时段离线次数较多的前10个摄像头。

· 在线/离线趋势图

趋势图显示的是所选时段摄像头在线数、离线数的数量统计。

· 摄像头列表

摄像头列表可以查看当前场所的摄像头统计信息，包括摄像头在线状态、MAC地址、上连设备和VLAN等信息，并提供对摄像头管理的基本操作，如开启、关闭、重启及屏蔽。

¡ 智能发现：点击<智能发现>按钮，读取场所内路由器和交换机的信息并识别摄像头，同步至平台进行管理。

¡ 屏蔽摄像头：勾选指定摄像头后，点击<屏蔽>按钮，将选中摄像头进行屏蔽。屏蔽的摄像头请在黑名单中查看。

¡ PoE操作：勾选指定摄像头后，点击<PoE操作>按钮，选择“开启”菜单对选中摄像头执行开启PoE供电操作；选择“关闭”菜单对选中摄像头执行关闭PoE供电操作；选择“重启”菜单对选中摄像头重启PoE供电操作。

¡ 定时任务：可对摄像头的PoE供电定时执行开启/关闭/重启操作。

勾选指定摄像头后，点击<定时任务>按钮，在弹窗中输入任务名称、选择配置操作及时间配置，点击<确定>按钮，完成定时任务的创建，并在定时任务列表下查看已创建的定时任务。

¡ 摄像头详情：点击摄像头的MAC地址，可查看该摄像头详情、PoE详情、流量详情。

· 离线日志

统计场所中摄像头的离线日志信息。点击页面的<导出>按钮，即可将离线日志信息导出并保存到本地。

· 定时任务列表

显示当前已创建的摄像头PoE操作的定时任务信息，包括任务名称、配置操作、执行模式、摄像头列表及操作。

¡ 操作：通过点击操作列删除、启用、停用、编辑定时任务、编辑摄像头列表按钮，对定时任务执行相应操作。

¡ 查看摄像头列表：点击“摄像头列表”列的显示信息，弹出“摄像头列表”窗口，可以查看当前定时任务的摄像头信息。

¡ 批量删除：勾选需要删除的定时任务，并点击<批量删除>按钮，然后在弹出的页面点击<确定>按钮即可完成定时任务的删除。

(2) 摄像头识别

· 新增静态MAC对全场所设备生效，新设备上线时已配置的静态MAC地址会生效。

· 一个设备最多支持1024个静态MAC地址。

选择“摄像头识别”页签，进入摄像头识别页面，可以查看当前场所的静态识别的摄像头统计信息，包括MAC地址、掩码、所在地点等信息。

¡ 刷新：点击<刷新>按钮，可以刷新当前识别摄像头列表信息。

¡ 增加：点击<增加>按钮，在弹窗中输入摄像头MAC地址、掩码、设备名称等信息，点击<提交>按钮，即可完成添加。

¡ 修改：点击摄像头对应的按钮，可以修改摄像头的信息。

¡ 批量删除：勾选需要摄像头，并点击<批量删除>按钮，然后在弹出的页面点击<确定>按钮即可完成摄像头的删除。

¡ 点击<黑名单>按钮，查看已屏蔽的摄像头。在黑名单列表中，勾选摄像头，点击<批量删除>按钮，或点击操作列删除按钮，将摄像头移出黑名单。

¡ 点击操作列删除按钮，将对应摄像头删除。

3 自动化

登录系统并进入首页后，在顶部导航栏选择“自动化”进入自动化业务专区。

3.1 配置部署

3.1.1 软件升级

只能升级在线设备。

使用本功能可远程对设备进行软件升级。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 软件升级”进入设备升级页面，对设备进行软件升级操作。

1. 软件升级

支持两种软件升级方式，分别为：按设备升级和按型号升级。

按设备升级：

· 筛选

点击<筛选>按钮，而后选择设备类型、在线状态、输入设备类型或序列号等信息，点击<搜索>按钮，筛选出符合条件的设备。

· 升级版本

点击待升级设备对应的“升级软件版本”列的版本下拉菜单，在弹窗中选择待升级的软件版本（可选公有版本和自有版本），再勾选待升级的设备，点击<升级版本>按钮，在弹出的确认提示页面根据实际情况选择操作类型（升级并重启、升级且保存配置并重启、仅升级不重启），即可完成设备的在线升级。

图3-1 软件升级

按型号升级：

· 筛选

点击<筛选>按钮，而后选择设备类型、在线状态或输入设备型号等信息，点击<搜索>按钮，筛选出符合条件的设备。

· 升级版本

点击待升级设备型号对应的“可升级版本”列的版本下拉菜单，在弹窗中选择待升级的软件版本（可选公有版本和自有版本），再勾选待升级的设备型号，点击<升级>按钮，在弹出的确认提示页面根据实际情况选择操作类型（升级并重启、升级且保存配置并重启、仅升级不重启），即可完成已选设备型号下的设备的在线升级。

2. 升级详情

点击“升级详情”页签，可以查看“正在升级的设备”和“已升级完成的设备”：

· 正在升级的设备：包括设备当前软件版本、版本升级进度和升级时间等信息。

· 已升级完成的设备：包括设备当前软件版本、升级状态和失败原因等信息。

3.1.2 自有版本

在左侧导航栏中选择“配置部署 > 自有版本”菜单项，进入“自有版本”页面。在该页面中通过版本上传、修改、升级等操作对设备的软件版本进行管理。

· 自有版本

在自有版本列表中查看已上传版本的“版本名称”、“适用设备型号”等信息，并对所选择版本进行操作：

¡ 删除：点击“操作”栏中按钮，将该条版本信息删除，或勾选需要删除的版本信息，点击“版本名称”上方的<删除>按钮进行删除。

¡ 修改：点击“操作”栏中按钮，进入修改页面，可对除“版本文件“外的其他版本信息进行修改。

¡ 升级：点击“操作”栏中按钮，进入“软件升级”页面，可按需对版本进行升级。

¡ 刷新：点击“版本名称”上方的<刷新>按钮，更新自有版本列表。

· 版本上传

将针对个别用户特别开发的版本（非官网正式发布的版本）上传到平台。

¡ 版本名称：输入需要上传版本的版本名称，最大输入长度为32个字符。

¡ 版本描述：输入需要上传版本的版本描述，最大输入长度为100个字符。

¡ 设备型号：选择设备类型（可选AC、云AP、交换机等），而后勾选设备型号，或在设备型号输入框中输入设备型号，勾选提示框中的设备型号，依次输入并勾选所有适用于该版本的设备型号。

¡ 版本文件：点击“版本文件”输入框或点击<选择文件>按钮，弹出“打开”窗口，选择需要上传的版本文件，单击<打开>按钮，版本文件添加成功。其中，文件大小最大为800M。

上述版本信息增加完成后，点击<确定>按钮，版本上传成功，可在自有版本列表中进行查看，最多可上传10个自有版本。

3.1.3 命令助手

仅AC、部分云AP、路由器、交换机产品支持本功能。

使用本功能可通过平台直接对设备下发命令。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 命令助手”进入命令助手页面，在页面上方选择分支、场所与设备。

· 非telnet模式

¡ 不需设备开启telnet服务以及输入用户名、密码就可以登录设备查看显示信息、进行部分配置。

¡ 不能使用Tab键补全命令以及显示日志信息，并且不支持交互式的操作（例如：保存配置、删除文件的交互确认操作）。

¡ 建议点击页面右侧的“常用命令”，查看设备的基础信息、网络信息、监控信息。

¡ 当命令操作界面出现故障（例如：不能正常输入命令行），可以点击页面右下角的“故障恢复”以恢复正常。

· telnet模式

¡ 在页面左上角开启telnet模式，然后点击“连接”并输入用户名和密码登录设备，此模式需要在设备上开启telnet服务。

¡ 点击页面右侧的“常用命令”，查看设备的基础信息、网络信息、监控信息。

¡ 选择页面左上角的“操作记录”，可以设置缓存大小并导出操作记录。

3.1.4 文件系统

仅AC、部分云AP、路由器、交换机产品支持本功能。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 文件系统”进入设备文件系统操作界面，在页面右上角选择设备对其进行文件系统操作、管理。

· 上传

首先在页面查看设备的存储介质剩余空间，确保设备有足够的存储空间，然后点击<上传>按钮并选择本地需要上传的文件，即可将本地文件上传到设备上。

· 下载

首先在页面选择需要下载的文件，然后点击<下载>按钮，即可将设备上选中的文件下载到本地。

· 重命名

不能修改文件夹名称。

首先在页面选择需要重命名的文件，然后点击<重命名>按钮并输入新的文件名，即可完成设备上文件名称的修改。

· 删除

首先在页面选择需要删除的文件，然后点击<删除>按钮即可删除选中的文件，文件删除后不可恢复，请谨慎操作。

3.1.5 配置还原

仅AC、部分云AP、路由器、交换机产品支持本功能。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 配置还原”进入设备配置还原页面，在页面左上方选择设备，对设备的配置文件创建还原点、进行还原以及配置自动备份等操作。

(1) 添加配置还原点

点击页面的<添加>按钮，在弹出的“新建还原点”页面输入创建原因，根据需要选择是否将生成的配置文件作为主用下次启动配置文件。

(2) 配置还原

当需要将设备的当前配置还原到已经创建好的还原点时，勾选需要还原的配置文件，然后点击<配置还原>按钮即可完成设备的配置文件还原。

图3-2 设备日志配置

(3) 自动备份

点击自动备份开关，开启自动备份功能，选择备份周期、配置最大备份数。

· 最大备份数即平台保存的最新的N个自动备份的配置文件。

· 备份周期为“每周”时，系统会在每个星期日执行自动备份；备份周期为“每月”时，系统会在每月1日执行自动备份。自动备份时间为01:00~04:00之间；如果设备不在线，会在06：00~09：00、11：00~13：00、19：00~21：00三个时段进行重试。

(4) 查看配置还原点的配置文件

点击还原点配置文件的详情按钮，可以查看当前还原点配置文件的详细配置信息。

(5) 删除配置还原点

点击还原点配置文件的删除按钮，可以删除当前配置还原点。

3.1.6 配置对比

只支持导入小于10M的配置文件。

在左侧导航栏中选择“配置部署 > 配置对比”菜单项，进入配置对比页面。通过在该页面左右两侧分别导入需要对比的本地配置文件或设备配置文件，发现有差异的配置项。

· 加载本地配置文件

点击<加载本地配置文件>链接或点击右上角图标，弹出“打开”窗口，选择需要加载的配置文件，将本地配置文件加载到“配置对比”页面中。

· 读取设备配置文件

点击<读取设备配置文件>链接或点击右上角图标，弹出读取配置文件页面：

¡ 选择场所：选择相应的场所。

¡ 选择设备：选择该场所中需要进行配置对比的设备。

¡ 选择配置：选择需要进行对比的配置文件，可选项为“设备运行配置”、“设备本地配置”、“设备云备份配置”。当选择设备的状态为离线状态时，仅能选择“设备云备份配置”进行对比。

经过左右两侧文件对比，高亮显示配置文件中有差异的配置项，并在页面下方显示所有有差异配置项的行数统计。

3.1.7 设备操作

只能重启在线设备。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 设备操作”进入设备操作页面，在页面右上角选择设备，对其进行设备管理操作。

· AC、交换机、路由器、云AP产品

¡ 保存配置并重启

点击<保存配置并重启>按钮，设备将会保存配置并重新启动，设备重新启动期间相关业务将不可用，请慎重操作。

¡ 重启

点击<重启>按钮，设备重新启动期间相关业务将不可用且未保存的配置将会丢失，请慎重操作。

¡ 定时重启

点击<定时重启>按钮，弹窗定时重启配置窗口，选择重启策略及时间配置，设备重新启动期间相关业务将不可用且未保存的配置将会丢失，请慎重操作。

¡ 取消定时重启

点击<取消定时重启>按钮，即可取消设备定时重启。

¡ 保存配置

点击<保存配置>按钮，设备将会保存配置。

¡ 重置云连接

当设备与平台连接异常时，点击<重置云连接>按钮，强制断开设备与平台的连接并重新连接。

3.1.8 工具

在左侧导航栏中选择“配置部署 > 工具”菜单项，进入“工具”页面。在分支卡片中选择分支、场所及设备，并使用“Ping”、“Trace”、“AP指示灯静默”、“抓包”四种工具来实现对设备的维护。

· Ping

使用Ping工具来测试设备与指定目的地址的连通性，并将结果显示在“执行结果”列表中。

点击“Ping”标签，进入Ping工具页面。该页面提供了普通和高级两种使用方式：

¡ 普通方式：输入目的IP地址，其他选项使用缺省设置。其中，缺省情况下源IP地址默认值为分支卡片所选设备的IP地址、包大小默认值为56、包数量默认值为5。

¡ 高级方式：点击<高级>按钮展开Ping工具高级设置区域，并按需输入目的IP地址、源IP地址、包大小及包数量。

输入完成后，点击<执行>按钮，在“执行结果”列表中查看Ping工具的执行信息。当“状态”栏中的状态显示为“执行成功”时，点击“查看详情”栏中的查看详情链接，展开详请区域，可通过切换折线或表格视图查看Ping的详细过程信息。

· Trace

使用Trace工具来追踪探测报文的跳转路径，并将结果显示在“执行结果”列表中。

点击“Trace”标签，进入Trace工具页面。该页面提供了普通和高级两种使用方式：

¡ 普通方式：输入目的IP地址，其他选项使用缺省设置。其中，缺省情况下源IP地址、目的端口、初始TTL、最大TTL、超时时间、包数量的默认值分别为分支卡片所选设备的IP地址、33434、1、30、5000、3。

¡ 高级方式：点击<高级>按钮展开Trace工具高级设置区域，并按需输入目的IP地址、源IP地址、目的端口、初始TTL、最大TTL、超时时间及包数量。

输入完成后，点击<执行>按钮，在“执行结果”列表中查看Trace工具的执行信息。当“状态”栏中的状态显示为“执行成功”时，点击“查看详情”栏中的查看详情链接，展开详请区域，在表格中可查看探测报文的跳转索引、跳转地址和探测增量等信息。

· AP指示灯静默

仅AC管理的Fit AP及云AP支持。

指定AP指示灯的静默状态开始和结束的时间段。

点击“AP指示灯静默”标签，进入AP指示灯静默页面。启用“指示灯定时开关”，在“静默时间段”选项中选择需要静默的时间段，当选择“自定义”选项时，需要指定“开始时间”和“结束时间”。点击<提交>按钮，配置AP指示灯静默完成，如图3-3所示。

图3-3 AP指示灯静默

· 抓包

仅AC下的Fit AP支持抓包配置。

通过配置抓包条件来抓包工作信道下的全部报文。

点击“抓包”标签，选择“抓包配置”，进入抓包配置页面，如图3-4所示。

图3-4 抓包配置

¡ 增加抓包配置

点击<增加>按钮，进入配置抓包条件页面，如图3-5所示。

图3-5 抓包配置项

3.1.9 设备替换

点击“监控”页签，在左侧导航栏中选择“配置部署 > 设备替换”菜单项，进入“设备替换”页面。在分支卡片中选择分支、场所，进行设备配置上传及设备替换。

1. 设备替换

· 上传配置：点击列表中图标，按需选择保存或不保存设备配置。或开启列表上方“自动上传”功能，在弹出的“自动上传时间”窗口页面中配置自动上传时间，场所设备会在设备上线及指定时间检查设备配置文件，并将变化的配置文件上传至平台。

· 设备替换：将旧设备的配置保存至平台，替换新设备后，再将配置从平台下发至新设备，完成替换。点击列表中图标，弹出“设备替换”窗口页面，选择使用“注册新设备并替换”或“使用场所已注册设备替换”的方式进行设备替换。

· AP替换：AP不在列表中显示，可使用该方式直接替换。点击<AP替换>按钮，在弹出的“AP替换”窗口页面中，输入原AP和新AP的序列号，完成AP替换。

2. 替换记录

查看设备替换的序列号、状态等信息，并提供刷新功能，刷新当前列表。

3.1.10 开局模板

在大规模部署时，可采用开局模板功能，批量应用到场所即可实现一次完成多设备开局，减轻部署工作量。绑定场所后，场所中对应型号设备上线后即可自动下发配置。

在分支卡片中选择场所后，在左侧导航栏中选择“配置部署 > 开局模板”进入开局模板页面，对其进行开局模板相关配置。

1. AC、路由器产品

(1) 增加开局模板

点击页面的<增加>按钮，在模板配置页面输入模板名称、在设备型号下拉框中选择设备型号、按需配置模板描述信息，可在配置拷贝下拉框中选择已有同设备型号的开局模板拷贝配置，配置VLAN、认证、带宽等命令信息，然后点击<确定>按钮即可完成开局模板的创建。

(2) 绑定场所

点击已经创建的开局模板操作列绑定按钮，进入绑定场所页面，可以查看到当前开局模板已经绑定的场所绑定。

¡ 点击<关联>按钮，在弹窗中勾选一个或多个场所，然后点击<确定>按钮即可将开局模板与所选场所进行绑定。

¡ 勾选一个或多个需要解除绑定的场所，然后点击<解除关联>按钮可以解除开局模板与场所的绑定关系。

(3) 查看已绑定场所

点击已经创建的开局模板的已绑定场所列数字链接，弹出已绑定场所窗口，即可查看该开局模板已绑定的场所、类型、模板名称及绑定时间。

(4) 编辑开局模板

点击已经创建的开局模板的操作列编辑按钮，进入模板配置页面，即可对模板进行修改。

(5) 应用记录

查看开局模板的应用历史记录。点击开局模板的操作列“应用记录”按钮，进入应用历史页面。

¡ 在“配置结果列表”页签，展示该开局模板绑定的场所下对设备下发配置的记录，包括下发设备的设备名称、序列号、所属场所、配置下发的结果及应用时间等信息。

- 点击<刷新>按钮，刷新配置结果列表。

- 点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

- 重新应用

勾选一个或多个待重新下发配置的设备，点击<重新应用>按钮，即可对所选设备重新下发模板配置。

- 导出应用记录

点击<导出>按钮，将导出该开局模板全部的应用记录。

图3-6 配置结果列表

¡ 在“未配置列表”页签，展示该开局模板绑定的场所下，待下发配置的设备。

图3-7 未配置列表

(6) 删除开局模板

点击已经创建的开局模板的操作列删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成开局模板的删除。

2. 交换机产品

交换机产品的开局模板支持命令行模式和图形化模式。命令行模式提供自定义命令行的方式创建配置，可下发更全面的配置；图形化模式易于操作。

· 命令行模式

命令行模式提供自定义命令行的方式创建配置，可以通过命令行模式下发更全面的配置。

· 图形化模式

图形化模式仅Demo 6511、ESS 1105P01及以上版本支持。

(1) 增加开局模板

点击页面的<增加>按钮，在弹窗中输入模板名称、选择设备型号、按需配置模板描述信息，然后点击<确定>按钮提示模板添加成功，在弹窗中点击<确定>按钮，前往编辑模板，按界面提示配置VLAN、接口、端口隔离等信息，然后点击<保存>按钮即可完成开局模板的创建。

(2) 绑定场所

点击已经创建的开局模板操作列绑定按钮，进入绑定场所页面，可以查看到当前开局模板已经绑定的场所绑定。

¡ 点击<关联>按钮，在弹窗中勾选一个或多个场所，然后点击<确定>按钮即可将开局模板与所选场所进行绑定。

¡ 勾选一个或多个需要解除绑定的场所，然后点击<解除关联>按钮可以解除开局模板与场所的绑定关系。

(3) 查看已绑定场所

点击已经创建的开局模板的已绑定场所列数字链接，弹出已绑定场所窗口，即可查看该开局模板已绑定的场所、类型、模板名称及绑定时间。

(4) 编辑开局模板

点击已经创建的开局模板的操作列编辑按钮，进入模板配置页面，即可对模板进行修改。

(5) 应用记录

查看开局模板的应用历史记录。点击开局模板的操作列“应用记录”按钮，进入应用历史页面。

- 点击<刷新>按钮，刷新配置结果列表。

- 点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

- 重新应用

勾选一个或多个待重新下发配置的设备，点击<重新应用>按钮，即可对所选设备重新下发模板配置。

- 导出应用记录

点击<导出>按钮，将导出该开局模板全部的应用记录。

¡ 在“未配置列表”页签，展示该开局模板绑定的场所下，待下发配置的设备。

(6) 删除开局模板

点击已经创建的开局模板的操作列删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成开局模板的删除。

3.1.11 批量模板

平台支持批量配置业务，如VLAN、端口、无线服务等，将模板配置的内容批量下发到设备上，适用于设备数量较多的场景，避免了管理员重复的繁琐配置。

1. AC模板

在左侧导航栏中选择“配置部署 > 批量模板 > AC模板”，进入AC模板页面。

(1) 增加模板配置

点击<增加>按钮，进入配置模板页面。输入模板名称、模板描述信息，根据实际情况对无线基础配置、域名白名单、域名黑名单进行配置，配置完成后，点击<保存>按钮，即可完成模板的创建。

· 无线基础配置

在勾选框中勾选无线基础配置，配置如下：

¡ 基础配置

- 输入无线服务名称、SSID信息

- 选择加密服务。选择“PSK”方式时，需配置PSK密码，在客户端关联过程中，手动输入该密码；选择“关闭”时，则关闭加密服务；选择“802.1X”方式时，需使用认证服务器通过802.1X认证方式对客户端进行身份认证。

· 当选择“802.1X”加密服务时，需要在RADIUS服务器上配置802.1X认证用户。

· 为保证802.1X认证生效，确保802.1X相关配置正确，可与802.1X模板配合使用，且应用设备为相同场所的同一台设备。或直接在AC设备 > 802.1X页面下进行配置，详细配置请参见3.2.1 7. 802.1X认证。

¡ 高级配置

- 服务状态：开启/关闭无线服务。关闭已经开启的无线服务，会使得已连接该无线服务的终端离线。

- 隐藏SSID：隐藏SSID可以使其他人搜索不到当前无线服务，提升网络的安全性。若要连接此无线服务，需要在无线终端上手动输入无线服务的SSID名称进行关联。

- 二层隔离：开启后，用户无法在二层网络内直接通信。

- 转发模式：配置数据转发模式。

- 带宽保障：开启/关闭带宽保障。开启带宽保障后，在网络发生拥塞时，每个无线服务有最低保障带宽。配置时请确保与其他无线服务带宽占比总和不超过100。

- 用户限速：该无线服务占用总带宽的最小百分比。配置时请确保与其他无线服务带宽占比总和不超过100。

- VLAN：客户端连接至该无线服务后，会自动加入VLAN，默认为VLAN 1。

· 域名白名单

在勾选框中勾选域名白名单。配置域名白名单后，加入域名白名单的地址不限制终端访问，管理员应将终端接入后所有无需认证但需要访问的地址加入到域名白名单列表中。

¡ 添加域名白名单：点击<添加>按钮，输入域名，再点击<确定>按钮即可添加完成，域名白名单总数不允许超过32个。

¡ 删除域名白名单：点击列表中按钮，即可将该域名白名单删除；勾选多个域名白名单，可批量删除。

· 域名黑名单

在勾选框中勾选域名黑名单。配置域名黑名单后，加入域名黑名单的地址禁止终端访问。

¡ 添加域名黑名单：点击<添加>按钮，输入域名，再点击<确定>按钮即可添加完成，域名黑名单总数不允许超过32个。

¡ 删除域名黑名单：点击列表中按钮，即可将该域名黑名单删除；勾选多个域名黑名单，可批量删除。

· 域名白名单、域名黑名单仅Custom 5405、Release 1038P05及以上版本设备支持。

· 若域名地址同时出现在域名白名单与域名黑名单中，则域名黑名单生效。

(2) 应用模板

点击模板的应用按钮，弹出“应用模板”窗口，在右上角选择分支场所，然后在列表中勾选待应用模板的AC设备，点击<应用>按钮即可将模板配置的内容批量下发到设备上。

(3) 应用记录

查看模板的应用历史记录。

点击AC模板的查看历史按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否。

¡ 点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

¡ 如果设备的部分配置应用失败，则可点击<重新应用>按钮重新应用此模板完成设备的模板配置。

¡ 点击页面的<导出>按钮即可将模板的应用统计信息导出到本地，以便于后续的查看。

(4) 编辑模板

点击已经创建的模板的编辑按钮，进入页面后可以对模板的配置项相关信息进行修改。

(5) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

2. 云网关模板

支持按场所和按型号两种模板方式。

(1) 模板配置及应用

# 场所模板：

a. 增加场所模板

选择“场所模板”页签，点击页面的<增加>按钮，输入模板名称、模板描述信息，然后点击<确定>按钮即可完成模板的创建，并且点击<确定>按钮会前往编辑模板。根据实际情况对无线服务、Radio、DNS进行配置。

b. 应用模板

配置完成后，点击模板的应用按钮，弹出“应用模板”窗口，在右上角选择分支，然后在列表中勾选场所。点击<应用>按钮即可将模板配置的内容批量下发到场所下的设备上。

# 型号模板：

a. 增加型号模板

选择“型号模板”页签，点击页面的<增加>按钮，输入模板名称，在设备型号下拉框中选择设备型号，按需配置模板描述信息，然后点击<确定>按钮即可完成模板的创建，并且点击<确定>按钮会前往编辑模板。根据实际情况对外网、内网进行配置。

b. 应用模板

配置完成后，点击模板的应用按钮，弹出“应用模板”窗口，在右上角选择分支，然后在列表中勾选场所。点击<应用>按钮即可将模板配置的内容批量下发到场所下该设备型号的设备上。

(2) 应用记录

查看模板的应用历史记录。点击模板的历史按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否。点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

(3) 编辑模板

点击已经创建的模板的编辑按钮，进入页面后可以对模板的配置项相关信息进行修改。

(4) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

3. 交换机模板

支持图形化配置和命令行配置方式模板。

(1) 模板配置

# 增加图形化配置：在页面选择“交换机设备配置”进入模板列表页面。点击页面的<增加>按钮，弹出“新增模板”窗口，输入模板名称，在设备型号下拉框中选择设备型号，然后点击<确定>按钮即可完成模板的创建，并且点击<确定>按钮会前往编辑模板。根据实际情况进行配置。

# 增加命令行配置：在页面选择“命令行配置”进入模板列表页面。点击页面的<增加>按钮进入“配置模板”页面，输入模板名称、描述，然后根据实际情况选择配置项并对其进行配置，请按照举例中的命令格式配置命令，点击<确定>按钮完成模板的增加。在弹出的页面选择<确定>按钮，则会进入应用模板页面。

(2) 应用模板

配置完成后，点击模板的应用模板按钮，进入应用模板页面：

¡ 在页面右上角选择分支场所，然后勾选需要应用模板的设备，点击<应用>按钮即可将模板配置的内容批量下发到设备上，适用于设备数量较多的场景，避免了网络管理员重复的繁琐配置。

¡ 点击<历史>按钮即可查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否，如果设备的部分配置应用失败，则可点击<重新应用>按钮重新应用此模板完成设备的模板配置。点击页面的<导出>按钮即可将模板的应用统计信息导出到本地，以便于后续的查看。

模板应用完成后，在模板列表中可以查看模板最近一次应用时间和最近一次应用结果。

(3) 查看历史

查看模板的应用历史记录。点击模板的查看历史按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否。点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

¡ 查看配置失败详情

对于设备命令行配置下发失败的配置，可点击“查看详情”链接查看配置命令及执行结果。

¡ 重新应用

如果设备的部分配置应用失败，则可点击<重新应用>按钮，在弹窗中选择应用失败对应的时间，重新应用此模板。

(4) 修改模板

点击已经创建的模板的修改按钮，进入模板修改页面，可以对模板的配置项相关信息进行修改。

(5) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

4. 802.1X模板

提供802.1X+RADIUS认证方案模板配置。

· 仅AC、路由器、交换机产品支持本功能。

· 平台并不做为认证服务器使用，仅支持对接外部的802.1X认证服务器在平台上配置，需要在RADIUS服务器上配置802.1X认证用户的账号和密码。

(1) 配置RADIUS方案模板

选择“RADIUS方案模板”页签，点击<增加>按钮，根据实际情况配置RADIUS方案。

(2) 配置802.1X认证模板

选择“802.1X认证模板”页签，点击<增加>按钮增加认证模板，配置认证策略。无线模式下需选择“EAP”认证协议；高级配置仅支持有线接入认证方式。

(3) 应用模板

在802.1X认证模板页面，点击已经创建的模板的应用按钮，选择所属场所、设备类型、设备、接入方式、认证端口，点击<增加>按钮后，再点击<应用>按钮即可将模板配置的内容批量下发到设备上。

(4) 查看历史

查看模板的应用历史记录。点击模板的查看历史按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否，如果设备的部分配置应用失败，则可点击<重新应用>按钮重新应用此模板完成设备的模板配置。点击按钮，在菜单中选择“一天”、“一周”、“一月”或“全部”，查看对应时间段的应用记录。

(5) 编辑模板

点击已经创建的模板的编辑按钮，进入页面后可以对模板的配置项相关信息进行修改。

(6) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

5. 防火墙模板

提供设备防火墙规则和带宽管理的配置。

仅MSG360系列、路由器产品支持本功能。

(1) 增加防火墙模板

点击页面的<增加>按钮，在页面中输入模板名称、描述，配置防火墙规则和带宽管理。防火墙规则、带宽管理规则的生效范围为设备或指定的无线服务。

¡ 防火墙规则

点击“添加防火墙规则”链接添加一条规则，点击删除按钮，删除规则。最多可配置100条。然后根据业务需求配置防火墙规则。完成防火墙配置后，可单击并拖动防火墙规则列表中“优先级”项前的“+”标志调整规则优先顺序。

通过配置防火墙规则，可限制内网用户访问指定的地址段、知名网站以及指定的网址，也可限制用户特定应用的流量。防火墙规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。

¡ 带宽管理

- 点击“添加带宽限速规则”链接添加一条规则，点击删除按钮，删除规则。最多可配置50条。通过配置应用限速规则，可限制内网用户的应用的上、下行速率。应用限速规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。

- 点击“添加带宽保障规则”链接添加一条规则，最多可添加50条。通过配置带宽保障规则，可在网络发生拥塞时，内网用户的应用有最低保障带宽。应用限速规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。需要注意的是，所有特征对象的保障带宽总和不能超过链路带宽。

有关“时间模板”的详细介绍，请参见“3.1.12 时间模板”章节。完成配置后，可通过拖动规则列表中“优先级”项前的标志调整规则优先顺序。

¡ 配置拷贝：点击右上方<配置拷贝>按钮，在弹窗中选择分支场所、设备，即可从已选设备中拷贝配置。

配置完成后，点击<保存>按钮可将完成模板的创建。

(2) 应用模板

模板配置完成后，点击模板的应用按钮，进入应用模板页面：

¡ AC设备：选择需要应用模板的AC设备，自定义或选择SSID，点击<添加>按钮，添加配置，可配置多个SSID。点击<应用>按钮即可将模板配置的内容批量下发到设备上。

¡ 路由器设备：选择设备型号、设备，点击<安全域拷贝>按钮，在安全域拷贝弹窗中，选择分支场所、设备，从已有设备中拷贝安全域，而后点击<安全域配置>按钮，在安全域下拉框中选择“自定义”，输入安全域名称后，点击<增加>按钮可增加安全域，或者在安全域下拉框中选择待配置的安全域，而后选择端口，点击<确定>按钮，返回路由器模板下发页面。在安全域下拉框中选择源安全域和目的安全域，而后点击<添加>按钮添加一套安全域配置，支持配置多套安全域。配置完成后，点击<应用>按钮可将配置下发到设备上。

(3) 查看历史

查看模板的应用历史记录。点击模板的历史按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否。

¡ 配置结果列表：查看以下发设备的统计信息。

¡ 未配置列表：查看待下发设备的统计信息。

6. 云AP模板

支持Wi-Fi配置和命令行配置。

· 命令行配置请在专业人员指导下使用。

· 云AP模板每个批量模板最多支持创建10个配置片段。

(1) 增加云AP模板

点击页面的<增加>按钮进入“配置模板”页面，输入模板名称、描述，根据实际情况进行配置。点击<保存>按钮完成配置。

¡ Wi-Fi配置

点击开启状态开关，可以对设备Wi-Fi进行相关配置。点击无线服务的SSID名称，进入“Wi-Fi配置”页面，在此页面可以对SSID的详细配置信息进行配置，包括自动SSID、SSID名称、服务状态、AP转发方式、加密状态等配置信息。有关“Wi-Fi配置”的详细介绍，请参见3.2.2 1. (1)Wi-Fi配置章节。

¡ 命令行配置

点击开启状态开关，可以通过命令行对设备进行相关配置。点击“请添加”链接添加设备型号，可选“全部型号”或选择一款设备型号，点击<增加>按钮添加多个设备型号，最多可配置10个，输入描述信息，然后根据实际情况进行配置，请按照举例中的命令格式配置命令。

(2) 应用模板

# 模板配置完成后，点击模板的应用按钮，进入应用模板页面，选择分支、场所后，再点击<应用>按钮即可将模板配置的内容批量下发到所选场所设备上。

# 点击<应用记录>按钮，查看模板在各个设备的应用统计信息，根据此信息可以了解配置应用成功与否，如果设备的部分配置应用失败，则可点击<重新应用>按钮重新应用此模板完成设备的模板配置。

3.1.12 时间模板

时间模板配合防火墙功能使用，用于在配置的时间内控制接入用户访问网络、进行带宽限制。

在左侧导航栏中选择“配置部署 > 时间模板”，进入时间模板页面。系统提供两个默认时间模板（工作日、周末），不可删除。

1. 新增时间模板

点击页面的<新增>按钮，在新增时间模板页面。

· 输入时间模板名称。

· 配置时间类型：

¡ 选择“持续生效模板”选项，而后选择周期的时间段，可选“周末”、“工作日”，或自定义周期时间段。

¡ 选择“定时启用模板”选项，而后选择每日生效的时间点。

· 勾选“重复时间段”选项后，可根据需要选择在指定的时间点启用、停用模板，或在重复一定的次数后停用模板。

2. 修改时间模板

点击模板操作列编辑按钮，进入“修改时间模板”页面，可以对当前时间模板的周期时间段或信息同时进行修改。

3.2 园区网络

有关“认证配置”、“用户管理”的详细介绍请参见4 用户业务-云认证。

3.2.1 AC

1. 无线服务

在左侧导航栏中选择“园区网络 > AC > 无线服务”进入设备的无线服务页面，在分支卡片中选择场所后，然后选择设备，对其进行无线服务相关配置。

(1) 添加无线服务

点击页面的<增加>按钮，进入创建无线服务页面，输入无线服务名称、SSID等基础配置信息，然后根据业务需求选择性配置服务状态、隐藏SSID等高级配置信息，点击<提交>按钮即可完成无线服务的创建；或点击<下一步>按钮进入绑定AP页面，在可选AP列表中勾选需要绑定的AP，点击按钮后进入已选AP列表，点击<提交>按钮即可完成绑定AP。

(2) 绑定无线服务

点击已经创建的无线服务的绑定按钮，进入绑定AP页面：

¡ 在“已绑定AP”页签可以查看无线服务当前已经绑定的AP信息，勾选需要解绑的AP，然后点击<解绑AP>按钮可以解除无线服务与AP的绑定关系。

¡ 在“未绑定AP”页签勾选需要绑定的AP，然后点击<绑定AP>按钮可以将无线服务与AP进行绑定。

仅支持手工注册或自动注册固化后的AP绑定无线服务。

(3) 查看绑定AP数

点击已经创建的无线服务的绑定AP数，进入已绑定AP列表页面，可以查看当前无线服务已绑定的AP相关信息。

(4) 编辑无线服务

点击已经创建的无线服务的编辑按钮，进入编辑无线服务页面，可以对无线服务的SSID、加密服务、服务状态等相关信息进行修改。

· 当选择“802.1X”加密服务时，需要在RADIUS服务器上配置802.1X认证用户。

· 为保证802.1X认证生效，确保AC设备802.1X相关配置正确，详细配置请参见7. 802.1X认证。

(5) 删除无线服务

点击已经创建的无线服务的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成无线服务的删除。

(6) 读取设备

本地创建的无线服务必须配置SSID才可以被同步到平台。

点击页面的<读取设备>按钮，可以将设备本地创建的无线服务同步到平台。

2. AP配置

· 设备仅在5418及以后版本支持本功能。

· AP列表仅展示手工注册或自动注册固化后的AP。

在左侧导航栏中选择“园区网络 > AC > AP配置”进入AP设备的配置页面，在分支卡片中选择场所后，然后选择AC设备，对其上的AP设备进行相关配置。

· 配置AP

点击“AP名称”、“状态”、“信道”、“功率(dBm)”、“频宽(Hz)”列的内容，可以分别对其进行修改操作；点击操作按钮，进入“修改射频信息”页面，可以对当前AP的射频信息同时进行修改。

· 读取设备

点击页面左上角的<读取设备>按钮，可以将AC设备本地配置的AP信息同步到平台。

· 导出AP信息

点击页面左上角的<导出>按钮，可以将页面显示的AP配置统计信息导出并保存到本地。

3. 无线安全

设备仅在5442及以后版本支持本功能。

在左侧导航栏中选择“园区网络 > AC > 无线安全”进入无线安全配置页面，在分支卡片中选择场所后，然后选择AC设备，对其进行无线安全配置，如攻击检测、SSID扫描和仿冒MAC检测，并提供对非法设备的反制功能，保护网络的安全。

· 攻击检测：提供多种攻击方式的攻击检测功能，如畸形报文、泛洪攻击、蜜罐AP等，并支持对非法设备进行攻击，使其它设备无法关联到非法设备。

# 在“攻击检测”页签，选择“开启”选项开启攻击检测功能，进行攻击检测及反制配置：

¡ Step1：选择检测级别，确认反制项。

- 选择检测级别“高”、“中”或“低”。“高”、“中”和“低”检测级别已分别预定义了检测项及反制项，表示该检测项支持反制。

- 选择检测级别“自定义”，根据业务需求自定义检测项及反制项。

¡ Step2：选择检测AP：在可选AP列表中勾选检测AP，点击按钮后，即在已选AP设备上进行检测及反制功能。检测AP数不能超过128台。

¡ 点击<拷贝SSID扫描的AP配置>按钮，将拷贝“SSID扫描”页面中的检测AP配置，可减少重复配置操作。

配置完成后，请至“分析 > 安全 > 攻击检测”页面查看监控信息。

· SSID扫描：可根据对AP使用无线服务的SSID进行匹配或MAC地址进行匹配自定义扫描规则，定义出非法设备，并对其进行反制。

# 在“SSID扫描”页签，选择“开启”选项开启SSID扫描功能，进行SSID扫描配置：

¡ Step1：配置SSID扫描规则，确认反制项

点击<增加>按钮，在弹窗中增加规则，可配置SSID规则或MAC规则、配置匹配条件、是否开启反制功能。点击按钮，可再添加一条规则，SSID扫描最多可配置10条规则。在SSID扫描规则列表中，点击编辑图标，可修改规则。

¡ Step2：选择检测AP：在可选AP列表中勾选检测AP，点击按钮后，即在已选AP设备上进行检测及反制功能。检测AP数不能超过128台。

¡ 点击<拷贝攻击检测的AP配置>按钮，将拷贝“攻击检测”页面中的检测AP配置，可减少重复配置操作。

配置完成后，请至“分析 > 安全 > SSID扫描”页面查看监控信息。

· 仿冒MAC检测：提供检测仿冒MAC终端的功能，防止仿冒MAC对网络产生危害。

# 在“SSID扫描”页签，点击<读取设备>按钮，可以将AC设备本地创建的无线服务同步到平台。

¡ 勾选待开启仿冒MAC检测的无线服务，点击<全部开启>按钮，将所选无线服务批量开启仿冒MAC检测。

¡ 点击某一无线服务仿冒MAC检测开关开启或关闭仿冒MAC检测。

配置完成后，请至“分析 > 安全 > 仿冒MAC检测”页面查看监控信息。

4. 基础配置

目前仅MSG360系列支持本功能。

在左侧导航栏中选择“园区网络 > AC > 基础配置”进入AC设备的基础配置页面，在分支卡片中选择场所后，然后选择AC设备，对其进行相关配置。

(1) 读取设备

点击页面左上角的<读取设备>按钮，可以将AC设备的本地配置同步到平台。

(2) 自动刷新

开启页面左上角的自动刷新功能后，在一小时内每隔5分钟会自动刷新当前页面列表中的数据，一小时后会自动关闭自动刷新功能。

(3) 外网配置

选择“外网配置”页签，可以对外网进行相关配置。

¡ Internet配置

# 在“Internet配置”页签，点击<添加>按钮，进行Internet配置：

- 选择需要配置的端口

- 输入连接描述，不要输入“？”，否则可能会导致配置下发失败

- 配置MTU

- 选择连接方式，工作连接为主用连接，备份连接仅在工作连接中断时工作

- 当选择工作连接时，可以配置备份接口；当选择备份连接时，可以配置主接口

- 选择开启或者关闭连通性检测。如果开启连通性检测，WAN口持续检测与目的地址之间的通信状态

- 当选择开启连通性检测时，可以配置开启或者关闭联动。如果开启联动，主WAN口连通性检测失败时，自动执行主备WAN口切换

图3-8 Internet配置

# 点击编辑按钮，可以对当前的Internet配置进行修改操作。

# 点击删除按钮，可以删除当前的Internet配置表项。

# 勾选Internet配置表项，点击<批量删除>按钮可以批量删除Internet配置。

# 在“WAN口连通性检测”区域，输入一个或多个检测地址，点击<测试>按钮，测试其连通性。如在“Internet配置”中开启了连通性检测，平台会定时检测设备WAN口与检测地址的连通性，并生成平均延时趋势图。

¡ Internet地址映射

Internet地址映射是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，内网中的服务器可能需要对外部网络提供一些服务，例如给外部网络提供Web服务，或是FTP服务。这种情况下，NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器，NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。

# 在“Internet地址映射”页签，点击<添加>按钮，进行Internet地址映射配置：

- 选择连接Internet的外网接口

- 选择协议类型TCP或者UDP

- 配置Internet访问端口

- 配置内网服务器地址

- 配置内网服务器端口号

图3-9 Internet地址映射

# 点击删除按钮，可以删除当前的Internet地址映射表项。

# 勾选Internet地址映射表项，点击<批量删除>按钮可以批量删除Internet地址映射配置。

¡ DNS配置

DNS仅仅提供了域名和IP地址之间的静态对应关系，当节点的IP地址发生变化时，通过域名解析得到的IP地址是错误的，会导致访问失败。

DDNS（Dynamic Domain Name System，动态域名系统）用来动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址。

# 在“DNS配置”页签，进行DNS相关配置：

- 配置DNS服务器，最多可以配置6个

- 选择开启或者关闭DDNS功能

- 选择DDNS URL，点击“前往注册”链接，在页面上注册DDNS账号、密码，获取DDNS域名。

- 配置注册的DDNS账号、密码和域名。

图3-10 DNS配置

(4) 内网配置

选择“内网配置”页签，可以对内网进行相关配置。

¡ 本地配置

# 在“本地配置”页签，配置如下：

- 配置系统域名，即设备的名称

- 配置本机地址，即VLAN接口1的IP地址

- 配置访客网关，即VLAN接口100的IP地址

图3-11 本地配置

¡ VLAN配置

VLAN 1和VLAN 100不可删除。

# 在“VLAN配置”页签，点击<添加VLAN>按钮，进入添加VLAN页面：

- 配置VLAN ID

- 配置VLAN接口的IP地址

- 配置子网掩码

- 配置VLAN的描述信息，不要输入“？”，否则可能会导致配置下发失败

图3-12 添加VLAN

# 点击“连接端口数”列的显示信息，进入“连接端口数”页面，可以查看当前VLAN的端口信息。

# 点击<自定义删除>按钮，进入删除VLAN页面，可以自定义输入需要删除的VLAN ID。

# 勾选VLAN表项，点击<批量删除>按钮可以批量删除VLAN表项配置。

# 点击删除按钮，可以删除当前的VLAN表项配置。

# 点击编辑按钮，可以对当前的VLAN配置进行修改操作。

¡ 端口配置

# 在“端口配置”页签，可以查看端口的相关配置信息。点击修改按钮，可以修改端口的链路类型、PVID、允许通过的VLAN、开启/关闭端口隔离功能、开启/关闭PoE功能。

图3-13 修改端口

¡ DHCP配置

# 在“DHCP配置”页签，可以查看DHCP的相关配置信息，包括IP地址网段、租期、已分配地址个数等相关信息。

# 点击配置按钮，进入“DHCP服务器配置”页面，可以修改IP地址租期、地址池起始和结束地址、保留IP地址和DNS服务器。

图3-14 DHCP服务器配置

# 点击静态绑定按钮，进入“静态绑定”页面，点击<添加>按钮，可以配置IP地址与MAC地址的静态绑定。

¡ DHCP租约

# 在“DHCP租约”页签，可以查看已分配的IP地址的租约信息，包括IP地址分配方式、剩余时长等信息。

(5) 时间校准配置

选择“时间校准配置”页签，可以查看时间校准相关配置，包括时区配置、NTP等相关信息。

¡ 在时区配置下拉框中选择时区

¡ 选择开启或关闭NTP使能

¡ 当选择开启NTP使能时，则必须配置NTP服务器。在推荐配置中选择NTP服务器或在自定义输入框中输入NTP服务器，最多支持5个自定义NTP服务器。

¡ 点击<应用>按钮即可完成时间校准配置。

5. VPN配置

设备仅特定版本支持VPN功能。如果设备版本不支持，请点击页面<升级>按钮进行版本升级。

采用Hub-Spoke方式建立VPN专属隧道，保证在线业务的安全性。

· 中心-Hub设备：数据中心或者企业总部局域网的接入设备，作为VPN分支的中心的终结设备。建议同一组网中，将所有Hub设备加入一个场景。目前平台同一个组网支持两个Hub设备。

· 分支-Spoke设备：各个分支的接入设备，为VPN的发起设备。建议同一组网中，将网络位置类似的Spoke设备加入同一个场景。

· VPN域：VPN提供在同一个用户视图可共享的VPN域，此VPN域由Hub设备设定，固定的Tunnel地址范围、预置共享密钥、域优先级、IKE安全提议参数、IPsec策略模式以及算法，一旦设定不能修改。

图3-15 VPN组网结构

登录平台并进入监控页面后，在分支卡片中选择分支（或场所），然后在左侧导航栏中选择“园区网络 > AC > VPN配置”，进入VPN配置页面。

(1) VPN监控

点击“VPN监控”页签进入VPN监控页面查看VPN隧道信息，以单个VPN隧道为单位显示。VPN隧道建立在两台设备之间，只要VPN隧道的任意一端在选定分支（或场所）内，就能加载该VPN隧道。

¡ 点击页面左上角的<刷新>按钮可更新当前VPN隧道信息。

¡ 点击VPN隧道信息右侧的详情按钮，可以显示VPN隧道详情。

¡ 点击VPN隧道信息右侧的重置VPN按钮，重新协商IKE提议和IPsec策略。

¡ 点击VPN隧道信息右侧的链路质量按钮，可以以图表方式查看隧道的链路速率、丢包率、时延和抖动信息。

¡ VPN状态绿色表示正常、红色表示异常。

(2) 配置中心VPN

建议用户将Hub设备添加到一个场景里，Spoke设备添加到另一个场景中。

点击“中心VPN”页签进入中心VPN页面，对Hub设备进行配置，可查看在平台上添加的中心VPN详情。

· 刷新中心VPN

点击页面左上角的<刷新>按钮，系统会刷新当前分支（或场所）的中心VPN信息。

· 增加ADVPN场景下的中心VPN

点击页面左上角的<增加(云管VPN场景)>按钮，进入增加中心VPN页面。

¡ 选择设备名称：选择选定分支（或场所）内在线的设备。

¡ 选择出接口：选择设备后，系统会动态请求该设备的三层接口，支持百兆、千兆以太网接口，支持PPPoE虚接口，支持3G/4G接口。

¡ 配置公网地址、私网网段，私网网段指Hub后端数据中心私网和Spoke下属私网，为非必选项，用户有私网互通需求时候才需要配置。

¡ 配置VPN域：域名必须唯一，不允许配置两个相同域名。

¡ 配置Tunnel地址范围，勾选是否对私网进行OSPF路由通告，私网为Hub后端数据中心私网。

¡ 点击“高级设置+”，配置预共享密钥、IKE提议、IPsec策略、域优先级，不配置则使用默认值。

¡ 根据实际需要勾选是否对分支VPN认证。如果勾选是，则中心VPN要求认证分支VPN域，需要在增加分支VPN时填写认证用户和密码。

¡ 中心VPN应用状态分为已应用、未应用和应用失败。

点击<保存>按钮保存VPN配置，点击<应用>按钮，保存并向设备下发VPN配置，应用失败设备配置不回滚。

· 增加标准IPsec场景下的中心VPN

点击页面左上角的<增加(标准IPsec场景)>按钮，进入增加中心VPN页面。

¡ 切换中心设备类型：选择设备或者第三方设备作为中心设备。

¡ 选择设备名称：选择选定分支（或场所）内在线的设备。

¡ 选择出接口：选择设备后，系统会动态请求该设备有IP的三层接口。

¡ 配置公网地址：公网地址为IPsec协商本端地址。如果存在NAT，请填写NAT转换后的地址。

¡ 配置VPN域：域名必须唯一，不允许配置两个相同域名。

¡ 配置中心FQDN：若设备作中心，每台设备只能创建一个FQDN，且同账户下不允许重复；若第三方设备作中心，每台设备不限制FQDN数量，且账户下不允许重复。

¡ 配置分支FQDN域：分支FQDN域与所创建的VPN域名保持一致。

¡ 配置预共享密钥：第三方设备的预共享密钥为用户手动配置。

¡ 点击“高级设置+”，已纳管设备和第三方设备可配置IKE提议、IPsec策略和域优先级，已纳管设备的预共享密钥为后台根据不同设备计算得到。

¡ 已纳管设备的中心VPN应用状态分为已应用、未应用和应用失败，第三方设备的中心VPN状态仅有“三方数据”。

· 批量删除

勾选需要批量删除的中心VPN配置信息，然后点击<批量删除>按钮即可将勾选的中心VPN配置信息删除。如果设备在线且连接正常，则同时删除平台和设备侧配置；如果设备不在线，则仅删除平台VPN配置。

VPN域被分支VPN引用时显示为红色，此时中心VPN配置信息不可删除。

· 编辑

点击已经创建的中心VPN右侧的编辑按钮，进入修改中心VPN页面，ADVPN场景的中心VPN可以修改私网网段、是否对私网进行OSPF路由通告；标准IPsec场景的中心VPN可以修改公网地址和出接口。

· 应用

点击已经创建的中心VPN右侧的应用按钮，向设备下发VPN配置，应用失败设备配置不回滚。

· 删除

点击已经创建的中心VPN右侧的删除按钮，可将该中心VPN配置删除。

(3) 配置分支VPN

建议用户将Hub设备添加到一个场景里，Spoke设备添加到另一个场景中。

点击“分支VPN”页签进入分支VPN页面，对Spoke设备进行配置，可查看在平台上添加的分支VPN详情。

· 刷新分支VPN

点击页面左上角的<刷新>按钮，平台会刷新当前分支（或场所）的分支VPN详情。

· 增加ADVPN场景分支VPN

点击页面左上角的<增加>按钮，进入增加分支VPN页面。

¡ 选择设备名称：选择选定分支（或场所）内在线的设备。

¡ 选择出接口：选择设备后，系统会动态请求该设备的三层接口，支持百兆、千兆以太网接口，支持PPPoE虚接口，支持3G/4G接口。

¡ 选择VPN域：从已经创建的ADVPN场景下的VPN域中选择，如果选择要求认证分支的VPN域，需要填写认证用户和认证密码。

¡ 配置Tunnel地址，点击地址栏右侧的或可以增加或删除出接口。

· 分支VPN配置多个出接口时，不可选择认证分支的VPN域；

· 分支VPN配置多个出接口时，不可选择相同VPN域；

· 分支VPN最多支持配置4个VPN域；

· 分支VPN配置的Tunnel地址必须在中心VPN Tunnel地址范围内。

¡ 配置私网网段，勾选本地上网或总部集中上网。

¡ 配置NQA探测功能，点击NQA探测功能的开关，可以开启或者关闭NQA质量探测功能。

¡ 点击“高级设置+”，配置预共享密钥，如果只设置一个VPN域，选定VPN域后，会动态加载对应的中心VPN配置的预共享密钥，不支持编辑；如果设置多个VPN域，则隐藏高级设置，不显示预共享密钥；在开启NQA质量探测功能的情况下，对于每一个VPN域，都可以自定义NQA质量探测的目的地址，只支持IPv4地址格式。

¡ 认证用户和认证密码是动态显示或隐藏的，如果只设置一个VPN域，并且选定的VPN域需要认证分支设备，则显示认证用户和认证密码；如果选定的VPN域不需要认证分支设备，则隐藏认证用户和认证密码。

¡ 分支VPN状态分为已应用、未应用、应用失败和应用中。

点击<保存>按钮保存VPN配置，点击<应用>按钮，保存并向设备下发VPN配置，应用失败设备配置不回滚。

· 增加标准IPsec场景分支VPN

点击页面左上角的<增加（标准IPsec场景）>按钮，进入增加分支VPN页面。

已纳管设备需进行如下选择：

¡ 选择设备名称：选择选定分支（或场所）内在线的设备。

¡ 选择出接口：选择设备后，系统会动态请求该设备的三层接口，支持百兆、千兆以太网接口，支持PPPoE虚接口，支持3G/4G接口。

¡ 选择VPN域：从已经创建的标准IPsec场景下的VPN域中选择。

¡ 配置分支FQDN：输入与已创建的中心和分支不重名的FQDN名称。

¡ 配置VPN业务保护流量：支持IP、TCP、UDP三种协议模式。

¡ 配置NQA探测功能：点击NQA探测功能的开关，可以开启或者关闭NQA质量探测功能。

¡ 点击“高级设置+”，在开启NQA质量探测功能的情况下，可以自定义NQA质量探测的源地址和目的地址，只支持IPv4地址格式。

¡ 分支VPN状态分为已应用、未应用、应用失败和应用中。

点击<保存>按钮保存VPN配置，点击<应用>按钮，保存并向设备下发VPN配置，应用失败设备配置不回滚。

· 批量增加分支VPN

· 批量增加只支持ADVPN方案，标准IPsec场景不支持。

· 只能对同一款型设备进行批量设置。

点击页面左上角的<批量增加>按钮，进入批量增加分支VPN页面。

¡ 选择场所，可以添加多个场所。

¡ 其他配置与增加分支VPN相同。

· 批量删除

勾选需要批量删除的分支VPN配置信息，然后点击<批量删除>按钮即可将勾选的分支VPN配置信息删除。如果设备在线且连接平台正常，则同时删除平台和设备侧配置；如果设备不在线，则仅删除平台VPN配置。

· 编辑

点击已经创建的分支VPN右侧的编辑按钮，根据分支场景，进入不同的修改分支VPN页面，ADVPN场景的分支VPN可以修改私网网段、是否对私网进行OSPF路由通告，可以修改是否开启NQA质量探测功能，可以编辑NQA质量探测的目的地址；标准IPsec场景的分支VPN可修改出接口，可以修改是否开启NQA质量探测功能，可以编辑NQA质量探测的目的地址。

· 应用

点击已经创建的分支VPN右侧的应用按钮，向设备下发VPN配置，应用失败设备配置不回滚。

· 删除

点击已经创建的分支VPN右侧的删除按钮，可将该分支VPN配置删除。

(4) 配置VPN账户

点击“高级+”展开页签，然后点击“VPN账号”页签进入VPN账号管理页面，配置认证分支VPN的账号信息，会下发到Hub设备，用来认证分支VPN。页面显示当前账户的所有VPN账号，不区分场所。

· 增加VPN账号

点击页面左上角的<增加>按钮，进入增加VPN账号页面。

¡ 配置用户名，同一平台账户下，用户名必须唯一。

¡ 配置密码并确认密码。

¡ 选填备注信息。

点击<确定>按钮完成操作。

· 批量删除

勾选需要批量删除的VPN账号，然后点击<批量删除>按钮即可将勾选的VPN账号删除。批量删除操作会同步删除在线中心设备上对应的认证账户配置。

· 同步

勾选需要同步的VPN账号，然后点击<同步>按钮，弹出选择场所页面，而后选择场所，点击<确定>按钮，允许用户将账号同步下发到选定场所的中心设备。

· 编辑

点击已经创建的VPN账号右侧的编辑按钮，进入修改VPN账号页面，可以修改密码和备注。

· 删除

点击已经创建的VPN账号右侧的删除按钮，可将该VPN账号配置删除。

(5) 配置IKE提议

点击“IKE提议”页签进入IKE提议管理页面，配置IKE提议，页面显示当前账户的所有IKE提议，不区分场所。

· 增加IKE提议

点击页面左上角的<增加>按钮，进入增加IKE提议页面。

¡ 配置提议名称。同一平台账户下，提议名称必须唯一。

¡ 选择加密算法、认证算法和DH组。

点击<确定>按钮完成操作。

· 批量删除

勾选需要批量删除的IKE提议，然后点击<批量删除>按钮即可将勾选的IKE提议删除。

· 名称为default的IKE提议为默认提议，不可编辑或删除。

· 自定义的IKE提议被中心VPN引用时，在表格中提议名称显示为红色，此时该IKE提议不可修改或删除。

· 编辑

点击已经创建的IKE提议右侧的编辑按钮，进入修改IKE提议页面，可以修改加密算法、认证算法和DH组。

· 删除

点击已经创建的IKE提议右侧的删除按钮，可将该IKE提议删除。

(6) 配置IPsec策略

点击“IPsec策略”页签进入IPsec策略管理页面，配置IPsec策略，页面显示当前账户的所有IPsec策略，不区分场所。

· 增加IPsec策略

点击页面左上角的<增加>按钮，进入增加IPsec策略页面。

¡ 配置策略名称。同一平台账户下，策略名称必须唯一。

¡ 选择安全模式和算法项，默认为ESP。选择不同安全模式，会加载不同的算法项：

- 选择ESP安全模式，然后选择ESP认证算法和ESP加密算法；

- 选择AH安全模式，然后选择AH认证算法；

- 选择ESP+AH安全模式，然后选择ESP认证算法、ESP加密算法和AH认证算法。

¡ 选择PFS特性，默认为否，可以选择DH group1、DH group2、DH group5或DH group14。

点击<确定>按钮完成操作。

· 批量删除

勾选需要批量删除的IPsec策略，然后点击<批量删除>按钮即可将勾选的IPsec策略删除。

· 名称为default的IPsec策略为默认策略，不可编辑或删除。

· 自定义的IPsec策略被中心VPN引用时，在表格中策略名称显示为红色，此时该IPsec策略不可修改或删除。

· 编辑

点击已经创建的IPsec策略右侧的编辑按钮，进入修改IPsec策略页面，可以修改安全模式、算法项和PFS。

· 删除

点击已经创建的IPsec策略右侧的删除按钮，可将该IPsec策略删除。

6. 防火墙

仅WX、WAC、MSG系列的部分产品支持本功能。

在左侧导航栏中选择“园区网络 > AC > 防火墙”进入防火墙配置页面，而后依次选择分支、场所和AC设备，对其进行相关配置。

防火墙规则、带宽管理规则的生效范围为设备或指定的无线服务。

(1) 防火墙规则

通过配置防火墙规则，可限制内网用户访问指定的地址段、知名网站以及指定的网址，也可限制用户特定应用的流量。防火墙规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。有关“时间模板”的详细介绍，请参见“3.1.12 时间模板”章节。

完成防火墙配置后，可单击并拖动防火墙规则列表中“优先级”项前的“+”标志调整规则优先顺序。点击<保存并下发>按钮可将配置下发到设备上执行。

(2) 带宽管理

通过配置应用限速规则，可限制内网用户的应用的上、下行速率。应用限速规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。有关“时间模板”的详细介绍，请参见“3.1.12 时间模板”章节。

通过配置带宽保障规则，可在网络发生拥塞时，内网用户的应用有最低保障带宽。应用限速规则可在管理员指定的时间段生效，该时间段需通过时间模板配置。有关“时间模板”的详细介绍，请参见“3.1.12 时间模板”章节。需要注意的是，所有特征对象的保障带宽总和不能超过链路带宽。

完成配置后，可单击并拖动规则列表中“优先级”项前的“+”标志调整规则优先顺序。点击<保存并下发>按钮可将配置下发到设备上执行。

7. 802.1X认证

平台并不做为认证服务器使用，仅支持对接外部的802.1X认证服务器在平台上配置，需要在RADIUS服务器上配置802.1X认证用户的账号和密码。

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > AC > 802.1X认证”进入802.1X认证页面，然后在页面上方选择AC设备，对其进行相关配置。

(1) 配置认证策略

认证开关选择“开启”；选择认证协议，无线模式下需选择“EAP”认证协议。点击<提交>按钮对设备下发配置。

(2) 配置RADIUS方案

选择“RADIUS方案”页签，点击<增加>按钮，根据实际情况配置RADIUS方案。

(3) 设备应用配置

选择“设备应用”页签，点击<增加>按钮，选择接入方式、配置的RADIUS方案、认证端口等信息，点击<增加>按钮后，再点击<提交>按钮即可将配置的内容下发到设备上。

8. 无线设备批量配置

在分支卡片中选择分支后，在左侧导航栏中选择“园区网络 > AC > 批量配置”，在页面选择“无线设备配置”进入模板列表页面。

(1) 增加批量配置模板

点击页面的<增加>按钮进入“配置模板”页面，输入模板名称、描述，然后根据实际情况勾选模板的配置项并对其进行配置，点击<保存>按钮完成模板的增加。在弹出的页面选择<确定>按钮，则会进入应用模板页面。

(2) 应用模板

点击已经创建的模板的应用模板按钮，进入应用模板页面：

(3) 修改模板

点击已经创建的模板的修改按钮，进入模板修改页面，可以对模板的配置项相关信息进行修改。

(4) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

9. 命令行批量配置

请在专业人员指导下使用。

在分支卡片中选择分支后，在左侧导航栏中选择“园区网络 > AC > 批量配置”，在页面选择“命令行配置”进入模板列表页面。

(1) 增加批量配置模板

点击页面的<增加>按钮进入“配置模板”页面，输入模板名称、描述，然后根据实际情况选择配置项并对其进行配置，请按照举例中的命令格式配置命令，点击<确定>按钮完成模板的增加。在弹出的页面选择<确定>按钮，则会进入应用模板页面。

(2) 应用模板

点击已经创建模板的应用模板按钮，进入应用模板页面：

(3) 修改模板

点击已经创建的模板的修改按钮，进入模板修改页面，可以对模板的配置项相关信息进行修改。

(4) 删除模板

点击已经创建的模板的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成模板的删除。

3.2.2 云AP

1. 无线配置

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 云AP > 无线配置”即可进入Wi-Fi配置页面。

(1) Wi-Fi配置

选择“Wi-Fi配置”页签，可以对设备Wi-Fi进行相关配置。

¡ 无线服务配置

# 点击展开“无线服务配置”，点击“显示全部无线服务/仅显示开启的无线服务”可以查看全部的无线服务或者仅显示开启的无线服务。

- 勾选无线服务，然后点击<开启服务>或者<关闭服务>按钮，可以开启/关闭无线服务的状态

- 点击<隐藏SSID>或者<显示SSID>按钮，可以隐藏/显示无线服务的SSID信息

- 点击无线服务的SSID名称，进入“修改SSID配置”页面，在此页面可以对SSID的详细配置信息进行修改，包括自动SSID、SSID名称、服务状态、AP转发方式、加密状态、终端MAC过滤等配置信息。

· 如果当前场所的无线服务开启了自动SSID功能，手动修改了AP名称或者执行了批量导入AP操作后，需要点击<自动SSID配置写入设备>按钮下发配置。

· 当设备为802.1X加密状态，且“配置RADIUS”选择为内置服务器时，云AP作为RADIUS服务器提供服务，可以通过平台配置802.1X认证用户的账号和密码，详情请参见4.4.5 2. 802.1X认证用户 802.1X认证用户；当“配置RADIUS”选择为外置服务器时，可以配置认证服务器、计费服务器和ISP域名，需要在外置RADIUS服务器上配置802.1X认证用户的账号和密码。

¡ 域名黑白名单

# 点击展开“域名黑白名单”，可以增加、删除或者批量删除域名黑白名单。

- 域名白名单：加入域名白名单的地址不限制终端访问，管理员应将终端接入后所有无需认证但需要访问的地址加入到域名白名单列表中。

- 域名黑名单：加入域名黑名单的地址禁止访问。

- 若某地址同时出现在域名白名单与域名黑名单中，则域名黑名单生效。

¡ 高级配置

# 点击展开“高级配置”，可以配置5GHz优先、5GHz射频负载均衡等功能。

- 5GHz优先：开启本功能后，当支持双频的客户端准备接入无线网络时，会优先接入至云AP的5GHz射频上。

- 5GHz射频负载均衡：开启本功能后，当某一5GHz射频上的在线客户端数量达到或超过会话门限值40，并且与同一AP内另一个5G射频上的在线客户端数量的差值达到或超过会话差值门限值10，则本射频隐藏SSID，以降低过载5G射频的接入数量。当不满足以上任一条件时，射频将不再隐藏SSID。

(2) 射频配置

点击页面的“射频配置”页签，可以根据场所分类选择适配的应用场景，每种应用场景都设置了默认配置，包括射频的功率和频宽。

¡ 场景选择

- 高密覆盖：适用于无遮挡空间，AP布署密集，人员密集场景，如大型会议室、食堂、展厅、集中办公。

- 酒店：适用于一个AP覆盖1到2个房间场景

- 独立办公：适用于一个AP覆盖1到2个房间场景

- 商贸门店：适用于区域内AP总数少，信道资源足够场景

- 默认：默认配置，适用于大部分场景。

- 自定义：可以根据实际环境，自定义射频频宽和功率。

¡ 查看和修改设备射频信息

- 在“射频配置”页签，可以查看到当前场所下的云AP射频信息，包括信道、功率和频宽等信息。

- 点击<编辑>按钮，进入“修改Radio状态”页面，可以修改当前AP的射频状态、信道、功率和频宽配置。

图3-16 修改Radio状态

2. 登录管理

在页面顶部导航栏中选择“监控”，在左侧导航栏中选择“园区网络 > 云AP > 登录管理”进入设备的登录管理页面，然后在页面左上角选择分支和场所，可以对当前场所设备的Web登录密码、管理Wi-Fi进行设置。

图3-17 登录管理界面

(1) 修改本地Web登录密码

# 在“登录管理”栏，可对设备的本地Web登录密码进行修改。需注意修改后，密码长度为10~63位，至少包括大写字母、小写字母、数字、符号中的两种，不能包含顺序或反序的用户名。

(2) SSH

# 在“登录管理”栏，可开启/关闭设备的SSH登录方式，缺省为关闭状态。

(3) Telnet

# 在“登录管理”栏，可开启/关闭设备的Telnet登录方式，缺省为开启状态。

(4) 管理Wi-Fi

# 在“登录管理”栏，可以通过管理Wi-Fi访问并管理云AP设备，默认管理Wi-Fi的SSID为“H3C_XXXXXX”，“XXXXXX”为AP设备的MAC地址的后六位。在“登录管理”栏可以配置如下功能：

· 隐藏SSID：隐藏SSID可以使其他人搜索不到当前无线服务，提升网络的安全性。若要连接此无线服务，需要在无线终端上输入无线服务的SSID名称进行关联。

· 加密状态：开启加密服务，连接此SSID的客户端通信信息将会被加密，提高网络安全性，防止信息被窃听。

SSH和Telnet登录方式的支持情况与设备型号相关，请以实际情况为准。

3.2.3 路由器

1. 无线服务（内置AC）

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 路由器 > 无线服务（内置AC）”进入设备的无线服务页面，然后在页面左上方选择设备，对其进行无线服务相关配置。

路由器（内置AC）的无线服务相关配置，请参见3.2.1 1. 无线服务。

2. 无线服务（FAT AP）

在分支卡片中选择场所后，在左侧导航栏中选择“配置 > 路由器 > 无线服务（FAT AP）”进入设备的无线服务页面，然后在页面左上方选择设备，对其进行无线服务相关配置。

(1) 添加无线服务

点击页面的<添加>按钮，在弹出的“添加无线服务”页面输入无线服务名称、SSID等信息，然后点击<确定>按钮即可完成无线服务的创建。

(2) 编辑无线服务

点击已经创建的无线服务的编辑按钮，进入编辑无线服务页面，可以对无线服务的SSID、服务状态等相关信息进行修改。

(3) 删除无线服务

点击已经创建的无线服务的删除按钮，在弹出的确认提示页面点击<确定>按钮即可完成无线服务的删除。

(4) 读取设备

本地创建的无线服务必须配置SSID才可以被同步到平台。

点击页面的<读取设备>按钮，可以将设备本地创建的无线服务同步到平台。

3. AP配置

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 路由器 > AP配置”进入AP设备的配置页面，然后在页面上方选择路由器设备，对其上的AP设备进行相关配置。

· 配置AP

· 读取设备

点击页面左上角的<读取设备>按钮，可以将路由器设备本地配置的AP信息同步到平台。

· 导出AP信息

点击页面左上角的<导出>按钮，可以将页面显示的AP配置统计信息导出并保存到本地。

4. 无线安全

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 路由器 > 无线安全”进入无线安全配置页面，然后在页面左上方选择路由器设备，对其进行相关配置。

· 黑名单

黑名单列表：禁止黑名单列表中的终端通过无线接入本网络，且黑名单列表中最多可以添加1024个终端。

在“黑名单”页签中，点击黑名单列表中的<新增>按钮，可以添加终端的MAC地址，格式为HH-HH-HH-HH-HH-HH。勾选黑名单列表中的MAC地址，点击<批量删除>按钮可以批量删除MAC地址。

· 白名单

白名单列表：禁止白名单列表以外的终端通过无线接入本网络，配置了白名单，则黑名单的配置就会失效，且白名单列表中最多可以添加1024个终端。

在“白名单”页签中，点击白名单列表中的<新增>按钮，可以添加终端的MAC地址，格式为HH-HH-HH-HH-HH-HH。勾选白名单列表中的MAC地址，点击<批量删除>按钮可以批量删除MAC地址。

· 同步平台

在黑名单列表/白名单列表页面，点击左上角的<读取设备>按钮，可以将路由器设备的本地配置同步到平台。

5. 基础配置

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 路由器 > 基础配置”进入路由器设备的基础配置页面，然后在页面左上方选择路由器设备，对其进行相关配置。

(1) 读取设备

点击页面左上角的<读取设备>按钮，可以将路由器设备的本地配置同步到平台。

(2) 本地配置

# 在“本地配置”页签，配置如下：

- 配置系统域名，即设备的名称

- 配置本机地址，即VLAN接口1的IP地址

- 配置掩码

图3-18 本地配置

(3) LAN配置

VLAN 1不可删除。

# 添加VLAN

在“LAN配置”页签，点击<添加>按钮，进入增加页面，在“VLAN”页签下：

- 配置VLAN ID

- 配置VLAN接口的IP地址

- 配置子网掩码

- 配置VLAN的描述信息，不要输入“？”，否则可能会导致配置下发失败

# LAN接口配置

在“LAN配置”页签，点击<添加>按钮，进入增加页面，在“LAN”页签下：

- 选择LAN接口

- 配置接口的IP地址

- 配置子网掩码

# 点击“连接端口数”列的显示信息，进入“连接端口数”页面，可以查看当前VLAN的端口信息。

# 点击<自定义删除>按钮，进入删除VLAN页面，可以自定义输入需要删除的VLAN ID。

# 勾选VLAN表项/LAN接口配置，点击<批量删除>按钮可以批量删除VLAN表项配置/LAN接口配置。

# 点击删除按钮，可以删除当前的VLAN表项或者LAN接口配置。

# 点击编辑按钮，可以对当前的VLAN配置或者LAN接口配置进行修改操作。

(4) 端口配置

图3-19 修改端口

(5) DHCP配置

# 在“DHCP配置”页签，可以查看DHCP的相关配置信息，包括IP地址网段、租期、已分配地址个数等相关信息。

# 点击配置按钮，进入“DHCP服务器配置”页面，可以修改IP地址租期、地址池起始和结束地址、保留IP地址和DNS服务器。

图3-20 DHCP服务器配置

# 点击静态绑定按钮，进入“静态绑定”页面，点击<添加>按钮，可以配置IP地址与MAC地址的静态绑定。

# 点击<全局保留地址>按钮，弹出全局保留地址窗口，可以配置全部地址池中不可自动分配的IP地址。

(6) DHCP租约

# 在“DHCP租约”页签，可以查看已分配的IP地址的租约信息，包括IP地址分配方式、终端类型、剩余时长等信息。

(7) 时间校准配置

选择“时间校准配置”页签，可以查看时间校准相关配置，包括时区配置、NTP等相关信息。

¡ 在时区配置下拉框中选择时区

¡ 选择开启或关闭NTP使能。

¡ 当选择开启NTP使能时，则必须配置NTP服务器。在推荐配置中选择推荐的NTP服务器或在自定义输入框中输入NTP服务器。

(8) 出口链路检测

目前支持MSR系列。

配置路由器WAN口链路检测规则，设备信息页面展示WAN口链路检测结果，配合告警消息推送，及时掌握网络连通情况。

选择“出口链路检测”页签，可以查看出口链路检测相关配置。

¡ 选择是否开启有线链路检测。当选择开启后需配置检测地址类型、检测地址、检测接口及告警阈值。

¡ 选择是否开启4G链路检测。当选择开启后需配置检测地址类型、检测地址、检测接口及告警阈值。

图3-21 出口链路检测

6. 防火墙

在左侧导航栏中选择“园区网络 > 路由器 > 防火墙”进入防火墙配置页面，而后依次选择分支、场所和路由器设备，对其进行相关配置。

防火墙规则、带宽管理规则的生效范围为设备或指定的无线服务。可为一套安全域配置特定的防火墙规则，支持配置多套安全域。

(1) 安全域配置

a. 点击<安全域配置>按钮，弹出安全域配置页面，在安全域下拉框中选择“自定义”，输入安全域名称后，点击<增加>按钮可增加安全域，或者在安全域下拉框中选择待配置的安全域，而后选择端口，点击<确定>按钮。

b. 在上方选择源安全域和目的安全域，而后点击<保存并下发>按钮可将配置下发到设备上执行。

(2) 防火墙规则

通过配置防火墙规则，可限制内网用户访问指定的地址段、知名网站以及指定的网址，也可限制用户特定应用的流量。防火墙规则可在管理员指定的时间段生效。

完成防火墙配置后，可单击并拖动防火墙规则列表中“优先级”项前的“+”标志调整规则优先顺序。在上方选择缺省源安全域和目的安全域，或点击<安全域配置>按钮自定义安全域，而后点击<保存并下发>按钮可将配置下发到设备上执行。

(3) 带宽管理

通过配置应用限速规则，可限制内网用户的应用的上、下行速率。应用限速规则可在管理员指定的时间段生效。

通过配置带宽保障规则，可在网络发生拥塞时，内网用户的应用有最低保障带宽。应用限速规则可在管理员指定的时间段生效。需要注意的是，所有特征对象的保障带宽总和不能超过链路带宽。

完成配置后，可单击并拖动规则列表中“优先级”项前的“+”标志调整规则优先顺序。

7. VPN配置

登录平台并进入监控页面后，在分支卡片中选择分支（或场所），然后在左侧导航栏中选择“园区网络 > 路由器 > VPN配置”，进入VPN配置页面。

· 设备仅特定版本支持VPN功能。如果设备版本不支持，请点击页面<升级>按钮进行版本升级。

· 有关“VPN配置”的详细介绍请参见3.2.1 5. VPN配置。

8. 批量配置

有关“批量配置”的详细介绍请参见3.2.1 8. 无线设备批量配置和3.2.1 9. 命令行批量配置。

9. 802.1X认证

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 路由器 > 802.1X认证”进入802.1X认证页面，然后在页面上方选择设备，对其进行相关配置。

路由器的802.1X认证配置请参见3.2.1 7. 802.1X认证。

3.2.4 交换机

1. 设备概览

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 交换机 > 设备概览”进入设备概览页面，可查看场所下所有设备的统计信息，包括设备的在线状态、设备名称、序列号、类型、软件版本、分支、场所等信息。

点击设备操作列“基础配置”图标，可对该设备进行基础配置。

2. 基础配置

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 交换机 > 基础配置”进入设备的基础配置页面，在页面左上方选择设备，对其进行基础配置。

(1) 基本信息

设备基本信息显示了设备的名称、型号、MAC地址、设备序列号以及版本号信息。

(2) 面板信息

面板信息提供了全仿真、完整的设备面板视图，显示了设备各成员的面板的统计信息，包括软件版本、接口类型及状态、PoE状态等信息。可以直接在设备面板视图上选择目标对象，如板卡、接口等，通过相应的功能选择，即可完成相应的功能操作，包括接口管理、VLAN管理、链路聚合、端口隔离及PoE等。

¡ 自动刷新

开启自动刷新后，一小时内每隔5分钟自动刷新交换机面板示意图的端口状态。

¡ 选择成员/板卡

在成员下拉框中选择成员后，再选择板卡，查看相应板卡统计信息。

¡ 读取设备

点击<读取设备>按钮，将设备上的基础配置同步至平台。

¡ 批量重启PoE

选中一个或多个接口后，点击<批量重启PoE>按钮，将选中的所有PoE接口执行重启操作。

(3) 概览

展示指定设备的接口的统计信息，包括接口的类型、链路状态、是否支持PoE供电、入方向流量速率、出方向流量速率、入方向单播报文数、出方向单播报文数、入方向非单播报文数、出方向非单播报文数、入方向丢弃的非错误报文数、出方向丢弃的非错误报文数等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）。

勾选指定接口，点击<批量清除>按钮，清除指定接口流量统计数据。或点击<全部清除>按钮，清除所有接口的流量统计数据。

(4) 接口管理

在面板中选中指定接口，即可在接口管理页签下对接口进行相关配置，如配置接口的管理状态、双工模式、接口类型、PVID、速率，以及流控、接口带宽等高级配置。配置完成后，点击<提交>按钮，确认下发配置，在下方接口列表中查看配置结果。

(5) VLAN

展示当前设备的VLAN统计信息，包括VLAN的VLAN ID、Untagged端口、Tagged端口、虚接口IP、子网掩码、VLAN描述等信息。

¡ 点击Untagged端口或Tagged端口数字链接，查看对应VLAN的所有Untagged端口成员或Tagged端口成员。

¡ 点击VLAN对应操作列编辑按钮，可修改VLAN相关信息。

¡ 点击VLAN对应操作列删除按钮，可删除其VLAN。

¡ 点击<自定义删除>按钮，在弹窗中输入多个VLAN ID，可批量删除多个VLAN。

¡ 点击<新增>按钮，新增一个VLAN。

(6) 链路聚合

展示当前设备的链路聚合统计信息，包括聚合组的ID、描述、T聚合模式、成员端口等信息。

¡ 点击按钮，查看链路聚合组的成员端口。

¡ 点击操作列编辑按钮，可修改链路聚合组的聚合类型、聚合模式、描述以及成员端口信息。

¡ 点击VLAN对应操作列删除按钮，可删除其链路聚合组。

¡ 点击<新增>按钮，新增一个链路聚合组。

¡ 勾选指定链路聚合组，点击<批量删除>按钮，可批量删除多个链路聚合组。

(7) 端口隔离

展示当前设备的端口隔离统计信息，包括隔离组的ID、端口列表信息。

¡ 点击按钮，查看隔离组的成员端口。

¡ 点击操作列编辑按钮，可修改隔离组的成员端口。

¡ 点击对应操作列删除按钮，可删除其端口隔离组。

¡ 点击<新增>按钮，新增一个端口隔离组。

¡ 勾选指定端口隔离组，点击<批量删除>按钮，可批量删除多个端口隔离组。

(8) PoE

¡ PI配置

在面板中选中指定接口后，对已选接口进行远程供电相关配置，包括开启或关闭远程供电、端口优先级、最大功率等信息。

PoE接口列表显示了支持PoE接口的统计信息，包括检测状态、当前功率、峰值功率、端口优先级等。点击指定PoE接口的“重启”，可对其进行重启操作。勾选多个接口，点击<批量重启PoE>按钮，对已选接口执行批量重启PoE操作。

¡ PSE

显示PSE的统计信息，包括模块型号、额定功率、当前功率、峰值功率等。可开启或关闭检测时标准PD。配置功率告警阈值，超过阈值后可产生告警。

¡ PoE记录

显示PoE接口信息，包括供电接口、远程供电状态、检测状态。点击供电接口链接，可查看该接口指定时间段PoE状态变更记录。

3. 无线服务

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 >交换机 > 无线服务”进入设备的无线服务页面，然后在页面左上方选择设备，对其进行无线服务相关配置。

有关“无线服务”的详细介绍请参见3.2.1 1. 无线服务。

4. AP配置

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 交换机 > AP配置”进入设备的无线服务页面，然后在页面左上方选择设备，对其上的AP设备进行相关配置。

有关“AP配置”的详细介绍请参见3.2.1 2. AP配置。

5. 802.1X认证

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 交换机 > 802.1X认证”进入802.1X认证页面，然后在页面上方选择设备，对其进行相关配置。

有关“802.1X认证”的详细介绍请参见3.2.1 7. 802.1X认证。

3.2.5 云网关

1. 云网关工作模式

部分设备可以通过拨码开关切换网关模式/云AP工作模式，不同工作模式下的配置不同。

· 将AP模式功能开关向上拨动，设备将重启，并开启AP模式。设备作为云AP，可以通过平台和工作在网关模式的同型号进行管理和配置。

· 将AP模式功能开关向下拨动，设备将重启，并开启网关模式。设备作为网关，可以通过平台和本地Web网管进行管理和配置，也可以对工作在AP模式的同型号设备进行管理。

在页面顶部导航栏中选择“监控”，在左侧导航栏中选择“监控 > 云网关”进入监控云网关页面，然后在页面左上角选择分支、场所和需要查看的设备，在基础信息栏中可以查看设备当前工作模式。

图3-22 设备工作在云网关模式

图3-23 设备工作在云AP模式

2. 云优先

点击页面左上角的<云优先>按钮，开启云优先模式，开启后设备自动同步平台侧配置。云优先关闭后，设备端以本地配置为准。

3. 读取设备

点击页面左上角的<读取设备>按钮，可以将设备的本地配置同步到平台。

4. 网络配置（网关模式）

在分支卡片中选择场所后，在左侧导航栏中选择“园区网络 > 云网关 > 网络配置”进入云网关设备的网络配置页面，然后在页面左上方选择云网关设备，可以对设备进行WAN口、NAT、LAN口、DNS等配置。

图3-24 网络配置页面

(1) 外网配置

选择“外网配置”页签，可以对外网进行相关配置。

· WAN口配置

在WAN口配置栏目下可以查看WAN口和LAN口的状态，如图3-24。

¡ WAN1口配置：

点击WAN1图标，修改WAN口配置：

- 输入描述

- 配置MTU（Maximum Transmission Unit，最大传输单元，缺省为1480）

- 选择连接方式，工作连接为主用连接，备份连接仅在工作连接中断时工作

- 当选择工作连接时，可以配置备份接口；当选择备份连接时，可以配置主接口

设备具有单WAN口和双WAN口功能。缺省情况下，设备工作在单WAN口模式。将LAN4/WAN2切换为WAN模式后，设备工作在双WAN口模式。

图3-25 修改WAN口配置

¡ LAN4/WAN2口配置：

点击LAN4/WAN2图标，在弹窗中选择LAN4/WAN2口类型。

- 选择LAN口时，LAN4/WAN2做为LAN4口使用

- 选则WAN口时，LAN4/WAN2做为WAN2口使用，此时设备工作在双WAN口模式。

当设备工作在双WAN口模式时，工作模式包括主备模式、负载均衡模式：

- 主备模式：一个WAN口选择主连接，另一个WAN口选择备连接。当主连接WAN口出现故障时，流量会由备连接WAN口进行转发；当主连接WAN口故障恢复后，流量会切回到主连接WAN口进行转发。

- 负载均衡模式：两个WAN口都选择主连接。通过双WAN口对出口流量进行负载分担。

图3-26 配置LAN4/WAN2类型

· 设备连接到平台后，无法通过本地Web页面进行LAN4/WAN2切换和连接方式配置。

· 设备通过拨码开关开启双WAN口功能后，无法通过本地Web页面和平台进行LAN4/WAN2切换；双WAN口拨码开关关闭时，支持通过平台或本地Web切换为双WAN口模式。

· NAT配置

NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要给外部网络提供一个访问内网主机的机会，如给外部网络提供一台Web服务器，或是一台FTP服务器。

NAT设备提供的内部服务器功能，就是通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网IP地址到私网IP地址的“反向”转换。如图3-27所示，可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。

图3-27 NAT基本原理示意图

在NAT配置栏目下点击<增加>按钮可增加NAT配置。

- WAN口名称：选择内网服务器映射的WAN接口

- 协议类型：选择传输层协议类型

- Internet访问端口号：设置提供给外部访问的服务端口号

- 内网服务器地址：设置内网服务器在内部局域网的IP地址

- 内网服务器端口号：选择内网服务器提供的服务端口号

图3-28 增加NAT配置

(2) 内网配置

选择“内网配置”页签，可以对内网进行相关配置。

图3-29 内网配置页面

· LAN口配置

在LAN口配置栏目下可以查看WAN口和LAN口的状态。点击需要配置的LAN口图标，修改LAN口配置：

¡ 选择链路类型。链路类型缺省为Access，仅R1324及以后版本支持配置链路类型功能。

¡ 输入VLAN ID。所有LAN口的缺省VLAN ID为4092。

¡ 输入描述。

图3-30 LAN口配置页面

· VLAN配置

在VLAN配置栏目下可以查看设备当前VLAN的VLAN ID、VLAN接口IP地址、子网掩码和地址获取方式等信息。

图3-31 VLAN配置页面

¡ 增加VLAN

点击<增加>按钮，配置VLAN：

- 输入VLAN ID

- 选择地址获取方式。当选择为“手动配置”时，需要手动配置VLAN接口IP地址和子网掩码。

- 当地址获取方式选择为自动获取时，需配置VLAN ID。

图3-32 创建VLAN

· 地址获取方式缺省为手动配置，仅R1324及以后版本支持配置地址获取方式功能。

· DHCP Server缺省开启，仅R1324及以后版本支持配置DHCP Server。

· 仅R1328及以后版本支持配置DHCP Server分配地址范围。

¡ 修改VLAN

在VLAN列表中，点击修改VLAN配置。

¡ 删除VLAN

在VLAN列表中，点击删除VLAN。或在勾选框中勾选一个或多个VLAN，点击<批量删除>按钮可以批量删除选中的VLAN。设备缺省的VLAN 1和VLAN 4092不可删除。

(3) DNS配置

选择“DNS配置”页签，点击新增DNS服务器IP地址，点击删除DNS服务器IP地址。最多可以配置6个DNS服务器。点击<提交>按钮完成配置，点击<重置>按钮重新配置DNS服务器。

图3-33 DNS配置页面

(4) 本地集中管理

选择“本地集中管理”页签，可以开启/关闭云网关本地Web管理页面的AP管理功能，点击<应用>按钮完成配置。

图3-34 本地集中管理配置页面

开启此功能后，建议云网关本地Web管理页面与平台保持一致，避免AP管理生效时，配置发生变更。

5. 网络配置（云AP模式）

部分设备支持通过设备上的拨码开关将工作模式切换为云AP模式，此时设备等同于云AP，网络配置页面会显示设备工作在云AP模式。

在左侧导航栏中选择“园区网络 > 云网关 > 网络配置”进入设备的网络配置页面，然后在页面左上角选择分支、场所和需要配置的设备，可以查看设备接口的连接情况。

图3-35 AP模式网络配置页面

6. Wi-Fi配置

仅自身具备射频功能的设备支持Wi-Fi配置功能。

在左侧导航栏中选择“园区网络 > 云网关 > Wi-Fi配置”进入设备的配置页面，然后在页面左上角选择分支和场所，可以对当前设备自身的射频功能进行配置。

图3-36 Wi-Fi配置页面

(1) 无线服务配置

选择“无线服务配置”页签，点击展开“无线服务配置”，可以查看设备自身的射频功能全部的无线服务。

图3-37 无线服务配置

· 开启/关闭无线服务

勾选待开启/关闭的无线服务，然后点击<开启服务>按钮或者<关闭服务>按钮，可以开启/关闭无线服务，支持批量配置。

· 修改无线服务配置

点击操作列中的，进入修改无线服务配置页面，配置无线服务的SSID、服务状态、加密和认证等功能。

如果当前场所的无线服务开启了自动SSID功能，手动修改了AP名称或者执行了批量导入AP操作后，需要点击<自动SSID配置写入设备>按钮下发配置。

¡ SSID：无线服务名称。最多可以包含10个中文字符，不能包含英文的""#?。

¡ 服务状态：开启/关闭无线服务。关闭已经开启的无线服务，会使得已连接该无线服务的终端离线。

¡ 隐藏SSID：隐藏SSID可以使其他人搜索不到当前无线服务，提升网络的安全性。若要连接此无线服务，需要在无线终端上输入无线服务的SSID名称进行关联，缺省为关闭状态。

¡ 加密状态：接入无线服务的密码。8～63数字或英文字符，不能包含""#?或空格。若无线服务已启用加密，输入框不输入任何内容表示本次不修改接入密码。

¡ 用户限速：开启本功能后，AP将根据配置的限速速率限制接入当前SSID的无线终端的接收和发送数据速率。静态限速基于每终端进行限速，动态限速基于无线服务整体进行限速。

¡ VLAN：客户端连接至该无线服务后，会自动加入VLAN，默认为VLAN 1。

· 拷贝配置

点击操作列中的，进入拷贝配置页面，将当前场所下云AP部分配置拷贝至设备自身的无线服务中，支持拷贝的内容请点击页面SSID的名称查看。

图3-38 拷贝配置

(2) 高级配置

点击展开“高级配置”，在高级配置中可以配置5GHz优先功能。开启本功能后，当支持双频的客户端准备接入无线网络时，会优先接入至云AP的5GHz射频上。

图3-39 高级配置

本特性的支持情况与设备型号有关，请以设备的实际情况为准。

(3) Radio配置

选择“Radio配置”页签，配置设备自身的2.4GHz和5GHz射频，包含射频状态、功率等。

图3-40 Radio配置

7. 登录管理（网关模式）

在左侧导航栏中选择“园区网络 > 云网关 > 登录管理”进入设备的登录管理配置页面，然后在页面左上角选择分支和场所，对设备进行本地Web管理页面的登录配置，并配置管理Wi-Fi。

(1) 本地登录配置

在“本地登录管理配置”页签下，修改登录本地Web管理页面的相关信息。

图3-41 本地登录配置

¡ 系统域名：登录设备本地Web管理页面的域名，缺省为wlan.h3c.com。

¡ 本机地址：设备本地Web管理页面的IP地址，缺省为10.40.92.1。

¡ 掩码：设备本地Web管理页面的子网掩码，缺省为255.255.255.0。

¡ 本地Web登录密码：密码长度为10～63位，至少包括大写字母、小写字母、数字、符号中的两种。

(2) 管理Wi-Fi配置

在“管理Wi-Fi配置”页签下，配置管理Wi-Fi的隐藏SSID功能和密码，仅自身具备射频功能的设备支持本功能。

¡ 加密状态：密码长度为8～63位数字或英文字符，不能包含""#?或空格。

8. 登录管理（云AP模式）

(1) 本地登录配置

在“本地登录配置”页签下，配置本地Web登录密码。密码长度为10～63位，至少包括大写字母、小写字母、数字、符号中的两种。

图3-42 本地登录配置

(2) 管理Wi-Fi配置

在“管理Wi-Fi配置”页签下，配置管理Wi-Fi的隐藏SSID功能和密码。云AP模式与云网关模式完全相同。

¡ 加密状态：密码长度为8～63位数字或英文字符，不能包含""#?或空格。

图3-43 管理Wi-Fi配置

4 用户业务-云认证

云认证组件，为接入各场所的无线节点（包括员工、访客、物联网终端等所有接入无线网络的参与者）提供多样的认证方式。云认证采用Portal推送方案，当终端在接入网络上网时，设备会将终端重定向至平台进行Portal认证，认证通过的节点即可访问互联网或指定的网络区域。

平台对接入认证的无线终端数量不设上限，同时为运营方提供了丰富的认证策略，为无线终端提供更优质的使用体验，同时管理员可根据需要定制专属的广告推广业务。

登录系统并进入首页后，在顶部导航栏选择“自动化”进入自动化业务专区，在左侧导航栏中选择“用户业务 > 云认证”，即可进行云认证相关配置。

4.1 认证方式

平台为无线终端提供多种认证方式，包括一键认证、固定账号认证、短信认证、微信公众号认证、哑终端认证、访客认证、APP认证、会员认证、钉钉认证、企业微信认证等，提供再次连接免认证功能，且部分认证方式可组合使用。

4.1.1 一键认证

一键认证以终端的MAC地址作为认证用户名，认证服务器通过获取终端的MAC地址信息完成认证，终端上操作简单、快捷，用户只需点击Portal认证页面上的<点我上网>按钮即可完成认证。

适用处所	低审计与运营需求的处所，运营方仅需在用户认证时弹出广告例如：餐饮、服装店铺等
组合认证	不支持

适用处所

低审计与运营需求的处所，运营方仅需在用户认证时弹出广告

例如：餐饮、服装店铺等

组合认证

不支持

4.1.2 固定账号认证

运营方管理员预先在平台上创建用于认证的账户和密码，拥有认证账户和密码的用户才能接入网络。

适用处所	上网成员相对固定的处所例如：校园、办公环境等
组合认证	支持
其它功能	· 支持LDAP · 支持账号的批量导入、导出功能 · 允许单个账号绑定多个MAC地址，或者限制同时接入的终端数

适用处所

上网成员相对固定的处所

例如：校园、办公环境等

组合认证

支持

其它功能

· 支持LDAP

· 支持账号的批量导入、导出功能

· 允许单个账号绑定多个MAC地址，或者限制同时接入的终端数

4.1.3 短信认证

用户通过手机号和短信验证码完成认证并登录。避免用户记忆复杂的账号密码，简化用户认证接入。

· 运营方需至亿美平台购买短信包。

· 目前仅支持亿美部分短信包产品，例如序列号开头为3、6、8、9SDK、EUCP、6INT的产品。

适用处所	对审计或运营要求较高的处所，可用于各种公共环境
组合认证	支持
其它功能	· 支持编辑短信验证码消息内容 · 支持多短信网关 · 可基于终端MAC记住手机号，1～365天内再次认证免验证码，节约短信包资源 · 支持终端限制，即手机号与终端一对一绑定

适用处所

对审计或运营要求较高的处所，可用于各种公共环境

组合认证

支持

其它功能

· 支持编辑短信验证码消息内容

· 支持多短信网关

· 可基于终端MAC记住手机号，1～365天内再次认证免验证码，节约短信包资源

· 支持终端限制，即手机号与终端一对一绑定

4.1.4 微信公众号认证

认证时关注微信公众号，在公众号中直接点击“点我认证”，免去输入账号、手机号过程，减少等待时间。

适用处所	运营需求高、需要为微信公众号带来大量客源的处所，亦适用于各种公共环境运营方需要为顾客提供可以扫一扫的二维码
组合认证	支持但不推荐

适用处所

运营需求高、需要为微信公众号带来大量客源的处所，亦适用于各种公共环境

运营方需要为顾客提供可以扫一扫的二维码

组合认证

支持但不推荐

4.1.5 钉钉认证

用户使用钉钉客户端进行认证，验证企业用户的合法性。

终端钉钉客户端必须处于登录状态。

适用处所	需要对员工接入网络进行认证的企业等例如：企业办公环境等
组合认证	支持与公众号认证、短信认证、账号认证、会员认证、企业微信认证同时开启，最多支持同时开启三种认证方式。

适用处所

需要对员工接入网络进行认证的企业等

例如：企业办公环境等

组合认证

支持与公众号认证、短信认证、账号认证、会员认证、企业微信认证同时开启，最多支持同时开启三种认证方式。

4.1.6 企业微信认证

用户使用企业微信客户端进行认证，验证企业用户的合法性。

终端企业微信客户端必须处于登录状态。

适用处所	需要对员工接入网络进行认证的企业等例如：企业办公环境等
组合认证	支持与公众号认证、短信认证、账号认证、会员认证、钉钉认证同时开启。最多可同时开启三种认证方式。

适用处所

需要对员工接入网络进行认证的企业等

例如：企业办公环境等

组合认证

支持与公众号认证、短信认证、账号认证、会员认证、钉钉认证同时开启。最多可同时开启三种认证方式。

4.1.7 哑终端认证

自动为特定的无线终端设备进行无感知认证。

适用处所	物联网设备、无线打印机、无线POS机等终端的接入认证
组合认证	不支持

4.1.8 访客认证

访客认证是结合微信小程序实现的一种认证方式。来宾到访需要接入网络时，找到网络准入审批人，由审批人扫一扫来宾终端上的二维码进行授权后，即可接入网络。

适用处所	访客需要临时接入网络的企业、门店等
组合认证	不支持

4.1.9 APP认证

运营方在有开发能力，可以自行开发APP，且能够根据平台提供的接口进行对接开发的情况下，定制的认证方式。运营方需自行维护APP并确保APP的兼容性。

适用处所	能够自主开发APP的企业，希望通过将认证功能融入企业内部的APP实现统一管理、便于员工接入使用
组合认证	不支持

4.1.10 会员认证

运营方在部署一个仅会员才能够访问或使用的网络时使用的认证方式，使用该认证方式要求运营方有开发能力，能够根据平台提供的接口进行对接开发。

适用处所	有会员系统的处所，例如酒店、连锁商超等
组合认证	支持

4.1.11 免认证

即无感知认证，通过认证的用户在免认证期内上线无需重复认证。

4.2 云认证基本配置

云认证认证基本配置即完成云认证的最简配置，管理员需要完成配置准备、设备侧配置并选择平台所提供的至少一种认证方式以实现基本配置功能。若管理员需要完善认证过程，定制个性化认证页面，或需要了解更多配置认证过程中见到的多种小功能，请参见“云认证高级配置”。

· 平台设备侧部分版本支持自动下发认证配置功能，对于不支持该功能的设备请手动进行配置。

· 路由器产品支持无线认证配置和有线认证配置，无线认证配置即路由器作为AC或者Fat AP；有线认证即认证终端最终通过有线网络连接到路由器，有线网络可以为交换机、Fat AP或线缆直连。

表4-1 多种认证方式与不同的组网环境

认证方式	AC+Fit AP组网	路由器无线认证	路由器有线认证组网	云AP
一键认证	支持	支持	支持	支持
固定账号认证	支持	支持	支持	支持
短信认证	支持	支持	支持	支持
微信公众号认证	支持	支持	支持	支持
钉钉认证	支持	支持	支持	支持
企业微信认证	支持	支持	支持	支持
访客认证	支持	支持	支持	支持
APP认证	支持	支持	支持	支持
会员认证	支持	支持	支持	支持
组合认证	支持	支持	支持	支持
哑终端认证	支持	支持	不支持	支持
批量认证	支持	支持	不支持	支持
定制认证页面	支持	支持	支持	支持

4.2.1 配置准备

配置云认证前，请先完成以下任务配置：

· 完成设备连接至平台，详细配置过程请参见“基本配置与敏捷部署”。

· 完成VLAN、DHCP等配置命令，无线终端在正确获得IP地址的同时能够获取DNS服务器地址，DNS服务器须将oasisauth.h3c.com解析为AD-Campus MagicBox一体机的IP地址（出厂默认IP地址为192.168.0.12）。

· 若设备作为无线终端的DNS服务器，则该设备必须开启DNS proxy功能，并为设备指定上级DNS服务器。

· 当连接平台的设备为AC或者进行无线认证的路由器时，需要配置无线服务并确保AP可以正常工作。

4.2.2 设备侧配置

1. 通用配置

· 云AP、路由器不需要本节配置，其认证配置由平台下发。

· AC产品5405及以后软件版本的设备支持自动下发认证配置，旧版本的设备需按照下文所述进行手动配置。

· 一键认证、固定账号认证、短信认证、微信公众号认证、哑终端认证、访客认证、钉钉认证、企业微信认证、会员认证快捷部署时，请参见“设备侧认证命令快捷配置”。

(1) 配置认证域

# 创建一个名称为cloud的ISP域，并进入其视图。

<Sysname> system-view

[Sysname] domain cloud

# 为Portal用户配置认证、授权、计费方法均为none。

[Sysname-isp-cloud] authentication portal none

[Sysname-isp-cloud] authorization portal none

[Sysname-isp-cloud] accounting portal none

[Sysname-isp-cloud] quit

(2) 配置平台Portal认证功能

# 配置Portal Web服务器cloud的URL为http://oasisauth.h3c.com/portal/protocol，类型为oauth。（若管理员在平台上创建无线服务，则本配置自动下发至设备侧，且名称与无线服务名称相同）

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/protocol

[Sysname-portal-websvr-cloud] server-type oauth

# 配置Portal重定向功能或临时放行的匹配规则，对用户代理信息为CaptiveNetworkSupport的用户报文重定向到http://oasisauth.h3c.com/generate_404；对用户代理信息为Dalvik/2.1.0(Linux;U;Android7.0;HUAWEI的用户报文重定向到http://oasisauth.h3c.com/generate_404；对用户代理信息为Mozilla的访问http://captive.apple.com的用户报文重定向到http://oasisauth.h3c.com/portal/protocol，并触发临时放行规则；对用户代理信息为Mozilla的访问http://www.apple.com的用户报文重定向到http://oasisauth.h3c.com/portal/protocol，并触发临时放行规则。

[Sysname-portal-websvr-cloud] if-match user-agent CaptiveNetworkSupport redirect-url http://oasisauth.h3c.com/generate_404

[Sysname-portal-websvr-cloud] if-match user-agent Dalvik/2.1.0(Linux;U;Android7.0;HUAWEI redirect-url http://oasisauth.h3c.com/generate_404

[Sysname-portal-websvr-cloud] if-match original-url http://captive.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

[Sysname-portal-websvr-cloud] if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

[Sysname-portal-websvr-cloud] quit

# 对访问http://10.168.168.168的用户触发临时放行。

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] if-match original-url http://10.168.168.168 temp-pass

# 开启Portal被动Web认证的优化功能，优化iOS终端认证过程。

[Sysname-portal-websvr-cloud] captive-bypass ios optimize enable

[Sysname-portal-websvr-cloud] quit

# 开启服务模板的Portal认证功能，指定认证方式为直接认证。

[Sysname] wlan service-template cloud

[Sysname-wlan-st-cloud] portal enable method direct

# 引用认证域、Portal Web服务器。

[Sysname-wlan-st-cloud] portal domain cloud

[Sysname-wlan-st-cloud] portal apply web-server cloud

[Sysname-wlan-st-cloud] quit

# 配置Portal临时放行规则。

[Sysname] wlan service-template cloud

[Sysname-wlan-st-cloud] portal temp-pass period 20 enable

[Sysname-wlan-st-cloud] quit

# 创建本地Portal Web服务器，进入本地Portal Web服务器视图，并指定使用HTTP协议与客户端交互认证信息。

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] quit

# 进入本地Portal Web服务器视图，并指定使用HTTPS协议与客户端交互认证信息。

[Sysname] portal local-web-server https

[Sysname-portal-local-websvr-https] quit

# 开启HTTP服务和HTTPS服务。

[Sysname] ip http enable

[Sysname] ip https enable

# 配置Portal免认证规则，使用户不需要经过Portal认证即可以访问DNS服务器（本文以114.114.114.114为例，请配置实际使用的DNS服务器）、云认证主机名。

[Sysname] portal host-check enable

[Sysname] portal user log enable

[Sysname] portal free-rule 1 destination ip 114.114.114.114 255.255.255.255

[Sysname] portal free-rule 2 destination ip any udp 53

[Sysname] portal free-rule 3 destination ip any tcp 53

[Sysname] portal free-rule 4 destination ip any tcp 5223

[Sysname] portal free-rule 5 destination oasisauth.h3c.com

# 配置Portal免认证规则，使用户不需要经过Portal认证即可以访问云认证主机名。

[Sysname] portal free-rule 10 destination short.weixin.qq.com

[Sysname] portal free-rule 11 destination mp.weixin.qq.com

[Sysname] portal free-rule 12 destination long.weixin.qq.com

[Sysname] portal free-rule 13 destination dns.weixin.qq.com

[Sysname] portal free-rule 14 destination minorshort.weixin.qq.com

[Sysname] portal free-rule 15 destination extshort.weixin.qq.com

[Sysname] portal free-rule 16 destination szshort.weixin.qq.com

[Sysname] portal free-rule 17 destination szlong.weixin.qq.com

[Sysname] portal free-rule 18 destination szextshort.weixin.qq.com

[Sysname] portal free-rule 19 destination isdspeed.qq.com

[Sysname] portal free-rule 20 destination wx.qlogo.cn

[Sysname] portal free-rule 21 destination wifi.weixin.qq.com

[Sysname] portal free-rule 22 destination open.weixin.qq.com

# 开启Portal安全重定向功能，配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型。

[Sysname] portal safe-redirect enable

[Sysname] portal safe-redirect method get post

[Sysname] portal safe-redirect user-agent Android

[Sysname] portal safe-redirect user-agent CFNetwork

[Sysname] portal safe-redirect user-agent CaptiveNetworkSupport

[Sysname] portal safe-redirect user-agent MicroMessenger

[Sysname] portal safe-redirect user-agent Mozilla

[Sysname] portal safe-redirect user-agent WeChat

[Sysname] portal safe-redirect user-agent iPhone

[Sysname] portal safe-redirect user-agent micromessenger

2. APP认证配置

· 部署APP认证时，在完成“通用配置”后，仍需进行本章节配置。

· APP认证快捷部署时，可在“设备侧认证命令快捷配置”配置的基础上进行本章节配置。

# 配置认证引导页URL（引导页面将出现在用户接入认证时终端系统自动拉起的浏览器中，该页面由运营方开发，通常显示APP下载、打开APP及其它内容。引导页URL仅为示例，请配置实际使用的URL）。

<Sysname> system-view

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/appauth.html

# 对访问http://10.168.168.1的用户触发临时放行，并重定向到http://oasisauth.h3c.com/portal/app。

[Sysname-portal-websvr-cloud] if-match original-url http://10.168.168.1 temp-pass redirect-url http://oasisauth.h3c.com/portal/app

4.2.3 一键认证

1. AC+Fit AP组网

(1) 创建（或修改）认证模板

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“认证配置”页签下添加（或修改）认证模板。

(2) 配置一键认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“一键上网”功能。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-1 一键认证（AC+Fit AP）

(3) 绑定无线服务

在认证配置页面，点击已创建（或修改完成）的认证模板后面的编辑按钮，在弹出的认证模板修改页面，选择绑定的无线服务（若已绑定，不需要重复绑定）。

2. 路由器无线认证组网

(1) 创建（或修改）认证模板

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“无线认证配置”页签下添加（或修改）认证模板。

(2) 配置一键认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“一键上网”功能。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-2 一键认证（路由器）

(3) 绑定无线服务

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的编辑按钮，在弹出的认证模板修改页面，选择绑定的无线服务（若已绑定，不需要重复绑定）。

3. 路由器有线认证组网

(1) 创建（或修改）认证模板

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“有线认证配置”页签下添加（或修改）认证模板。

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置一键认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“一键上网”功能。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-3 一键认证（路由器）

4. 云AP组网

(1) 开启云认证

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP > 无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在无线服务列表中点击指定无线服务的SSID进入无线服务的配置页面，在高级配置下开启认证功能。

(2) 配置一键认证

点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“一键上网”功能。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-4 一键认证（云AP产品）

4.2.4 固定账号认证

1. AC+Fit AP组网

(1) 创建固定账号

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 用户管理”进入用户管理页面，在用户管理页面点击“固定账号”页签后添加固定账号。

· 固定账号的有效期以天为单位，截止到当日的24:00为一天，配置为0或不配置均表示永久有效。

· 固定账号配置信息可选择绑定MAC地址或限制人数。若选择绑定MAC地址且MAC地址表为空，表示不限制使用该固定账号的终端；若选择限制人数，表示限制使用该固定账号的终端的数量。

· 创建固定账号时，若勾选“邮件发送账号名密码”，在创建完成时，平台将以邮件的方式发送账号名和密码至已配置的邮件地址。

(2) 创建（或修改）认证模板

在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“认证配置”页签下添加（或修改）认证模板。

(3) 配置固定账号认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“账号登录”功能，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-5 固定账号（AC+Fit AP）

(4) 绑定无线服务

2. 路由器无线认证组网

(1) 创建固定账号（配置过程同AC+Fit AP组网）

(2) 创建（或修改）认证模板

在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“无线认证配置”页签下添加（或修改）认证模板。

(3) 配置固定账号认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“账号登录”功能，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-6 固定账号（路由器）

(4) 绑定无线服务

3. 路由器有线认证组网

(1) 创建固定账号（配置过程同AC+Fit AP组网）

(2) 创建（或修改）认证模板

在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“有线认证配置”页签下添加（或修改）认证模板。

(3) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(4) 配置固定账号认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“账号登录”功能，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-7 固定账号（路由器）

4.2.5 短信认证

1. AC+Fit AP组网

(1) 配置短信网关

a. 至亿美平台（www.emay.cn）购买短信包。

b. 登录平台并进入首页后，在顶部导航栏中选择“系统”、左侧导航栏中选择“系统配置 > 短信网关”进入短信网关配置页面，创建（或修改）短信网关。

图4-8 配置短信网关

“短信签名”表示终端认证时收到的短信验证信息中的开头标识部分，例如短信签名配置为“平台”，短信内容保持不变，则终端收到的认证短信验证信息形如“【平台】您于2022年8月1日申请了手机号码注册，验证码是4528，90秒内有效。如非本人操作，请忽略此短信”。

(2) 创建（或修改）认证模板

(3) 配置短信认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“短信登录”功能，关闭其它认证方式。

图4-9 短信认证（AC+Fit AP）

(4) 编辑短信模板

管理员可修改终端收到的短信的详细内容，其中{0}、{1}、{2}只允许在短信内容中出现一次，且{1}、{2}必须出现。

¡ {0}表示短信发出时间，由系统自动填充，管理员无法自行设置时间，只需决定“{0}”出现位置。

¡ {1}表示短信的随机验证码，由系统自动填充，管理员无法自行设置验证码，只需决定“{1}”出现位置。

¡ {2}表示短信有效期，由系统自动填充，管理员无法自行设置有效期，只需决定“{2}”出现位置。

最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

(5) 绑定无线服务

2. 路由器无线认证组网

(1) 配置短信网关（配置过程同AC+Fit AP组网）

(2) 创建（或修改）认证模板

(3) 配置短信认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“短信登录”功能，关闭其它认证方式。

图4-10 短信认证（路由器）

(4) 编辑短信模板

管理员可修改终端收到的短信的详细内容，其中{0}、{1}、{2}只允许在短信内容中出现一次，且{1}、{2}必须出现。

¡ {0}表示短信发出时间，由系统自动填充，管理员无法自行设置时间，只需决定“{0}”出现位置。

¡ {1}表示短信的随机验证码，由系统自动填充，管理员无法自行设置验证码，只需决定“{1}”出现位置。

¡ {2}表示短信有效期，由系统自动填充，管理员无法自行设置有效期，只需决定“{2}”出现位置。

最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

(5) 绑定无线服务

3. 路由器有线认证组网

(1) 配置短信网关（配置过程同AC+Fit AP组网）

(2) 创建（或修改）认证模板

(3) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(4) 配置短信认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“短信登录”功能，关闭其它认证方式。

图4-11 短信认证（路由器）

(5) 编辑短信模板

管理员可修改终端收到的短信的详细内容，其中{0}、{1}、{2}只允许在短信内容中出现一次，且{1}、{2}必须出现。

¡ {0}表示短信发出时间，由系统自动填充，管理员无法自行设置时间，只需决定“{0}”出现位置。

¡ {1}表示短信的随机验证码，由系统自动填充，管理员无法自行设置验证码，只需决定“{1}”出现位置。

¡ {2}表示短信有效期，由系统自动填充，管理员无法自行设置有效期，只需决定“{2}”出现位置。

最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

4. 云AP组网

(1) 配置短信网关（配置过程同AC+Fit AP组网）

(2) 开启云认证

(3) 配置短信认证

点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“短信登录”功能，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-12 短信认证（云AP）

(4) 编辑短信模板

管理员可修改终端收到的短信的详细内容，其中{0}、{1}、{2}只允许在短信内容中出现一次，且{1}、{2}必须出现。

¡ {0}表示短信发出时间，由系统自动填充，管理员无法自行设置时间，只需决定“{0}”出现位置。

¡ {1}表示短信的随机验证码，由系统自动填充，管理员无法自行设置验证码，只需决定“{1}”出现位置。

¡ {2}表示短信有效期，由系统自动填充，管理员无法自行设置有效期，只需决定“{2}”出现位置。

最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

4.2.6 微信公众号认证

· 微信公众号认证需要租户先申请经过腾讯认证的服务号。

· 配置完成后，用户连接门店Wi-Fi、登录微信、搜索公众号名称并关注后即可在公众号中进行认证。

1. 配置微信公众平台

(1) 确认拥有经过腾讯认证的服务号

登录微信公众平台https://mp.weixin.qq.com/，用申请好的公众号登录后，确认该公众号已经过腾讯认证。

图4-13 已认证服务号

(2) 获取AppID和AppSecret

在左侧导航栏选择“开发 > 基本配置”，获取并记录AppID、AppSecret、微信号。

开发者密码（AppSecret）启用并生成后，微信公众平台不再存储和显示AppSecret，请妥善保存。

图4-14 获取AppID和AppSecret

(3) 配置IP白名单

在左侧导航栏选择“开发 > 基本配置”，在IP白名单中，添加您的AD-Campus MagicBox一体机所在网络公网出口地址。

图4-15 配置IP白名单

(4) 配置网页授权

在左侧导航栏选择“开发 > 接口权限”，在“网页服务”下的“网页授权”中点击<修改>按钮。

图4-16 接口权限

在“功能设置”页签下，点击“网页授权域名”后的<设置>按钮，授权域名为oasisauth.h3c.com/weixin。

图4-17 配置网页授权

(5) 配置自定义菜单

在左侧导航栏选择“功能 > 自定义菜单”，在微信公众号模拟页面底部点“+”，在页面右侧编辑菜单名称并配置跳转网页为http://10.168.168.1后完成自定义菜单的基本配置。管理员可根据实际需要为公众号添加其它功能到自定义菜单。

用于重定向页面的地址http://10.168.168.1不建议修改为其它地址。

图4-18 配置自定义菜单

2. 配置平台（AC+Fit AP组网）

(1) 创建（或修改）认证模板

(2) 配置微信公众号认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“微信公众号登录”功能，输入此前已备份的AppID、AppSecret、微信号，而后关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-19 微信公众号认证（AC+Fit AP）

(3) 绑定无线服务

3. 配置平台（路由器无线认证组网）

(1) 创建（或修改）认证模板

(2) 配置微信公众号认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“微信公众号登录”功能，输入此前已备份的AppID、AppSecret、微信号，而后关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-20 微信公众号认证（路由器）

(3) 绑定无线服务

4. 配置平台（路由器有线认证组网）

(1) 创建（或修改）认证模板

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置微信公众号认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“微信公众号登录”功能，输入此前已备份的AppID、AppSecret、微信号，而后关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-21 微信公众号认证（路由器）

4.2.7 钉钉认证

配置完成后，用户认证流程：

· 移动端钉钉认证：用户登录移动端钉钉客户端，连接企业Wi-Fi、在浏览器弹出的认证页面（或者手动打开浏览器输入任意地址重定向至认证页面）中选择“钉钉认证”方式、点击<打开钉钉>按钮，跳转至钉钉客户端即可完成认证并接入网络。如多次点击按钮无法跳转至钉钉客户端，请手动打开钉钉客户端，在工作台中打开H5微应用（企业用于认证的应用，如上网认证）即可完成认证并接入网络。

· PC端钉钉认证：用户登录PC端钉钉客户端，连接企业Wi-Fi、在浏览器弹出的认证页面（手动打开浏览器输入任意地址重定向到认证页面）中选择“钉钉认证”方式、点击<打开钉钉>按钮，跳转至钉钉客户端，在工作台中打开H5微应用（企业用于认证的应用，如上网认证）即可完成认证并接入网络。

钉钉认证需要先创建钉钉H5微应用，请参见开发一个钉钉H5微应用。

1. 配置钉钉H5微应用

(1) 登录钉钉开发者后台

登录钉钉开放平台https://open.dingtalk.com/，点击右上角<开发者后台>按钮，使用具有管理员权限的用户登录，选择你加入的组织，然后进入钉钉开发者后台。

(2) 配置钉钉H5微应用

应用创建完成后，修改或配置钉钉H5微应用：

a. 在顶部导航栏选择“应用开发 > 企业内部开发”进入企业内部开发页面。在左导航选择“钉钉应用”，然后再选择“H5微应用”页签，进入H5微应用页面，点击已创建的H5微应用进入该应用详情页面。

图4-22 选择已创建应用

b. 在左导航点击“开发管理”菜单进入开发管理页面，然后点击<修改>按钮，配置如下信息。

- 服务器出口IP：

您的AD-Campus MagicBox一体机所在网络公网出口地址

- 应用首页地址：

http://oasisauth.h3c.com/portal/login.html

- PC端首页地址。如果有PC端认证需求，则配置该项：

http://oasisauth.h3c.com/portal/login.html

配置完成后，点击<保存>按钮，完成配置。

图4-23 开发管理

c. 在左导航点击“权限管理”菜单进入权限管理页面，然后根据以下配置添加接口调用权限。

# 个人权限：

- 个人手机号信息

- 通讯录个人信息读权限

# 通讯录管理：

- 企业员工手机号信息

- 邮箱等个人信息

- 通讯录部门信息读权限

- 成员信息读权限

- 根据手机号姓名获取成员信息的接口访问权限

- 通讯录部门成员读权限

- 企业外部联系人读取权限

选择待添加接口调用权限的权限后，点击<批量申请>按钮，批量申请即可批量申请权限。

图4-24 添加个人权限接口调用权限

图4-25 添加通讯录管理接口调用权限

d. 在左导航点击“版本管理与发布”菜单进入版本管理与发布页面，添加可使用人员，点击<确认发布>按钮发布应用。根据业务需求设置可使用范围（即需要认证的人员）：

- 选择“全体员工”，即认证范围为全体员工。说明：企业通讯录中的非企业成员也可通过认证。

- 选择“部分员工”，即认证范围仅为所选员工。

(3) 获取CorpID、AppKey和AppSecret

¡ 在钉钉开发者后台首页页面，复制CorpId备用。

¡ 在应用详情页面，选择“基础信息”进入基础信息页面，复制应用的AppKey和AppSecret备用。

图4-26 获取CorpID

图4-27 获取应用AppKey和AppSecret

2. 配置平台（AC+Fit AP组网）

(1) 创建（或修改）认证模板

(2) 配置钉钉认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“钉钉认证”功能，如图4-28所示，输入此前已备份的CorpID、AppKey和AppSecret，而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-28 钉钉认证（AC+Fit AP）

(3) 绑定无线服务

3. 配置平台（路由器无线认证组网）

(1) 创建（或修改）认证模板

(2) 配置钉钉认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“钉钉认证”功能，输入此前已备份的CorpID、AppKey和AppSecret，而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-29 钉钉认证（路由器）

(3) 绑定无线服务

4. 配置平台（路由器有线认证组网）

(1) 创建（或修改）认证模板

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，最后在“有线认证配置”页签下添加（或修改）认证模板。

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置钉钉认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“钉钉认证”功能，如图4-28所示，输入此前已备份的CorpID、AppKey和AppSecret，而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

5. 配置平台（云AP组网）

(1) 开启云认证

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 >云AP > 无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在无线服务列表中点击指定无线服务的SSID进入无线服务的配置页面，在高级配置下将认证方式设置为“开启”开启认证功能。

(2) 配置钉钉认证

点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“钉钉认证”功能，如图4-28所示，输入此前已备份的CorpID、AppKey和AppSecret，而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

6. 配置平台（云网关组网）

(1) 开启云认证

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 >云网关 > Wi-Fi配置”，进入Wi-Fi配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，选择“无线服务配置”页签，在无线服务列表中点击指定无线服务的编辑按钮进入修改无线服务配置页面，将认证方式设置为“开启”开启认证功能。

(2) 配置钉钉认证

4.2.8 企业微信认证

配置完成后，用户认证流程：

· 移动端企业微信认证：用户登录移动端企业微信客户端，连接企业Wi-Fi、在浏览器弹出的认证页面（或者手动打开浏览器输入任意地址重定向至认证页面）中选择“企业微信认证”方式、点击<打开企业微信>按钮，跳转至企业微信客户端，在工作台中打开应用（企业用于认证的应用，如上网认证）即可完成认证并接入网络。如多次点击按钮无法跳转至客户端，请手动打开企业微信客户端，在工作台中打开应用（企业用于认证的应用，如上网认证）即可完成认证并接入网络。

· PC端企业微信认证：用户登录PC端企业微信客户端，连接企业Wi-Fi、在浏览器弹出的认证页面（手动打开浏览器输入任意地址重定向到认证页面）中选择“企业微信认证”方式、点击<打开企业微信>按钮，跳转至企业微信客户端，在工作台中打开应用（企业用于认证的应用，如上网认证）即可完成认证并接入网络。

1. 配置企业微信应用

企业微信认证需要租户先创建应用。

(1) 登录企业微信管理后台

登录企业微信管理后台https://work.weixin.qq.com/login，使用具有管理员权限的用户扫码登录。

(2) 在自建应用下创建应用或选择应用

点击“应用管理”页签，在左侧导航栏选择“应用”菜单，进入应用页面。

¡ 创建应用

点击<创建应用>按钮，填写应用基本信息后，点击<创建应用>按钮创建应用，并进入该应用页面。

图4-30 应用管理

¡ 选择已创建好的应用，并进入该应用页面。

(3) 配置应用主页

点击“设置”或“修改”链接，设置应用主页网页地址为http://oasisauth.h3c.com/portal/login.html，然后点击<确定>按钮。

图4-31 设置应用主页

(4) 设置可信域名

点击“设置可信域名”链接，在弹窗中设置可信域名为oasisauth.h3c.com。

图4-32 开发者接口

图4-33 配置可信域名

(5) 获取企业ID和Secret

在企业微信管理后台应用页面获取“企业ID”和“Secret”信息。

¡ 在“我的企业 > 企业信息”页面，复制企业ID备用。

¡ 在“应用管理 > 应用”页面，选择已创建的自建应用，进入应用页面，点击“查看”链接获取应用Secret备用。

图4-34 获取企业ID

图4-35 获取应用Secret

2. 配置平台（AC+Fit AP组网）

(1) 创建（或修改）认证模板

(2) 配置企业微信认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“企业微信认证”功能，如图4-36所示，输入此前已备份的企业ID和应用密钥（即Secret），而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-36 企业微信认证（AC+Fit AP）

(3) 绑定无线服务

3. 配置平台（路由器无线认证组网）

(1) 创建（或修改）认证模板

(2) 配置企业微信认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“企业微信认证”功能，如图4-36所示，输入此前已备份的企业ID和应用密钥（即Secret），而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

(3) 绑定无线服务

4. 配置平台（路由器有线认证组网）

(1) 创建（或修改）认证模板

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置企业微信认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“企业微信认证”功能，如图4-36所示，输入此前已备份的企业ID和应用密钥（即Secret），而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

5. 配置平台（云AP组网）

(1) 开启云认证

(2) 配置企业微信认证

点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“企业微信认证”功能，如图4-36所示，输入此前已备份的企业ID和应用密钥（即Secret），而后开启或关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

6. 配置平台（云网关组网）

(1) 开启云认证

(2) 配置企业微信认证

4.2.9 访客认证

· 配置完成后，访客连接门店Wi-Fi，审批人用微信扫一扫访客终端上的接入二维码，授权后访客终端即可完成认证并接入网络。

· 审批人授权访客终端时，访客终端上显示的二维码有效期为5分钟，超时需点击二维码进行刷新。

1. 增加访客认证审批人

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 > 云认证”后，在“账号管理 > 访客认证审批人”页签下点击<增加>按钮，审批人用微信扫一扫，在经过正确输入腾讯验证码后即可完成增加审批人。

· 增加审批人阶段显示的二维码有效期为5分钟，超时需点击二维码进行刷新。

· 删除审批人则平台自动取消对该审批人的授权。

图4-37 增加审批人

2. 配置认证模板

AC+Fit AP组网

(1) 创建（或修改）认证模板

(2) 配置访客认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“访客认证”功能。在（逐一）选择完授权审批人后，点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

已授权审批人位置仅显示本账户及其下属所有子账户所授权的审批人，而系统会为租户显示所有子账户创建的审批人。

图4-38 访客认证（AC+Fit AP）

(3) 绑定无线服务

路由器无线认证组网

(1) 创建（或修改）认证模板

(2) 配置访客认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“访客认证”功能。在（逐一）选择完授权审批人后，点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

已授权审批人位置仅显示本账户及其下属所有子账户所授权的审批人，而系统会为租户显示所有子账户创建的审批人。

图4-39 访客认证（路由器）

(3) 绑定无线服务

路由器有线认证组网

(1) 创建（或修改）认证模板

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置访客认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“访客认证”功能。在（逐一）选择完授权审批人后，点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

已授权审批人位置仅显示本账户及其下属所有子账户所授权的审批人，而系统会为租户显示所有子账户创建的审批人。

图4-40 访客认证（路由器）

4.2.10 APP认证

配置完成后，用户连接Wi-Fi、在浏览器中下载APP后打开APP进行认证。

1. APP侧准备工作

(1) 运营方开发引导页，该页可以放置APP下载链接、打开APP链接等。

(2) 平台提供标准APP认证的接口格式给运营方，运营方需要将Key值内置在APP中。

2. 配置平台（AC+Fit AP组网）

(1) 创建（或修改）认证模板

(2) 配置APP认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“APP认证”功能，输入引导页URL并输入Key。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-41 APP认证（AC+Fit AP）

(3) 绑定无线服务

3. 配置平台（路由器无线认证组网）

(1) 创建（或修改）认证模板

(2) 配置APP认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“APP认证”功能，输入引导页URL并输入Key。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-42 APP认证（路由器）

(3) 绑定无线服务

4. 配置平台（路由器有线认证组网）

(1) 创建（或修改）认证模板

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置APP认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“APP认证”功能，输入引导页URL并输入Key。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-43 APP认证（路由器）

4.2.11 会员认证

· 配置完成后，会员连接Wi-Fi，在浏览器内显示的认证页面中输入手机号后即可通过认证访问网络。

· 非会员在连接Wi-Fi后，在浏览器内显示的认证页面中输入需要注册的用户信息后，点击<登录>按钮自动跳转到注册页面。

1. 配置平台（AC+Fit AP组网）

(1) 创建（或修改）认证模板

(2) 配置会员认证

在认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“会员认证”功能，选择会员账号类型，输入必配参数，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

若会员账号类型配置为“手机号”且开启了短信验证功能，则会员和非会员每次接入网络并进行会员认证时，均需要通过短信验证。

图4-44 会员认证（AC+Fit AP）

(3) 绑定无线服务

2. 配置平台（路由器无线认证组网）

(1) 创建（或修改）认证模板

(2) 配置会员认证

在无线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“会员认证”功能，选择会员账号类型，输入必配参数，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

若会员账号类型配置为“手机号”且开启了短信验证功能，则会员和非会员每次接入网络并进行会员认证时，均需要通过短信验证。

图4-45 会员认证（路由器）

(3) 绑定无线服务

3. 配置平台（路由器有线认证组网）

(1) 创建（或修改）认证模板

(2) 绑定接口

在添加认证模板页面，填写模板名称，选择需要绑定的VLAN接口或三层以太网接口，而后点击<应用>按钮完成认证模板添加。

(3) 配置会员认证

在有线认证配置页面，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，开启“会员认证”功能，选择会员账号类型，输入必配参数，关闭其它认证方式。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

若会员账号类型配置为“手机号”且开启了短信验证功能，则会员和非会员每次接入网络并进行会员认证时，均需要通过短信验证。

图4-46 会员认证（路由器）

4.2.12 组合认证

· 仅固定账号认证、短信认证、微信公众号认证、钉钉认证、企业微信认证以及会员认证支持组合认证，但不推荐与微信公众号认证进行组合认证。

· 用户进行认证时，仅需通过多种认证方式中的其中一种即可。

1. 配置设备侧

· 仅AC+Fit AP组网需要配置。

· 5405及以后软件版本的设备支持自动下发认证配置，旧版本的设备需进行手动配置。

请根据“设备侧配置”章节所述进行配置，此处不再赘述。

2. 配置微信公众平台

仅微信公众号认证方式需要配置。

请根据“微信公众号认证”中的微信公众平台进行配置，此处不再赘述。

3. 配置平台页面

请根据前文章节所述选择至少两种支持组合认证的认证方式配置平台页面，此处不再赘述。

4.2.13 哑终端认证

(1) 编辑账号组

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 > 云认证”后，在“账号管理 > 哑终端认证账号”页签下点击“编辑账号组”，在弹出的编辑账号组弹窗中点击<添加>按钮创建账号组。

有效期以天为单位，截止到当日的24:00为一天，配置为“0”时表示永不过期。

· 若账号组非首次创建，账号组中已存在认证账号，修改账号组的有效期将自动同步修改该账号组中所有的认证账号的有效期。

· 账号组有效期配置只有批量一次性修改账号组中各认证账号有效期的作用，并不存在与组中认证账号有效期权限高低比较并生效的作用。

图4-47 编辑账号组

(2) 增加认证账号

在当前页签下选择已创建完成的账号组，点击<添加>按钮，将认证账号中用于识别哑终端设备的MAC地址按照指定的格式逐一加入到账号组中。

图4-48 增加哑终端设备

· 有效期以天为单位，截止到当日的24:00为一天，配置为“0”时表示永不过期。

· 在输入哑终端设备的MAC地址时，六字节的完整MAC的前三字节如果与已存在的三字节开头的简化MAC相同，将采用MAC精确匹配原则，六字节完整MAC的有效期以配置的为准，六字节MAC与三字节简化MAC增加的顺序不分先后。（例如：管理员曾添加过简化MAC为AA-BB-CC，且有效期为5天，再添加AA-BB-CC-11-22-33时，配置的有效期为10天，则仅MAC为AA-BB-CC-11-22-33的哑终端设备有效期为10天，其余MAC以AA-BB-CC开头的哑终端设备有效期仍为5天）

(3) 创建（或修改）认证模板

在左侧导航栏中选择“云认证”后，在“认证模板”页签下添加（或修改）认证模板。

(4) 配置哑终端认证

在“认证模板”页签下，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，而后开启“哑终端认证”功能，选择已创建的账号组。最后点击<完成>按钮或页面右上角的“发布”以应用认证模板的所有修改。

图4-49 哑终端认证

(5) 下发认证模板

完成绘制模板的配置并发布后，再次进入“认证模板”页签，点击配置好的批量认证模板后的下发配置按钮，进入应用模板页面。根据实际组网在相应页签下，选择分支场所后勾选需要下发的设备，点击<应用>按钮。

图4-50 选择待下发设备（AC+Fit AP组网）

图4-51 选择待下发场所（路由器无线认证组网）

若应用模板页面不显示待下发的设备，请检查设备版本是否符合要求。

选择下发认证配置到选定的无线服务（或SSID），而后点击<确定>按钮完成下发。

图4-52 下发认证配置

(6) 配置免认证

使用哑终端认证需要配置MAC-trigger方式的再次连接免认证功能，但与标准的MAC-trigger配置流程不同的是，哑终端认证不需要在平台上开启再次连接免认证功能，仅需在设备侧直接配置平台MAC-trigger。有关MAC-trigger方式设备侧的详细配置，请参见“高级配置 > 免认证”中的“在设备侧配置平台MAC-trigger认证”。

4.2.14 批量认证

在大规模部署时，可采用批量下发认证配置至多台设备的方式，减轻部署工作量。

前文所述各认证方式配置的认证模板可称为“非批量认证模板”，用以区分本节描述的批量认证方式所需配置的“批量认证模板”。

· 认证配置批量下发至无线服务后，即使这些无线服务已绑定至非批量认证模板，批量认证模板下发的配置依然优先生效。若需要非批量认证模板的配置重新生效，对于AC+Fit AP和路由器无线认证组网，可以在指定的非批量认证模板对应的“修改认证模板”弹窗中点击<应用>按钮经过确认即可重新绑定。

· 路由器有线认证不支持批量认证功能。

· 请确认待下发的设备为在线设备且版本号符合要求（AC设备版本最低为5405）。

· 在AC+Fit AP组网环境中，请确保无线服务名称与Portal Web服务器名称相同，否则会造成下发批量配置失败，显示的原因为“设备执行错误”。

(1) 添加批量认证模板

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 > 云认证”后，在“认证模板”页签下点击<添加>按钮，选择模板后编辑模板信息。

(2) 绘制批量认证模板

在“认证模板”页签下点击已添加的批量认证模板后的绘制按钮，进入绘制页面。

绘制页面中各认证的配置过程请分别参见“云认证基本配置”，此处不再赘述。

图4-53 批量认证模板

(3) 下发批量认证模板

完成绘制模板的配置并发布后，再次进入“认证模板”页签，点击配置好的批量认证模板后的下发配置按钮，进入应用模板页面。根据实际组网在相应页签下，选择分支场所（或分支）后勾选需要下发的设备（或场所），点击<应用>按钮。

图4-54 选择待下发设备（AC+Fit AP组网）

图4-55 选择待下发场所（路由器无线认证组网）

· 若应用模板页面不显示待下发的设备，请检查设备版本是否符合要求（AC设备版本最低为5405）。

· 若设备当前处于离线状态而导致认证模板下发失败，则该设备在下次上线时会自动加载最近一次下发的模板配置。

选择下发认证配置到选定的无线服务（或SSID），而后点击<确定>按钮完成下发。

图4-56 下发认证配置（AC+Fit AP组网）

图4-57 下发认证配置（路由器无线认证组网）

4.2.15 定制认证页面

绘制页面中可配置的页面为前置页、登录页、登录成功页以及主页，其中前置页和登录成功页可根据实际需要推送或关闭。

1. 定制移动端页面

在顶部选择“定制移动端页面”，配置移动端认证模板。通过点击左侧导航栏的各个模块可添加至页面模板，在页面右侧可对模块进行配置或删除。

如图4-58所示：

· ①表示Logo，宽高比为1:1，自动裁切为圆形，可输入商户名，要求12个字符以内。

· ②表示背景，宽高比为3:5。

· ③表示轮播图，宽高比为11:5，要求图片数量为2～3张且高度相同。

· ④表示单图，宽高比为11:5，图片文字描述要求48个字符以内。

· ⑤表示视频，支持mp4、webm、ogg格式，要求视频小于5MB。

· ⑥表示文本，可对文字进行基础编辑，如字体、字号、加粗、颜色等设置。

· 所有上传的图片要求不超过1MB，且建议图片大小为100～200KB；图片格式支持jpg、jpeg、bmp、png、gif、svg。

· 可添加的控件虽丰富，但不建议添加过多，以免影响绘制页面的加载速度。

图4-58 页面模板

各个控件添加至页面模板后可拖拽以调整布局。

若在此绘制页的“主页”下选择“使用自定义链接”，并完成自定义链接的编辑、上传发布，则当用户使用浏览器进行自动Portal认证时，推送的主页会被自定义的地址对应的页面代替。

认证页面完成修改后可使用本页面右上角的“预览”功能查看效果。完成所有配置后可使用本页面右上角的“发布”进行修改发布。

图4-59 配置页面模板

2. 定制PC端页面

在顶部选择“定制PC端页面”，而后点击开启PC端认证，配置PC端认证模板。通过点击左侧页面模板相应区域，或在页面右侧对模块进行配置。

如图4-60所示：

· Logo：开启显示Logo，上传Logo图片，而后配置Logo位置。建议图片宽高比为1:1，自动裁切为圆形。

· 文本：开启显示文本，配置文本位置、文字，可对文字进行基础编辑，如字体、字号、加粗、颜色等设置，可配置三个文本。

· 背景：建议宽高比为16:9。

· 左侧区域：组件包括单图、轮播图、视频。

¡ 单图：建议宽高比为4:3。

¡ 轮播图：建议宽高比为4:3，要求图片数量为2～3张且高度相同。

¡ 视频：支持mp4、webm、ogg格式，要求视频小于5MB，可开启自动播放。

· 所有上传的图片要求不超过1MB，且建议图片大小为100～200KB；图片格式支持jpg、jpeg、bmp、png、gif、svg。

· 可添加的控件虽丰富，但不建议添加过多，以免影响绘制页面的加载速度。

图4-60 页面模板

若在此绘制页的“主页”下可自定义链接或使用缺省链接，上传发布后，则当用户使用浏览器进行自动Portal认证时，推送的主页会被自定义的地址对应的页面代替。

认证页面完成修改后可使用本页面右上角的“预览”功能查看效果。完成所有配置后可使用本页面右上角的“发布”进行修改发布。

4.2.16 补充说明

本节将对认证基本配置中的一些功能进行补充说明。

1. 无线服务配置中的加密服务

是否开启“加密服务”与云认证方式的配置无关。

图4-61 无线服务平台配置

2. 同步SSID信息

· AC产品5418（不含5418）以前软件版本的设备支持本功能。

· 路由器产品0809（不含0809）以前软件版本的设备支持本功能。

管理员在设备侧完成创建无线服务（必须包含ssid命令配置）后，可通过点击平台<同步ssid信息>按钮将无线服务配置从设备同步至平台。

图4-62 同步SSID信息

3. 读取设备

· AC产品5418及以后软件版本的设备支持本功能。

· 路由器产品0809及以后软件版本的设备支持本功能。

管理员在设备侧完成无线服务配置后，可通过点击平台<读取设备>按钮将无线服务配置从设备同步至平台，同步的配置包括无线服务名称、SSID、最大保障带宽占比等。

4.3 云认证高级配置

为了满足运营方管理与统计、节省开销、企业推广等需求，为了提高认证过程的多样化与便利性，平台基于已有认证方式增加了诸多功能。

高级配置所述功能均为可选功能，管理员可根据实际需求对照下表选择认证方式对应的功能进行配置。本章节所述功能中，部分功能在非批量认证模板和批量认证模板中均可配置，本文仅以在非批量认证模板下进行配置为例。

表4-2 高级功能与平台各认证方式对应关系

高级功能	涉及认证方式	详细配置
自动弹窗抑制	全部	4.3.1
一键按钮隐藏与定制	一键认证	4.3.2
固定账号批量管理	固定账号认证	4.3.3
自助修改密码		4.3.4
LDAP		4.3.5
多短信网关	短信认证	4.3.6
终端限制		4.3.7
记住手机号		4.3.8
短信验证码有效时长		4.3.9
定制登录样式	固定账号认证、短信认证、微信公众号认证、会员认证、钉钉认证、企业微信认证	4.3.10
上网限制	一键认证、固定账号认证、短信认证、微信公众号认证、访客认证、APP认证、会员认证、钉钉认证、企业微信认证	4.3.11
哑终端认证账号组管理	哑终端认证	4.3.12
免认证	一键认证、固定账号认证、短信认证、微信公众号认证、访客认证、会员认证、钉钉认证、企业微信认证	4.3.13
跨场所与跨SSID免认证	一键认证、固定账号认证、短信认证、微信公众号认证、访客认证、会员认证、钉钉认证、企业微信认证	4.3.14
上网时段限制	全部	4.3.15
开发者模式		4.3.16
域名白名单与域名黑名单		4.3.17
批量认证配置下发历史		4.3.18

4.3.1 自动弹窗抑制

默认情况下，用户在接入无线服务进行认证时，会自动弹出认证页面。若管理员希望用户在连接无线服务进行认证时手动打开浏览器触发认证流程而非自动弹出认证页面，需要在设备侧做如下配置开启自动弹窗抑制功能。

<Sysname> system-view

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] captive-bypass enable

4.3.2 一键按钮隐藏与定制

仅一键认证支持。

1. 功能简介

开启“隐藏一键按钮”功能后，用户进行一键认证时将不会看到一键按钮，在经过管理员配置的等待时长后即可成功通过认证。

关闭“隐藏一键按钮”功能后，可定制一键按钮的样式，如按钮文字内容、形状、纵向位置、透明度、背景色及文字颜色。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“一键上网”认证方式下可见本功能。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“一键上网”认证方式下可见本功能。

4. 功能位置（路由器有线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“一键上网”认证方式下可见本功能。

5. 功能位置（云AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP >无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在无线服务列表中点击指定无线服务的SSID进入无线服务的配置页面，在高级配置下开启认证功能。点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“一键上网”认证方式下可见本功能。

4.3.3 固定账号批量管理

仅固定账号认证支持。

1. 功能简介

固定账号批量管理支持对固定账号批量删除和批量导入导出。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型）> 用户管理”进入用户管理页面，最后在“固定账号”页签下可对选定场所下的固定账号进行管理。

3. 配置指导

· 批量删除

在固定账号管理页面勾选多个待删除账号后，点击<删除>按钮，确认操作之后即可删除多个固定账号。

· 批量导入与导出

¡ 点击<导入>按钮后，管理员可先下载固定账号模板，按照模板内的修改规则编辑完成后，导入至平台指定的场所。若模板内编辑的固定账号与平台上已存在的固定账号名称重复，则导入时会询问管理员是否进行覆盖。

¡ 点击<导出>按钮后，系统自动将该场所下所有的固定账号以电子表单的形式保存至本地。

4.3.4 自助修改密码

仅固定账号认证支持。

1. 功能简介

开启本功能后，终端在登录前可自行修改账号的密码。若关闭本功能，账号的密码只能由运营方管理员进行修改。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“账号登录”认证方式下可见本功能。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“账号登录”认证方式下可见本功能。

4. 功能位置（路由器有线认证组网）

4.3.5 LDAP

仅固定账号认证支持。

1. 功能简介

LDAP为轻量目录访问协议，本功能支持与运营方的域服务器系统进行交互。平台将终端接入无线网络验证的用户名、密码上传至域服务器进行校验，而后将校验结果返回至平台及正在接入的终端。使用此功能可免除管理员将域服务器中大量员工账号信息导入平台固定账号的工作，但要求运营方具备独立开发能力，能够完成域服务器侧配置。

2. 功能位置（AC+Fit AP组网）

3. 功能位置（路由器无线认证组网）

4. 功能位置（路由器有线认证组网）

5. 配置指导

管理员可在配置完域服务器地址、域端口、域后缀，点击<LDAP配置验证>按钮成功完成验证后，实现平台固定账号认证功能与企业现有域环境对接。

4.3.6 多短信网关

1. 功能简介

运营方可以根据实际需要在亿美平台购买一个或多个短信包，创建一个或多个短信网关并应用于认证模板中的短信认证。

若配置了默认短信网关，则在绘制页面中的短信认证配置中，缺省使用默认短信网关；若未配置默认短信网关，则在绘制页面中的短信认证配置中，管理员需要手动选择认证使用的短信网关。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“设置 > 短信网关”进入短信网关配置页面，在“亿美短信平台”页签下可见短信网关列表。

3. 配置案例

A公司经营范围较广，涵盖餐饮、酒店等。A公司可以购买一个短信包，创建两个短信网关，使用相同的序列号、序列号Key、密码，用不同的短信网关名称、短信签名加以区分。例如，用于酒店认证模板的短信网关，名称为“酒店”、短信签名为“A酒店”，用于餐饮认证模板的短信网关，名称为“餐饮”，短信签名为“A餐饮”。顾客来到A公司的酒店时，接入无线网络进行短信认证时，收到的短信验证信息形如：【A酒店】您于2022年8月1日申请了手机号码注册，验证码是4528，90秒内有效。如非本人操作，请忽略此短信”；顾客来到A公司的餐饮店时，接入无线网络进行短信认证时，收到的短信验证信息形如：【A餐饮】您于2022年8月2日申请了手机号码注册，验证码是1709，90秒内有效。如非本人操作，请忽略此短信”。虽然短信网关不同，但消耗的短信包为同一个。

4.3.7 终端限制

· 仅短信认证支持。

· 仅云AP组网环境不支持。

1. 功能简介

开启本功能后，同一手机号只能与一个终端绑定，即只允许最后一个使用该手机号认证的终端在线（仅限终端在同一无线服务覆盖范围内）。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“短信登录”认证方式下可见本功能。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开认证方式伸缩栏，在“短信登录”认证方式下可见本功能。

4. 功能位置（路由器有线认证组网）

4.3.8 记住手机号

仅短信认证支持。

1. 功能简介

本功能可节省运营方的短信包。开启本功能后，用户首次认证成功后在指定日期内再次登录并使用相同的手机号认证时，无需再次获取验证码即可成功通过认证并使用网络。

手机号保留时长：默认为14天，配置范围为1～365天。

2. 功能位置（AC+Fit AP组网）

3. 功能位置（路由器无线认证组网）

4. 功能位置（路由器有线认证组网）

5. 功能位置（云AP组网）

4.3.9 短信验证码有效时长

仅短信认证支持。

1. 功能简介

在短信验证码有效时长内，同一手机号获取到的验证码不变。

2. 功能位置（AC+Fit AP组网）

3. 功能位置（路由器无线认证组网）

4. 功能位置（路由器有线认证组网）

4.3.10 定制登录样式

仅固定账号认证、短信认证、微信公众号认证、会员认证、钉钉认证、企业微信认证、APP认证支持。

1. 功能简介

登录页面可根据管理员的需要定制，包括认证方式、认证内容、登录按钮。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开登录样式伸缩栏后可见。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开登录样式伸缩栏后可见。

4. 功能位置（路由器有线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开登录样式伸缩栏后可见。

5. 功能位置（云AP组网）

6. 配置指导

点击“认证方式”、“认证内容”可在左侧的页面模板查看对应的修改区域。

可修改的内容包括背景色、文字颜色、背景透明度等。其中“认证方式”的背景色只有在选择了组合认证之后才能看到修改效果。

若管理员希望恢复系统默认登录样式，则只需要点击<恢复初始样式>按钮。此操作将删除用户为登录样式所做的所有样式修改，且操作不可逆，请谨慎操作。

4.3.11 上网限制

· 一键认证、固定账号认证、短信认证、微信公众号认证、访客认证、会员认证支持全部功能；APP认证支持部分功能；哑终端认证不支持全部功能。

· 单次上网时长、每日上网时长、闲置切断流量与闲置切断时长、终端限速功能仅云AP组网环境不支持。

1. 功能简介

平台提供以下功能限制上网终端：

· 单次上网时长：每次终端认证成功后允许上网的时长，超出时长后终端需要重新认证。

· 每日上网时长：每天允许终端上网的时长，超出时长后终端直接下线。

· 闲置切断流量与闲置切断时长：在指定的时长内终端的流量未达到配置的值时，终端直接下线。

· 终端限速：终端的上传速率与下载速率限制为固定的上限值，任何情况下终端的速率均无法超过此值（包含无线环境良好、无线报文优先级高等情况），对所有使用当前认证模板的终端均生效。

5417P01及以前版本不支持本功能。

· 登录过程启用HTTPS：开启本功能后，终端进行认证过程中，前置页与登录页将使用HTTPS协议以提高认证过程中的安全性。

APP认证不支持本功能。

· 是否允许PC上网：开启本功能后，手提电脑以及安装了无线网卡的台式机可以进行云认证并上网，关闭本功能则无法通过认证并上网。

· 首次登录强制短信认证：运营方使用本功能可以强制获取每个认证手机终端的手机号。开启本功能后，终端首次接入本场所中的任一无线网络时，均需先通过短信方式进行认证。终端通过本次强制短信认证及后续的认证才能访问网络（首次登录强制短信认证+短信认证的配置方式只需通过一次认证即可直接访问网络），管理员可在访客列表中看到以手机号作为用户名的终端的接入记录，且该终端再次接入本场所中开启了本功能的任一无线网络时，不需要再次进行强制短信认证。但是，非首次连接时，终端依然需要按照认证模板中配置的认证方式进行认证。

无论是否配置短信认证，使用本功能均需要配置短信网关。

APP认证不支持本功能。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏可见。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏可见。

4. 功能位置（路由器有线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏可见。

5. 功能位置（云AP组网）

6. 配置指导

· 单次上网时长配置的值需要大于0且小于等于每日上网时长，单位为分钟。

· 每日上网时长配置的值需要大于等于单次上网时长且不大于1440，单位为分钟。

· 配置的闲置切断流量取值范围为1～1024000字节；可配置的闲置切断时长大于0且小于单次上网时长，单位为分钟，若配置的值为0，表示关闭闲置切断功能。闲置切断时长建议配置不超过终端通过DHCP Server获取IP时租约时长配置的一半。例如终端获取IP地址的租约时长为60分钟，则闲置切断时长配置不超过30分钟。此配置方式可更真实的反映当前平台上认证用户状态及数量。

4.3.12 哑终端认证账号组管理

1. 功能简介

哑终端认证账号存放于账号组中，对账号组的管理分为以下几个部分：

· 批量删除：批量删除账号组中指定的认证账号。

· 导出：以电子表单的形式导出账号组中所有的认证账号至本地。

· 导入：管理员可下载模板在本地编辑完成后导入至平台。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 >云认证”进入云认证页面，在“账号管理 > 哑终端认证账号”页签下可见本功能。

4.3.13 免认证

开启再次连接免认证功能后，用户再次接入网络时无需手工输入认证信息便可以自动完成Portal认证。

再次连接免认证方式分为Portal免认证和MAC-trigger认证。

· Portal免认证：该方式下，用户再次接入网络时，需打开浏览器触发重定向来完成自动Portal认证，并且可以向用户推送广告。

· MAC-trigger认证：该方式下，用户再次接入网络时，无需打开浏览器触发重定向，可以直接访问网络，但无法向用户推送广告。

1. Portal免认证

AC+Fit AP组网

(1) 登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“免认证”页签下开启“再次连接免认证”功能。

图4-63 配置Portal免认证（AC+Fit AP）

(2) 开启“再次连接免认证”功能且在当前页面开启“推送页面”功能后，则用户在浏览器中进行自动Portal认证时，系统会向用户推送页面模板配置的登录成功页、主页的内容。（若在登录成功页未开启“推送页面”则不向用户推送登录成功页，仅推送主页）

路由器无线认证组网

(1) 登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“免认证”页签下开启“再次连接免认证”功能。

图4-64 配置Portal免认证（路由器）

路由器有线认证组网

(1) 登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”后，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“免认证”页签下开启“再次连接免认证”功能。

图4-65 配置Portal免认证（路由器）

2. MAC-trigger认证

· AC+Fit AP组网、路由器组网

· AC产品5405及以后软件版本的设备支持自动下发认证配置，由于管理员在完成页面上的认证模板配置时已自动下发下文步骤（2）a中所述配置，故步骤（2）a中的命令行无需重复配置。旧版本设备必须手动配置以下所有命令。

(1) 在平台上开启再次连接免认证功能

与Portal免认证配置相同，不再赘述。

(2) 在设备侧配置平台MAC-trigger认证

a. 配置MAC绑定服务器

# 创建MAC绑定服务器cloud，并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server cloud

# 开启Portal平台MAC-trigger认证功能，并配置设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为2次，查询时间间隔为3秒。

[Sysname-portal-mac-trigger-server-cloud] cloud-binding enable

[Sysname-portal-mac-trigger-server-cloud] binding-retry 2 interval 3

[Sysname-portal-mac-trigger-server-cloud] quit

b. 在无线服务模板cloud上应用MAC绑定服务器cloud。

[Sysname] wlan service-template cloud

[Sysname-wlan-st-cloud] portal apply mac-trigger-server cloud

4.3.14 跨场所与跨SSID免认证

· 路由器有线认证、云AP组网环境不支持。

· 仅在配置批量认证时可见。

1. 功能简介

· 开启“跨场所免认证”功能后，终端的免认证范围为应用了同一认证模板的所有场所中SSID相同的无线服务。

· 开启“跨SSID免认证”功能后，终端的免认证范围为应用了同一认证模板的同一场所中的所有无线服务。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 > 云认证”进入云认证页面，在“认证模板”页签下，点击已创建（或修改完成）的认证模板后面的绘制按钮进入绘制页面，在绘制页面点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“免认证”页签下开启“再次连接免认证”后可见本功能。

4.3.15 上网时段限制

1. 功能简介

运营方管理员可根据实际需要，限制通过认证的终端每日允许上网的时段。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“上网时段限制”页签下可见本功能，开启本功能后可配置允许终端上网的时间段。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“上网时段限制”页签下可见本功能，开启本功能后可配置允许终端上网的时间段。

4. 功能位置（路由器有线认证）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“上网时段限制”页签下可见本功能，开启本功能后可配置允许终端上网的时间段。

5. 功能位置（云AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP >无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在无线服务列表中点击指定无线服务的SSID进入无线服务的配置页面，在高级配置下开启认证功能。点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入认证绘制页修改认证配置，点开高级配置伸缩栏，在“上网时段限制”页签下可见本功能，开启本功能后可配置允许终端上网的时间段。

6. 配置指导

· 配置的起始时间与结束时间均为整点。

· 结束时间配置为“00”时表示结束时间为24点，配置的起始时间和结束时间均为“00”时表示终端可以在当天任意时间点上网。

· 可配置每天允许上网的时间区段最多为5个，通过点击时间区段后的“+”、“-”按钮可在下一行分别增加、减少一个时间区段。

4.3.16 开发者模式

1. 功能简介

开发者模式提供认证模板源码修改功能，以便于用户根据需要增加功能或者自定义样式。

修改部分已有功能代码后可能导致云认证功能不可用，请谨慎操作。

2. 功能位置（AC+Fit AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > AC > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面，在绘制页面右上角可见本功能。

3. 功能位置（路由器无线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 路由器 > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“无线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面，在绘制页面右上角可见本功能。

4. 功能位置（路由器有线认证组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”进入认证配置页面，在分支场所选框中依次选择分支、场所，而后切换至待配置的设备，在“有线认证配置”页签下点击认证模板后面的绘制按钮进入绘制页面，在绘制页面右上角可见本功能。

5. 功能位置（云AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP >无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在无线服务列表中点击指定无线服务的SSID进入无线服务的配置页面，在高级配置下开启认证功能。点击<认证配置>按钮进入认证配置页面。点击“登录 > 认证”进入绘制页面，在绘制页面右上角可见本功能。

4.3.17 域名白名单与域名黑名单

仅在无线服务启用认证时，域名白名单与域名黑名单才会生效。

1. 功能简介

· 域名白名单：加入域名白名单的地址不限制终端访问，管理员应将终端接入后所有无需认证但需要访问的地址加入到域名白名单列表中。

· 域名黑名单：加入域名黑名单的地址禁止访问。

若某地址同时出现在域名白名单与域名黑名单中，则域名黑名单生效。

2. 功能位置（AC+Fit AP组网、路由器组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 认证配置”，在该页面可见“域名白名单”和“域名黑名单”页签。

3. 功能位置（云AP组网）

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP >无线配置”，选择“Wi-Fi配置”页签，在分支场所选框中依次选择分支、场所，而后在当前页面配置域名白名单和域名黑名单。

4.3.18 批量认证配置下发历史

仅云AP组网环境不支持本功能。

1. 功能简介

在历史页面，管理员可查看今天/近7天/近30天内或所有的批量下发配置记录，而后可根据需要点击<导出>按钮将下发记录以压缩包的形式导出到本地。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“用户业务 > 云认证”进入云认证页面，在“认证模板”页签下点击已添加的批量认证模板后的下发配置按钮，进入应用模板页面。根据实际组网在相应页签下点击<历史>按钮进入历史页面，而后可见本功能。

4.4 认证用户管理

4.4.1 黑名单

1. 功能简介

在黑名单页签下，可查询已加入黑名单的所有终端、向黑名单中添加终端或将终端从黑名单中解除。

在访客列表/用户列表中点击黑名单控制按钮可将已通过认证的终端加入到黑名单或从黑名单中移除。

若某终端已通过认证且正在使用网络，加入黑名单操作不会立即使其下线，但会禁止该终端下次认证上线。

若某离线终端已处于黑名单中，且该终端符合任一免认证方式的免认证条件（终端曾认证通过且在免认证期内），则系统将依据黑名单禁止该终端认证上线。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 用户管理”，可配置本功能。

4.4.2 注销认证用户

· 仅AC+Fit AP组网和路由器无线认证组网环境支持。

· 使用本功能无法注销免认证用户。

1. 功能简介

管理员可根据需要使用本功能将已经认证成功的部分或全部用户移除下线。

2. 功能位置

登录平台并进入首页后，在顶部导航栏中选择“自动化”、左侧导航栏中选择“终端 > 终端统计 > 终端明细”，在分支场所选框中依次选择分支、场所，而后在“在线终端信息”页签下选择“认证终端”后，可见本功能。

4.4.3 访客列表

适用于AC+Fit AP组网、路由器组网环境。

1. 功能简介

管理员可根据需要使用本功能查看设备的访客登录信息，该功能包括显示访客信息、设置黑名单等。其中，访客信息包括MAC地址、用户名、认证方式、上网次数、累计上网时长、最后一次上网时间、操作等。

2. 功能位置

在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > （产品类型） > 用户管理”，在分支场所选框中依次选择分支、场所，而后选择“访客列表”页签后，可见本功能。

4.4.4 固定账号

1. 功能简介

固定账号认证要求运营方管理员预先在平台上创建用于认证的账号和密码，拥有认证账号和密码的用户才能接入。此认证方式适用于上网成员相对固定的场所，如校园、办公环境等。

2. 增加固定账号

(1) 在顶部导航栏中选择“自动化”。

¡ AC、路由器产品：左侧导航栏中选择“园区网络 > （产品类型） > 用户管理”，在分支场所选框中依次选择分支、场所，而后选择“固定账号”页签后，进入固定账号页面。

¡ 云AP产品：左侧导航栏中选择“园区网络 > 云AP > 用户管理”，在分支场所选框中依次选择分支、场所，而后选择“Portal认证用户 > 固定账号”页签后，进入固定账号页面。

(2) 点击<增加>按钮，输入用户名和密码，新增用于认证的固定账号。

图4-66 增加固定账号

· 固定账号的有效期以天为单位，截止到当日的24:00为一天，配置为0或不配置均表示永久有效。

· 创建固定账号时，若勾选“邮件发送账号名密码”，在创建完成时，平台将以邮件的方式发送账号名和密码至已配置的邮件地址。

(3) 配置完成后，点击<确定>按钮。

4.4.5 云AP用户管理

仅适用于云AP产品。

在顶部导航栏中选择“自动化”、左侧导航栏中选择“园区网络 > 云AP > 用户管理”，在分支场所选框中依次选择分支、场所，可以对当前场所进行用户管理的相关配置。

1. Portal认证用户

· 固定账号：本功能通常应用在配置“固定账号认证”前，运营方管理员可以预先在平台上创建用于认证的账号和密码，拥有认证账号和密码的用户才能接入。在“固定账号”页签下，可以对选定场所下的固定账号进行查看、增加、批量删除、导入/导出操作。新增固定账号的具体步骤请参见“4.4.4 2. 增加固定账号”。

¡ 勾选多个待删除账号后，点击<删除>按钮，确认操作之后即可删除多个固定账号。

¡ 点击<导出>按钮后，系统自动将该场所下所有的固定账号以电子表单的形式保存至本地。

· 访客列表：在“访客列表”页签，可以根据场所分类查看设备的访客登录信息，该功能包括显示访客信息、设置黑名单等。其中，访客信息包括MAC地址、用户名、认证方式、上网次数、累计上网时长、最后一次上网时间、操作等。

· 黑名单：在“黑名单”页签，可以根据场所分类查看、添加黑名单表项。

¡ 点击<增加>按钮，输入访客上网使用的终端MAC地址，点击<确定>按钮，即可添加一条黑名单表项。

¡ 勾选黑名单表项，然后点击<解除>按钮，确认操作之后即可将勾选的黑名单表项移除。

2. 802.1X认证用户

802.1X认证用户功能只对内置RADIUS服务器生效，当选择外置RADIUS服务器时，需要在RADIUS服务器上配置802.1X认证用户。

802.1X认证用户功能用于Wi-Fi配置中的802.1X加密方式，运营方管理员可以通过本功能，对选定场所下的802.1X认证的用户账号进行查看、增加、批量删除、导入/导出操作。

· 在“802.1X认证用户”页签下，点击<增加>按钮，在弹窗中配置账号的账号名、密码和有效期，点击<提交>按钮完成配置。勾选账号，点击<删除>按钮可以将账号删除。

图4-67 增加认证账号

· 完成账号的增加后，在“802.1X认证用户”页签下，点击<筛选>伸缩栏，可以通过账号名、姓名和创建时间等信息快速搜索账号。

· 勾选账号，点击<导入>按钮，管理员可先下载固定账号模板，按照模板内的修改规则编辑完成后，导入至平台指定的场所。若模板内编辑的固定账号与平台上已存在的固定账号名称重复，则导入时会询问管理员是否进行覆盖。

· 点击<导出>按钮后，系统自动将该场所下所有的802.1X账号以电子表单的形式保存至本地。

完成配置后，当用户连接加密方式为802.1X的无线服务时，输入802.1X用户名和密码访问无线网络。

4.5 Portal用户逃生

· 仅AC+Fit AP组网和路由器无线认证组网环境支持。

· 本章仅介绍设备侧相对于基本配置一节“设备侧配置”的额外配置。

Portal用户逃生功能可在Portal认证服务器不可达或Portal Web服务器不可达时生效。当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时，暂停无线服务上的Portal认证功能，允许Portal用户不经过认证即可访问网络资源。当设备探测到服务器恢复时，认证会再次生效。Portal认证功能重新启动之后，服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源，已通过认证的Portal用户不受影响。

(1) 开启Portal用户逃生功能

<Sysname> system-view

[Sysname] wlan service-template cloud

[Sysname-wlan-st-cloud] portal fail-permit web-server

[Sysname-wlan-st-cloud] quit

(2) 配置Portal Web服务器的探测功能

探测功能必须按照以下顺序进行配置，否则可能造成Portal Web服务器震荡。

# 配置Portal Web服务器的探测URL及探测类型。

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] server-detect url http://oasisauth.h3c.com/portal/ping detect-type http

# 配置探测间隔为10秒，若连续二次探测均失败，则发送服务器不可达的日志信息和Trap信息。

[Sysname-portal-websvr-cloud] server-detect interval 10 retry 2 log trap

[Sysname-portal-websvr-cloud] quit

4.6 AP跨公网注册解决方案

仅AC+Fit AP组网和路由器无线认证组网环境支持。

默认情况下，设备侧提供HTTP服务的端口为80端口，终端进行云认证时需通过此端口与设备进行交互。

若运营方的网络为AP跨公网注册至AC或路由器，AP本地转发终端数据流量，且运营方无法为AC或路由器设备申请对外提供服务的80端口时，需对AC或路由器设备以及网络中其它相关设备进行额外配置。可选择“修改HTTP服务端口方案”。

4.6.1 修改HTTP服务端口方案

本节仅介绍设备侧上相对于基本配置一节“设备侧配置”的额外配置。管理员需自行将AC设备IP地址映射到网络出口，此过程中会涉及防火墙配置修改。

(1) 修改HTTP服务端口号（以8088端口为例）

<Sysname> system-view

[Sysname] ip http port 8088

(2) 配置本地Portal Web服务的HTTP服务侦听的TCP端口号

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 8088

[Sysname-portal-local-websvr-http] quit

(3) 配置Portal Web服务器，覆盖已有配置

# 配置Portal Web服务器cloud的URL。（其中x.x.x.x为AC所在网络出口IP，8088为AC映射到网络出口的端口号，请根据实际情况输入地址和端口号）

[Sysname] portal web-server cloud

[Sysname-portal-websvr-cloud] url http://oasisauth.h3c.com/portal/protocol?redirect_uri=http://x.x.x.x:8088/portal/cloudlogin.html

# 配置平台服务器引导终端访问x.x.x.x:8088地址。

[Sysname-portal-websvr-cloud] if-match original-url http://captive.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol?redirect_uri=http://x.x.x.x:8088/portal/cloudlogin.html

[Sysname-portal-websvr-cloud] if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol?redirect_uri=http://x.x.x.x:8088/portal/cloudlogin.html

[Sysname-portal-websvr-cloud] quit

4.7 推送认证用户信息

若管理员需要收集已通过认证的用户上、下线详细信息时，可使用推送认证用户信息功能，使用该功能要求运营方具备开发能力。

登录平台并进入首页后，在顶部导航栏选择“系统”页签在左侧导航栏中选择“系统配置 > 开放平台”进入开放平台页面，在“推送认证用户信息”栏中点击<接口文档>按钮下载接口文档，根据平台提供的接口文档进行开发，而后点击<编辑>按钮输入用户上、下线时信息发送的地址完成所有配置，在有认证用户上、下线时，信息将自动发送至配置的第三方平台。

4.8 常见问题

1. 批量认证配置正确，下发也成功，但终端上线时仍显示下发前的云认证。

确定配置无误的情况下，尝试清理终端浏览器访问记录和缓存。

2. 在配置批量认证时，应用模板页面不显示待下发的设备。

请检查设备软件版本是否符合要求，若不符合请尝试升级设备软件版本至最新版。

3. 未配置免认证时，终端断开Wi-Fi重连后为什么不需要认证就能继续使用网络？

断开Wi-Fi连接后，终端对应的认证用户并不会立即下线，而是需要等到闲置切断时长期满后下线或者管理员强制其下线。此时在平台的认证终端列表里依然可以看到该认证用户在线，在设备侧使用命令行display portal user all查看结果相同。

4. 为什么认证终端数会多于全部在线终端数？

同上所述，终端离线但认证状态并未及时更改会出现此情形，而闲置切断时长的配置也会对此产生影响。

5. 设备侧、平台已按照本文所述完成配置，终端认证时可以触发认证弹框、重定向，但是重定向的认证页面打不开。

可能的原因是终端所分配的网段不被上游网络所知，报文上行传送时上游设备没有回程路由，此时可尝试在设备侧通向外网的接口上配置nat outbound命令，或者利用IGP在网络中发布无线终端所在网段，使上游设备能够学习到路由。

6. 大多数iOS终端接入无线网络过程中迟迟不触发认证弹框，而设备侧已开启Portal被动Web认证的优化功能，如何进行优化？

尝试在设备侧系统视图下配置命令portal captive-bypass optimize delay seconds，其中seconds取值范围为6～60秒，缺省为6秒，配置的值过大会影响设备性能，达到优化效果即可。

4.9 设备侧认证命令快捷配置

以下配置为一键认证、固定账号认证、短信认证、微信公众号认证、哑终端认证、访客认证、钉钉认证、企业微信认证、会员认证设备侧通用配置，5405以前软件版本的设备不支持自动下发认证配置，需要进行手动配置。APP认证在以下通用配置的基础上有额外的配置。

请根据实际情况修改以下标灰位置，而后在命令控制台中用户视图下粘贴已编辑好的命令行配置。

在粘贴配置命令前，请确保设备上已存在的配置不会与待粘贴的命令行有冲突。

快捷部署前，请务必先完成“配置准备”中的配置。

system-view

domain cloud

authentication portal none

authorization portal none

accounting portal none

quit

portal web-server cloud

url http://oasisauth.h3c.com/portal/protocol

server-type oauth

if-match user-agent CaptiveNetworkSupport redirect-url http://oasisauth.h3c.com/generate_404

if-match user-agent Dalvik/2.1.0(Linux;U;Android7.0;HUAWEI redirect-url http://oasisauth.h3c.com/generate_404

if-match original-url http://captive.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

if-match original-url http://10.168.168.168 temp-pass

captive-bypass ios optimize enable

quit

wlan service-template cloud

portal enable method direct

portal domain cloud

portal apply web-server cloud

portal temp-pass period 20 enable

quit

portal local-web-server http

quit

portal local-web-server https

quit

ip http enable

ip https enable

portal host-check enable

portal user log enable

portal free-rule 1 destination ip 114.114.114.114 255.255.255.255

portal free-rule 2 destination ip any udp 53

portal free-rule 3 destination ip any tcp 53

portal free-rule 4 destination ip any tcp 5223

portal free-rule 5 destination oasisauth.h3c.com

portal free-rule 10 destination short.weixin.qq.com

portal free-rule 11 destination mp.weixin.qq.com

portal free-rule 12 destination long.weixin.qq.com

portal free-rule 13 destination dns.weixin.qq.com

portal free-rule 14 destination minorshort.weixin.qq.com

portal free-rule 15 destination extshort.weixin.qq.com

portal free-rule 16 destination szshort.weixin.qq.com

portal free-rule 17 destination szlong.weixin.qq.com

portal free-rule 18 destination szextshort.weixin.qq.com

portal free-rule 19 destination isdspeed.qq.com

portal free-rule 20 destination wx.qlogo.cn

portal free-rule 21 destination wifi.weixin.qq.com

portal free-rule 22 destination open.weixin.qq.com

portal safe-redirect enable

portal safe-redirect method get post

portal safe-redirect user-agent Android

portal safe-redirect user-agent CFNetwork

portal safe-redirect user-agent CaptiveNetworkSupport

portal safe-redirect user-agent MicroMessenger

portal safe-redirect user-agent Mozilla

portal safe-redirect user-agent WeChat

portal safe-redirect user-agent iPhone

portal safe-redirect user-agent micromessenger

5 用户业务

5.1 接入服务

选择“自动化”页签，单击导航树中的[用户业务/接入服务]菜单项，进入接入服务页面。

5.1.1 接入设备

在接入服务页面，单击[接入设备]页签，进入接入设备页面。

1. 接入设备配置

接入设备是指那些与系统配合进行认证的交换机、接入服务器等设备，只有在此处配置的接入设备才能与系统进行正常的报文交互，才能完成最终用户的认证流程。

增加接入设备时，共享密钥必须和设备上配置的认证和计费密钥一致，否则会出现iNode客户端无法认证上线的现象。

单击[接入设备配置]页签，进入接入设备配置页面。

参数说明：

· 共享密钥：系统与设备之间通信，需要一个一样的密码用于互相验证，即系统与设备通信使用的共享密钥。

· 认证端口：系统用于监听认证报文的端口，必须与设备侧设置的认证端口保持一致。

· 业务类型：接入设备所承载的业务类型，目前仅支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”，那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型；如果选择了“设备管理业务”，那么只能应用这一种类型。

· 强制下线方式：当服务器强制终端用户下线时为用户选择的下线方式。

¡ 断开用户连接：NAS设备通过Disconnect消息断开用户连接。

¡ Down-Up端口：NAS设备通过先Down掉连接用户端口，然后再重新UP端口使用户下线。

· 接入设备类型：可以选择各个厂商的设备或标准协议类型（标准协议类型是指要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议（RFC 2865/2866或更新）的规程和报文格式进行交互）。EIA预定义了11个厂商，包括H3C、3Com、华为、思科、锐捷、惠普MSM、惠普Comware、微软、Juniper、惠普ProCurve和ARUBA。管理员也可以到接入设备类型配置中自定义厂商。

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该接入设备所属的业务分组，用于分权管理不同的接入设备。只有拥有该业务分组权限的管理员/维护员才能配置接入设备。

· 设备名称：即设备标签名称，设备的一种标识，操作员可以自定义设备标签，帮助其记忆设备。

· 设备IP地址：设备的IP地址。该地址可以是IPv4地址，也可以是IPv6地址。

· 起始/结束IP地址：手工增加接入设备时，设置起始/结束IP地址可以一次性增加多个接入设备，可以只设置起始IP地址。

· 接入位置分组：为接入设备指定接入位置分组。一个接入设备只能属于一个接入位置分组。

· 批量启用设备逃生：在RADIUS服务器上，批量把所选择的接入设备的状态修改为逃生状态。服务器收到处于逃生状态的接入设备的RADIUS报文后，不进行处理。设备上RADIUS状态变为Block，设备进入逃生模式。

· 批量取消设备逃生：把已选中的处于逃生状态的接入设备状态恢复为正常状态。

(1) 简单查询

查询接入设备功能主要解决以下两类需求：

¡ 系统中接入设备数量较大，通过翻页功能无法快速定位到需要关注的接入设备。

¡ 操作员需要快速查看某一类设备。

简单查询是以设备IP地址、设备名称、接入设备类型为条件进行的接入设备查询。设置简单查询的条件，输入设备IP地址、设备名称，选择接入设备类型，单击<查询>按钮。单击<重置>按钮可以把所有查询条件恢复默认值。

(2) 增加接入设备

增加接入设备操作步骤：

a. 单击<增加>按钮。

b. 输入共享密钥、认证端口、计费端口等参数。

c. 输入增加接入设备的信息。如果选择增加IPv6设备，则可以同时增加单个或者多个IPv6地址格式的设备。增加多台IPv6设备时，以设备IP地址为起始地址，递增该数量的接入设备。例如：设备IP地址为1.1.1.1，顺序增加数量为2，则会增加IP地址为1.1.1.1、1.1.1.2、1.1.1.3三台接入设备。

d. 单击<确定>按钮。

只有在参数设置中开启IPv6设置为是，增加接入设备中才会出现增加IPv6设备按钮。

(3) 用户网关配置

· 同一个接入设备用户网关的IP、MAC地址对是唯一的。

· 同一个接入设备最多能支持300个用户网关。

用于定义用户所使用的网关配置信息。服务器会根据接入设备的IP地址确定下发的网关，并将该网关信息下发给客户端。客户端会向该用户网关发送报文，从而防止了ARP攻击。

¡ 增加用户网关

点击接入设备列表中一条记录的图标，选择“网关配置”，进入用户网关配置页面。单击<增加>按钮，填入用户网关的IP地址、MAC地址和描述，单击<确定>按钮完成操作。

· 增加用户网关时，同一个接入设备用户网关IP地址和MAC地址对必须唯一。

· 用户网关描述信息不能超过128个字符。

· 同一个接入设备最多只能增加300个用户网关。

¡ 修改用户网关

点击接入设备列表中一条记录的图标，选择“网关配置”，进入用户网关配置页面。点击用户网关对应的，填入用户网关的IP地址、MAC地址和描述，单击<修改>按钮完成操作。

¡ 删除用户网关

在接入设备配置页面，点击接入设备列表中一条记录的对应操作，选择“网关配置”，进入用户网关配置页面。选择一个或多个用户网关，单击<删除>按钮，弹出确认对话框，单击<确定>按钮完成操作。

(4) 修改接入设备

用于修改单个或多个接入设备的配置。选择一个或多个接入设备，单击<修改>按钮，输入共享密钥、认证端口、计费端口等参数，而后单击<完成>按钮。

(5) 删除接入设备

选择一个或多个接入设备，单击<删除>按钮，弹出确认对话框，单击<确定>按钮完成操作。

当接入设备上有在线用户时，不能删除该接入设备。

(6) 缺省配置

该功能应用于存在大量接入设备的网络场景，无需将每一个接入设备加入到本系统中进行管理，统一使用缺省配置，可简化管理员操作。即网络中没有纳入本系统管理的接入设备使用缺省配置建立连接关系。

操作步骤：

a. 单击<缺省配置>按钮。

b. 勾选启用缺省配置。

c. 输入共享密钥、认证端口端口等参数。

d. 单击<确定>按钮。

2. 接入设备类型配置

单击[接入设备类型配置]页签，进入接入设备配置页面。

接入设备类型主要用于区分不同厂商的设备。为不同厂商的设备配置不同的RADIUS属性，可以使接入设备更好的与本系统 EIA配合。系统预置了H3C、3Com、华为、思科、锐捷、惠普MSM、惠普Comware、微软、Juniper、惠普ProCurve和ARUBA 11种常用的接入设备类型。在增加或修改接入设备时，设备类型下拉框中可以选择系统预置和管理员自定义的接入设备类型。

(1) 增加/修改接入设备类型

操作步骤：

a. 单击<增加>按钮或点击接入设备类型对应的。

b. 填入接入设备类型的基本信息：

- 厂商名称：设备生产厂商的名称。

- 厂商简称：设备生产厂商的简称。

- 设备类型：设备类型的分类，一般为General。

- 厂商ID：设备生产厂商的ID。

- 描述：接入设备类型的描述。

c. 单击<确定>按钮完成操作。

预置接入设备类型的基本信息不能修改。

(2) 配置私有属性

¡ 增加/修改私有属性

点击接入设备类型对应的，进入私有属性配置界面，单击<增加>按钮或点击接入设备类型对应的，填入私有属性的基本信息，单击<确定>按钮完成操作。

¡ 删除私有属性

点击接入设备类型对应的，进入私有属性配置界面。点击接入设备类型对应的，弹出确认对话框，单击<确定>按钮完成操作。

¡ 参数说明

- 属性名称：私有属性的名称。

- 属性ID：私有属性的ID号。

- 属性类型：私有属性的输入类型，包括字符串型、无符号整型、时间型和IPv4型。

- 描述：私有属性的描述。

· 私有属性列表中不会显示预置的属性，若增加或者修改私有属性时输入的数据与预置的有冲突，请根据提示更改输入。

· 不能查看、修改和配置惠普A系列、H3C和3COM设备的私有属性。

(3) 删除接入设备类型

点击接入设备类型对应的，弹出确认对话框，单击<完成>按钮完成操作。

· 预置的接入设备类型不能删除。

· 不能删除正在被接入设备使用的接入设备类型。

· 删除接入设备类型会删除属性下发策略中有关该类型的私有属性的配置。

3. 私有属性下发策略配置

由于接入设备支持的RADIUS属性不尽相同，为了让本系统EIA可以使用这些属性来实现对用户的接入控制，本系统EIA提供了属性下发策略。通过配置属性下发策略后，管理员可以自定义属性及其值，并下发给接入设备，让接入设备根据策略执行对应的操作（比如让用户下线）。

单击[私有属性下发策略配置]页签，进入私有属性下发策略配置页面。

(1) 增加/修改私有属性下发策略

操作步骤：

a. 单击<增加>按钮或点击私有属性下发策略对应的。

b. 输入增加/修改私有属性下发策略的基本信息。

c. 点击属性列表中的<增加>按钮，在弹出的选择属性对话框中选择需要下发的属性信息。

d. 单击<确定>按钮完成操作。

参数说明：

业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。配置该私有属性下发策略所属的业务分组，用于私有属性下发策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置私有属性下发策略。

· “私有属性下发策略名称”不能为空，不能与已存在的私有属性下发策略名重复。

· 在选择属性对话框中选择属性时，所选择的属性最多允许属于10种不同的接入设备类型，每种接入设备类型最多允许增加16个下发属性。

· 修改私有属性下发策略时不能修改私有属性下发策略名称及其所属的业务分组。

(2) 删除私有属性下发策略

操作步骤：

a. 点击某一私有属性下发策略对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。正在被服务使用的私有属性下发策略不能删除。

4. 接入拓扑

操作员可以根据管理需要，创建接入拓扑，并将接入设备以及其他网络设备加入视图中，以便进行管理。操作员可以创建多个接入拓扑，所有操作员可以查看所有的视图。

接入拓扑主要是将接入设备以及其他网络设备进行分类，并在拓扑图中进行展示。

单击[接入拓扑]页签，进入接入拓扑页面。

(1) 接入业务拓扑功能

该功能实现对接入设备与接入用户的图形化操作，方便管理员对用户进行管理。单击视图列表中接入拓扑的“视图名称”链接，进入接入拓扑页面。

工具栏操作：

¡ 1:1比例显示：单击拓扑图上方工具栏中的“1:1”图标，可按原始大小显示拓扑图。

¡ 放大或缩小拓扑图：单击拓扑图上方工具栏中的“放大”图标或“缩小”图标，可放大或缩小拓扑图。

¡ 适合窗口：单击拓扑图上方工具栏中的“适合窗口”图标，可调整拓扑图至适合窗口大小，完整的展示当前拓扑可视区域内所有拓扑节点。该操作不会重新调整拓扑的位置和布局，并且操作员手工调整后的拓扑节点位置保持不变。

¡ 放大镜：单击拓扑图上方工具栏中的“放大镜”图标，打开/关闭放大镜功能。在拓扑图中移动鼠标，可以放大显示相应的区域。

¡ 手型/指针工具切换：当拓扑图处于指针工具时，点击拓扑图上方工具栏中的“手型/指针工具切换”图标，可切换为手型工具状态。手型工具用于查看和拖动整个拓扑图。当拓扑图处于手型工具时，点击拓扑图上方工具栏中的“手型/指针工具切换”图标，可切换为指针状态。操作员使用指针工具可以对拓扑图中的节点和链路进行操作，包括左键单击节点、左键单击链路、右键单击节点、右键单击链路、双击子网、双击链路、拖动节点的位置等操作。

¡ 保存：当操作员修改了缩放比、背景的位置或者大小、链路及节点的标签显示、节点的位置、锁定状态时，单击拓扑图上方工具栏中的“保存”图标保存修改。

¡ 布局：单击拓扑图上方工具栏中的“布局”，系统会自动完成拓扑节点的重新布局。

特有功能：

¡ 接入业务拓扑图例。

¡ 接入业务节点：包含PC机、交换机、在线用户。

¡ 消息下发：鼠标右键单击接入设备节点或终端用户节点，在弹出的菜单中选择“消息下发”菜单项，弹出下发消息对话框。输入将要下发的消息，单击<确定>按钮，将消息下发至接入设备下的所有用户或某个用户终端。

¡ 强制用户下线：鼠标右键单击接入设备节点或终端用户节点，在弹出的菜单中选择“强制用户下线”菜单项，将接入设备下的所有用户或某个用户终端强制下线。

¡ 加入黑名单：鼠标右键单击接入设备节点或用户终端节点，在弹出的菜单中选择“加入黑名单”菜单项，将接入设备下的所有用户或某个用户终端加入黑名单列表中。

¡ 展示用户：鼠标右键空白区域，在弹出的菜单中选择“展示在线用户”菜单项，弹出选择用户页面，按需勾选需要展示的在线用户，将指定的在线用户展示在拓扑视图中。

¡ 展示所有在线用户：鼠标右键单击接入设备节点，在弹出的菜单中选择“展示所有在线用户”菜单项，将该节点下的所有在线用户展示在拓扑视图中。

注意事项：

¡ 展示在线用户时，最多可以展示该设备下的50个用户。

¡ 链路：设备间连线显示为直线；设备与用户间连线显示为虚线。

¡ 在拓扑视图中对用户进行强制下线、加入黑名单等操作后，需鼠标右键单击空白区域，在弹出的菜单中选择“重新加载”菜单项，重新加载拓扑视图。

(2) 增加接入拓扑

单击<增加>按钮，进入增加接入拓扑页面，输入要增加的接入拓扑的名称，单击<确定>按钮。

(3) 删除接入拓扑

点击视图列表中要删除的接入拓扑对应的，弹出删除确认对话框，单击<确定>按钮。删除接入拓扑后，该视图中的所有设备从视图中移除但不会从智能管理平台中删除。

(4) 修改接入拓扑

在接入拓扑列表中点击某一接入拓扑的，进入修改接入拓扑页面，输入新的名称，单击<确定>按钮。

(5) 增加设备

该功能用于将设备加入接入拓扑。点击列表中某个视图名称链接，进入该接入拓扑的设备列表页面，单击<增加设备>按钮，弹出选择设备窗口，选择要加入视图的设备，单击<确定>按钮。

· 视图中已经存在的设备，不会再出现在选择设备窗口的设备列表中，以避免重复加入设备。

· 一个设备可以同时加入到多个接入拓扑中。

(6) 增加接入设备

该功能提供将未加入到当前视图的接入设备加入到当前视图中。

操作步骤：

a. 点击列表中某个视图名称链接，进入该接入拓扑的设备列表页面。

b. 单击<增加接入设备>按钮，弹出选择设备窗口。

c. 选择要加入视图的接入设备。

d. 单击<确定>按钮。

· 视图中已经存在的接入设备，不会再出现在选择接入设备窗口的设备列表中，以避免重复加入设备。

· 一个接入设备可以同时加入到多个接入拓扑中。

(7) 删除设备

该功能用于将设备从接入拓扑中删除。

操作步骤：

a. 点击列表中某个视图名称链接，进入该接入拓扑的设备列表页面。

b. 在子设备列表中，选中待删除的设备对应的复选框。

c. 单击<删除>按钮，弹出删除确认对话框。

d. 单击<确定>按钮。删除设备只是将设备从视图中移去，设备在其它视图中和智能管理中心中仍然存在。

5.1.2 接入策略

在接入服务页面，单击[接入策略]页签，进入接入策略页面。

1. 接入策略

接入策略是最终用户使用网络必须符合的要求。其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置等。配置完的接入策略可以被服务引用。用户申请服务并接入网络时，受到服务中接入策略的限制。

选择“接入策略”页签，进入接入策略页面。

参数说明：

表5-1 基本信息

参数	说明
接入策略名	接入策略在接入业务中的唯一标识。
业务分组	用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置接入策略所属的业务分组，用于分权管理不同的接入策略。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。
描述	针对该接入策略的简单描述，以方便操作员的日常维护。

表5-2 授权信息

参数	说明
接入时段	选择了某一接入时段策略后，使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
分配IP地址	是否下发用户IP地址。
下行速率(Kbps)	根据设定的下行速率来限制用户使用该规则上网时的下载速率。
上行速率(Kbps)	根据设定的上行速率来限制用户使用该规则上网时的上传速率。
优先级	它的高低确定了在网络拥塞时转发报文的优先顺序，此参数应从设备支持的优先级中选取，数值越小优先级越高。配置错误可能导致用户无法上线。
下发用户组	用户认证通过后向设备下发该用户所属的用户组，可以输入多个组，每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时，该属性才有效。
认证类型	进行EAP认证时，RADIUS服务器优先下发给客户端的EAP类型。包括：EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时，还需要首选EAP-MSCHAPv2，EAP-MD5和EAP-GTC其中的一种子类型。 EAP-MD5：一种EAP认证方式，使用CHAP方式进行认证。 EAP-TLS：是一种基于证书的身份认证，它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证，认证双方是用证书来标识自己的身份。在认证通过之后，TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件（加密，压缩和数据完整性校验），这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传，通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证，简化认证流程，加快认证速度，还对较大的TLS报文进行了分片处理。 EAP-TTLS：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型，也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型（EAP-MSCHAPv2，EAP-MD5，EAP-GTC）和两个非EAP的子类型（MSCHAPv2，PAP）。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时，也必须首选一种EAP的子类型。在实际认证过程中，如果终端采用非EAP的子类型，如PAP，则终端可以忽略EIA的配置，使用终端配置的子类型进行认证。 EAP-PEAP：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道上再发起EAP认证。它具有保护用户标识，保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
EAP自协商	当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时，EIA完全适应由客户端中配置的EAP认证方式，即无论客户端中配置什么类型的EAP认证，EIA都允许客户端继续认证。配置为“禁用”时，如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同，则EIA拒绝其认证。 EAP自协商需客户端支持自适应。若客户端不支持自适应，当认证响应的报文和客户端的认证类型不匹配时，客户端会直接中断连接。例如：服务器默认首选项为EAP-MD5，且服务器开启了自适应，客户端也有自适应功能时，用户选择的EAP认证类型如果不是EAP-MD5，可以自动切换成用户选择的EAP认证类型。服务器默认首选项为EAP-MD5，且服务器开启了自适应，但客户端没有自适应功能时，用户选择的EAP认证类型如果不是EAP-MD5，认证会失败。服务器默认首选项为EAP-MD5，但服务器没有开启自适应，即使客户端也有自适应功能，用户选择的EAP认证类型如果不是EAP-MD5，认证会失败。
单次最大在线时长（分钟）	使用该策略的接入帐号认证成功后可在线的最长时间，单位为分钟。该参数默认值为空，表示不限制；最小值为1，最大值为1440。如果帐号在线时间超过该参数值，EIA则强制该用户下线。
下发地址池	输入地址池名称。EIA将地址池名称下发给接入设备，接入设备根据下发的地址池名称寻找设备上对应的地址池，然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池，该功能才生效。
下发VLAN	设置向用户下发的VLAN，当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时，如果配置的VLAN为1～4094，接入业务以整型的VLAN ID下发给设备，设备上的VLAN分配模式应为整型；所有其他值都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。
离线检查时长（小时）	哑终端认证通过后向设备下发该参数，设备以该参数作为时间间隔，周期性检测哑终端是否已离线。该参数为空时，设备使用缺省值；该参数为0时，表示不检测。时长必须为整数，范围为[0,596523]。该参数只适用于哑终端。
认证密码方式	（1）如果选择"帐号密码"，服务器只校验帐号密码。（2）如果选择"动态密码"，服务器只校验动态密码，动态密码由短信、电子邮件两种方式发送给用户。（3）如果选择"帐号密码+动态密码"，服务器同时校验帐号密码和动态密码，动态密码由短信方式发送给用户。（4）由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和 EAP-PEAP/EAP-GTCS四种认证方式，所以选择"动态密码"或"帐号密码＋动态密码"时，认证方式只能配置为以上四种方式。
下发User Profile	将用户配置文件名称下发给设备，实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile，User Profile才生效。
下发VSI名称	对于采用VxLAN组网的场景，Leaf设备作为接入设备时，可以下发VSI名称，将用户划分到相应的VxLAN中。
禁止在线修改IP地址	用户处于在线状态时禁止其修改IP地址。如果用户在线修改了IP地址，根据配置不同会产生如下现象：（1）启用了策略服务器且选择了“禁止在线修改IP地址”，客户端会立即下线。（2）启用了策略服务器且未选择“禁止在线修改IP地址”，客户端会等待一段时间后下线。（3）未启用策略服务器且选择了“禁止在线修改IP地址”，客户端会等待一段时间后下线。（4）未启用策略服务器且未选择“禁止在线修改IP地址”，客户端会一直在线。
下发ACL	设置向用户下发的访问控制列表。ACL列表可以从以下3种方式选择：（1）手工输入（IPv4）。（2）手工输入（IPv6）。（3）接入ACL列表：其值可以在接入ACL策略管理配置。
终端信息不一致时处理方式	--：表示该项使用默认值。默认情况下以[自动化/用户业务/接入参数/系统配置/终端管理参数配置]页面中的“终端信息不一致时处理方式”项的配置为准拒绝认证：拒绝用户上线。记录差异日志后允许认证：允许用户继续认证，并将终端信息差异记录到日志中。下发黑洞MAC：即通过下发COA报文让设备授权当前用户MAC地址为黑洞MAC。收到该报文后设备将强制该MAC地址认证用户下线，并添加该用户为静默用户。在静默时间（缺省为10分钟）内，设备不对来自该MAC地址用户的报文进行认证处理，直接丢弃。静默期后，如果设备再次收到该用户的报文，则可以对其进行认证处理。
重定向URL	配置重定向的URL。

认证绑定信息

目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当帐号用户申请具有绑定策略的服务时，可以设置相关的绑定信息，如果不设置，绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数，比如用户使用的服务采用自学习绑定用户IP地址，用户首次使用该业务上网时的IP地址为10.100.10.10，则今后用户只能通过使用这个IP地址才能通过认证。

表5-3 认证绑定信息

参数	说明
绑定接入设备IP	勾选将绑定接入设备IP。
绑定接入设备端口	勾选将绑定接入设备端口。
绑定VLAN	勾选将绑定VLAN。
绑定QinQ双VLAN	勾选将绑定QinQ双VLAN。
绑定用户IP地址	绑定用户IP地址。勾选该项时将默认禁止在线修改IP地址。
绑定用户IPv6地址	绑定用户IPv6地址。勾选该项时将默认禁止在线修改IPv6地址。
绑定用户MAC地址	勾选将绑定用户MAC地址。
绑定IMSI号码	勾选将绑定IMSI号码。
绑定计算机名称	勾选将绑定计算机名称。
计算机绑定域	勾选将设置计算机绑定域。
用户必须登录到域	勾选将限制用户必须登录到域。
绑定无线SSID	勾选将绑定无线SSID。
绑定动态分配的IP地址	勾选将绑定动态分配的IP地址。
绑定接入设备序列号	勾选将绑定接入设备序列号。
绑定IMEI号码	勾选将绑定IMEI号码。
绑定硬盘序列号	勾选将绑定硬盘序列号。
启用无线SSID控制	启用该功能后，使用该服务的接入用户采用无线方式上线时，如果无线SSID列表中的接入控制类型为“禁止接入”，则禁止终端通过无线SSID列表中的SSID接入网络；如果接入控制类型为“允许接入”，则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用，EIA一旦将无线SSID池下发给iNode客户端，iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端，不管是否到EIA中认证，该配置都一直生效。
启用终端BIOS序列号控制	启用该参数后，使用该服务的接入用户上线时，如果该用户的BIOS序列号在允许接入BIOS序列号列表中，则用户认证成功，否则认证失败。特殊情况下，如果无法获取到BIOS序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
启用终端IP/MAC地址控制	该设置启用后，使用该服务的接入用户上线时，用户使用的IP地址或者MAC地址属于允许接入的接入地址范围则可以成功上线，否则不能成功上线。接入地址的详细配置请参见终端IP/MAC地址池。
启用终端硬盘序列号控制	该设置启用后，使用该服务的接入用户上线时，如果该用户的硬盘序列号在允许接入硬盘序列号列表中，则用户成功上线，否则用户不能上线。特殊的，如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
启用JAMF联动检查	启用该参数后，使用该接入策略的接入用户认证上线时，会将其所用的终端MAC发给JAMF服务器校验该终端是否已注册。
绑定操作系统授权码	勾选将绑定操作系统授权码。
绑定BIOS序列号	勾选将绑定BIOS序列号。

表5-4 用户客户端配置

参数

说明

仅限iNode客户端

此功能用来对用户认证客户端进行限制。如果选中“仅限iNode客户端”，则最终用户只能使用iNode客户端进行认证上网，同时可以通过禁用代理服务器、IE代理、修改MAC地址等功能来对用户进行限制。

禁用Windows可溶解客户端

当操作系统为Windows时禁止使用可溶解客户端。

禁用Linux/MacOS可溶解客户端

当操作系统为Linux或MacOS时禁止使用可溶解客户端。

网络故障时自动重连

该功能启用后，如果用户掉线，客户端会自动重连。该功能启用后才可以配置“自动重连间隔”和“自动重连次数”参数。如果自动重连间隔配置为30，自动重连次数配置为3，则表示用户掉线后客户端会每隔30分钟重连1次，共重连3次。为了保证系统正常运行，配置自动重连间隔时需要考虑在线用户数，具体的配套关系请参见下面。

在线用户数	自动重连间隔
<=1000	5分钟
<=2000	10分钟
<=3000	15分钟
<=5000	25分钟
>5000	当在线用户大于5000时，自动重连对服务器性能影响很大，不建议使用自动重连功能

自动重连间隔(分钟)

配置自动重连的间隔，单位为分钟。需要先启用“网络故障时自动重连”。

自动重连次数

配置自动重连的次数。超过自动重连次数以后将放弃自动重连。需要先启用“网络故障时自动重连”。

客户端最低版本

限制使用iNode PC客户端认证的最低版本号，版本号低于该值的客户端将不能通过认证。该参数仅对iNode客户端有效，只有勾选了“仅限iNode客户端”时才可配置。

违规处理模式

此功能是对不符合检查项的终端用户所采用的处理方式。下线模式，将终端用户下线；监控模式，则保持终端用户在线。此项配置仅针对禁止开设代理服务器、禁止IE设置代理、禁用多网卡、禁用多操作系统、禁止网卡配置多IP地址、禁止修改MAC地址、禁用VMWare NAT/USB服务、禁止在虚拟机中运行和IP地址获取方式的检测起作用，针对这些项的违规会记录终端违规检查日志。iNode客户端配置中的其他检测项违规均采用下线模式，针对这些项的违规不记录终端违规日志。

禁止开设代理服务器

禁止用户的PC机作为其他用户的代理服务器。

禁止IE设置代理

禁止用户在访问网络时为IE浏览器设置代理。

禁用多网卡

禁止用户同时启用多个网卡。

禁用多操作系统

禁止用户的PC安装多操作系统。

禁止认证网卡配置多IP地址

禁止用户为同一块认证网卡配置多个IP地址。

禁止修改MAC地址

用户的PC机是否修改了MAC地址。

禁止出现相同的MAC地址

用户使用iNode客户端进行认证时，如果客户端检测到网络中存在与本机相同的MAC地址，则认证失败。

禁用VMWare NAT服务

禁止用户使用VMware NAT Service服务。选中该项可以防止终端用户在虚拟机中将虚拟网卡设置为NAT模式，从而防止未进行认证的虚拟机与宿主机共享网络。

禁用VMWare USB服务

禁止用户使用VMWareHostd和VMUSBArbService服务。选中该项可以防止终端用户在虚拟机中挂载宿主机上的USB设备来逃避iNode对USB设备的监控。如果同时选中该项和禁用VMWare NAT服务，则可以防止宿主机共享虚拟机中无线网卡创建的无线热点，逃避iNode代理检测。

禁止在虚拟机中运行

禁止用户系统在虚拟机中运行。

IP地址获取方式

此功能用来对用户IP地址获取方式进行限制。如果选中“必须静态设置”，则最终用户只能使用静态设置的IP地址认证上网，选中“必须动态获取”，则用户只允许使用DHCP服务获取IP地址上网。

(1) 增加/修改接入策略

该功能用于增加/修改一个接入策略。

操作步骤：

a. 单击“接入策略”按钮，进入接入策略列表页面。

b. 单击<增加>按钮或点击接入策略对应的。

c. 填入增加/修改接入策略的基本信息、授权信息、认证绑定信息、用户客户端配置。各项配置参数说明，详见参数说明。

d. 单击<确定>按钮完成操作。

注意事项：

¡ 上行速率、下行速率和优先级可以同时配置，也可以配置任意一个。

¡ 当客户端未启用证书认证，且接入设备中认证方式配置为PAP或CHAP时，无论EIA中配置哪种类型的EAP，都允许客户端使用PAP或CHAP继续认证。

¡ 在EAP-TTLS认证中，EIA可以自动适应终端配置的非EAP子类型。如iOS或Android终端采用PAP方式进行EAP-TTLS认证，则EIA允许终端使用PAP方式进行认证。

¡ iOS终端自动使用服务器侧配置的EAP-TLS、EAP-PEAP、EAP-TTLS认证类型。

¡ Android终端进行EAP-TTLS认证时，需要在Android终端中将EAP方法配置为TTLS，Android终端中阶段2身份认证（即子类型）的选项说明如下：
无：即Android终端自动适应方式，即完全由服务器指定子类型。
PAP：非EAP类型的PAP认证，即忽略服务器侧的子类型配置。
MSCHAP：非EAP类型的MSCHAP认证，目前EIA不支持这种认证方式。
MSCHAPv2：非EAP类型的MSCHAPv2认证，忽略服务器侧的子类型设置。
GTC：即EAP-GTC子类型。

¡ 证书认证类型配置为"EAP-PEAP/MS-CHAPv2"时，EIA不支持LDAP用户修改密码。即在LDAP服务器上不能为用户启用“下次登录必须修改密码”，否则LDAP用户认证失败。

¡ VLAN输入的参数要预先在交换机上进行设置。

¡ 如果绑定了设备IP地址和设备端口，则用户只能通过特定设备的特定端口才能认证上网；如果绑定了某个VLAN，用户只能通过该VLAN的端口上网；如果绑定了QinQ双VLAN，用户只能通过特定的启用了QinQ功能，且QinQ内外层VLAN和绑定设置一致的设备上网；如果绑定了静态IP地址或者MAC地址，用户将只能通过设定的地址认证上网（如果设置了上述的动态分配IP，则绑定IP地址无效）；如果选择绑定了计算机名称，用户只能通过指定的计算机上网；如果选择了计算机绑定域，用户的计算机只有加入到域才能上网；如果选择了用户必须登录到域，用户只能登录到域才能上网。

¡ 在同一个接入策略中不能同时绑定VLAN和绑定QinQ双VLAN。

¡ 修改接入策略时不能修改它所属的业务分组。

¡ 当服务配置选择了带设备ACL策略的安全策略，又选择了下发ACL，那么将优先下发的安全策略的设备ACL。

¡ 认证绑定信息分为两部分，一部分是由身份认证进行绑定检查（如绑定接入设备IP、绑定接入设备端口等），一部分是由策略服务器进行绑定检查（仅包括计算机名称、计算机绑定域、用户必须登录到域），由于身份认证发生在策略服务器进行绑定检查之前，因此，即使策略服务器绑定检查失败了，身份认证阶段也会自学习到其进行的绑定检查内容。

¡ 客户端判定“禁用VMWare NAT/USB服务”检查项是否违规时，会先禁用对应的服务。如果禁用成功，则不违规；如果禁用失败，则客户端会下线（下线模式下）或向策略服务器上报违规信息（监控模式下）。

¡ 认证密码方式为“动态密码”时，未开户用户首次认证时，服务器需要先校验账号密码的合理性，再对用户进行开户操作。成功开户后用户再次认证时服务器只校验“动态密码”。

¡ BYOD匿名用户不支持“账号密码+动态密码”的认证密码方式，所以请不要为BYOD匿名用户配置此认证密码方式。

¡ MAC Portal功能与仅限iNode客户端、用户绑定信息等配置不能一起使用。

(2) 删除接入策略

在接入策略列表页面，点击某一接入策略对应的，弹出确认对话框。单击<确定>按钮完成操作。正在被服务使用的接入策略不能删除。

2. 无线SSID池

无线SSID池通过管理一个无线SSID列表来限制用户接入网络。当在接入策略中选中"启用无线SSID控制"时，如果无线SSID列表中的接入控制类型为“禁止接入”，则禁止通过无线SSID列表中的SSID连接的用户接入网络；如果接入控制类型为“允许接入”，则只允许通过无线SSID列表中的SSID连接的用户接入网络。该功能必须和iNode PC客户端配合使用，EIA一旦将无线SSID池下发给iNode客户端，iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端，不管是否到EIA中认证，该配置都一直生效。

选择“无线SSID池”页签，进入无线SSID池页面。

(1) 增加/修改SSID

该功能用于在无线SSID列表中增加/修改SSID。点击“无线SSID池”页签，进入无线SSID池页面，单击<增加>按钮或点击SSID对应的，填写SSID名称、描述，单击<确定>按钮完成操作。最多只能增加64个SSID。

(2) 删除SSID

点击“无线SSID池”页签，进入无线SSID池页面，选中单个或多个SSID地址，单击<删除>按钮，确认后即可删除。

(3) 修改接入控制类型

无线SSID列表包括允许接入列表和禁止接入列表，分别与两种接入控制类型对应。因此修改接入控制类型可以改变无线SSID列表的类型。

#点击“无线SSID池”页签，进入无线SSID池页面，点击“修改接入控制类型”链接，进入修改接入控制类型页面，选择接入控制类型，单击<确定>按钮完成操作。

# 参数说明

接入控制类型：无线SSID的接入类型，包括允许接入和禁止接入两种类型。如果配置为禁止接入，则禁止通过无线SSID列表中的SSID连接的用户接入网络；如果配置为允许接入，则只允许通过无线SSID列表中的SSID连接的用户接入网络。

只有当无线SSID列表为空时，才能修改接入控制类型。

3. 终端硬盘序列号池

终端硬盘序列号池通过管理一个允许接入的硬盘序列号列表来控制用户对网络的使用。管理员可以配置允许接入硬盘序列号列表。在接入策略启用终端硬盘序列号控制的情况下，接入用户上线时，如果该用户的硬盘序列号在允许接入的硬盘序列号列表中，则用户成功上线；如果该用户的硬盘序列号不在该列表中，则用户不能上线。当EIA无法获取到当前接入终端的硬盘序列号时，如果“无法获取硬盘序列号时的接入类型”设置为“允许接入”，用户可以成功上线；如果“无法获取硬盘序列号时的接入类型”设置为“禁止接入”，则拒绝用户上线。只有在使用iNode PC客户端认证时该功能才生效。

选择“终端硬盘序列号池”页签，进入终端硬盘序列号池页面。

参数说明：

无法获取硬盘序列号时的接入类型：iNode客户端获取不到硬盘序列号时，是否允许终端接入。如果设置为“允许接入”，则当iNode客户端获取不到终端PC的硬盘序列号时，EIA允许终端接入网络，如果设置为“禁止接入”，则当iNode客户端获取不到终端PC的硬盘序列号时，EIA禁止终端接入网络。

(1) 增加/修改硬盘序列号

该功能用于在硬盘序列号列表中增加/修改硬盘序列号。

在终端硬盘序列号池页面，单击<增加>按钮或点击接入硬盘序列号对应的，填写硬盘序列号、描述。单击<确定>按钮完成操作。

(2) 导入硬盘序列号

该功能用于将一定量的硬盘序列号导入硬盘序列号列表中。

在终端硬盘序列号池页面，单击<批量导入>按钮，选择存放硬盘序列号信息的文件以及文件中信息的分隔符，单击<下一步>按钮，选定硬盘序列号和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。单击<确定>按钮。

(3) 删除硬盘序列号

该功能用于在硬盘序列号表中删除硬盘序列号。

在终端硬盘序列号池页面，选中单个或多个硬盘序列号，单击<删除>按钮，确认后即可删除。

4. 终端IP/MAC地址池

终端IP/MAC地址池通过管理一个允许接入的IP/MAC地址列表或者一个禁止接入的IP/MAC地址列表来限制用户对网络的使用。终端IP/MAC地址池和接入策略中“启用终端IP/MAC地址控制”一起配合使用，只有在接入策略中选中该选项，IP/MAC地址管理才会生效。IP/MAC地址管理只能控制通过策略服务器进行安全检查的认证方式。

选择“终端IP/MAC地址池”页签，进入终端IP/MAC地址池页面。

(1) 增加/修改接入IP/MAC地址

该功能用于在IP/MAC地址列表中增加/修改接入IP/MAC地址。

选择“终端IP/MAC地址池”页签，进入终端IP/MAC地址池页面，单击<增加>按钮或点击接入IP/MAC地址对应的，填写IP地址、MAC地址、描述，单击<确定>按钮完成操作。

(2) 导入接入IP/MAC地址

该功能用于将一定量的接入IP/MAC地址导入IP/MAC地址列表中。

进入终端IP/MAC地址池页面，单击<批量导入>按钮，选择存放IP/MAC地址信息的文件以及文件中信息的分隔符，单击<下一步>按钮。选定接入IP/MAC地址和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。单击<确定>按钮。

(3) 删除接入IP/MAC地址

该功能用于在IP/MAC地址表中删除接入IP/MAC地址。

选择“终端IP/MAC地址池”页签，进入终端IP/MAC地址池页面，勾选一个或多个IP/MAC地址，单击<删除>按钮，确认后即可删除。

(4) 修改接入控制类型

# IP/MAC地址列表分为允许接入列表和禁止接入列表，由接入控制类型和接入类型决定。修改“接入控制类型”和“接入类型”可以改变IP/MAC地址列表的类型。

a. 选择“终端IP/MAC地址池”页签，进入终端IP/MAC地址池页面，单击“修改接入控制类型”链接，进入修改接入控制类型页面，具体说明如下：

¡ “接入控制类型”选择“允许接入”项、“接入类型”选择“IP/MAC地址”项，单击“确定”按钮，返回终端IP/MAC地址池页面。操作员可以在该页面配置允许接入的IP和MAC地址列表。

- 接入用户上线时，如果该用户的IP地址和MAC地址组合在允许接入IP/MAC地址列表中，则用户成功上线。

- 接入用户上线时，如果该用户的IP地址和MAC地址组合不在列表中，则用户不能上线。

- 当接入IP/MAC地址列表为空时，用户接入网络不受该功能限制，所有用户可正常接入网络。

¡ “接入控制类型”选择“禁止接入”项、“接入类型”选择“IP/MAC地址”项，单击“确定”按钮，返回终端IP/MAC地址池页面。操作员可以在该页面配置禁止接入的IP和MAC地址列表。

- 接入用户上线时，如果该用户的IP地址和MAC地址组合在禁止接入IP/MAC地址列表中，则用户不能上线。

- 如果该用户的IP地址和MAC地址组合不在列表中，则用户正常上线。

b. 选择接入控制类型。

c. 选择接入类型。

d. 单击<确定>按钮完成操作。

# 参数说明

¡ 接入控制类型：用户地址的接入类型，有允许接入和禁止接入两种类型。如果配置为允许接入，则操作员只能配置允许接入IP/MAC地址列表；如果配置为禁止接入，则操作员只能配置禁止接入IP/MAC地址列表。

¡ 接入类型：用户地址的类型，可选项为“IP地址”、“MAC地址”和“IP/MAC地址”。

- IP地址：操作员只能配置允许（禁止）接入IP地址列表。

- MAC地址：操作员只能配置允许（禁止）接入MAC地址列表。

- IP/MAC地址：操作员只能配置允许（禁止）接入IP和MAC地址列表。

# 注意事项

¡ 只有接入IP/MAC地址列表中不存在IP/MAC地址时，才能修改接入控制类型。

¡ 接入控制类型为允许接入：只有用户的IP/MAC地址在允许接入IP/MAC地址列表中存在，用户才能通过认证。当接入IP/MAC地址列表为空时，用户接入网络不受该功能限制，所有用户可正常接入网络。

¡ 接入控制类型为禁止接入：只有IP/MAC地址不在禁止接入IP/MAC地址列表中的用户才能通过认证。

5. 终端BIOS序列号池

终端BIOS序列号池通过管理一个允许接入的BIOS序列号列表来控制用户对网络的使用。管理员可以配置允许接入BIOS序列号列表。在接入策略启用BIOS序列号控制的情况下，接入用户上线时，如果该用户的BIOS序列号在允许接入的BIOS序列号列表中，则用户成功上线；如果该用户的BIOS序列号不在该列表中，则用户不能上线。当终端BIOS序列号列表为空时，用户接入网络不受该功能限制，所有用户可正常接入网络。当EIA无法获取到当前接入终端的BIOS序列号时，如果“无法获取BIOS序列号时的接入类型”设置为“允许接入”，用户可以成功上线；如果“无法获取BIOS序列号时的接入类型”设置为“禁止接入”，则拒绝用户上线。只有在使用iNode PC客户端认证时该功能才生效。

选择“终端BIOS序列号池”页签，进入终端BIOS序列号池页面。

参数说明：

无法获取BIOS序列号时的接入类型：iNode客户端获取不到BIOS序列号时，是否允许终端接入。如果设置为"允许接入"，则当iNode客户端获取不到终端PC的BIOS序列号时，EIA允许终端接入网络，如果设置为"禁止接入"，则当iNode客户端获取不到终端PC的BIOS序列号时，EIA禁止终端接入网络。

(1) 增加/修改BIOS序列号

该功能用于在BIOS序列号列表中增加/修改BIOS序列号。

操作步骤：

a. 在终端BIOS序列号池页面，单击<增加>按钮或点击接入BIOS序列号对应的。

b. 填写BIOS序列号、描述。

c. 单击<确定>按钮完成操作。

(2) 导入BIOS序列号

该功能用于将一定量的BIOS序列号导入BIOS序列号列表中。

操作步骤：

a. 在终端BIOS序列号池页面，单击<批量导入>按钮。

b. 选择存放BIOS序列号信息的文件以及文件中信息的分隔符，单击<下一步>按钮。

c. 选定BIOS序列号和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。

d. 单击<确定>按钮。

(3) 删除BIOS序列号

该功能用于在BIOS序列号表中删除BIOS序列号。

操作步骤：

a. 在终端BIOS序列号池页面，选中单个或多个BIOS序列号。

b. 单击<删除>按钮，确认后即可删除。

6. 接入ACL策略管理

接入ACL策略管理功能用于定义接入ACL，本系统EIA提供的接入ACL只能配置目的IP地址范围，协议和端口。用户通过身份认证后，用户使用的接入策略中的接入ACL将下发到设备，用户只能访问ACL所允许的网络资源。

选择“接入ACL策略管理”页签，进入接入ACL策略管理页面。

(1) 增加/修改接入ACL策略

该功能用于增加/修改接入ACL策略。操作步骤：

a. 在接入ACL策略管理页面，单击<增加>按钮，进入增加接入ACL策略页面；或点击接入ACL策略对应的，进入修改接入ACL策略页面。

b. 设置增加/修改接入ACL策略的基本信息。

c. 选择类型，手工增加ACL规则或者选择预先定义的ACL规则集（单击列表中的<增加>按钮，在弹出设置页面进行设置）。

d. 单击<确定>按钮完成操作。

参数说明：

¡ ACL规则默认动作：报文无法匹配任一ACL规则时，设备对此报文的处理方式。包括允许和拒绝两个选项。

¡ 是否对不匹配报文计数：如果选中对不匹配报文计数，将对无法匹配任一ACL规则的报文进行计数。

¡ 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该ACL所属的业务分组，用于ACL的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置ACL。

¡ 类型：指定ACL规则的添加来源。分为“手工增加”和“选择ACL规则集”两种类型。

¡ ACL规则列表：显示了该ACL包含的所有规则。

¡ ACL规则参数说明

- 协议：表示该规则可以对哪些协议报文进行控制。如果选择“IP”，表示对所有IP报文进行控制。

- 匹配动作：对匹配该规则的报文采取的动作，包括两种动作：允许和拒绝。

- 目的IP地址：报文的目的IP地址。

- 掩码长度：目的IP地址的子网掩码位数。

- 掩码：掩码点分十进制的表示方式，不允许修改。

- 目的端口：报文的目的端口。只有“协议”选择了TCP或UDP，才能配置目的端口。目的端口缺省为空，表示任意端口。

- 是否对匹配报文计数：决定设备是否对匹配该ACL规则的报文计数。

- 插入位置：该条规则在ACL规则列表中的位置。如输入1，就表示将该规则插在ACL规则列表中第一行，序号为1。当该值为空或输入的值大于ACL列表中的序号时，该规则将插入在ACL列表末尾。

(2) 删除接入ACL策略

该功能用于删除接入ACL策略。操作步骤：

a. 在接入ACL策略管理页面，点击待删除ACL策略对应的链接，确认后即可删除。

注意事项：

¡ 被服务引用的接入ACL策略不能删除。

¡ 如果部署了SCC组件，并且SCC安全控制策略参数中引用了该ACL策略，请不要删除该ACL策略，否则将导致SCC安全控制策略不可用。

¡ 如果接入ACL策略引用了接入ACL规则集，删除接入ACL策略不会删除引用的接入ACL规则集。

(3) 接入ACL规则集管理

接入ACL规则集管理功能用于定义一组接入ACL规则，在接入ACL策略中，可以为每个接入ACL策略选择预先定义的规则集。

在接入ACL策略管理页面，点击接入ACL策略列表右上方的“接入ACL规则集管理”链接，进入接入ACL规则集管理页面。

¡ 增加/修改接入ACL规则集

该功能用于增加/修改接入ACL规则集。单击<增加>按钮，进入增加接入ACL规则集页面；或点击接入ACL规则集对应的，进入修改接入ACL规则集页面，设置增加/修改接入ACL规则集的基本信息，设置接入ACL规则集包含的ACL规则（单击列表中的<增加>按钮，在弹出设置页面进行设置），单击<确定>按钮完成操作。

¡ 删除接入ACL规则集

该功能用于删除接入ACL规则集。点击待删除ACL规则集对应的链接，确认后即可删除。被接入ACL策略引用的接入ACL规则集不能删除。

5.1.3 接入服务

在接入服务页面，单击[接入服务]页签，进入接入服务页面。

服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成，其中具体包括基本信息和接入策略信息两部分。服务为用户提供了完善的接入策略，用户申请了特定的服务后，即可按照服务设定的属性访问网络。

具体的接入策略如下表所示：

项目	接入策略	安全策略	私有属性下发策略	内网外连策略
用户接入的场景信息与接入服务中的接入场景信息完全匹配	接入场景中的接入策略生效	接入场景中的安全策略生效	接入场景中的私有属性下发策略生效	接入场景中的内网外连策略生效
用户接入的场景信息与接入服务中的接入场景信息不完全匹配	接入服务中的缺省接入策略生效	接入服务中的缺省安全策略生效	接入服务中的缺省私有属性下发策略生效	接入服务中的缺省内网外连策略生效

表5-5 基本信息

参数

说明

服务名

特定服务在接入业务中的唯一标识。

状态

服务的状态决定了该服务是否可被申请，包括可申请、不可申请、无效三种状态。

服务后缀

用于在用户认证时标识用户申请的不同服务。如果用户申请的服务中设置了服务后缀，则用户上网时必须以“用户名@服务后缀”作为登录名进行认证。服务后缀必须与接入设备中的域名一致，且接入设备必须上传域名，才能使用户正常认证。服务后缀与认证连接的用户名、设备的Domain和设备Radius scheme中的命令这几个要素密切相关，具体的搭配关系请参考表格。

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀

服务描述

针对该服务的简单描述，以方便操作员的日常维护。

单日累计在线最长时间（分钟）

每天允许帐号使用该服务接入网络的总时长，达到该时长后，帐号将被强制下线，且当日不能再次接入。若一个帐号对应多个终端，则多个终端时长累计，累计时长达到该时长后，帐号将被强制下线，且当日不能再次接入。该参数单位是分钟，只支持输入整数，最小值是0，表示不限制每天在线时长，最大值是1440。

缺省安全策略

不受接入位置分组限制的用户上网时，会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控，从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。

缺省内网外连策略

接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省内网外连策略的控制。

缺省接入策略

接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省接入策略的控制

缺省私有属性下发策略

不受接入位置分组限制的用户上网时，EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。

单帐号最大绑定终端数

用户在该接入场景下可以绑定的最大终端数。当用户在该接入场景下绑定的终端数目超过此处设定的值时，用户将无法上线。取值范围为：[0,999]，值为0时表示不限制。该参数只有在部署了EIP组件后才会显示。

缺省单帐号最大绑定终端数

接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
单帐号最大绑定终端数的检查顺序如下：

匹配的接入场景：EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制，如果已达到数量限制，则拒绝用户认证；

所有服务中包含的场景：检查用户申请的所有服务中（包括服务中的所有场景）已绑定的终端数量，如果用户绑定的所有终端数量已达到终端管理参数中定义的“单帐号最大绑定终端数”数量限制，则EIA拒绝用户认证，否则允许用户继续认证。

单帐号在线数量限制

用户在该接入场景下被允许在线的最大终端数。当用户在该接入场景下在线的终端数目超过此处设定的值时，用户将无法上线。取值范围为：[0,999]，值为0时表示不限制

缺省单帐号在线数量限制

接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号在线数量限制的控制。

可申请

只有选中此项，用户在开户或修改帐户信息时才可以申请该服务。当启用按用户分组申请服务时，如果该服务已经指定给用户分组，那么无论该服务是否为可申请状态，属于该用户分组的接入用户都会申请该服务。

业务分组

用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。配置该服务所属的业务分组，用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。

无感知认证

服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证，第一次认证时会强制推出认证页面，用户需要输入用户名和密码进行认证，第一次认证成功后，RADIUS服务器会将该终端的MAC地址和接入用户绑定（如果是Portal认证方式，还会和服务绑定），之后如果该智能终端再次接入网络，RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务，并自动进行认证，不会再强制推出认证页面，当然也不需要再次输入用户名和密码，这样就实现了无感知认证。无感知认证存在两种认证方式：Portal认证和MAC认证。
Portal认证方式下实现无感知认证需要满足：

Portal网关支持无感知认证，需要通过命令行开启，Portal网关发送的无感知认证请求由Portal服务器处理，所以网关中配置的服务器IP地址和端口号必须为Portal服务器IP地址和端口号，缺省端口号为50100。

“自动化>>用户业务>>接入服务>>Portal服务管理>>设备配置>>端口组信息管理”中的“无感知认证”选择“支持”选项。

“自动化>>用户业务>>接入参数>>系统配置>>终端管理参数配置”中的“无感知认证”选择“启用”选项。

MAC认证方式下实现无感知认证需要满足：

接入设备支持无感知认证，需要通过命令行开启。

“自动化>>用户业务>>接入参数>>系统配置>>终端管理参数配置”中的“无感知认证”选择“启用”选项。

如果满足以上所有条件，用户使用该服务接入网络时，将进行无感知认证。终端和接入用户的绑定关系可以在“监控>>监控列表>>终端>>接入终端”中查看。

注意：如果服务配置中选中了“无感知认证”，且申请该服务配置的用户使用终端接入网络，并且由于满足以上条件确实进行了无感知认证，则该服务配置中的“绑定MAC地址”功能将不生效。

接入场景列表

如果用户接入的场景与接入策略列表中的某个接入场景完全匹配，则用户认证时会根据接入位置分组策略的配置决定应用哪个安全策略，应用哪个私有属性下发策略，应用哪个接入策略。反之，用户使用服务中的缺省安全策略，缺省私有属性下发策略和缺省接入策略。“安全策略”只有在安装了EAD安全策略组件后才会出现。

(1) 增加/修改接入服务

该功能用于增加/修改一个接入服务。操作步骤：

a. 在接入服务页面，单击<增加>按钮或点击接入服务对应的。

b. 填入增加/修改接入服务的基本信息和接入场景信息。接入场景信息包括接入条件信息和接入策略信息两部分。其中接入条件信息包括接入位置分组、终端IP地址分组、SSID分组、终端MAC地址分组、终端厂商分组、终端操作系统分组、终端类型分组、AP分组、接入时段策略、手机号码分组和IMSI号码分组；接入策略信息包括接入策略、安全策略、私有属性下发策略、内网外连策略、单帐号最大绑定终端数和单帐号在线数量限制。其中安全策略和内网外连策略只有在安装了EAD情况下才会显示。单帐号最大绑定终端数和缺省单帐号最大绑定终端数只有在安装了EIP组件后才会显示。

c. 单击<确定>按钮完成操作。

注意事项：

¡ “缺省安全策略”只有安装了EAD安全策略组件后才会出现。

¡ “服务名”不能为空，不能与已存在的服务名重复。

¡ 用户申请多个服务时，它们的服务后缀名不能相同。

¡ 安全策略只有iNode客户端才支持，在非隔离模式下，为了确保安全策略能够生效，建议将“仅限iNode客户端”选项选中。

¡ 修改接入服务时不能修改服务后缀相关配置。

¡ 修改接入服务时不能修改它所属的业务分组。

¡ 接入场景列表可以为空。在同一个服务中不能存在相同接入条件的接入策略。（所谓相同的接入条件即两条接入策略的接入位置分组、终端IP地址分组、SSID分组、终端MAC地址分组、终端厂商分组、终端操作系统分组、终端类型分组、AP分组、接入时段策略、手机号码分组和IMSI号码分组都相同）。接入策略的接入条件不能全为不限。

¡ 如果应用场景中使用了接入时段，且在当前时间不在该接入时段有效时间范围内时，则使用该场景的在线用户将被下线。

¡ 修改参数“缺省单帐号最大绑定终端数”、“单帐号最大绑定终端数”、“缺省单帐号在线数量限制”和“单帐号在线数量限制“时，针对已在线用户不会生效。

(2) 删除接入服务

该功能用于删除一个接入服务。操作步骤：

a. 进入接入服务管理页面。

b. 点击某一接入服务对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。正在被用户使用的服务不能删除。

5.1.4 接入条件

为了让同一个接入用户在不同接入条件接入网络时使用不同的接入策略，同时对用户的访问权限进行控制，本系统EIA推出了接入条件管理的功能。接入条件包含接入位置分组、终端IP地址分组、SSID分组、终端MAC地址分组、终端厂商分组、终端类型分组、操作系统分组、认证类型、接入方式、接入时段策略管理、AP分组、手机号码分组和IMSI号码分组。接入条件管理功能的使用方法如下：

（1）在接入条件管理功能中分别增加接入位置分组、终端IP地址分组、SSID分组、终端MAC地址分组、终端厂商分组、终端类型分组、操作系统分组、认证类型、接入方式、接入时段策略管理、AP分组、手机号码分组和IMSI号码分组。

（2）在服务中配置多个条件，条件即接入位置分组、终端IP地址分组、SSID分组、终端MAC地址分组、终端厂商分组、终端类型分组、操作系统分组、认证类型、接入方式、接入时段策略管理、AP分组、手机号码分组和IMSI号码分组的搭配与组合，并为不同的接入条件分配不同的接入策略、安全策略和下发私有属性和内网外连策略。如果不安装EAD组件，则不显示安全策略和内网外连策略。

配置完成后，用户的接入策略如下：

（1）如果用户接入的条件与服务中的某个接入条件匹配，则用户认证时使用该条件对应的接入策略。

（2）如果用户接入的条件与服务中的多个接入条件匹配，则用户认证时使用优先级高的条件对应的接入策略。

（3）如果用户接入的条件与服务中的任何接入条件都不匹配，使用缺省的、安全策略和下发缺省的私有属性，私有属性下发策略。

在接入服务页面，单击[接入条件]页签，进入接入条件页面。

1. 接入位置分组

接入位置分组即用户接入网络时使用的设备。该功能是BYOD的前置功能，其作用是实现接入用户通过不同的接入设备上网时可以使用不同的接入策略。

参数说明

· 接入设备列表：选择一台或多台接入设备的IP地址。只有已经加入EIA的设备才能成为候选设备（设备加入EIA的方法）。

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该接入位置分组所属的业务分组，用于分权管理不同的接入位置。只有拥有该业务分组权限的管理员/维护员才能配置接入位置。

(1) 增加/修改接入设备分组

该功能用于增加/修改接入设备分组。操作步骤：

a. 选择“WHERE”页签，单击<接入位置分组>按钮。

b. 单击<增加>按钮或点击接入设备分组对应的。

c. 填写接入设备分组名、接入设备分组描述，选择所属的业务分组。

d. 增加接入设备，如果想增加一个没有设备的接入设备分组（没有设备接入设备分组的使用请参见本页注意事项的第一点），直接到第f步。否则，单击<增加>按钮，在弹出对话框中选择一台或多台接入设备后，单击<确定>按钮。

e. 在接入设备列表中点击某接入设备对应的，从列表中删除不需要的接入设备。

f. 单击<确定>按钮完成操作。

注意事项：

¡ 没有设备的接入设备分组的合理性：如果配置流程是先增加接入设备分组，再增加接入设备，则增加的接入设备分组中肯定没有设备，之后在增加接入设备时，可以为设备指定接入设备分组。

¡ 一台接入设备只能属于一个接入设备分组。

¡ 修改接入设备分组时不能修改它所属的业务分组。

(2) 删除接入设备分组

该功能用于删除接入设备分组。操作步骤：

a. 选择“WHERE”页签，单击<接入位置分组>按钮。

b. 点击某一接入设备分组对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。不能删除正在被服务使用的接入设备分组。

2. SSID分组

SSID分组即用户接入网络时使用的SSID。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的SSID上网时可以使用不同的接入策略。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该SSID分组所属的业务分组，用于分权管理不同的SSID。只有拥有该业务分组权限的管理员/维护员才能配置SSID。

· 无线SSID列表：一个或多个不重复的无线SSID，一个SSID分组最多可以包含256个无线SSID。

(1) 增加/修改SSID分组

该功能用于增加/修改SSID分组。操作步骤：

a. 选择“WHERE”页签，单击<SSID分组>按钮。

b. 单击<增加>按钮或点击SSID分组对应的。

c. 填写SSID分组名、描述，选择所属的业务分组。

d. 单击<增加>按钮，在弹出对话框中填写无线SSID、描述后，单击<确定>按钮，无线SSID增加完毕。

e. 在SSID列表中点击某SSID对应的，或者勾选多个SSID后单击<批量删除>按钮，从列表中删除不需要的无线SSID。

f. 单击<确定>按钮完成操作。

注意事项：

¡ SSID分组必须至少包含一个无线SSID，且无线SSID不能重复。

¡ 修改SSID分组时不能修改其所属的业务分组。

(2) 删除SSID分组

该功能用于删除SSID分组。操作步骤：

a. 选择“WHERE”页签，单击<SSID分组>按钮。

b. 点击某一SSID分组对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。不能删除正在被服务或者Portal页面推送策略使用的SSID分组。

3. AP分组

AP分组即用户接入网络时使用的AP。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的AP上网时可以使用不同的接入策略。

在接入条件页面单击“WHERE”标签，单击<AP分组>按钮，进入AP分组页面。

参数说明

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该AP分组所属的业务分组，用于分权管理不同的AP。只有拥有该业务分组权限的管理员/维护员才能配置AP分组。

· AP列表：一个AP分组最多可以包含256个AP。AP列表中的AP不能重复。

(1) 增加/修改AP分组

该功能用于增加/修改AP分组。操作步骤：

a. 在AP分组页面，单击<增加>按钮或点击AP分组对应的。

b. 填写AP分组名、描述，选择所属的业务分组。

c. 单击<增加>按钮，在弹出对话框中填写AP的NAS ID、描述后，单击<确定>按钮，AP增加完毕。

d. 在AP列表中点击某AP对应的单击<删除>按钮，从列表中删除不需要的AP。

e. 单击<确定>按钮完成操作。

注意事项

¡ AP分组必须至少包含一个AP，且AP不能重复。

¡ 同一个AP不能属于多个AP分组。

¡ 修改AP分组时不能修改其所属的业务分组。

¡ NAS ID不区分大小写。

(2) 删除AP分组

该功能用于删除AP分组。操作步骤：

a. 在AP分组页面，点击某一AP分组对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务或者Portal页面推送策略使用的AP分组。

4. 终端IP地址分组

终端IP地址分组即用户接入网络时使用的IP地址范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的IP地址上网时可以使用不同的接入策略。每个终端IP地址分组只能配置一个IP地址段。

在接入条件页面单击“WHOSE”标签，单击<终端IP地址分组>按钮，进入终端IP地址分组列表页面。

(1) 增加/修改终端IP地址分组

该功能用于增加或修改终端IP地址分组。操作步骤：

a. 单击<增加>按钮或点击终端IP地址分组对应的。

b. 填入终端IP地址分组的信息，包括：终端IP地址分组名、起始地址和终止地址，选择所属的业务分组。

c. 单击<确定>按钮完成操作。

(2) 删除终端IP地址分组

该功能用于删除终端IP地址分组。操作步骤：

a. 点击某一终端IP地址分组对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。

参数说明：

¡ 终端IP地址分组名：终端IP地址分组的名称。

¡ IP类型：接入IP地址的类型，包括两类IPv4和IPv6。

¡ 起始地址：终端IP地址分组的起始地址。

¡ 终止地址：终端IP地址分组的终止地址。

¡ 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该终端IP地址分组所属的业务分组，用于分权管理不同的终端IP地址。只有拥有该业务分组权限的管理员/维护员才能配置终端IP地址。

注意事项：

¡ 不能删除被服务配置引用的终端IP地址分组。

¡ 一个IP地址只能属于一个终端IP地址分组。

¡ 只要操作员输入的IP地址包含在被查询IP地址组所定义地址段中，此IP地址组就会被查询出来。

¡ 有关地址的查询条件是按照IP地址来限定的，要求输入的IP地址是有效的，可以输入IPv4或者IPv6格式。

5. 终端MAC地址分组

终端MAC地址分组即用户接入网络时使用的MAC地址范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的MAC地址上网时可以使用不同的接入策略。

在接入条件页面单击“WHOSE”标签，单击<终端MAC地址分组>按钮，进入终端MAC地址分组列表页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该终端MAC地址分组所属的业务分组，用于分权管理不同的终端MAC地址。只有拥有该业务分组权限的管理员/维护员才能配置终端MAC地址。

· 接入MAC地址列表：一个或多个不重复的接入MAC地址，一个终端MAC地址分组最多可以包含10000个接入MAC地址。

(1) 增加/修改终端MAC地址分组

该功能用于在MAC地址组列表中增加/修改终端MAC地址分组。操作步骤：

a. 在终端MAC地址分组页面，单击<增加>按钮或点击终端MAC地址分组对应的。

b. 填写终端MAC地址分组名、描述。

c. 增加接入MAC地址。单击<增加>按钮，在弹出对话框中填写接入MAC地址、描述后，单击<确定>按钮。

d. 在接入MAC地址列表中点击接入MAC地址对应的，或者勾选多个MAC地址后单击<批量删除>按钮，从列表中删除不需要的接入MAC地址。

e. 单击<确定>按钮完成操作。

注意事项：

¡ 终端MAC地址分组必须至少包含一个接入MAC地址，且接入MAC地址不能重复。

¡ 同一个接入MAC地址不能属于多个终端MAC地址分组。

¡ 修改终端MAC地址分组时不能修改它所属的业务分组。

(2) 删除终端MAC地址分组

该功能用于在MAC地址组列表中删除终端MAC地址分组。操作步骤：

a. 单击“接入条件”按钮，在接入条件页面单击“WHOSE”标签，单击“终端MAC地址分组”按钮，进入终端MAC地址分组页面。

b. 点击终端MAC地址分组对应的，确认后即可删除。不能删除正在被服务使用的终端MAC地址分组。

6. 手机号码分组

手机号码分组即用户接入网络时使用的手机号码范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的手机号码上网时可以使用不同的接入策略。

在接入条件页面单击“WHOSE”标签，单击<手机号码分组>按钮，进入手机号码分组列表页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该手机号码分组所属的业务分组，用于分权管理不同的手机号码。只有拥有该业务分组权限的管理员/维护员才能配置手机号码。

· 手机号码列表：一个或多个不重复的手机号码，一个手机号码分组最多可以包含10000个手机号码。

(1) 增加/修改手机号码分组

该功能用于在手机号码组列表中增加/修改手机号码分组。操作步骤：

a. 在手机号码分组页面，单击<增加>按钮或点击手机号码分组对应的。

b. 填写手机号码分组名、描述，选择所属的业务分组。

c. 增加手机号码。单击<增加>按钮，在弹出对话框中填写手机号码、描述后，单击<确定>按钮。

d. 在手机号码列表中点击手机号码对应的，从列表中删除不需要的手机号码。

e. 单击<确定>按钮完成操作。

注意事项

¡ 手机号码分组必须至少包含一个手机号码，且手机号码不能重复。

¡ 同一个手机号码不能属于多个手机号码分组。

¡ 修改手机号码分组时不能修改它所属的业务分组。

(2) 删除手机号码分组

该功能用于在手机号码组列表中删除手机号码分组。在手机号码分组页面，点击手机号码分组对应的，确认后即可删除。不能删除正在被服务使用的手机号码分组。

7. IMSI号码分组

IMSI号码分组即用户接入网络时使用的IMSI号码范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的IMSI号码上网时可以使用不同的接入策略。

在接入条件页面单击“WHOSE”标签，单击< IMSI号码分组>按钮，进入IMSI号码分组列表页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该IMSI号码分组所属的业务分组，用于分权管理不同的IMSI号码。只有拥有该业务分组权限的管理员/维护员才能配置IMSI号码。

· IMSI号码列表：一个或多个不重复的IMSI号码，一个IMSI号码分组最多可以包含10000个IMSI号码。

(1) 增加/修改IMSI号码分组

该功能用于在IMSI号码组列表中增加/修改IMSI号码分组。操作步骤：

a. 在IMSI号码分组页面，单击<增加>按钮或点击IMSI号码分组对应的。

b. 填写IMSI号码分组名、描述，选择所属的业务分组。

c. 增加IMSI号码。单击<增加>按钮，在弹出对话框中填写IMSI号码、描述后，单击<确定>按钮。

d. 在IMSI号码列表中点击IMSI号码对应的，或者勾选多个IMSI号码后单击<删除>按钮，从列表中删除不需要的IMSI号码。

e. 单击<确定>按钮完成操作。

注意事项：

¡ IMSI号码分组必须至少包含一个IMSI号码，且IMSI号码不能重复。

¡ 同一个IMSI号码不能属于多个IMSI号码分组。

¡ 修改IMSI号码分组时不能修改它所属的业务分组。

(2) 删除IMSI号码分组

该功能用于在IMSI号码组列表中删除IMSI号码分组。在IMSI号码分组页面，点击IMSI号码分组对应的，确认后即可删除。不能删除正在被服务使用的IMSI号码分组。

8. 终端厂商分组

终端厂商分组即用户接入网络时使用的终端所属的厂商。该功能是BYOD的前置功能，其作用是实现接入用户使用不同厂商的终端上网时可以使用不同的接入策略。

在接入条件页面单击“WHAT”标签，单击<终端厂商分组>按钮，进入终端厂商分组列表页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该厂商分组所属的业务分组，用于分权管理不同的厂商。只有拥有该业务分组权限的管理员/维护员才能配置厂商分组。

· 厂商列表：一个或多个不重复的厂商，一个厂商分组最多可以包含256个厂商。

(1) 增加/修改终端厂商分组

该功能用于增加/修改终端厂商分组。操作步骤：

a. 终端厂商分组列表页面，单击<增加>按钮或点击终端厂商分组对应的。

b. 填写终端厂商分组名、描述，选择所属的业务分组。

c. 单击<增加>按钮，在弹出对话框中选择厂商后，单击<确定>按钮，厂商增加完毕。

d. 在厂商列表中点击某厂商对应的或者勾选多个厂商后单击<批量删除>按钮，从列表中删除不需要的厂商。

e. 单击<确定>按钮完成操作。

注意事项：

¡ 终端厂商分组必须至少包含一个厂商，且厂商不能重复。

¡ 同一个厂商不能属于多个终端厂商分组。

¡ 修改终端厂商分组时不能修改其所属的业务分组。

(2) 删除终端厂商分组

该功能用于删除终端厂商分组。操作步骤：

a. 终端厂商分组列表页面，点击某一终端厂商分组对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务使用的终端厂商分组。

9. 终端操作系统分组

操作系统分组即用户接入网络时所使用终端的操作系统。该功能是BYOD的前置功能，其作用是实现接入用户使用不同操作系统的终端上网时可以使用不同的接入策略。

在接入条件页面单击“WHAT”标签，单击<终端操作系统分组>按钮，进入终端操作系统分组列表页面。

参数说明：

· 操作系统列表：一个或多个不重复的操作系统，一个操作系统分组最多可以包含256个操作系统。终端的操作系统必须与操作系统分组中配置的操作系统完全相同，终端接入时才能够使用操作系统分组对应的接入策略。例如，操作系统分组A中配置操作系统Android，终端的操作系统为Android 4.x，则认为终端的操作系统不属于操作系统分组A。

(1) 增加/修改操作系统分组

该功能用于增加/修改操作系统分组。操作步骤：

a. 终端操作系统分组列表页面，单击<增加>按钮或点击操作系统分组对应的。

b. 填写操作系统分组名、描述，选择所属的业务分组。

c. 单击<增加>按钮。

d. 在操作系统列表中选择操作系统。

e. 单击<确定>按钮。

f. 单击<确定>按钮完成操作。

注意事项

¡ 操作系统分组必须至少包含一个操作系统，且操作系统不能重复。

¡ 同一个操作系统不能属于多个操作系统分组。

¡ 修改操作系统分组时不能修改其所属的业务分组。

(2) 删除操作系统分组

该功能用于删除操作系统分组。操作步骤：

a. 终端操作系统分组列表页面，点击某一操作系统分组对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务或者Portal页面推送策略使用的操作系统分组。

10. 终端类型分组

终端类型分组即用户接入网络时所使用终端的类型。该功能是BYOD的前置功能，其作用是实现接入用户使用不同类型的终端上网时可以使用不同的接入策略。

在接入条件页面单击“WHAT”标签，单击<终端类型分组>按钮，进入终端类型分组列表页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该终端类型分组所属的业务分组，用于分权管理不同的终端类型。只有拥有该业务分组权限的管理员/维护员才能配置终端类型分组。

· 终端类型列表：一个或多个不重复的终端类型，一个终端类型分组最多可以包含256个终端类型。

(1) 增加/修改终端类型分组

该功能用于增加/修改终端类型分组。操作步骤：

a. 在终端类型分组列表页面，单击<增加>按钮或点击终端类型分组对应的。

b. 填写终端类型分组名、描述，选择所属的业务分组。

c. 点击<增加>按钮。

d. 在终端类型列表中选择终端类型。

e. 点击<确定>按钮完成勾选。

f. 单击<确定>按钮完成操作。

注意事项：

¡ 终端类型分组必须至少包含一个终端类型，且终端类型不能重复。

¡ 同一个终端类型不能属于多个终端类型分组。

¡ 修改终端类型分组时不能修改其所属的业务分组。

(2) 删除终端类型分组

该功能用于删除终端类型分组。操作步骤：

a. 在终端类型分组列表页面，点击某一终端类型分组对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务使用的终端类型分组。

11. 认证类型

认证类型即用户接入网络时使用的认证类型。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的接入策略上网时可以使用不同认证类型，只有特定型号和特定版本才可实现。

在接入条件页面单击“WHAT”标签，单击<认证类型>按钮，进入认证类型页面。

(1) 增加/修改认证类型

该功能用于增加/修改认证类型。操作步骤：

a. 在认证类型页面，单击<增加>按钮或点击认证类型对应的。

b. 填写认证类型名、描述，选择所属的业务分组。

c. 点击<增加>按钮。

d. 在终端类型列表中选择终端类型。

e. 点击<确定>按钮完成勾选。

f. 单击<确定>按钮完成操作。

注意事项：认证类型必须至少包含一个认证类型。

(2) 删除认证类型

该功能用于删除认证类型。操作步骤：

a. 在认证类型页面，点击某一认证类型对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务使用的认证类型。

12. 接入方式

接入方式即用户接入网络时使用的接入方式。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的接入策略上网时可以使用不同接入方式，只有特定型号和特定版本才可实现。

在接入条件页面单击“WHAT”标签，单击<接入方式>按钮，进入接入方式页面。

(1) 增加/修改接入方式

该功能用于增加/修改接入方式。操作步骤：

a. 在接入方式页面，单击<增加>按钮或点击接入方式对应的。

b. 填写接入方式名、描述，选择所属的业务分组。

c. 点击<增加>按钮。

d. 在终端类型列表中选择终端类型。

e. 点击<确定>按钮完成勾选。

f. 单击<确定>按钮完成操作。

(2) 删除接入方式

该功能用于删除接入方式。操作步骤：

a. 在接入方式页面，点击某一接入方式对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。不能删除正在被服务使用的接入方式。

13. 接入时段策略

接入时段策略可以用于接入策略和接入场景中。接入时段策略包括四个关键参数：策略生效时间、策略失效时间、缺省接入类型/缺省匹配动作和接入时段。这四个参数配合使用，实现了接入时间的精细化控制。当用于接入策略中时，具体规则为：在策略生效时间范围外，如果缺省接入类型配置为“允许接入”，则允许用户认证，否则禁止用户认证；在策略生效时间范围内，根据各个接入时段的所配置的时间段、接入类型以及优先级综合决定用户是否可以通过认证。例如，策略生效时间配置为2010-01-01 00:00:00，策略失效时间配置为2010-12-31 23:59:59，缺省的接入类型为“禁止接入”。策略包含A、B两个接入时段，时段B的优先级高于时段A。时段A配置为每天8:00～22:00，接入类型为“允许接入”。时段B配置为每周一8:00～22:00，接入类型为“禁止接入”。根据以上配置，策略的有效期是2010年，因此用户只有在2010年的周二至周日8:00～22:00才能通过认证。当用于接入场景中时规则类似，缺省的匹配动作为“匹配”表示能够匹配到场景，“不匹配”表示不匹配场景。

在接入条件页面单击“WHEN”标签，单击<接入时段策略>按钮，进入接入时段策略页面。

参数说明：

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该接入时段策略所属的业务分组，用于接入时段策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入时段策略。

· 缺省接入类型/缺省匹配动作：缺省接入类型适用于接入策略引用的接入时段，表示当用户接入时间不在接入时段列表配置的任何时间范围内时是否允许接入用户通过认证；取值为禁止接入和允许接入，禁止接入表示不允许用户通过认证，允许接入表示允许用户通过认证。缺省匹配动作适用于接入场景引用的接入时段，表示当用户接入时间不在接入时段列表配置的任何时间范围内时默认是否匹配当前接入场景；取值为匹配和不匹配。

· 接入类型/匹配动作：包括禁止接入和允许接入。接入类型适用于接入策略，表示当用于接入策略中时表示在接入时段范围内是否允许接入用户通过认证。禁止接入表示不允许用户通过认证，允许接入表示允许用户通过认证。匹配动作适用于接入场景，表示当用于接入场景中时表示当前接入时间是否与场景中的接入时段策略匹配。

· 优先级：当多条时段有重合时，采用优先级较高时段的接入类型。

(1) 增加/修改接入时段策略

该功能用于增加/修改一个接入时段策略。操作步骤：

a. 在接入时段策略页面，单击<增加>按钮或点击接入时段策略对应的。

b. 填入增加/修改接入时段策略的基本信息。

c. 填入增加/修改接入时段策略的接入时段信息。点击接入时段列表中的<增加>按钮，在弹出的增加接入时段对话框中选择接入时段信息。

d. 单击<确定>按钮完成操作。

注意事项：

¡ “接入时段策略名”不能为空，不能与已存在的接入时段策略名重复。

¡ 同一个接入时段策略既可以作为接入条件使用，也可以作为接入策略中的参数使用。

¡ “策略生效时间”和“策略失效时间”不能为空，“策略生效时间”必须早于“策略失效时间”。

¡ 接入策略必须包含至少一个接入时段。

¡ 在增加接入时段弹出对话框中，“接入时段类型”有固定时段、年为周期，月为周期、周为周期和日为周期五种接入时段类型。固定时段只生效一次，没有周期。此字段不能为空。选择不同的接入时段类型后“接入开始时间”和“接入结束时间”的时间下拉选项会随之变化。

¡ 在增加接入时段弹出对话框中，“接入开始时间”必须早于“接入结束时间”，并且此接入时段在接入时段策略的生效时间和失效时间之间才有效。一个接入策略可以对应多个接入时段，多个接入时段间允许时间重叠。只有“接入结束时间”才能选择“24”点。

(2) 删除接入时段策略

该功能用于删除一个接入时段策略。操作步骤：

a. 在接入时段策略页面，点击某一接入时段策略对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。

5.1.5 页面推送策略

页面推送策略是为了用户通过不同的认证方式进行认证时，根据不同条件推送不同认证页面而配置的策略。

当用户访问BYOD页面时，根据MAC认证方式推送符合条件的认证页面：

· 配置了“页面推送策略”：则用户与认证页面的对应关系由“页面推送策略”功能的具体配置决定。如果在页面推送策略配置中没有找到匹配的认证页面，认证页面将使用页面推送策略缺省MAC认证页面。

· 未配置“页面推送策略”，BYOD将推送缺省MAC认证页面。

当用户访问Portal页面时，根据Portal认证方式推送符合条件的认证页面：Portal认证方式的用户使用Portal认证页面。在配置Portal设备的端口组时，可以配置参数“页面推送策略”和“默认认证页面”。这一端口组下的用户使用的认证页面与参数配置情况密切相关，具体说明如下：

· 配置了“页面推送策略”：则用户与认证页面的对应关系由“页面推送策略”功能的具体配置决定。如果在页面推送策略配置中没有找到匹配的认证页面，用户认证页面将使用端口组配置的默认认证页面。

· 未配置“页面推送策略”，配置了“默认认证页面”：这一端口组下所有用户均使用“默认认证页面”指定的页面进行认证。

· 未配置“页面推送策略”，未配置“默认认证页面”：这一端口组下所有用户均使用Portal服务器设置的Portal主页进行认证。

在接入服务页面，单击[页面推送策略]页签，进入页面推送策略页面。

(1) 增加/修改页面推送策略

该功能用于为用户增加/修改页面推送策略。操作步骤：

a. 单击“页面推送策略”按钮，进入页面推送策略配置页面。

b. 单击<增加>按钮或点击页面推送策略记录对应的。

c. 填写或选择页面推送策略信息包括：策略名称、业务分组、认证方式和描述以及页面推送子策略等。

(2) 删除页面推送策略

该功能用于删除一个页面推送策略，当Portal认证方式的页面推送策略被端口组使用时不可删除。操作步骤：

a. 单击“页面推送策略”按钮，进入页面推送策略配置页面。

b. 点击某一页面推送策略记录对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。

注意事项：

¡ 页面推送策略配置完成后需要单击导航树中的[自动化/业务参数/接入参数/系统配置手工生效]菜单项才能使配置生效。

¡ 终端向BYOD Server或Portal Server发送请求后，Server将根据获取的用户接入信息按照页面推送子策略的优先级顺序依次匹配各个子策略的推送场景，一旦匹配成功则立刻推送对应的认证页面。

¡ Portal认证方式页面推送策略不能超过30个，MAC认证方式页面推送策略只能有一个。

¡ 当使用网页进行身份认证时，不支持二次地址分配的组网环境。

¡ 移动终端用户通过Portal认证页面（index_pda_default.jsp）认证上线后，认证页面不支持心跳。因此PDA用户对应的端口组中“心跳间隔”必须设置为0，否则会导致用户自动断线。

¡ 页面推送子策略中使用终端厂商、终端操作系统、终端类型作为条件时，终端首次认证时可能会推送缺省认证页面。

5.1.6 终端页面定制

在IE9下使用自动注册与认证的页面时，需要设置浏览器允许Javascript脚本执行。具体操作如下：

(1) 打开IE9浏览器，点击菜单栏的“工具”选项，在弹出的下拉菜单中选择“Internet选项”，弹出“Internet选项”窗口。

(2) 切换到“安全”选项卡，单击<自定义级别>按钮，弹出“安全设置-Internet区域”窗口。

(3) 在设置框中找到“Java小程序脚本”和“活动脚本”并启用，单击<确定>按钮关闭窗口。

(4) 再次单击<确定>按钮保存设置。

2. Portal页面定制

本系统提供一个绘制页面的可视化工具，操作员在无需借助第三方人力或者工具的情况下，可自行定制Portal认证页面（包括认证页、认证成功页、心跳弹出窗口和修改密码页）。操作员既可以定制在PC/PAD上推出的Web页面，也可以定制在手机上推出的Web页面。系统分别为这两类页面预置了几套模板，方便操作员经过简单的修改即可完成页面的定制。系统还提供了空白模板，操作员也可以上传基于样例模板的自定义页面文件。

选择[自动化]页签，选择左侧导航树中的[用户业务/接入服务/终端页面定制]菜单项，切换至“Portal定制页面”页签，进入Portal定制页面。

(1) 增加Portal定制页面

a. 点击“增加”链接进入增加页面。

b. 输入名称，选择业务分组和选择类型，输入描述信息，配置完成后，单击<增加>按钮，进入编辑Portal定制页面。

c. 按需绘制页面，页面绘制完成后，单击<保存>按钮完成操作。

(2) 删除Portal定制页面

删除基于模板创建的定制记录，会同时删除页面文件；删除自定义导入的定制记录，仅删除记录不会删除页面文件。

a. 勾选需删除的定制页面，单击<删除>按钮，或单击定制页面对应“操作”列的删除图标弹出删除确认对话框。

b. 单击<确定>按钮完成操作。

(3) 下发Portal定制页面

将定制页面下发至Portal服务器，下发方式分为批量下发及单独下发两种方式

¡ 批量下发：勾选列表中需下发的定制页面，单击<下发>按钮，将定制页面下发至Portal服务器。

¡ 单独下发：单击定制页面对应“操作”列的下发图标，或单击列表中定制页面对应“操作”列的编辑图标，进入编辑Portal定制页面，单击页面右上角<下发>按钮，将定制页面下发至Portal服务器。

(4) 自定义页面

a. 单击<自定义页面>按钮，进入增加自定义页面模板页面。

b. 单击“自定义页面模板”链接，下载样例模板，并按要求修改样例模板。

c. 输入名称、选择业务分组和类型，单击<上传>按钮，选择修改的样例模板。

d. 单击<增加>按钮，完成增加自定义页面模板操作。

(5) 编辑Portal定制页面

a. 单击列表中定制页面对应“操作”列的编辑图标，进入编辑Portal定制页面。

b. 按需编辑绘制页面，修改完成后，单击<保存>按钮完成操作。

(6) 基于模板增加Portal定制页面/复制Portal定制界面

操作员既可以基于系统提供的模板创建定制页面，也可以基于已绘制的定制界面复制出新的定制界面。这两种方法创建的定制界面可以通过本系统提供的工具进行绘制。操作员可以根据模板提供的预览页面了解页面的格局，并从众多模板中选择所需的模板。

操作步骤：

a. 单击列表中定制页面对应“操作”列的复制模板图标，弹出复制模板对话框。

b. 输入名称及描述，单击<增加>按钮，进入编辑Portal定制页面。

c. 按需编辑绘制页面，编辑完成后，单击<保存>按钮完成操作。

(7) 预览Portal定制页面

a. 单击列表中定制页面对应“名称”列的名称链接，进入预览定制页面。

b. 通过切换页面右侧名称标签，预览定制页面。

注意事项：

¡ Portal定制名称唯一标识一个记录，在Portal端口组和页面推送策略中选择的Portal认证页面就是定制名称。

¡ 不能删除被页面推送策略和Portal端口组使用的定制记录。

¡ 绘制页面上传的背景图片推荐分辨率为1920*1080，建议不小于480*270，支持jpg，jpeg，gif，bmp，png格式的图片。

¡ 在预览Portal定制页面时，会预览最近一次页面保存的结果。如果操作员没有将该页面发布到Portal服务器，那么预览的页面与终端用户实际打开的页面将不一致。

3. BYOD页面定制

本系统提供一个绘制页面的可视化工具，操作员在无需借助第三方人力或者工具的情况下，可自行定制BYOD认证页面（包括认证页、认证成功页和强制修改密码页）。操作员既可以定制在PC/PAD上推出的Web页面，也可以定制在手机上推出的Web页面。系统分别为这两类页面预置了几套模板，方便操作员经过简单的修改即可完成页面的定制。系统还提供了空白模板，操作员也可以上传基于样例模板的自定义页面文件。

选择[自动化]页签，选择左侧导航树中的[用户业务/接入服务/终端页面定制]菜单项，切换至“BYOD定制页面”页签，进入BYOD定制页面。

(1) 增加BYOD定制页面

a. 单击<增加>按钮，进入增加BYOD定制页面

b. 输入名称、选择业务分组和选择类型、输入描述信息，配置完成后，单击<增加>按钮，进入编辑BYOD定制页面。

c. 按需绘制页面，页面绘制完成后，单击<保存>按钮完成操作。

(2) 删除BYOD定制页面

删除基于模板创建的定制记录，会同时删除页面文件；删除自定义导入的定制记录，仅删除记录不会删除页面文件。操作步骤：

a. 勾选需删除的定制页面，单击<删除>按钮，或单击定制页面对应“操作”列的删除图标弹出删除确认对话框。

b. 单击<确定>按钮完成操作。

(3) 下发BYOD定制页面

将定制页面下发至BYOD服务器，下发方式分为批量下发及单独下发两种方式。

¡ 批量下发：勾选列表中需下发的定制页面，单击<下发>按钮，将定制页面下发至Portal服务器。

¡ 单独下发：单击定制页面对应“操作”列的下发图标，或单击列表中定制页面对应“操作”列的编辑图标，进入编辑BYOD定制页面，单击页面右上角<下发>按钮，将定制页面下发至BYOD服务器。

(4) 自定义页面

a. 单击<自定义页面>按钮，进入增加自定义页面模板页面。

b. 单击“自定义页面模板”链接，下载样例模板，并按要求修改样例模板。

c. 输入名称、选择业务分组和类型，单击<上传>按钮，选择修改的样例模板。

d. 单击<增加>按钮，完成增加自定义页面模板操作。

(5) 编辑BYOD定制页面

a. 单击列表中定制页面对应“操作”列的编辑图标，进入编辑BYOD定制页面。

b. 按需编辑绘制页面，修改完成后，单击<保存>按钮完成操作。

(6) 基于模板增加BYOD定制页面/复制BYOD定制界面

操作员既可以基于系统提供的模板创建定制页面，也可以基于已绘制的定制界面复制出新的定制界面。这两种方法创建的定制界面可以通过本系统提供的工具进行绘制。操作员可以根据模板提供的预览页面了解页面的格局，并从众多模板中选择所需的模板。操作步骤：

a. 单击列表中定制页面对应“操作”列的复制模板图标，弹出复制模板对话框。

b. 输入名称及描述，单击<增加>按钮，进入编辑BYOD定制页面。

c. 按需编辑绘制页面，编辑完成后，单击<保存>按钮完成操作。

(7) 预览BYOD定制页面

a. 单击列表中定制页面对应“名称”列的名称链接，进入预览定制页面。

b. 通过切换页面右侧名称标签，预览定制页面。

注意事项：

¡ BYOD定制名称唯一标识一个记录，在服务的接入策略中选择相应的BYOD定制名称。

¡ 不能删除被页面推送策略认证使用的页面。

¡ 重新绘制BYOD页面并发布到BYOD服务器后，操作员需手工重启本系统服务使新页面生效。

4. 预注册页面定制

本系统提供一个绘制页面的可视化工具，操作员在无需借助第三方人力或者工具的情况下，可自行定制预注册认证页面（包括用户预注册页面和访客预注册页面）。操作员既可以定制在PC/PAD上推出的Web页面，也可以定制在手机上推出的Web页面。系统分别为这两类页面预置了几套模板，方便操作员经过简单的修改即可完成页面的定制。系统还提供了空白模板，操作员可以DIY自行设计页面。

除了页面外观的设计，操作员还可定制在用户终端显示的预注册属性，定制内容包括：基于使用习惯修改属性名称、增加属性的描述信息、去掉不需要的属性、为属性定义缺省值、调整属性显示的顺序、增加法律条款并自定义声明内容等等。

绘制工具不提供按钮、复选框和下拉列表等这类具有业务逻辑的控件。如果操作员需要在页面中使用这些控件，可以先借助第三方人力或者工具定制页面，然后将页面通过“自定义”方式导入到系统中进行统一管理。

选择[自动化]页签，选择左侧导航树中的[用户业务/接入服务/终端页面定制]菜单项，切换至“预注册页面定制”页签，进入预注册页面定制页面。

(1) 基于模板增加预注册定制记录/复制预注册定制记录

操作员既可以基于系统提供的模板创建定制页面；也可以基于已绘制的定制记录复制出新的定制记录。这两种方法创建的定制记录可以通过本系统提供的工具进行绘制。操作员可以根据模板提供的缩略图了解页面的格局，并从众多模板中选择所需的模板。

操作步骤：

a. 点击模板图标右下角的“增加”链接进入增加基于模板的定制记录的页面；或者点击某个定制记录对应的链接进入增加基于模板的定制记录的页面，复制一套新的定制记录。

b. 输入定制名称，选择定制类型，输入描述信息。

c. 单击<确定>按钮完成操作。

(2) 增加自定义预注册定制记录

通过自定义方式引入第三方制作的预注册页面，方便预注册页面的统一管理。这种方法创建的定制记录不可使用本系统提供的工具进行绘制。操作员需手工将预注册认证页面放入<本系统安装路径>\client\web\apps\selfservice\customPage目录下。

操作步骤：

a. 点击“自定义”图标右下角的“增加”链接进入增加自定义定制记录的页面。

b. 设置如下基本信息：

- 定制名称：唯一标识定制记录。

- 类型：定制用户预注册页面或者访客预注册页面。

- 文件路径：自助服务系统存放自定义页面的文件夹。

- 注册页面文件名称：预注册页面的文件名称，只需输入与“文件路径”相对应的子文件夹（如果有）和文件名称。

- 结果页面文件名称：预注册结果页面的文件名称，只需输入与“文件路径”相对应的子文件夹（如果有）和文件名称。

- 描述：定制记录的描述。

c. 单击<确定>按钮完成操作。

(3) 修改预注册定制记录

¡ 修改基于模板的预注册定制记录：点击基于模板创建的定制记录对应的链接，进入修改预注册定制界面，修改描述信息，单击<确定>按钮完成操作。

¡ 修改自定义预注册定制记录：点击自定义定制记录对应的链接，进入修改预注册定制界面，重新设置自定义定制记录的基本信息，参数说明参见增加自定义预注册定制记录，单击<确定>按钮完成操作。

(4) 删除预注册定制记录

删除基于模板创建的定制记录，会同时删除页面文件；删除自定义的定制记录，仅删除记录不会删除页面文件。操作步骤：

a. 点击定制记录对应的链接，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(5) 绘制预注册定制页面

基于模板创建的预注册定制记录，系统提供页面绘制功能。操作步骤：

a. 点击定制记录对应的链接，打开绘制窗口。

b. 单击右侧菜单“保存”按钮保存绘制内容。

c. 单击右侧菜单“发布”按钮将绘制结果发布到自助服务系统。

(6) 定制预注册属性

a. 点击定制记录对应的链接，打开绘制窗口。

b. 单击右侧菜单“属性设置”，弹出属性设置窗口。

c. 选择显示哪些属性，定义属性在界面显示的别名以及提示信息，选择是否显示法律条款以及验证码。

d. 单击<关闭>按钮关闭属性设置窗口。

e. 在绘制页面的属性区域，通过鼠标拖拽调整属性的显示顺序。

f. 单击右侧菜单“保存”保存绘制内容。

g. 单击右侧菜单“发布”将绘制结果发布到自助服务系统。

(7) 预览预注册定制页面

基于模板创建的预注册定制记录，系统提供预览的功能。操作步骤

a. 在定制列表中点击定制记录对应的链接，打开预览窗口。

b. 在定制列表中点击定制记录对应的链接，打开绘制窗口。单击右侧菜单“预览”打开预览窗口。

· 预注册定制名称唯一标识一个记录，在自助首页定制预注册链接时选择的是预注册定制名称。

· 不能删除被自助首页使用的用户预注册和访客预注册定制记录。

· 重新绘制预注册页面并发布到自助服务系统后，操作员需手工重启本系统服务使新页面生效。

· 通过系统定制工具生成的页面，操作员可借助其它工具对该页面进行二次加工，但是加工后的页面很可能无法再次使用本系统的工具进行绘制。

· 预注册自定义页面推荐放在<本系统安装路径>\opt\iMC\EIA-SSVUI\selfservice\customPage目录下，否则本系统部署监控代理的自动备份恢复功能将不能对自定义页面文件生效，需要手工备份恢复。

· 绘制页面上传的背景图片推荐分辨率为1920*1080，建议不小于480*270，支持jpg，jpeg，gif，bmp，png格式的图片。

5. 自助页面定制

提供了登录页面定制（PC）、登录页面定制（Phone）、菜单定制策略（PC）和访客审批页面（Phone）的功能。

选择[自动化]页签，选择左侧导航树中的[用户业务/接入服务/终端页面定制]菜单项，切换至“自助页面定制”页签，进入自助页面定制页面。

登录页面定制（PC）

修改登录页面定制（PC）时，无法调整页面布局，只能对页面内容进行修改。可修改的内容包括：首页标题、背景图、帐号名输入框提示信息、公司LOGO、登录后页面Logo、公司网址、完整版权信息、自定义链接。

(1) 修改基本信息

修改登录页面定制（PC）的基本信息。操作步骤：

a. 在基本信息配置中，点击待修改区域对应的修改链接。

b. 修改内容和备注信息。

c. 点击待修改区域对应的对号完成操作。

(2) 链接配置

配置系统预置的链接是否显示，同时操作员还可增加自定义链接。操作步骤：

a. 在链接配置中，点击待修改区域对应的修改链接。

b. 选择链接是否显示，显示名称以及选择或填写完整的URL。

c. 点击待修改区域对应的对号完成操作。

登录页面定制（Phone）

修改登录页面定制（Phone）时，无法调整页面布局，只能对页面内容进行修改。可修改的内容包括：首页标题、首页登录图片、完整版权信息、广告页面、自定义链接。

(1) 修改基本信息

修改登录页面定制（Phone）的基本信息。操作步骤：

a. 在基本信息配置中，点击待修改区域对应的修改链接。

b. 修改内容和备注信息。

c. 点击待修改区域对应的对号完成操作。

(2) 链接配置

配置自定义链接是否显示，显示名称以及URL。操作步骤：

a. 在链接配置中，点击待修改区域对应的修改链接。

b. 选择链接是否显示，显示名称以及填写完整的URL。

c. 点击待修改区域对应的对号完成操作。

菜单定制策略（PC）

菜单定制策略基于用户分组定制不同功能的自助服务页面。用户登录自助服务平台后，根据所属的用户分组，被授予不同的管理权限。未配置任何菜单定制策略的用户分组则使用“缺省策略”。

主要功能

(1) 增加/修改菜单定制策略

a. 进入菜单定制策略（PC）配置列表页面。

点击“菜单定制策略（PC）”页签。

b. 单击<增加>按钮或点击某策略对应的修改图标。

c. 输入或选择要增加/修改策略的相关信息：

- 策略名称：策略的唯一标识，不能与已有的策略名称重复。

- 自助服务菜单：用户登录自助服务平台后，页面显示的菜单项。至少选择一个菜单项。

- 用户分组：直接在用户分组列表中选择策略关联的分组。已经关联至其他策略的分组不能被再次选择。此处有一个选项“选择用户分组时自动选中其父分组和子分组”。如果选中该项，每选择一个分组，EIA都会自动选择该分组的父分组和子分组。取消选择亦是如此。

d. 单击<确定>按钮完成操作。

(2) 删除菜单定制策略

a. 在菜单定制策略配置页面。

b. 点击某一策略对应的删除图标，弹出确认对话框。

c. 单击<确定>按钮完成删除操作。

注意事项

· 一个策略可以关联多个用户分组，但一个用户分组只能被关联至一个策略。

· 勾选“访客管理”后，只有访客管理员登录用户自助服务平台后才显示“访客管理”。

· 当终端管理参数“无感知认证”为禁用时，用户在自助服务平台可以查看终端设备但不能进行操作。当终端管理参数“无感知认证”为启用时，用户才能对终端设备进行操作。

· 只有勾选了“更新用户资料”，用户在自助服务平台中才可以修改用户信息。

· 只有安装部署了桌面资产管理组件，才能定制“资产维护”菜单。

访客审批页面（Phone）

访客审批页面（Phone）是用来定制预注册访客的审批项。在审批项定制区域，勾选需要审批的参数，已勾选的参数便显示在访客审批页面中。

5.2 接入用户

选择“自动化”页签，单击导航树中的[用户业务/接入用户]菜单项，进入接入用户页面。

5.2.1 接入用户

在接入用户中可以快速查询申请了接入帐号的用户。根据查询条件的精细程度分为简单查询和高级查询。管理员查询接入用户时，查询出的用户均为该管理员所能管理/查看的用户。

点击接入用户的帐号名链接可以进入详细信息页面。该页面的右侧提供了接入业务动作菜单。接入业务动作菜单中包含的动作因接入用户是否在线而异。

接入用户列表中，提供部分批量操作功能入口，包括批量导入、修改帐号、注销帐号、加入黑名单、申请服务、注销服务、批量缴费、时间补偿、预开户转正、预注销、恢复预注销、预申请服务、注销预申请服务等。

批量修改接入用户的密码时，若同时勾选了“启用用户密码控制策略”项，此时密码修改不受用户密码控制策略控制。

· 一个用户只能属于一个用户分组。

· 每个操作员查询到的接入用户可能不一样，主要取决于该操作员可以管理/查看哪些用户分组。

在接入用户页面，单击[接入用户]页签，进入接入用户页面。

1. 简单查询

简单查询是以帐号名为条件进行的接入用户查询。

2. 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对接入用户进行更加精确的查询。操作步骤：

(1) 进入接入用户列表页面，点击搜索框右侧下拉按钮。

(2) 设置高级查询的条件，包括帐号名、用户姓名、用户分组、服务名等。

(3) 单击<查询>按钮，查询出符合条件的接入用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。如果不需要把帐号名作为查询条件，保持为空即可。其他查询项也是如此。

3. 增加/修改接入用户

该功能用于增加/修改一个接入用户。接入用户的配置涉及到四个区域，分别是“接入信息”、“接入服务”、“接入设备绑定信息”、“终端绑定信息”。

· “接入信息”主要用于配置帐号名、密码等最基本的信息。

· “接入服务”主要用于配置用户接入网络时使用的服务。每个用户可以申请一个或多个接入服务，以便用户在不同场合使用不同的服务接入网络。

· “接入设备绑定信息”主要用于限定用户接入网络时使用的网络设备参数（如接入设备IP等）。

· “终端绑定信息”主要用于限定用户接入网络时使用的终端设备参数（如终端IP等）。只有使用固定IP和MAC地址的终端才能进行终端绑定。

(1) 增加接入用户信息

a. 单击<增加>按钮，进入增加接入用户页面。

b. 输入用户基本信息、接入信息等内容，单击<确定>按钮完成增加操作。

(2) 修改接入用户信息

a. 在接入用户列表页面，点击待修改接入用户对应的“修改”链接，进入修改接入用户页面。

b. 设置相关参数后单击<确定>按钮，如果对用户的修改上涉及服务时，进入以下流程。

表5-6 接入信息

参数	说明
帐号名	唯一标识帐号用户的名称，用户使用该名称申请和使用服务，该名称不能与已有名称相同，不能包含如下特殊字符：#+/?%&=*'@\"[]()<> `和TAB键,且最大长度为200字符。帐号名支持中间含空格的形式。帐号名在帐号创建成功后不能修改，因此在修改接入用户页面，该字段不可修改。说明：接入用户在使用某个服务之前的身份验证时，必须输入对应的登录名，登录名一般由三部分合成：（1）帐号名；（2）字符“@”；（3）服务后缀。服务后缀的说明请参考接入服务管理。
预开户用户	在新增接入用户时，可设置该用户为预开户用户。预开户用户即使申请了服务，费用足够，也不能够上线，不会产生任何费用信息。
缺省BYOD用户	新增接入用户时，可设置该用户为缺省BYOD用户（系统中尚不存在缺省BYOD用户时，该选项才可见）。缺省BYOD用户的帐号名固定为“byodanonymous”，且帐号密码不用再设置。MAC认证方式下，如果相应MAC地址没有和任何帐号名绑定，则使用缺省BYOD用户上线。用户上线后可以访问本系统注册页面注册一个访客帐号或者使用一个已知帐号与MAC地址绑定。MAC地址与帐号绑定成功后，系统会强制用户下线，重新认证时就会使用该MAC地址新绑定的帐号名。
MAC地址认证用户	新增接入用户时，勾选MAC地址认证用户选项，隐藏不需要的必填项（包括密码、密码确认、允许用户修改密码、启用密码控制策略、下次登录修改密码、在线数量限制、账号类型、终端绑定等信息）方便用户使用。
快速认证用户	在新增接入用户时，可设置该用户为快速认证用户（系统中尚不存在快速认证用户时，该选项才可见）。选择为快速认证用户后，帐号名固定为“anonymous”，且帐号密码不用再设置。快速认证用户占用的License数与其在线数相同。
主机名用户	新增接入用户时，可以增加主机名用户（系统中尚不存在主机名用户时，该选项才可见）。主机名用户的帐号名固定为computer，接入网络的计算机都可以使用主机名用户直接进行认证。认证通过后，计算机接入网络，同时计算机名称将被记录为主机名用户的登录名，以示区别。主机名用户只能使用一个接入服务，因此即使启用了按用户分组申请服务，增加主机名用户时仍然必须手动选择服务。
密码	密码用于身份验证，不可为空，且最大长度为32字符。
允许用户修改密码	是否允许接入用户自行修改密码。如果设置为不允许用户修改密码，则“启用用户密码控制策略”和“下次登录须修改密码”这两个选项不可用。
启用用户密码控制策略	该参数决定了接入用户通过客户端或用户自助服务平台修改密码时是否受密码控制策略的限制。操作员设置用户密码时不受该参数影响（不受密码控制策略限制）。密码控制策略包括密码长度、密码必须包含的字符集合等。
下次登录须修改密码	该参数决定了接入用户在下次认证上网时是否必须修改密码。因为该参数只有启用用户密码控制策略之后才能设置，所以修改密码时肯定受密码控制策略限制。在用户成功修改密码后，自动取消该参数的选中状态。
生效时间	帐号在指定的时间自动生效。如果不设置，表示该帐号开户后立即生效。
失效时间	帐号在指定的时间自动失效。如果不设置，表示该帐号不会自动失效。失效帐号允许登录用户自助。
最大闲置时长	用户在线后连续闲置的最大时长，超过这个值后接入设备会强制该用户下线。如果不设置，表示用户不会因闲置而下线。
在线数量限制	允许同时使用该帐号上线的用户数。如果不设置，表示同时使用该帐号上线的用户数不受限制。对于快速认证用户，此参数必须设置为1-255之间的整数。
登录提示信息	用户使用该帐号通过认证后在登录窗口中显示的提示信息。可以根据不同场景设置个性化的提示信息，比如Merry Christmas。

“接入服务”是根据用户所在的用户分组，显示用户可以申请的接入服务列表。选中服务对应的复选框即可申请该服务。一个帐号可以申请多个服务，但是不能申请2个或2个以上服务后缀相同的服务。如果申请某个分配IP地址的服务，则选中该服务后需要设定用户IP地址。服务的更多说明请参见接入服务管理的相关内容。

表5-7 接入设备绑定信息

参数	说明
端口号	接入用户连接网络时必须连接的端口。目前有两种输入形式，一种是带IP地址的端口号ip/slot/subslot/port、ip/unit/slot/subslot/port（堆叠设备），如输入10.153.3.154/1/0/10，表示用户必须连接IP地址为10.153.3.154的设备的1/0/10号端口；另一种是不带IP地址，slot/subslot/port或者直接输入设备的端口号，如输入1/0/10或者1，表示用户必须连接设备的1/0/10端口或1号端口（任何设备的1号端口都是允许的）。
设备序列号	接入用户连接网络时必须连接的设备的序列号。
VLAN ID/内层VLAN ID	用户接入的端口所属的VLAN ID/内层VLAN ID。绑定后，用户的接入端口必须属于该VLAN ID/内层VLAN ID，用户才能通过认证。
无线SSID	仅用于绑定无线用户SSID的情形，不限制无线用户SSID则确保这个值为空。SSID不区分大小写。
设备IP地址	接入用户连接网络时必须连接的设备的IP地址。
设备IPv6地址	接入用户连接网络时必须连接的设备的IPv6地址。

表5-8 终端绑定信息

参数	说明
计算机名称	用户使用的计算机的名称。可以在用户使用的服务中设置是否绑定计算机名称，具有自学习功能。绑定后，则用户上线时使用的计算机的名称必须与该用户绑定的计算机名称一致。若使用绑定计算机名称，则需要启用策略服务器。
Windows 域	用户使用的计算机所绑定的Windows 域。可以在用户使用的服务中设置是否绑定Windows 域，具有自学习功能。绑定后，则用户上线时计算机必须绑定Windows 域且绑定域的域名必须与该用户设置的Windows 域域名一致。若使用Windows 域，则需要启用策略服务器。
IMSI号码	IMSI（International Mobile Subscriber Identification），即国际移动用户识别码，它是区分移动用户的标识，储存在SIM卡中。启用该参数后，则用户上线时使用的IMSI必须与该用户绑定的IMSI一致。如果未配置绑定的IMSI码，EIA将采用自学习策略。所谓自学习就是绑定用户首次上线所使用的IMSI码。
IMEI号码	移动设备所使用的国际移动设备识别码（IMEI：International Mobile Equipment Identification Number），它是区别移动设备的标志，储存在移动设备中。可以在用户使用的服务中设置是否绑定IMEI号码，具有自学习功能。设置后，则用户上线时使用的IMEI必须与该用户绑定的IMEI一致。
IP地址	设置用户需要绑定的IP地址。IP地址可以为单个IP；也可以为一段IP地址，格式为：192.168.5.10-192.168.5.23，且增加IP网段时只支持24位掩码。
IPv6地址	设置用户需要绑定的IPv6地址。IPv6不支持增加IP网段，仅支持单个增加IP地址。
MAC地址	设置用户需要绑定的MAC地址。格式为：XX:XX:XX:XX:XX:XX 、 XX-XX-XX-XX-XX-XX 或 XXXX-XXXX-XXXX，其中X只能是如下合法字符：[A,F]∪[a,f]∪[0,9]。
硬盘序列号	用户使用的计算机硬盘序列号。可以在用户使用的服务中设置是否绑定硬盘序列号，具有自学习功能。绑定后，则用户上线时使用的计算机的硬盘序列号必须与该用户绑定的硬盘序列号名称一致。若使用绑定硬盘序列号，则需要启用策略服务器。
BIOS序列号	计算机BIOS芯片中的序列号。
动态分配的绑定IP	为用户指定认证上线后分配的IP地址。需同时满足以下条件：条件一：增加/修改接入用户时，选择的接入服务需要已经绑定安全组。条件二：分配的IP地址只能属于条件一中安全组所绑定的二层网络域对应的子网范围内，否则无法分配。
操作系统授权码	操作系统的激活码。

4. 接入用户详细信息

在各个接入用户功能相关页面，通过点击帐号名链接进入接入用户详细信息页面。该功能用于查看与接入用户有关的各种信息，主要包括：

· 基本信息：接入用户的基本信息。包括：用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组。

· 接入信息：接入用户的接入信息。包括：帐号名、帐号状态、允许用户修改密码、启用用户密码控制策略、开户日期、下次登录需修改密码、生效时间、失效时间、最大闲置时长（分钟）、在线数量限制、在线状态、当前在线数、最近一次下线时间、登录提示信息、创建者。

· 接入服务：接入用户已经申请的接入业务信息，主要包括服务名、服务后缀名、安全策略名、该服务对应的用户IP地址信息。

· 接入设备绑定信息：用户接入的设备必须满足的条件，主要包括设备IP地址、端口号、设备序列号、VLAN ID/内层VLAN ID、外层VLAN ID等。

· 终端绑定信息：用户终端必须满足的条件，显示对该用户设定的绑定IP地址、MAC地址、Windows域、计算机名称等。

在接入用户详细信息页面右侧，提供了多个对接入用户进行操作的功能。除了与基本用户相同的刷新、注销、修改基本信息等功能外，对于接入用户，还提供了加入/解除黑名单、查看认证失败日志、查看接入明细、查看安全日志、预注销和恢复预注销等功能。对于在线用户，还提供了强制下线、清除在线信息等功能。

5. 导入接入用户

该功能用于批量导入接入用户。操作步骤：

(1) 单击<批量导入>按钮，进入接入用户导入向导。

(2) 选择上传文件、文件中使用的分隔符、导入后用户状态和是否导入平台用户，单击<下一步>按钮。

(3) 选定每个接入用户属性对应的文件中的列，也可以选择“不在文件中选值”并设置参数的值。单击<确定>按钮完成操作。

6. 注销帐号

该功能用于注销一个或多个帐号。帐号关联的平台用户并不会被注销。选中一个或多个帐号，单击<注销帐号>按钮，确认后即可完成注销操作。

注销帐号并不是真正的从系统中彻底删除帐号。注销帐号后，原记录会继续保存在数据库中。系统将根据实际的业务需要和数据保留时长的设定，定时从数据库中彻底删除已注销的帐号。

7. 黑名单用户

黑名单用户是指不允许接入网络或不允许使用充值卡进行充值的用户。通常在下列情况下会被加入黑名单中：

· 操作员锁定用户，操作员通过用户日志分析等手段发现用户存在管理风险而不允许该用户接入网络时，可以在用户管理中将用户手工加入黑名单中。操作员加入的黑名单用户不会自动解除，只能由操作员手工解除黑名单。

· 恶意登录尝试，如果用户的帐号名正确，但却使用错误的用户密码多次（系统支持的最高尝试次数在“认证失败阈值”业务参数中设置请参考系统参数配置）尝试接入网络，系统将认定该用户存在非法盗用他人帐号企图，从而不允许该用户在其登录的机器上继续尝试接入网络。系统自动将其置为黑名单状态，直到第二天的凌晨才会自动取消黑名单状态。也可以通过联系管理员手工解除黑名单状态。

· 欠费超过指定帐期，后付费用户欠费帐期数超过系统设定的欠费帐期数阈值而未缴纳所产生费用，系统自动将该用户加入黑名单中，不允许用户继续使用其申请的各种付费服务接入网络；用户缴纳相关费用后，其黑名单状态将立即解除，恢复其所申请服务的正常使用。

· 充值失败超过阈值，用户使用充值卡进行充值时，如果输入密码错误的次数超过系统设定的充值失败阈值时，系统自动将用户加入黑名单，且不允许用户使用充值卡进行充值（用户可以接入网络），直到第二天的凌晨才会自动取消黑名单状态，也可以通过联系管理员手工解除黑名单状态，恢复使用。

· 无效客户端，用户使用无效客户端上线时，系统自动将用户加入黑名单，直到第二天的凌晨才会自动取消黑名单状态，也可以通过联系管理员手工解除黑名单状态，恢复使用。

· 在“安全策略管理 > 安全级别管理”中，如果将操作系统密码不符合安全策略要求的安全级别设置为“加入黑名单并下线”，则用户上线时，如果操作系统密码不符合安全策略要求，则该用户会被加入黑名单并且下线。因安全检查不通过被加入黑名单的用户不能自动从黑名单中解除，只能由操作员手工解除。只有安装了EAD组件，才显示该选项。

操作步骤：

(1) 进入黑名单用户列表页面。

(2) 黑名单用户列表中的主要操作：

¡ 点击黑名单用户列表中每列的列标题，黑名单信息会自动排序。如：点击“加入时间”列标题，则黑名单信息按加入时间的先后顺序显示。

¡ 点击“帐号名”链接，转到用户详细信息页面。

¡ 点击链接，转到黑名单详细信息页面。

注意事项：

· 如果用户被操作员加入黑名单，则该用户在任何机器上都不能登录成功，并且如果操作员不解除黑名单，黑名单永久生效。

· 如果由于是恶意登录被加入黑名单，则只限制了不能在恶意登录的机器上继续登录，即使密码正确也不可以登录成功。由于恶意登录而加入的黑名单会在第二天凌晨自动取消。即第二天该用户使用正确的用户密码可以在该机器上登录成功。

8. 简单查询

在简单查询中，操作员可以通过选择帐号名查询黑名单用户信息。操作步骤：

(1) 单击“黑名单用户”标签，进入黑名单用户列表页面。

(2) 搜索框中输入帐号名。

(3) 单击<查询>按钮，查询出符合条件的黑名单用户。

9. 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对黑名单用户进行更细致的查询。操作步骤：

(1) 单击“黑名单用户”标签，进入黑名单用户列表页面。

(2) 在黑名单用户列表页面中，点击搜索框右侧下拉按钮。

(3) 设置高级查询的条件，包括帐号名、用户分组、加入原因、加入时间范围、用户IP地址范围和用户MAC地址。

(4) 单击<查询>按钮，查询出符合条件的黑名单用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

10. 加入/解除黑名单

操作员可以在接入用户列表页面中，手工锁定某接入用户，从而将其加入黑名单。此时接入用户详细信息将相应显示该接入用户为黑名单用户。

某接入用户已经被加入黑名单后，操作员也可以在黑名单用户列表页面中解除其黑名单状态。

(1) 接入用户加入黑名单：

a. 选择接入用户，点击“加入黑名单”按钮。

b. 在弹出的提示对话框中单击<确定>按钮，则将当前接入用户加入黑名单。

(2) 接入用户解除黑名单：

a. 点击“黑名单用户”标签，进入黑名单用户列表页面。

b. 选择黑名单用户，点击“解除黑名单”按钮，下拉框中单击“解除已选择用户”或者“按查询条件解除”项。

c. 在弹出的提示对话框中单击<确定>按钮，则将当前接入用户从黑名单中解除。

11. 黑名单详细信息

浏览某条黑名单的详细信息。根据黑名单加入原因的不同，黑名单的详细信息的显示数据也略有不同。操作步骤：

(1) 在黑名单用户页面中，点击黑名单用户列表中的某条黑名单“详细信息”链接，进入黑名单详细信息页面。

(2) 单击<返回>按钮，可以重新返回黑名单用户页面。

12. 解除黑名单

该功能用于解除黑名单用户列表中一个或多个黑名单用户。分为“解除已选用户”和“按查询条件解除”。当选择<解除已选用户>时，将解除选中用户的黑名单状态；当选择<按查询条件解除>时，将解除按当前查询条件查询出的所有用户的黑名单状态。操作步骤：

(1) 单击“黑名单用户”标签，进入黑名单用户列表页面。

(2) 在黑名单用户列表中，点击“解除黑名单”按钮后，选择解除黑名单的方式。

(3) 当要选择<解除已选用户>时，需要先选中要删除的黑名单信息前的复选框，然后再单击<解除已选用户>按钮将解除选中用户的黑名单状态。

(4) 当要选择<按查询条件解除>时，可以在查询条件中输入想要搜寻的条件，然后再单击<按查询条件解除>按钮将解除按当前查询条件查询出的所有用户的黑名单状态。

13. 批量帐号维护（查询方式）

该功能用于对帐号相关信息进行批量处理，包括修改帐号、注销帐号、申请服务、注销服务、加入黑名单、更改帐号类型、批量缴费、时间补偿、预开户转正、预注销、恢复预注销、预申请服务和注销预申请服务。

· 修改帐号功能用于批量修改帐号的“接入信息”和“接入设备绑定信息”。

· 注销帐号功能用于同时注销多个接入帐号。

· 申请服务功能用于为多个帐号批量申请一个或多个服务。

· 注销服务功能用于为多个帐号批量注销一个服务。

· 加入黑名单功能用于将多个帐号加入黑名单。

· 预开户转正功能用于将多个预开户用户转为正常状态。预开户用户即使申请了服务，费用足够，也不能够上线，不会产生任何费用信息。预开户用户不占用License。

· 预注销功能用于将多个帐号修改为预注销状态。预注销用户不能上线。

· 恢复预注销功能用于将多个预注销状态的用户恢复为正常状态。

(1) 查询方式批量帐号维护操作方式：

¡ 方式一：选择“批量帐号维护（查询方式）”，并单击<下一步>按钮，进入批量帐号维护（查询方式）页面。输入查询条件，单击<预览>按钮，“接入用户列表”会显示符合条件的帐号。单击<重置>按钮，查询条件恢复默认值并进行查询。

¡ 方式二：输入查询条件，单击<查询>按钮，“接入用户列表”会显示符合条件的帐号。单击<重置>按钮，查询条件恢复默认值并进行查询。

(2) 查询完成后，操作员可以进行多种操作。在接入用户页面，操作员可以对所选择的接入用户进行各种操作，在批量帐号维护（查询方式）页面，操作员可以对符合查询条件的接入用户进行各种操作。具体说明如下：

¡ 修改帐号：单击<修改帐号>按钮，进入接入信息修改页面；设置完新的信息后，单击<确定>按钮，进入结果页面。

¡ 注销帐号：单击<注销帐号>按钮，进入结果页面。如果选择注销平台用户或强制下线用户，请参见本页注意事项详细说明。

¡ 申请服务：单击<申请服务>按钮，进入待申请服务列表页面，选择服务后，单击<确定>按钮，进入结果页面。

¡ 注销服务：在“服务名”下拉选项中选择要注销的服务，单击<查询>或<预览>按钮，“接入用户列表”会显示选择该服务的帐号，单击<注销服务>按钮，进入结果页面。

¡ 加入黑名单：单击<加入黑名单>按钮，进入结果页面。

¡ 预开户转正：单击<预开户转正>按钮，弹出确认对话框，单击<确定>按钮进入结果页面。在批量帐号维护（查询方式）页面，只有查询条件“帐号状态“的选项为“预开户”时，才可以进行该操作。

¡ 预注销：单击<预注销>按钮，弹出确认对话框，单击<确定>按钮进入结果页面。在批量帐号维护（查询方式）页面，只有查询条件“帐号状态”的选项为“正常”时，才可以进行该操作。

¡ 恢复预注销：单击<恢复预注销>按钮，弹出确认对话框，单击<确定>按钮进入结果页面。在批量帐号维护（查询方式）页面，只有查询条件“帐号状态“的选项为“预注销”时，才可以进行该操作。

(3) 结果页面可以查看操作结果，操作员也可以单击<下载操作日志>按钮来下载临时日志文件。

注意事项：

· 注销帐号时，如果不选择“注销平台用户”，则仅注销帐号，不注销平台用户。如果选择“注销平台用户”，分为以下两种情况：（1）帐号对应的平台用户仅申请了一个接入帐号，则注销帐号时，将注销对应的平台用户及其所有信息；（2）帐号对应的平台用户申请了两个或两个以上接入帐号，则仅注销帐号。

· 如果选择“强制下线用户”，若接入帐号在线或者漫游在线，则先将该帐号强制下线，再进行注销操作。如果不选择“强制下线用户”，则无法注销已在线的接入帐号。

· 对于和LDAP服务器绑定的帐号，修改其密码和密码控制策略不能生效。

· 对于哑终端帐号，修改其密码和密码控制策略不能生效。

· 申请服务，可以同时申请多个。但是注销服务，同时只能注销一个。

· 在帐号处理结果页面，操作员可以下载日志文件。页面一旦关闭，则无法再次下载日志文件。

· 只有查询条件“帐号类型”的选项为“预付费”或“后付费”时，才可以进行更改帐号类型操作。

· 只有查询条件“服务名”选择了一个使用周期类型计费策略的服务时，才可以进行预申请服务和注销预申请服务操作。

· 在批量修改中启用第三方认证时，LDAP用户不会生效。

14. 预开户转正

操作员可以在接入用户详细信息页面中，通过“预开户转正”操作将当前用户转为正式用户。操作步骤：

(1) 在各个接入用户功能相关页面，通过点击帐号名链接进入接入用户详细信息页面。

(2) 若该接入用户为预开户状态，点击“预开户转正”链接。

(3) 在弹出的对话框中，单击<确定>按钮，当前预开户用户将转为正式用户。

15. 预注销/恢复预注销

操作员可以在接入用户详细信息页面中，对接入用户执行预注销和恢复预注销操作。

· 预注销功能用于将帐号修改为预注销状态。处于预注销状态的用户不能上线。

· 恢复预注销功能用于将预注销状态的用户恢复为正常状态。

操作步骤：

(1) 在各个接入用户功能相关页面，通过点击帐号名链接进入接入用户详细信息页面。

(2) 点击页面右侧“预注销”链接后，用户的状态就会变为“预注销”状态。点击页面右侧“恢复预注销”链接后，用户的状态就会变为“正常”状态。

16. 转移用户分组

该功能用于批量转移接入用户到新的用户分组。操作步骤：

(1) 选择待转移的接入用户后，点击“更多”按钮，在下拉选项中选择“转移用户分组”，页面跳转到用户分组选择页面。

(2) 选择需要转移的目的分组，单击<确定>按钮完成操作。

(3) 结果页面可以查看操作结果，操作员也可以单击<下载操作日志>按钮来下载临时日志文件。

注意事项：

· 平台用户关联多个接入用户，所以操作日志中仅记录平台用户的转移情况。

· 如果接入用户还未生成平台用户，则转移用户分组失败，下载的操作日志中记录平台用户不存在。

17. 批量导出

该功能用于将系统中的接入用户信息导出为文件并保存到本系统服务器或本地。操作步骤：

(1) 勾选接入用户后，点击“更多”按钮，在下拉选项中选择“批量导出”，页面跳转到批量导出文件的自定义操作页面。

(2) 配置完成后，单击<确定>按钮完成操作。

(3) 系统执行导出操作，并将导出的文件保存在本系统服务器上，之后进入导出结果显示页面。

¡ 导出格式包括文本文件和CSV表格两种。如果选择文本文件格式，用户还可以选择文本列的分隔符。分隔符包括：空格、TAB键、英文逗号（,）、英文冒号（:）、#和$ 。CSV格式是用“,”分隔各字段的文本格式，Windows下CSV格式文件默认用Excel打开，Excel会根据显示内容自动选择显示格式，可能与实际不符，比如“123456789123456789”会按科学计数法显示为“1.23457E+17”，遇到这种情况可以自行选择显示为文本格式或者用记事本等文本编辑工具打开查看。

¡ 用户可以对帐号信息定制导出。帐号信息包括两部分：1、用户附加信息（若没有则不显示）。2、密码（若操作员非管理员则不显示）、证件号码、电话、通信地址以及电子邮件等等；如果用户没有选择任何帐号信息，则默认导出：帐号名、用户姓名、用户分组、生效时间和失效时间。

(4) 在结果显示页面中，操作员可以单击<下载导出文件>按钮将帐号信息文件下载并保存到本地。

¡ 导出文件的存放路径为：<主服务器本系统安装目录>/tmp。

¡ 导出的文件以操作员执行导出的时间作为结尾，便于操作员查找。

18. 用户数量限制

该功能用于限制分组下用户的最大数量。操作步骤：

(1) 单击“用户数量限制”按钮，页面跳转到用户数量限制页面。

(2) 勾选“启用用户数量限制”选项，启用分组下用户数量限制功能。

(3) 在用户数量限制列表中，点击按钮，在弹出的页面中修改相应分组的用户数量限制。

参数说明：

· 用户数量上限（包括子分组）：该参数表示该分组及其子分组下最多可容纳的用户数量。

· 用户数量上限（仅限该分组）：该参数表示该分组中最多可容纳的用户数量。

注意事项：

· 用户数量限制仅限制接入用户和访客的数量，预注册用户和预注册访客不受分组内用户数量的限制。

· 哑终端用户、LDAP按需同步用户和第三方认证用户首次上线时会自动开户，此时不受分组内的用户数量限制。

· 增加用户分组时，缺省用户数量限制为0，当出现下述三种情况时，缺省用户数量限制为“无限制”。

¡ 通过LDAP服务器自动同步的用户分组。

¡ 分组不存在父分组。

¡ 分组存在父分组，且父分组的用户数量上限（包括子分组）为无限制。

· 不输入数值，界面显示无限制，表示不限制分组内的用户数量

· 修改“用户数量上限（仅限该分组）”时，输入值不能小于该分组下已存在的用户数量。

· 修改分组的“用户数量上限（包括子分组）”时，输入值不能小于该分组的所有直接子分组的“用户数量上限（包括子分组）”与该分组的“用户数量上限（仅限该分组）”的和；若该分组存在父分组，则“用户数量上限（包括子分组）”的值不能大于父分组的“用户数量上限（包括子分组）”与父分组下除该分组之外的所有直接子分组“用户数量上限（包括子分组）”及父分组的“用户数量上限（仅限该分组）”的差值。

· 如果一个分组下存在不限制用户数量的子分组或该分组的“用户数量上限（仅限该分组）”为无限制时，则该分组的“用户数量上限（包括子分组）”必须设置为无限制。

19. 批量帐号维护（文件方式）

该功能用于对帐号相关信息进行批量处理，包括修改帐号、注销帐号、申请服务、注销服务。使用这些功能时，操作员将含有接入帐号信息的文本文件导入本系统，本系统从文件中识别已存在的接入帐号，并对这些帐号进行维护。

· 修改帐号功能用于批量修改帐号的“接入信息”和“接入设备绑定信息”。具体的参数说明请参见增加/修改接入用户页面所述的参数说明。

· 注销帐号功能用于同时注销多个接入帐号。

· 申请服务功能用于为多个帐号批量申请一个或多个服务。

· 注销服务功能用于为多个帐号批量注销一个服务。

· 查看操作结果功能用于查看上一次批量操作的结果或正在执行的批量操作。

操作步骤：

(1) 选择“批量帐号维护（文件方式）”，并单击<下一步>按钮，进入操作向导。

(2) 单击<浏览...>按钮，选择需要导入的文件，文件中使用的列分割符和对帐号的操作。

(3) 选择完成后，单击<下一步>按钮。操作员可以进行多种维护操作，具体说明如下：

¡ 修改帐号：选择帐号名对应的文件中的列，选择需要修改的帐号信息，单击<预览>按钮，确认修改正确后，单击<关闭>按钮，关闭预览窗口，并单击<确认>按钮，进入帐号处理结果页面。

¡ 注销帐号：选择帐号名对应的文件中的列，单击<确定>按钮，进入帐号处理结果页面。如果选择注销平台用户，规则较复杂，请参见本页注意事项第二条。

¡ 申请服务：选择帐号名对应的文件中的列，并为这些帐号选择一个或多个服务，单击<确定>按钮，进入帐号处理结果页面。

¡ 注销服务：选择帐号名对应的文件中的列，并为这些帐号选择一个服务，单击<确定>按钮，进入帐号处理结果页面。

参数说明：

· 导入文件中各个列的分隔符包括：空格、TAB、英文逗号（,）、英文冒号（:）、#和$ 。

· 导入文件的具体格式请参考批量导入帐号页面所述的参数说明。

· 修改帐号：所有帐号信息缺省都选择“不修改”。可以选择接入帐号信息与文件中列的对应关系，也可以选择“不在文件中选值”并设置新值。

注意事项：

· 快速认证帐号的密码和密码控制策略不能修改。

· 主机名帐号的密码和密码控制策略不能修改。

· 与LDAP服务器绑定的帐号，其密码和密码控制策略不能修改。

· 哑终端帐号的密码和密码控制策略不能修改。

· 对于四种维护帐号操作，操作员同一时刻只能进行一种操作，同一时刻只有一个操作员进行操作。

· 申请服务，可以同时申请多个。但是注销服务，同时只能注销一个。

· 操作员可以从帐号处理结果页面查看操作结果和下载日志文件。页面关闭后，操作员可以从文件方式维护帐号的操作向导页面重新查看操作结果和下载日志文件。

· 建议所有导入的帐号名是本系统系统中已经存在的，否则会导致这部分不存在帐号的导入失败。

· 修改帐号的预览操作，只能预览前10条记录，用于保证需要修改的用户信息与文件中的对应列选择正确。对于不修改的属性，在预览界面中用“--”表示。

· 如果重启本系统的jserver进程，上次批量操作结果将被清空。

· 导入多个设备IP地址时，不同设备IP地址之间用“|”分隔。设备IP地址总数不能超过1000个。

· 导入多个设备IPv6地址时，不同设备IPv6地址之间用“|”分隔。设备IPv6地址总数不能超过1000个。

· 导入多个无线用户SSID时，不同无线用户SSID之间用“|”分隔。无线用户SSID总数不能超过1000个。

· 导入多个用户IP地址时，不同用户IP地址之间用“|”分隔。IP地址可以为单个IP，也可以为一段IP地址，格式为：X.X.X.X-X.X.X.X，总记录数不能超过20。

· 导入多个用户IPv6地址时，不同用户IPv6地址之间用“|”分隔。用户IPv6地址总数不能超过1000个。

· 导入多个用户MAC地址时，不同用户MAC地址之间用“|”分隔。用户MAC地址总数不能超过1000个。

20. 批量激活

该功能用于将未激活的用户批量激活。操作步骤：

(1) 勾选“未激活”状态的接入用户。

(2) 单击<更多>按钮，在弹出的菜单中选择“批量激活”选项。

(3) 在弹出的对话框中，单击<确定>按钮，当前未激活用户将被激活。

5.2.2 LDAP用户

LDAP用户是指与某个LDAP同步策略绑定的接入用户。每次同步时，都会把LDAP服务器上的属性值同步给接入用户（特别注意，服务不会被同步）。

每个LDAP同步策略都关联了一个LDAP服务器，增加LDAP服务器时需要配置一个参数“实时认证”。如果设置为进行实时认证，则绑定用户不在本系统中进行认证，而在LDAP服务器中进行认证；如果设置为不进行实时认证，则绑定用户在本系统中进行认证。有一种特殊情况，本系统无法从某些LDAP服务器中（如微软活动目录）同步密码（本系统中用户密码为空），此时即使设置为不进行实时认证，绑定用户也会在LDAP服务器中进行认证。

在接入用户页面，单击[LDAP用户]页签，进入LDAP用户页面。

(1) 增加LDAP绑定用户

a. 单击<批量绑定>按钮，进入接入用户列表（未与LDAP同步策略绑定）页面。

b. 使用简单查询或高级查询功能查询出符合条件的接入用户。

c. 选中待绑定的接入用户。

d. 单击<确定>按钮完成操作。

(2) 解除LDAP绑定用户

a. 选中一个或多个待解除绑定关系的接入用户。

b. 单击<批量解除>按钮完成操作。

(3) 绑定用户查询

a. 设置绑定用户查询的条件，包括帐号名、服务名和用户状态。

b. 单击<查询>按钮，查询出符合条件的LDAP绑定用户；单击<重置>按钮，将查询条件设置为默认值并进行查询。

5.2.3 哑终端用户配置

为了使用户的哑终端（IP电话、打印机等）接入网络时更加便捷，系统提供了哑终端用户配置功能。在哑终端设备接入认证前，通过增加哑终端用户配置，创建一部分预生成帐号。当哑终端接入时，系统自动将预生成帐号转为正式帐号与哑终端设备进行绑定，使用“MAC地址”作为接入哑终端的帐号名称，使用“用户姓名前缀-MAC地址”作为哑终端用户的用户名。考虑到方便用户使用，尽量不要使用直接增加帐号的方式，增加哑终端用户，而是采用增加哑终端配置的方式增加哑终端用户。

本系统用户接入管理组件（以下简称EIA）支持利用MAC地址对哑终端进行认证，由于不同的哑终端给本系统 EIA上传MAC地址时格式各有不同，因此为了保证认证的正确性，本系统 EIA采用以下认证机制：

(1) 本系统 EIA接收到哑终端上传的帐号名，使用与之完全匹配的接入帐号进行认证。如果没有完全匹配的接入帐号，进入（2）。

(2) 判断接收到的帐号名是否能转换成MAC地址（xx:xx:xx:xx:xx:xx）的格式，如果无法转换，拒绝哑终端接入；如果可以，转换后进入（3）。

(3) 使用与转换后的帐号名完全匹配的接入帐号进行认证。如果没有完全匹配的接入帐号，进入（4）。

(4) 根据哑终端用户配置的优先级高低，依次去匹配对应的配置项，如果匹配上，则进行开户认证；否则拒绝哑终端接入。具体开户流程参见步骤（5）（6）。

(5) MAC地址和IP段优先级相同，如果EIA中配置了基于MAC段的哑终端用户配置，判断转换后的帐号名是否属于已配置的哑终端MAC地址范围，如果是，创建哑终端帐号并进行开户认证。如果EIA中配置了基于IP段的哑终端用户配置，并且要接入的哑终端携带了IP地址，如果哑终端的IP地址属于哑终端用户配置的IP地址范围，则以当前哑终端的MAC地址为名创建帐号并且进行认证；否则，进入（6）。

(6) 如果EIA中配置了基于终端识别的哑终端用户配置，并且要接入的哑终端携带了操作系统、终端类型、厂商等信息，如果哑终端的这三项信息与基于终端识别的哑终端用户配置下的其中一项配置项匹配的话，则以当前哑终端的MAC地址为名创建帐号并且进行认证；如果不是,拒绝哑终端接入。

在接入用户页面，单击[哑终端用户配置]页签，进入哑终端用户配置页面。

2. 增加/修改哑终端用户配置

该功能用于增加/修改哑终端用户配置。操作步骤：

(1) 增加哑终端用户配置。

a. 在哑终端用户配置页面，单击<增加>按钮，根据列出的<基于MAC段>、<基于IP段>和<基于终端识别>可以分别进入不同哑终端开户匹配方式（基于MAC段、基于IP段、基于终端识别）的增加置页面。

b. 填写配置名称、用户姓名前缀、描述、失效日期、优先级、MAC地址段（IP地址段或者终端识别配置）。

c. 选择业务分组、用户分组、接入服务后单击<确定>按钮完成操作。

(2) 修改哑终端用户配置。

a. 在哑终端用户配置页面，点击哑终端用户配置对应的图标，进入修改哑终端用户配置页面。

b. 修改用户姓名前缀、描述、优先级、失效日期、MAC地址段（IP地址段或者终端识别配置）、用户分组、接入服务后单击<确定>按钮完成操作。

参数说明：

· 配置名称：配置名称不能为空，不能与其他哑终端用户配置重名，最大长度为32个字符，不区分中英文，大小写敏感。

· 用户姓名前缀：在哑终端首次接入认证成功时，系统会为其自动开户，会将“用户姓名前缀-MAC地址”作为哑终端用户的用户姓名。用户姓名前缀不能为空，输入不区分中英文，最大长度为7个字符，大小写敏感。

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。选择当前登录操作员所能管理的业务分组，在修改哑终端用户配置时不能修改。

· 用户分组：选择当前登录操作员所能管理的用户分组，如果该用户分组被删除，将配置的用户分组设置为“未分组”。

· 失效日期：哑终端用户配置产生的帐号在指定的日期之后自动失效。如果不设置，表示帐号不会自动失效。

· 优先级：基于MAC段与基于IP段开户的哑终端用户配置共用优先级，即当基于MAC段的配置MAC-1使用了优先级1后，基于IP段的配置IP-1就不可以使用该优先级了，哑终端认证开户时将优先匹配基于MAC段跟基于IP段的用户配置，只有在这两种配置都没有匹配上的时候，才会匹配基于终端识别的用户匹配进行认证开户。当终端的MAC地址存在于多个哑终端用户的MAC地址段中时（或者IP地址存在于多个哑终端用户的IP地址段时），该终端将使用优先级较高的哑终端用户所配置的接入服务。如果哑终端没有匹配上基于MAC段/基于IP段的配置，将根据设备上报的操作系统、终端类型以及厂商等信息，根据优先级高低依次去匹配哑终端用户的终端识别项，匹配上就使用相应配置的接入服务并且开户。输入的数值越小，优先级越高。

· MAC地址段

配置允许自动开户或拒绝自动开户的MAC地址段。MAC地址段至少配置一个，建议配置不超过10000个。此处配置的MAC地址段不能与其他相同优先级的哑终端用户配置中的MAC地址段重叠，终止MAC地址应当大于等于起始MAC地址。

批量导入：

c. 选择存放MAC地址信息的文件以及文件中信息的分隔符，单击<下一步>按钮。

d. 选定接入MAC地址、自动开户和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。

e. 单击<确定>按钮。

· IP地址段

配置允许自动开户或拒绝自动开户的IP地址段。IP地址段至少配置一个，建议配置不超过10000个。此处配置的IP地址段不能与其他相同优先级的哑终端用户配置中的IP地址段重叠，终止IP地址应当大于等于起始IP地址。

批量导入：

f. 选择存放IP地址信息的文件以及文件中信息的分隔符，单击<下一步>按钮。

g. 选定接入IP地址、自动开户和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。

h. 单击<确定>按钮。

· 终端识别

配置允许自动开户或拒绝自动开户的终端识别配置项。终端识别配置项至少配置一个，建议配置不超过10000个。此处配置的终端识别配置项不能与其他相同优先级的哑终端用户配置中的终端识别配置项重复，操作系统、终端类型、厂商需要至少配置一项，并且必须是本系统系统中存在的。

批量导入：

i. 选择存放终端识别配置信息的文件以及文件中信息的分隔符，单击<下一步>按钮。

j. 选定操作系统、终端类型、厂商、自动开户和描述对应的文件中的列；也可以选择“不在文件中选值”，并在输入框中填写指定的值。

k. 单击<确定>按钮。

· 接入服务：可选的接入服务必须同时满足以下三个条件（1）服务状态为可申请；（2）不分配IP地址；（3）当前操作员可以管理。且不支持“按用户分组申请服务”功能。

注意事项

· 系统最多可以增加1024个哑终端用户配置。

· 增加或者修改哑终端用户配置后，系统在15分钟内自动生效，操作员也可单击<立即生效>按钮使配置立即生效。

· 修改后的新配置仅对新增用户生效。

· 删除MAC地址段时，系统默认不会关联删除该MAC地址段内开户的接入用户，如果要关联删除接入用户，请到系统参数配置页面将“修改哑终端配置时关联删除接入用户”参数选择“是”。

3. 删除哑终端用户配置

该功能用于删除哑终端用户配置。操作步骤：

(1) 在哑终端用户配置页面，选择一行或多行需要删除的哑终端用户配置。

(2) 单击<删除>按钮，确认后即可完成操作。

4. 立即生效

根据所有哑终端用户配置的用户分组、失效时间、接入服务创建预生成帐号。操作步骤：

(1) 选择“哑终端用户配置”页签，进入哑终端用户配置页面。

(2) 单击<立即生效>按钮。单击<立即生效>按钮后，系统会根据哑终端用户配置记录的总条数为每个哑终端用户配置生成相应的数量的预生成帐号。

¡ 如果系统哑终端用户配置记录总条数不超过200，则为每个哑终端用户配置生成1000个预生成帐号。

¡ 如果系统哑终端用户配置记录总条数超过200，但不超过500，则为每个哑终端用户配置生成200个预生成帐号。

¡ 如果系统哑终端用户配置记录总条数超过500，则为每个哑终端用户配置生成100个预生成帐号。

5. 批量导出

该功能用于根据条件导出相关的哑终端配置信息。操作步骤：

(1) 在哑终端用户配置页面，选择一条或条要导出的哑终端用户配置，单击<批量导出>按钮。

(2) 进入导出文件格式选择页面，选择要导出的文件格式和文件中列分隔符，单击<确定>按钮，将所需配置信息导出。

(3) 导出成功后单击<下载导出文件>按钮即可获取哑终端配置信息。

6. 批量导入

该功能用于根据条件导入相关的哑终端配置信息。操作步骤：

(1) 在哑终端用户配置页面，单击<批量导入>按钮，选择要导入配置类型：基于MAC地址段、IP地址段和终端识别。

(2) 进入文件选择页面，选择导入文件类型（导入基本信息、导入MAC地址段/IP地址段/终端识别信息），以及要导入的文件和文件中列分隔符，单击<下一步>按钮。

(3) 进入列选择页面，选择各个属性在对应文件中的列数，单击<确定>按钮。

(4) 进入结果页面，查看导入结果。

5.2.4 预注册用户

用户可以通过本系统自助服务进行预注册操作，生成预注册用户。本系统 EIA组件预注册用户的主要功能是对这些预注册用户进行正式注册。

在接入用户页面，单击[预注册用户]页签，进入预注册用户页面。

1. 简单查询

简单查询是以帐号名、用户姓名和预注册时间范围为条件进行的预注册用户查询。操作步骤：

(1) 在预注册用户列表页面，设置简单查询的条件。

(2) 单击<查询>按钮，查询出符合条件的预注册用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

2. 高级查询

高级查询功能为操作员提供了更丰富的查询条件（包括：帐号名、用户姓名、证件号码、通讯地址、预注册日期和Email地址等），方便操作员对预注册用户进行更加精确的查询。操作步骤：

(1) 在预注册用户列表页面，点击搜索框右侧下拉按钮。

(2) 设置高级查询的条件。

(3) 单击<查询>按钮，查询出符合条件的预注册用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

3. 批量注册

该功能用于同时对多个预注册用户进行正式注册。操作步骤：

(1) 在预注册用户列表页面，选中一个或多个待注册的用户，单击<批量注册>按钮，进入批量注册页面。

(2) 在“接入配置”区域配置接入相关信息，单击<确定>按钮完成操作。

注意事项：

· 批量预注册时，如果用户存在，则不能修改用户的任何基本信息；如果用户不存在，则新增用户，基本信息将沿用用户在自助服务中设置的基本信息。

· 注册时需要设置的参数与增加接入用户时设置的参数类似，参数的具体说明请参见增加/修改接入用户。

4. 正式注册

该功能用于对单个预注册用户进行正式注册。操作步骤：

(1) 在预注册用户列表页面，点击待注册用户对应的链接进入正式注册页面。

(2) 设置用户的基本信息和接入相关信息，单击<确定>按钮完成操作。

注意事项：

· 正式注册时，如果用户存在，则不能修改用户的任何基本信息；如果用户不存在，则新增用户，基本信息将沿用用户在自助服务中设置的基本信息。

· 注册时需要设置的参数与增加接入用户时设置的参数类似，参数的具体说明请参见增加/修改接入用户。

5. 删除预注册用户

该功能用于删除预注册用户。操作步骤：

(1) 在预注册用户列表页面，选中待删除的用户。

(2) 单击<删除>按钮，确认后完成操作。

5.3 访客用户

选择“自动化”页签，单击导航树中的[用户业务/访客用户]菜单项，进入访客用户页面。

5.3.1 访客用户

访客用户列表中显示了已经通过注册的访客。访客的简单查询功能可以让操作员快速找到特定的访客。

点击访客的帐号名链接，进入访客详细信息页面。页面右侧提供了接入业务的动作菜单（因访客是否被注销而异）。由于访客是一类特殊的接入用户，因此这些动作菜单与接入用户的类似，不再详述。

注意事项：

· 一个访客只能属于一个用户分组。

· 在本系统系统中，操作员拥有某些用户分组的查看权限，操作员只能查询和查看属于这些分组的访客。

在访客用户页面，单击[访客用户]页签，进入访客用户页面。

1. 查询访客

查询访客的条件包括帐号名、访客姓名、用户分组、访客服务等。操作员可以使用其中的一个或者多个快速找到访客。操作步骤：

(1) 设置查询的条件。查询条件保持为空表示不使用此条件对访客进行过滤。

(2) 单击<查询>按钮，查询出符合条件的访客；单击<重置>按钮，查询条件将被设置为默认条件并进行查询。

2. 注销访客

该功能用于注销一个或多个访客。访客关联的平台用户一并注销。选中一个或多个访客用户，单击<注销访客>按钮，确认后即可完成注销操作。

注意事项：

· 注销访客同时会注销访客关联的平台用户，已注销访客详细信息中不再显示平台用户。

· 注销的访客还会保留在数据库中。系统根据数据保留时长的设定，定时从数据库中删除访客。

3. 转移用户分组

该功能用于批量转移访客到新的用户分组。操作步骤：

(1) 选择待转移的访客后，单击<转移用户分组>按钮，页面跳转到用户分组选择页面。

(2) 选择需要转移的目的分组，单击<确定>按钮完成操作。

(3) 结果页面可以查看操作结果，操作员也可以单击<下载操作日志>按钮来下载临时日志文件。

4. 批量导出访客

该功能用于将系统中的访客信息导出为文件并保存到本系统服务器或本地。操作步骤：

(1) 操作员可以选择要导出的访客，也可以根据查询条件导出访客。

¡ 勾选将要到导出的访客。单击<导出>按钮，下拉选项中选择“导出已选访客”

¡ 输入查询条件，单击<查询>按钮，“访客列表”会显示符合条件的访客。单击<导出>按钮，下拉选项中选择“按查询条件导出访客”

(2) 进入导出信息和导出文件格式选择页面，选择完成后，单击<确定>按钮。

# 导出格式包括TXT、CSV表格和XML三种：

- 如果选择TXT格式，用户还可以选择文本列的分隔符。分隔符包括：空格、TAB键、英文逗号（,）、英文冒号（:）、#和$ 。

- CSV格式是用“,”分隔各字段的文本格式，Windows下CSV格式文件默认用Excel打开，Excel会根据显示内容自动选择显示格式，可能与实际不符，比如“123456789123456789”会按科学计数法显示为“1.23457E+17”，遇到这种情况可以自行选择显示为文本格式或者用记事本等文本编辑工具打开查看。

- XML格式文件可直接用浏览器打开。

# 用户可以对访客信息定制导出。导出信息不能为空，缺省导出访客管理员帐号名、访客管理员姓名、访客用户帐号名、用户姓名、访客用户分组名、生效时间和失效时间。可选导出的信息包括：密码（若操作员非管理员则不显示）、证件号码、电话、通信地址以及电子邮件等等。

(3) 系统执行导出操作，并将导出的文件保存在本系统服务器上，之后进入导出结果显示页面。

(4) 在结果显示页面中，操作员可以单击<下载导出文件>按钮将访客信息文件下载并保存到本地。

¡ 导出文件的存放路径为：<主服务器本系统安装目录>/tmp。

¡ 导出的文件以操作员执行导出的时间作为后缀，便于操作员查找。

5. 黑名单用户

黑名单用户是指不允许接入网络或不允许使用充值卡进行充值的用户。通常在下列情况下会被加入黑名单中：

· 恶意登录尝试，如果用户的帐号名正确，但却使用错误的用户密码多次（系统支持的最高尝试次数在“认证失败阈值”业务参数中设置，请参考系统参数配置）尝试接入网络，系统将认定该用户存在非法盗用他人帐号企图，从而不允许该用户在其登录的机器上继续尝试接入网络。系统自动将其置为黑名单状态，直到第二天的凌晨才会自动取消黑名单状态。也可以通过联系管理员手工解除黑名单状态。

· 在"安全策略管理 > 安全级别管理"中，如果将操作系统密码不符合安全策略要求的安全级别设置为"加入黑名单并下线"，则用户上线时，如果操作系统密码不符合安全策略要求，则该用户会被加入黑名单并且下线。因安全检查不通过被加入黑名单的用户不能自动从黑名单中解除，只能由操作员手工解除。只有安装了EAD组件，才显示该选项。

操作步骤：

(1) 接入用户加入黑名单

选择接入用户，点击<加入黑名单>按钮，在弹出的提示对话框中单击<确定>按钮，则将当前接入用户加入黑名单。

(2) 接入用户解除黑名单

点击“黑名单用户”标签，进入黑名单用户列表页面，选择黑名单用户，点击<解除黑名单>按钮，下拉框中单击“解除已选择用户”或者“按查询条件解除”项，在弹出的提示对话框中单击<确定>按钮，则将当前接入用户从黑名单中解除。

(3) 点击“黑名单用户”链接进入黑名单用户列表页面。黑名单用户列表中的主要操作：

¡ 点击黑名单用户列表中每列的列标题，黑名单信息会自动排序。如：点击“加入时间”列标题，则黑名单信息按加入时间的先后顺序显示。

¡ 点击“帐号名”链接，转到用户详细信息页面。

¡ 点击链接，转到黑名单详细信息页面，浏览某条黑名单的详细信息。根据黑名单加入原因的不同，黑名单的详细信息的显示数据也略有不同。

注意事项：

· 如果用户被操作员加入黑名单，则该用户在任何机器上都不能登录成功，并且如果操作员不解除黑名单，黑名单永久生效。

6. 认证失败日志

操作员可以在接入分析页面查看用户的认证失败日志。在用户认证失败日志页面中，可以通过认证失败时间范围、服务名称等条件对认证失败日志进行查询。操作步骤：

(1) 单击“认证失败日志”标签，进入认证失败日志列表页面。

(2) 认证失败日志列表页面中的主要操作：

¡ 在搜索框中输入账号名，点击搜索按钮可以根据账号名查询用户的认证失败日志。
或者单击搜索框右侧的下拉按钮，通过选择认证失败时间范围、服务名称等查询条件，点击<查询>按钮，可按多条件对该用户的认证失败日志进行查询。点击<重置>按钮，将按照缺省条件查询该用户的认证失败日志。

¡ 点击链接，转到认证失败日志详细信息页面。

7. 接入明细

操作员可以在接入分析列表页面查看用户的接入明细。在用户接入明细页面中，可以通过接入开始时间范围等条件对接入明细进行查询。操作步骤：

· 通过选择接入开始时间范围等查询条件，点击<查询>按钮，则可按指定时间段对接入明细进行查询。

· 点击<重置>按钮，将按照缺省条件查询用户的接入明细。

· 点击链接，转到接入明细页面。

8. 安全日志

操作员可以在接入用户详细信息页面中，通过点击“查看安全日志”链接查看该用户的安全日志。如果没有安装EAD组件，则没有该功能。

操作步骤：

(1) 在各个接入用户功能相关页面，通过点击帐号名链接进入接入用户详细信息页面。

(2) 点击“查看安全日志”链接，进入该用户的安全日志页面。

(3) 点击链接，转到安全日志明细页面。

5.3.2 访客管理员

访客管理员的主要功能是管理访客和激活预注册访客。访客管理员和访客的关联关系在增加访客或预注册访客时确立。

访客管理员分为两种类型：访客管理员和超级访客管理员。访客管理员只能管理名下的访客和预注册访客。超级访客管理员可以管理所有的访客和预注册访客。

点击访客管理员的帐号名链接可以进入详细信息页面。该页面的右侧提供了接入业务动作菜单（包含的动作因访客管理员是否在线而异）。

在访客用户页面，单击[访客管理员]页签，进入访客管理员页面。

(1) 增加访客管理员

a. 在访客管理员列表页面，单击<增加>按钮，选择访客管理员类型。

- 所管理访客的最大有效时长：普通访客管理员增加访客时，可以为访客设置的最大有效时长。配置了该参数的访客管理员在修改访客信息时，无法修改生效时间和失效时间。未设置或无法设置失效时间的访客受该参数影响，具体为访客的失效时间取“所管理访客的最大有效时长”和“缺省访客有效时长”中较小值。注意：若用户既属于访客管理员分组，同时也是手工添加的访客管理员，则以手工添加为访客管理员时配置的“所管理访客的最大有效时长”为准，不再考虑访客管理员分组的配置时长。

- 审批提醒方式：访客预注册成功后，系统可以向其所属的访客管理员发送审批提醒的短信和电子邮件。发送与否，即由本参数控制。

- 所管理的访客分组：访客管理员可以管理的访客分组。配置该参数后，访客管理员可以在该分组内增加和修改访客信息，也可以审批该分组内的预注册访客。

b. 单击<选择接入用户>按钮，在弹出的接入用户列表中，勾选需要变更为访客管理员的接入用户，单击<确定>按钮完成选定。

c. 单击<确定>按钮完成操作。

(2) 修改访客管理员

a. 在访客管理员列表页面，在访客管理员列表中，勾选需要修改的访客管理员。

b. 单击<修改>按钮，选择访客管理员类型。

c. 单击<确定>按钮完成操作。

(3) 删除访客管理员

a. 在访客管理员列表页面，在访客管理员列表中，勾选需要变更为接入用户的访客管理员。

b. 单击<删除>按钮完成操作。

注意事项：

¡ 当访客管理员被某个访客选为管理者时，该访客管理员不能被删除。

¡ 当访客管理员被某个预注册访客选为管理者时，该访客管理员可以被删除。

¡ 对应的接入用户再次被增加为访客管理员时，访客管理员无法管理删除前管理的预注册访客。

· 点击默认访客管理员列中的链接，可以为在Portal页面自动注册的访客指定管理员。注意，只能将一个访客管理员设置为默认访客管理员。

· 如果访客管理员的权限与其所在管理员分组的权限有冲突，则取最高权限。如访客管理员A类型为超级访客管理员，其所在的访客管理员分组类型为访客管理员，则访客管理员A仍是超级访客管理员。

· 更改访客相关参数，如：访客策略、访客服务，业务参数配置等，访客可能需要重新登录才能生效新的配置。

· 访客管理员列表是按照所管理的访客分组进行分权显示的。

5.3.3 访客管理员分组

访客管理员的主要功能是管理访客和激活预注册访客。访客管理员和访客的关联关系在增加访客或预注册访客时确立。

已经增加为访客管理员的用户分组，如果增加的接入用户关联了此用户分组，那么增加的接入用户默认为访客管理员。

在访客用户页面，单击[访客管理员分组]页签，进入访客管理员分组页面。

(1) 增加/修改访客管理员分组

a. 选择“访客管理员分组”页签，进入按用户分组配置访客管理员列表页面。

b. 单击<增加>按钮，或点击待修改用户分组对应的链接。

c. 选择访客管理员类型、勾选审批提醒方式等，并选择用户分组信息。

- 所管理访客的最大有效时长：普通访客管理员增加访客时，可以为访客设置的最大有效时长。配置了该参数的访客管理员在修改访客信息时，无法修改生效时间和失效时间。未设置或无法设置失效时间的访客受该参数影响，具体为访客的失效时间取“所管理访客的最大有效时长”和“缺省访客有效时长”中较小值。

- 审批提醒方式：访客预注册成功后，系统可以向其所属的访客管理员发送审批提醒的短信和电子邮件。发送与否，即由本参数控制。

d. 单击<确定>按钮完成操作。

(2) 删除访客管理员分组

a. 选择“访客管理员分组”页签，进入按用户分组配置访客管理员列表页面。

b. 点击访客管理员分组对应的链接，确认后即可删除。

5.3.4 访客策略

访客策略用于增加访客和预注册访客的相关参数配置，其中具体包括基本信息、访客参数、访客服务和访客用户分组的配置。未配置访客策略的访客用户分组则使用“缺省访客策略”。

选择“访客策略”页签，进入访客策略列表页面。

(1) 增加/修改访客策略

a. 在访客策略列表页面，单击<增加>按钮或点击访客策略对应的。

b. 填入或选择要增加/修改访客策略的相关信息：

¡ 基本信息

- 策略名称：访客策略的唯一标识。

- 描述：关于访客策略的描述性信息。

¡ 访客参数配置

基本功能：

- 预注册访客自动转正：如果选择“允许”表示终端用户预注册为访客后自动转正，而不需要访客管理员审批转正。如果选择“禁止”表示需要访客管理员审批后，预注册访客才能转正。只有当“访客管理 > 访客业务参数配置”中的“访客预注册”设置为“允许”时，该参数才生效。允许访客自动转正时，必须指定默认访客管理员和默认访客服务。

- 访客密码通知方式：选择告知访客登录密码等信息的方式。告知方式包括短信和电子邮件，可以同时选择两种方式。如果告知方式为短信，则需要启用短信功能；短信的内容在“消息下发”中定制。如果告知方式为电子邮件，邮件的内容由EIA预置，无法修改；同时只有在本系统 PLAT中配置正确的邮件服务器，才能成功发送邮件。如果未选择任何一种方式，表示不将密码通知到访客。

- 访客预注册后显示二维码：访客预注册以及预注册自动转正（除BYOD方式）的结果页面是否显二维码。

- 访客生效方式：如果选择“手工指定生效时间”表示访客管理员可以手工指定所管理访客的生效时间和失效时间，如果选择“首次上线生效”表示访客首次上线后更新生效时间和失效时间。除了移动访客管理自助平台注册的访客，其他方式注册的访客转正时，访客生效时间都受该参数控制。

- 缺省访客有效时长：输入缺省情况下，访客的有效时长。注册访客时，如果未设置或无法设置失效时间，则访客的失效时间取该参数和“所管理访客的最大有效时长”的较小值。“所管理访客的最大有效时长”在增加访客管理员时配置，具体请参见增加访客管理员。

- 访客密码有效时长：输入访客密码的有效时长，从访客生效时开始计算。访客只在密码失效前才能接入网络。如果该参数保持为空，则表示访客密码永不失效。

- 访客密码生成规则：系统自动生成访客密码的规则。EIA支持三种规则，即n位数字、n位字母和n位数字+字母的组合。该规则对访客注册过程中手工输入的密码无效。

- 访客在线数量限制缺省值：输入访客注册页面中“在线数量限制”缺省显示的值。

- 访客在线数量限制最大值：输入访客注册页面中“在线数量限制”可以配置的最大值。

快捷开户：

- 短信开户与认证页面的校验方式：如果选择"随机验证码方式"后，在"短信开户与认证页面"会显示含有随机信息的图片，只有正确输入了图片中的内容才能进行注册；如果选择"指定授权码方式"后，则还需配置授权码，在"短信开户与认证页面"中会要求终端用户输入访客策略中配置的授权码，只有正确输入授权码才能进行访客注册。如果选择“不验证”后，终端用户直接可以进行访客注册。“随机验证码方式”和“指定授权码方式”可以防止恶意注册。

- 访客帐号名生成规则：假设某个访客在2014年1月1日8点8分8秒123毫秒开户（该时间对应的毫秒值为1388534888123，该毫秒值是自1970年1月1日0点到开户时间点的毫秒数）。如果选择“系统时间的毫秒值”，则帐号名为1388534888123；如果选择“前缀+系统时间的毫秒值”，则还需配置前缀，如果“前缀”配置为“auto”，则帐号名为auto1388534888123；如果选择“YYMMDDhhmmss时间戳+4位随机数”，则帐号名为140101080808ZZZZ，其中ZZZZ是四位随机数字。

c. 单击<确定>按钮完成操作。

(2) 删除访客策略

a. 选择“访客策略”页签，进入访客策略列表页面。

b. 点击某一访客策略对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。

注意事项：

¡ 一个访客策略可以配置多个访客用户分组，一个访客用户分组只能被一个策略使用。

¡ 触屏版用户自助平台不支持自定义的访客策略。

¡ 如果访客策略中未配置访客服务，则在自助服务和BYOD的访客预注册自动转正结果页面中不显示二维码。

5.4 接入分析

选择“自动化”页签，单击导航树中的[用户业务/接入分析]菜单项，进入接入分析页面。

5.4.1 接入明细

用户每次成功登录后，系统都会记录关于当次接入的详细的信息，主要包括登录名，何时登录，多长时间，用户的IP地址，MAC地址，IPv6地址，接入设备的IP地址等等信息。接入明细其实就是用户上网的历史信息，操作员可以根据各种条件查询接入明细。

由于可能会记录大量的接入明细，造成系统数据库过于庞大，所以系统会定期清除过期的接入明细。接入明细保存时长可以在系统参数“接入明细保留时长”中设置。具体请参考系统参数配置。

由于接入明细的属性项比较多，为了满足不同操作员查看不同属性项的需求，系统提供了定制界面功能。

在接入分析页面，单击[接入明细]页签，进入接入明细页面。

参数说明：

· 接入开始时间：用户认证成功，正式接入的时间。

· 接入结束时间：用户下线，本次接入过程的结束时间点。

· 接入时长：本次接入过程持续的时间，其实就是接入结束时间和接入开始时间的差值，单位为秒。

· VLAN ID/内层VLAN ID：本次接入用户所应用的VLAN ID/内层VLAN ID。

· 外层VLAN ID：本次接入用户所应用的外层VLAN ID。

· 设备IP地址：用户接入的NAS设备的IP地址。

· 设备端口号：用户接入到NAS设备的端口号。

· 思科端口号：用户接入到思科类型的NAS设备的端口号。

· 用户IP地址：用户使用的IP地址。

· 用户MAC地址：用户网卡的MAC地址。

· 接入策略名：本次用户使用服务所绑定的接入策略。

· 服务名：本次用户使用的服务。

· 用户IPv6地址：用户使用的IPv6地址。

· 上传/下载字节数：该用户本次接入的上传/下载字节数。

· 下线原因：用户中断接入的原因。

· 无线用户SSID：本次接入用户所对应的无线用户SSID。

· NAS ID：用户使用的NAS ID。

· Windows域：本次接入用户Windows 域的域名。

· 客户端版本号：用户认证上线时使用的客户端版本号。

· 终端类型：本次接入用户所对应的终端类型。

· 终端厂商：本次接入用户所对应的终端厂商。

· 终端操作系统：本次接入用户所对应的终端操作系统。

· IMSI号码：移动用户登录所使用的国际移动用户识别码（IMSI：International Mobile Subscriber Identification Number），它是区别移动用户的标志，储存在SIM卡中。可以在用户使用的服务中设置是否绑定IMSI号码，具有自学习功能。设置后，则用户上线时使用的IMSI必须与该用户绑定的IMSI一致。

· IMEI号码：IMEI（International Mobile Equipment Identification），即国际移动设备识别码，它是区分移动设备的标识，储存在移动设备中。启用该参数后，则用户上线时使用的IMEI必须与该用户绑定的IMEI一致。如果未配置绑定的IMEI码，UAM将采用自学习策略。所谓自学习就是绑定用户首次上线所使用的IMEI码。

· 设备序列号：接入用户连接网络时必须连接的设备的序列号。

注意事项：

· 接入明细生成后，如果接入用户转移了用户分组，接入明细中记录的用户分组不会随之改变。

· 接入明细生成后，如果删除了用户分组，接入明细列表里用户分组列、查看接入明细详情、导出接入明细包含用户分组时，用户分组名称显示为“--”。

· 只有拥有所有用户分组查看权限的操作员才可以看到已被删除用户分组的接入明细记录。

1. 简单查询

在简单查询中，用户可以通过设置帐号名、用户分组、接入开始时间范围等查询接入明细信息。操作步骤：

(1) 设置简单查询的条件，包括帐号名。

(2) 单击<查询>按钮，查询出符合条件的接入明细信息。

2. 高级查询

高级查询功能为用户提供了更丰富的查询条件，方便用户对接入明细信息进行更细致的查询。操作步骤：

(1) 在接入明细首页面，点击“高级查询”链接。

(2) 设置高级查询的条件，包括帐号名、设备IP地址、用户IP地址、用户MAC地址、用户分组、服务名、接入策略名、接入开始时间范围和下线原因等。

(3) 单击<查询>按钮，查询出符合条件的接入明细信息；单击<重置>按钮，所有查询条件置为默认状态并进行查询。

3. 定制页面

该功能用于定制列表的显示内容。可以启用需要显示的项目。操作步骤：

(1) 单击<定制页面>按钮，进入定制页面界面。

(2) 将某一或全部的项目从“可选择项列表”移动至“输出列表”中，则在接入明细列表中显示“输出列表”中所有项目的相关内容，反之则不显示。

(3) 单击<确定>按钮完成界面定制操作，单击<取消>按钮，取消界面定制操作并返回上一页面。

5.4.2 漫游接入明细

漫游接入明细记录了非本地用户接入网络的基本信息。所谓漫游，即非本地用户通过本地接入设备接入网络。用户漫游时，本地EIA不直接对非本地用户进行认证，而是将认证请求转发给用户所属的EIA并将用户接入网络的信息记录到漫游接入明细中。用户所属的EIA接收到认证请求后对用户进行认证，并将认证结果反馈给本地EIA，同时将用户的接入信息记录到接入明细中。

· 关于漫游的更多信息请参考漫游配置。

· 关于接入明细的更多信息请参考接入明细。

在接入分析页面，单击[漫游接入明细]页签，进入漫游接入明细页面。

参数说明：

· 登录名：用户进行漫游时必须使用“用户名@服务后缀”形式的用户名，此处显示的就是这一用户名。

· 代理类型：表明用户类型。非本地用户从其它EIA漫游到本地EIA为代理至代理类型，本地用户从其它EIA漫游到本地EIA为代理至本地类型。

· 设备IP地址：用户接入的NAS设备的IP地址。

· 接入开始时间：用户认证成功，正式接入的时间。

· 接入结束时间：用户下线，本次接入过程的结束时间点。

· 接入时长：某一次接入过程持续的时间，等于该次接入结束时间和接入开始时间的差值，单位为秒。

· 用户IP地址：用户使用的IP地址。

· 用户MAC地址：用户认证使用的网卡的MAC地址。

· VLAN ID：用户接入网络后使用的VLAN。

· 内层VLAN ID/外层VLAN ID ：用户接入网络后使用的VLAN。

· 设备端口号：用户接入的NAS设备端口号。

· 上传/下载字节数：该用户某一次接入的上传/下载字节数。

· 下线原因：用户中断接入的原因。

· 无线用户SSID：接入用户所对应的无线用户SSID。

· Windows 域：接入用户绑定的域名。

· 客户端版本号：用户认证上线时使用的客户端版本号。

1. 简单查询

在简单查询中，用户可以通过设置漫游接入开始时间的范围查询漫游接入明细信息。操作步骤：

(1) 选择“漫游接入明细”页签，进入漫游接入明细首页面。

(2) 设置漫游接入开始时间范围。

(3) 单击<查询>按钮，查询出符合条件的漫游接入明细信息；单击<重置>按钮，所有查询条件恢复默认值并进行查询。

2. 高级查询

高级查询功能为用户提供了更丰富的查询条件，方便用户对漫游接入明细信息进行更细致的查询。操作步骤：

(1) 选择“漫游接入明细”页签，进入漫游接入明细首页面。在漫游接入明细首页面，点击搜索框右侧下拉按钮。

(2) 高级查询条件包括登录名、接入时长，设备IP地址范围、设备NAT IP地址范围、用户IP地址范围、接入开始时间范围、用户MAC地址、下线原因、用户IPv6地址和客户端版本号，根据需要设置一个或多个查询条件。

(3) 单击<查询>按钮，查询出符合条件的漫游接入明细信息；单击<重置>按钮，所有查询条件恢复默认值并进行查询。

3. 批量导出漫游接入明细

该功能用于将帐号的漫游接入明细导出为文件并保存到本系统服务器或本地。操作步骤：

(1) 选择“漫游接入明细”页签，进入漫游接入明细首页面。

(2) 使用查询功能，筛选出需要导出的漫游接入明细。单击<导出>按钮，进入导出文件格式选择页面。选择完成后，单击<确定>按钮，系统执行导出操作。导出的文件保存在本系统服务器上，之后进入导出结果显示页面。

¡ 导出文件的名称由系统自动生成，并在文件名称中加入了导出时间戳以便操作员快速查找。导出文件的存放路径为：<本系统安装目录>/client/export/uam/roamdetail。

(3) 在结果显示页面中，操作员可以单击<下载导出文件>按钮将漫游接入明细文件下载并保存到本地。

5.4.3 认证失败日志

认证失败日志用于记录终端用户在认证时的失败信息。认证失败日志包含了很多关于客户端认证的信息，如登录名，用户IP地址，用户MAC地址，用户IPv6地址，接入设备的IP地址，错误号以及错误原因描述等等。操作员可以通过这些信息定位用户认证失败的真正原因。

由于可能会有大量的认证失败日志生成，造成数据库性能降低，所以系统会每天清除过期的认证失败日志。认证失败日志保留时长在业务参数“日志保留时长”中配置。

认证失败日志生成后，如果接入用户转移了用户分组，认证失败日志中记录的用户分组不会随之改变。

在接入分析页面，单击[认证失败日志]页签，进入认证失败日志页面。

操作步骤：

(1) 选择“认证失败日志”页签，进入认证失败日志页面。

(2) 认证失败日志列表中的主要操作：

¡ 点击认证失败日志列表中每列的列标题，认证失败日志信息会自动排序。如：点击“认证失败时间”列标题，则认证失败日志信息按时间的先后顺序显示。

¡ 点击“帐号名”链接，转到接入用户信息页面。

¡ 点击链接，转到认证失败日志详细信息页面。

¡ 当认证失败日志原因为用户不存在或者用户没有申请该服务时，此链接可点击。点击链接，如果帐号不存在，则跳转至增加接入用户页面，申请用户，如果用户没有申请该服务，则跳转修改用户页面申请服务。

(3) 单击<定制认证失败原因>按钮，进入定制认证失败原因页面。

2. 简单查询

在简单查询中，操作员可以通过选择帐号名、认证失败时间范围条件查询认证失败日志信息。操作步骤：

(1) 在认证失败日志页面，设置简单查询的条件，包括帐号名、认证失败时间范围。

(2) 单击<查询>按钮，查询出符合条件的认证失败日志；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

3. 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对认证失败日志进行更细致的查询。操作步骤：

(1) 在认证失败日志页面中，点击“高级查询”链接。

(2) 设置高级查询的条件，包括帐号名、认证失败时间范围、用户分组、服务名称、用户IP地址起始范围和用户MAC地址。

(3) 单击<查询>按钮，查询出符合条件的认证失败日志；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

4. 认证失败日志详细信息

浏览某条认证失败日志的详细信息，包括帐号名、登录名、认证失败原因、认证失败时间、建议解决方法、用户IP地址、用户MAC地址、用户IPv6地址、设备IP、设备NAT IP、设备端口、设备序列号、IMSI号码、IMEI号码、服务名称、VLAN ID/内层VLAN ID、外层VLAN ID、无线SSID、计算机名称、Windows域、IMEI号码等。

操作步骤：

(1) 在认证失败日志页面，点击认证失败日志列表中的某条认证失败日志“详细信息”链接，进入认证失败日志详细信息页面。

(2) 单击<返回>按钮，可以重新返回认证失败日志页面。

5. 定制认证失败原因

“定制认证失败原因”用于操作员修改错误码对应的错信信息。每个错误码默认包含两条信息（一条是错误信息，另一条是客户端提示信息）和一条建议解决方法。操作员可以定制每个错误码对应的错误信息（包括内容和语言种类，如：德语，俄语等。）和建议解决方法。

操作步骤：

(1) 在认证失败日志页面，单击<定制认证失败原因>按钮，进入定制认证失败原因页面。

(2) 定制认证失败原因列表中的主要操作：

¡ 在修改列，点击图标，修改错误信息或建议解决方法。

¡ 修改完成后，点击<确定>按钮保存修改后的内容；点击<取消>按钮放弃修改。

5.4.4 终端日志

在接入分析页面，单击[终端日志]页签，进入终端日志页面。

1. 终端检查违规日志

终端检查违规日志用于记录终端用户认证时的违规信息。

由于大量的终端检查违规日志会造成数据库性能降低，因此系统会每天清除过期的违规日志。终端检查违规日志保留时长由业务参数“日志保留时长”决定。

选择“终端检查违规日志”页签，进入终端检查违规日志页面。该功能仅在策略服务器启用情况下生效。

(1) 简单查询

在简单查询中，操作员可以通过选择帐号名、检查违规时间范围条件查询终端检查违规日志信息。

操作步骤：

a. 在终端检查违规日志页面，设置简单查询的条件，包括帐号名、检查违规时间范围。

b. 单击<查询>按钮，查询出符合条件的终端检查违规日志；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

(2) 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对终端检查违规日志进行更细致的查询。

操作步骤：

a. 在终端检查违规日志页面中，点击“高级查询”链接。

b. 设置高级查询的条件，包括帐号名、登录名、检查违规时间范围、用户IP地址起始范围、用户MAC地址、用户IPV6地址、违规处理模式和违规类型。

c. 单击<查询>按钮，查询出符合条件的终端检查违规日志；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

2. 终端识别差异审计

终端识别差异审计日志用于记录不同时间终端用户信息的差异。本系统系统可以通过客户端、DHCP、HTTP User Agent和MAC地址四种方式识别终端信息，获取终端信息的优先级依次降低。系统每次获取到终端信息（厂商、终端类型、操作系统）时，与终端MAC地址表中所记录的终端信息进行比较，如果获取终端信息的方式一致，但终端信息不同，那么变更就会被记录到终端识别差异审计日志中。同时，如果终端管理参数配置中的“终端信息不一致的处理方式”为允许认证，则会刷新终端设备管理列表里面的数据。日志包含MAC地址、记录时间、帐号名、登录名、本次获取的终端信息、原来系统中已记录的终端信息和获取方式等信息。这些信息可以帮助操作员定位用户认证失败的原因。如果连续两次使用MAC地址识别方式获取到的终端信息不同，则会更新EIA中的终端信息且不会记录终端识别差异日志。

由于大量的终端识别差异审计日志会造成数据库性能降低，所以系统会每天清除过期的日志。终端识别差异审计日志保留时长由业务参数“日志保留时长”决定。

选择“终端识别差异审计”页签，进入终端识别差异审计页面。

操作步骤：

(1) 选择“终端识别差异审计”页签，进入终端识别差异审计页面。

(2) 终端识别差异审计日志列表中的主要操作：

¡ 点击终端识别差异审计日志列表中记录时间的列标题，终端识别差异审计日志信息按时间的先后顺序显示。

¡ 点击“帐号名”链接，转到用户详细信息页面。

¡ 点击链接，转到终端识别差异审计详细信息页面。

5.4.5 用户自助操作日志

用户自助操作日志是用于记录用户进行自助操作的日志。用户日志包含了帐号名、操作发生的时间（即日志记录时间）、IP地址、操作描述等。操作员可以通过这些信息了解用户的自助操作及其结果。

在接入分析页面，单击[用户自助操作日志]页签，进入用户自助操作日志页面。

为了方便操作员从大量的日志中筛选出所需的日志，系统提供了日志查询功能。查询条件包括：开始/结束时间、操作角色、用户分组、IP地址、帐号名和日志描述。选择查询条件后，单击<查询>按钮，符合查询条件的日志将显示在用户日志列表中。单击<重置>按钮，即可显示所有日志。

查询条件中的操作角色包括非设备管理用户、普通接入用户、设备管理用户、访客和访客管理员五个选项。非设备管理用户是指除设备管理用户以外的所有用户，包括普通接入用户、访客和访客管理员。如果操作角色选择非设备管理用户，用户日志列表中将显示普通接入用户、访客和访客管理员的操作日志。

查询条件中的操作类型包括修改密码、查询接入明细等。

由于较大数量的用户日志会降低数据库性能，因此系统会每天清除过期的用户日志。

5.4.6 绑定IP管理操作日志

在接入分析页面，单击[绑定IP管理操作日志]页签，进入绑定IP管理操作日志页面。该功能用于记录IP绑定信息的变动，主要包括IP地址、MAC地址、帐号名、操作时间、操作描述、操作结果。操作员可以通过这些信息查看IP绑定的操作和操作结果。

由于可能会有大量的绑定IP地址管理操作日志生成，从而造成数据库性能降低，因此系统会每天清除过期的绑定IP地址管理操作日志。

可通过修改[自动化/用户业务/接入参数/系统配置/系统参数配置]中“日志保留时长”参数来修改绑定IP地址管理操作日志保留时长。

1. 简单查询

用户可以通过输入帐号名查询绑定IP地址管理操作日志。操作步骤：

(1) 选择“绑定IP地址管理操作日志”页签，进入绑定IP地址管理操作日志页面。

(2) 在页面右上角的搜索栏中输入帐号名，单击()图标，筛选出符合条件的绑定IP地址管理操作日志。

2. 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对绑定IP地址管理操作日志进行更细致的查询。操作步骤：

(1) 选择“绑定IP地址管理操作日志”页签，进入绑定IP地址管理操作日志页面。

(2) 单击页面右上角搜索框后的()图标，展开高级查询区域，查询条件包括：帐号名、用户IP地址起始范围及用户MAC地址。

(3) 按需输入一个或多个查询条件，单击<查询>按钮，筛选出符合条件的绑定IP地址管理操作日志；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

3. 绑定IP管理操作日志基本信息

该功能用于查看绑定IP地址管理操作日志的各种信息，包括IP地址、MAC地址、帐号名、安全组、操作时间、操作描述、操作结果、失败原因。操作步骤：

(1) 选择“绑定IP地址管理操作日志”页签，进入绑定IP地址管理操作日志页面。

(2) 单击待查看绑定IP地址管理操作日志对应“操作结果”列的链接，进入基本信息页面，查看基本信息。

5.5 在线用户

选择“自动化”页签，单击导航树中的[用户业务/在线用户]菜单项，进入在线用户页面。

5.5.1 本地在线用户

为了方便对用户接入管理的维护操作及对最终用户的管理工作，系统列出了当前操作员所能管理的所有在线终端用户。只要用户当前使用了任何接入管理的业务，您就能够在在线用户管理中查到其业务使用的相关信息。在线用户管理中包含了用户名、用户会话标识等有用的信息。您可以通过定制界面功能来定制需要的在线用户信息，也可以通过分页、排序等操作方便的查找特定用户及其相关信息。

参数说明：

· 代理类型：本地在线用户的代理类型有两种，“设备至本地”和“代理至本地”。假设有A、B两台EIA服务器，以此来说明本地在线用户的代理类型。

¡ 设备至本地：指NAS设备将认证请求直接发给EIA A服务器进行AAA认证，即EIA本地认证，非漫游。认证成功后，EIA A服务器上，该在线用户的代理类型就为“设备至本地”。

¡ 代理至本地：指其它EIA服务器，如EIA A服务器将认证请求转发至EIA B服务器进行AAA认证。认证成功后，EIA B服务器上该在线用户的代理类型就为“代理至本地”。

· 流量状态：在线用户的流量状态，有正常、异常和严重异常三种状态，管理员可以通过EAD中的流量监控策略配置流量异常和严重异常的阈值。只有安装了EAD组件才可以定制此列。

注意事项：

· 当同时满足以下条件时在线用户列表和在线用户详细信息页面右侧动作菜单中的计算机安全检查链接才显示：1、用户已完成安全认证；2、用户终端的操作系统非Linux和Mac OS；3、用户必须使用iNode PC或MC客户端；4、在线用户的用户IP和客户端端口号不为空。

· 如果部署了本系统DAM组件，则EAD不再支持计算机安全检查功能，在线用户列表和详细信息页面的右侧动作菜单中的检查链接也不再显示。

在在线用户页面，单击[本地在线用户]页签，进入本地在线用户页面。

1. 简单查询

在简单查询中，操作员以帐号名、用户分组为条件查询在线用户信息。操作步骤：

(1) 设置简单查询的条件，包括帐号名。

(2) 单击<查询>按钮，查询出符合条件的在线用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

2. 高级查询

高级查询功能为操作员提供了更丰富的查询条件，方便操作员对接入在线用户根据各种情况进行查询。操作步骤：

(1) 点击搜索框右侧下拉图标。

(2) 设置高级查询的条件，包括帐号名、用户姓名、用户分组、服务名、接入开始时间等。

(3) 单击<查询>按钮，查询出符合条件的在线用户；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

3. 消息下发

该功能用于向一个或多个指定的在线用户下发消息。操作步骤：

(1) 选择将要下发消息的在线用户，单击<消息下发>按钮，进入消息下发输入对话框。

(2) 输入将要下发的消息。

(3) 单击<确定>按钮完成下发消息操作。

注意事项：

· 下发消息内容不能超过250个字符。

· iNode客户端暂不支持服务器地址为IPv6的消息下发。

4. 强制下线

操作员基于某种原因，需要终止用户的本次接入，可以使用强制下线功能，将用户踢下线。强制下线只是中断当前会话，被强制下线的用户可以再次触发认证，重新接入网络。选择将要强制下线的在线用户，单击<强制下线>按钮。

注意事项：

· 需要关注强制下线和清除在线信息两个功能的区别：

¡ 强制下线：操作员点击强制下线后，配置台会下发报文给接入设备或者iNode客户端，由接入设备或者iNode客户端触发下线请求，RADIUS服务器收到下线请求后将用户下线，是一个完整的上线下线过程。

¡ 清除在线信息：有时终端用户触发下线请求时，设备向RADIUS服务器转发下线报文时，报文丢失，或者设备断电重启，此时终端用户已经断线，但RADIUS服务器由于没有收到用户的下线请求报文，系统中的该用户的在线记录仍然存在，此时需要操作员清除在线信息，由系统直接删除在线记录，并记录接入明细。

· 由于强制下线发送的是UDP报文，报文可能会丢失，导致下线不成功，需要刷新在线用户列表确认一下。

5. 清除在线信息

有几种情况会出现客户端已经断线，但系统仍然存在在线记录，这种情况可以称之为吊死用户。一是接入设备断电重启，此时接入该设备的终端用户都会断线，但由于RADIUS服务器没有接收到下线请求报文，在线记录会继续存在。二是客户端发起下线请求，但请求报文中途丢失，造成客户端已经下线，但系统中仍然会存在在线记录。

如果用户吊死时间超过一定值，系统会自动清除在线信息。该时长由系统参数“老化时间间隔”控制。

· 选择将要清除的在线用户，单击<清除在线信息>按钮。

· 需要关注强制下线和清除在线信息两个功能的区别：

6. 重认证

当操作员基于某些原因要断开用户的本次接入并使之重新认证时，可以使用重认证功能。选择将要重认证的在线用户，单击<重认证>按钮。

注意事项：

· 只有启用了策略服务器该功能才可用。

· 该功能仅能支持iNode PC客户端。

7. 定制页面

该功能用于定制列表的显示内容。可以启用需要显示的项目、调整项目的优先级。操作步骤：

(1) 单击<定制页面>按钮，进入定制页面管理界面。

(2) 将某一或全部的项目从“可选择项列表”移动至“输出列表”中，则在本地在线用户列表中显示“输出列表”中所有项目的相关内容，反之则不显示。

(3) 单击<确定>按钮完成界面定制操作，单击<取消>按钮，取消界面定制操作并返回上一页面。

8. 批量导出在线用户

该功能用于将系统中的在线用户信息导出为文件并保存到本系统服务器或本地。操作步骤：

(1) 进入导出文件格式选择页面

¡ 方法1：选择需要导出的在线用户，单击<批量导出>下拉框，选择“导出已选用户”，进入导出文件格式选择页面。

¡ 方法2：设置查询条件，查询出符合条件的在线用户，单击<批量导出>下拉框，选择“按查询条件导出用户”，进入导出文件格式选择页面。

(2) 选择所需的格式后，单击<确定>按钮。

¡ 用户可以对帐号信息定制导出。必定导出的信息包括：帐号名、用户姓名、登录名、服务名、接入时长、设备IP地址、用户IP地址、安全状态。

(3) 系统执行导出操作，并将导出的文件保存在本系统服务器上，之后进入导出结果显示页面。

¡ 在结果显示页面中，操作员可以单击<下载导出文件>按钮将帐号信息文件下载并保存到本地。导出文件的存放路径为：<主服务器本系统安装目录>/tmp。

¡ 导出的文件以操作员执行导出的时间作为后缀，便于操作员查找。

9. 在线用户详细信息

该功能用于查询某个在线用户详细信息。操作步骤：

(1) 点击某个在线用户对应的，进入在线用户详细信息页面。

(2) 点击动作菜单中的“返回”链接，可以返回到本地在线用户页面。只有安装了WSM组件，详细信息中才会显示AP名称。由于WSM组件的性能限制，系统每10分钟查询并刷新一次AP数据。

10. 接入用户详细信息

该功能用于查询某个接入用户详细信息。点击某个在线用户的帐号名链接，进入接入用户详细信息页面。

11. 加入黑名单

该功能用于将指定的在线用户加入黑名单。操作步骤：

(1) 点击某个在线用户对应的，选择加入黑名单。

(2) 单击<确定>按钮完成操作。

5.5.2 漫游在线用户

为了方便对漫游用户的查询操作，系统列出了漫游到当前用户的登录名、漫游类型等信息。只要用户漫游到当前EIA，管理员就能够在漫游在线用户管理中查到其业务使用的相关信息。同时，管理员可以通过查询条件查询符合条件的漫游在线用户。

在在线用户页面，单击[漫游在线用户]页签，进入漫游在线用户页面。

参数说明：

· 代理类型：漫游在线用户的代理类型有两种，“设备至代理”和“代理至代理”。假设有A、B、C三台EIA服务器，以此来说明漫游在线用户的代理类型。

¡ 设备至代理：指NAS设备将认证请求发给此EIA A服务器，EIA A服务器再将该请求转发到EIA B服务器上进行AAA认证。认证成功后，A服务器上，该漫游在线用户的代理类型就为“设备至代理”。

¡ 代理至代理：指NAS设备将认证请求发给EIA A服务器，A服务器将该请求转发至B服务器，B服务器再将该请求转发至C服务器上进行认证。认证成功后，在EIA B服务器上，该漫游在线用户的代理类型就为“代理至代理”。

注意事项：

· 漫游在线用户不占用License，会在宿主地占用License。

5.5.3 设备在线用户

设备在线用户提供了从接入设备的角度管理在线用户的入口，给出了接入设备上的在线用户统计数，也提供了对一个接入设备上的所有用户的批量操作，比如批量强制下线，批量下发消息等等。这些功能都是为了方便操作员的管理。

注意事项：

· 在设备在线用户中，设备有在线用户并且当前操作人员具有权限时才会有“消息下发”、“强制下线”、“清除在线信息”的功能。

· 查看设备详情时，必须先将此设备加入到平台资源中，并在“自动化>用户业务>接入服务>接入设备>接入设备配置”中将该接入设备和平台设备进行关联。

在在线用户页面，单击[设备在线用户]页签，进入设备在线用户页面。

1. 查询接入设备

操作员可以通过设备IP地址，设备名称，接入设备类型等来查询接入设备列表。操作步骤：

(1) 设置简单查询的条件，包括设备IP地址，设备名称，接入设备类型。

(2) 单击<查询>按钮，查询出符合条件的接入设备；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

2. 消息下发

该功能用于向与相关接入设备的所有在线用户下发消息，这些消息可以在iNode客户端提示给终端用户。操作步骤：

(1) 在接入设备列表中，点击。

(2) 在对话框中输入将要下发的消息。

(3) 单击<确定>按钮完成下发消息操作。

3. 强制下线

该功能用于将所有从指定设备上线的在线用户强制下线。操作步骤：

(1) 选择接入设备，点击链接。

(2) 弹出确认对话框，单击<确定>按钮完成操作。

4. 清除在线信息

该功能用于清除与指定设备相关的所有线用户记录。操作步骤：

(1) 选择接入设备，点击链接。

(2) 弹出确认清除对话框，单击<确定>按钮完成操作。

5.6 接入终端

当启用无感知认证且用户申请的服务中也启用了无感知认证时，在MAC认证方式下，如果MAC地址已经绑定了接入用户，则系统会根据MAC地址匹配该帐号名，并自动认证。如果MAC地址没有和接入用户绑定，则系统会自动将MAC地址与缺省BYOD用户绑定，并使用该用户上线。在Portal认证方式下，终端第一次通过网页进行Portal认证，会强制推出认证页面，终端用户需要输入帐号名和密码进行Portal网页认证，Portal服务器会将该终端的MAC地址和该帐号名以及使用的服务配置绑定起来，后续再进入网络会根据MAC地址匹配该帐号名，并自动认证。

选择“自动化”页签，单击导航树中的[用户业务/接入终端]菜单项，进入接入终端页面。

(1) 查询终端设备

a. 设置查询条件，包括：帐号名、用户姓名、MAC地址、无感知认证状态、启用/禁用时间范围、服务名、厂商、终端类型、操作系统。

b. 单击<查询>按钮，查询出符合条件的终端设备；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

(2) 批量删除

a. 选择将要删除的MAC地址，单击<批量删除>按钮，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(3) 批量导入

a. 选择“批量导入”，进入操作向导。

b. 选择存放终端设备信息的文件以及文件中信息的分隔符，单击<下一步>按钮。

c. 选定“MAC地址”、“帐号名”、“终端厂商”、“终端类型”、“终端操作系统”、“无感知认证状态”和“服务名”；也可以选择“不在文件中选值”，并在输入框中填写指定的值。

- 当VXLAN组网未启用时，如果无感知认证从文件中选择，文件内容可以是“启用”、“禁用（自动）”、“禁用（手动）”、“0”、“1”、“2”，“0”表示启用，“1”表示禁用（自动），“2”表示禁用（手动）；如果选择“不在文件中选值”，则在下拉框中选择。MAC Portal状态项则不显示，不用配置。

- 当VXLAN组网启用时，如果无感知认证从文件中选择，文件内容可以是“启用”、“禁用”、“0”、“1”，“0”表示启用，“1”表示禁用；如果选择“不在文件中选值”，则在下拉框中选择。如果MAC Portal状态从文件中选择，文件内容可以是“0”、“1”、“2”、“3”，“0”表示已注册无感知生效，“1”表示已注册无感知失效，“2”表示未注册，“3”表示/；如果选择“不在文件中选值”，则在下拉框中选择。

d. 单击<确定>按钮完成操作。

批量导入操作进行中，<批量导入>按钮将不可用，导入完成后刷新页面方可使能按钮，继续导入操作。

(4) 禁用无感知认证

a. 选择将要禁用无感知认证的MAC地址，单击<禁用无感知认证>按钮，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(5) 启用无感知认证

a. 选择将要启用无感知认证的MAC地址，单击<启用无感知认证>按钮，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(6) 清除终端信息

a. 选择将要清除终端信息的MAC地址，单击<清除终端信息>按钮，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(7) 限定接入用户

当终端绑定一个或多个接入用户后，只有这些接入用户能够使用该终端认证。如果不绑定接入用户，那么所有接入用户都可以使用该终端上线。点击MAC地址对应的链接，弹出接入用户选择窗口。选择接入用户，单击<确定>按钮完成操作。

(8) 清除限定接入用户

a. 选择将要清除限定接入用户的MAC地址，单击<清除限定接入用户>按钮，弹出确认对话框。

b. 单击<确定>按钮完成操作。

(9) 修改终端信息

a. 点击终端设备对应的。

b. 选择要修改终端设备的相关信息：包括厂商、终端类型、操作系统。

c. 单击<确定>按钮完成操作。

(10) 开户

a. 点击终端设备对应的链接，进入增加接入用户界面完善信息，单击<确定>按钮完成操作。

b. 当终端绑定的帐号名只有BYOD匿名用户的时候才能使用此功能。

参数说明：

¡ MAC地址：终端的MAC地址，一个MAC地址只能绑定到一个帐号上。

¡ 帐号名：终端绑定的帐号名，终端被绑定后，后续再进入网络会根据MAC地址匹配该帐号名，并自动认证。

¡ 无感知认证状态：MAC无感知认证情况下，当状态为启用时，终端接入网络后EIA会自动使用该用户进行认证。Portal无感知认证情况下，当状态为启用且服务名不为空时，终端接入网络后EIA会自动使用该用户和服务进行认证。当状态为禁用时，表示不允许该MAC地址对应的终端进行无感知认证。当绑定的帐号名为MAC地址时，即使无感知认证状态为禁用，也能够进行无感知认证。无感知认证的禁用状态有以下两种：

- 禁用（自动）：该状态的终端下次仍可以弹出页面做Web认证，认证后状态变为启用状态。可以通过列表页面中的“禁用无感知认证”变更为“禁用（手动）”状态。

- 禁用（手动）：该状态的终端下次不会弹出页面，无法进行Web认证。

¡ 厂商获取方式、终端类型获取方式和操作系统获取方式：本系统系统可以通过iNode、DHCP、HTTP User Agent和MAC地址四种方式识别终端信息。

¡ 启用/禁用时间：当终端MAC地址与帐号绑定，或者无感知认证状态在启用和禁用之间切换时该时间会更新，该时间记录的是最后一次更新的时间。

¡ 终端信息冲突时间：EIA最近一次获取的终端信息与终端MAC地址表中所记录的终端信息（厂商、终端类型、操作系统）进行比较，如果获取终端信息的方式一致，但终端信息不同，则认为终端信息冲突。该参数记录了最近一次发生冲突的时间。

¡ DHCP Option 55：DHCP报文中的一个选项，是一个由一组参数请求组成的列表，该参数列表就是客户端的DHCP特征识别码。

¡ HTTP User Agent：HTTP请求中的User Agent属性，包含一些客户端的信息，如终端操作系统名称、终端厂商名称等。

¡ 绑定的接入场景：接入用户和终端绑定时，接入用户所在的接入场景也会和终端绑定。

¡ 服务名：当终端满足Portal无感知认证条件时，第一次通过Portal网页进行认证所使用的接入服务名称。终端是和用户及服务配置绑定的，即该终端再次进入网络后自动认证时，会自动使用该用户以及该用户申请的该服务配置进行网络认证授权。

¡ 终端状态：终端状态分为丢失和正常。终端的初始状态是正常，当终端丢失后，操作员可以将终端状态设置为丢失，用户也可以在自助服务平台中将终端状态设置为丢失。EIA只允许正常状态的终端接入网络。

¡ MAC Portal状态：当终端管理参数配置中VXLAN组网选择“是”、MAC Portal认证选择“启用”时，终端设备列表中才会显示“MAC Portal状态”这一列，MAC Portal状态包括：已注册无感知生效、已注册无感知失效、未注册和“/”四种状态，其中“/”状态表示不支持MAC Portal认证。

认证场景说明

BYOD/MAC Portal：终端进行BYOD/MAC Portal认证时，如果之前进行过802.1x认证，需要先将认证用户下线，并在接入终端页面将终端信息删除。

5.7 业务参数

5.7.1 Portal服务管理

Portal是一种认证客户端和BAS设备之间的信息交互协议，主要应用于基于WEB的宽带接入认证系统中，完成用户的认证和授权。

Portal服务器通过实现Portal协议来控制Portal客户端与设备之间的交互来完成用户认证过程，用户只有认证通过后才能在运营商的管理下访问网络资源。

选择“自动化”页签，单击导航树中的[用户业务/业务参数/Portal服务]菜单项，进入Portal服务管理页面。

1. 服务器配置

Portal服务器配置是为了保证Portal服务器能够正常运行而需要正确的设置系统参数，有助于管理员方便进行管理。

选择“服务器配置”页签，进入服务器配置页面。

注意事项：

· Portal服务器配置完成后需要单击导航树中的[用户业务/业务参数/接入参数/系统配置手工生效]菜单项才能使配置生效。

· 如果多个操作员并发对Portal服务器配置进行修改，那么最后完成的修改将覆盖之前的修改。

基本信息参数说明：

· 日志级别：日志级别的设置是用来限制记录在日志中的信息的级别，当前日志级别分为5级：调试、提示、警告、错误、致命。致命的级别最高，调试的级别最低。如果选择致命，系统只记录致命错误信息；如果选择错误，系统只记录致命和一般错误信息；如果选择警告，系统记录致命错误、一般错误和警告信息；如果选择提示，系统记录致命错误、一般错误、警告信息和一般信息；如果选择调试，系统记录所有信息，包括所有的报文打印输出以及其它各种调试信息，打开此开关，将极大的消耗系统的资源。建议在正常使用时，不应选择调试日志级别。默认日志级别为信息级别。

· 不同端口组绑定同一IP地址组：用于控制是否允许多个端口组选择使用同一个IP地址组，当配置为“禁止”时，一个IP地址组只能被一个端口组使用；当配置为“允许”时，一个IP地址组能被多个端口组使用。当此配置为“允许”时，“使用缓存”默认为否，且不可配置。

Portal Server参数说明：

· 报文请求超时时长：Portal服务器向设备发送请求报文的超时时长。

· 逃生心跳间隔时长：Portal服务器向Portal接入设备发送逃生心跳报文的周期。逃生心跳功能的具体介绍请参见Portal设备配置。

· 用户心跳间隔时长：Portal服务器向Portal接入设备发送用户心跳报文的周期。用户心跳功能的具体介绍请参见Portal设备配置。

· LB设备地址：负载均衡设备地址。LB即Load Balance，负载均衡。

Portal Web参数说明：

· 请求报文超时时长：Portal Web向Portal Server发送请求报文的超时时长。该参数必须为10-180之间的整数。

· 交互报文编码：Portal Web和Portal Server之间交互报文时使用的编码，默认支持GBK。一般情况下使用默认值GBK即可。

· 校验终端用户请求报文：在下拉框中选择是否校验终端用户HTTP请求的报文头。如果校验报文头，则可以丢弃由插件发起的HTTP请求报文，减轻Portal Web压力。

· 使用缓存：在下拉框中选择是否在向用户推送页面的过程中使用缓存。如果使用缓存，则可以重复使用一些Web页面，减轻Portal Web的压力，但终端用户获取的可能不是最新的页面；如果不使用缓存，则可以让终端用户始终获取最新的页面，但对Portal Web压力较大。

· HTTP/HTTPS心跳界面展示方式：在下拉框中选择HTTP方式下心跳页面展现方式，选项包括新页面展示和原页面展示。新页面展示表示新建一个Web页面作为心跳页面，原页面展示表示直接沿用Portal认证页面作为心跳页面。说明，“新页面”方式，受限于具体的浏览器类型和浏览器设置，比如：若浏览器禁止弹出窗口则心跳页面只能采用原页面展现；又比如：由于无法验证Chrome浏览器是否允许弹出窗口，所以在Chrome浏览器下心跳页面固定使用原页面展现。

· Portal主页：显示了Portal认证页面的路径，如果部署了多台Portal服务器，则显示多个路径。假设部署了两台Portal服务器A和B，显示的Portal主页分别为URL A和URL B。网络管理员在接入设备上配置的Portal URL为URL A，从这台设备接入的用户都将到服务器A上进行认证。

高级信息参数说明：

· 服务类型标识：设备根据用户选择的服务类型确定相应的认证方案，管理员根据实际的组网情况，参考本系统服务和设备的配置进行相应的设置。

· 服务类型：服务类型标识是设备使用的信息，用户可能无法直观地理解其内在的含义。服务类型对其进行了解释，主要是显示在Portal认证主页上，便于用户对服务类型的理解。服务类型信息不能为空，并且不能和现有的服务类型信息相同。服务类型的数量不能超过64个。

2. 设备配置

Portal设备是指所有与Portal服务器进行交互的用户上网接入设备，Portal服务器依赖于这些配置信息与设备进行通信，这些配置信息必须与设备本身的配置一致，否则Portal服务器可能与本系统系统不能进行正常的报文交互，导致用户不能上网。
为了帮助用户完成Portal设备的配置，本系统 EIA推出了Portal配置下发功能。操作员可以使用该功能将用户认证上网所必需的配置下发到Portal设备上。下发完成后可以查看已下发的配置和下发过程。

选择“设备配置”页签，进入设备配置页面。

注意事项：

· Portal设备配置完成后需要选择“自动化”页签，单击导航树中的[用户业务/接入参数]菜单项，然后单击“系统配置手工生效”才能使配置生效。

· 当组网方式选择二次地址分配时，才会显示参数DHCP延迟和DHCP重启次数。

(1) 增加/修改Portal设备

该功能用于增加/修改Portal设备。操作步骤：

a. 在Portal设备配置页面，单击<增加>按钮或点击Portal设备对应的。

b. 填写Portal设备的设备信息包括：设备名、IP地址、密钥。设备监听端口、版本、组网方式等其他信息在高级信息里进行配置。

c. 单击<确定>按钮完成操作。

注意事项：

¡ 增加设备名不能为空，不能与已存在的设备重复。

¡ 增加/修改IP地址不能为空，不能与已存在的IP地址重复。

¡ 增加Portal设备时业务分组不能为空，修改设备配置时不能修改业务分组。

¡ 密钥、组网方式、Portal版本一定要与设备上的密钥、组网方式、Portal版本配置相同。

设备信息参数说明：

¡ 设备名：Portal接入设备的名称，不能和已经存在的任一设备名相同。

¡ 公网IP：公司外部网络环境可以访问到这台设备的IP。

¡ 私网IP：公司内部网络环境可以访问到这台设备的IP。NAT组网场景下配置Portal认证必须填私网IP。

¡ 密钥：Portal服务器与设备通信时两端需要配置相同的共享密钥，否则无法通过接收方的校验。

高级信息参数说明：

¡ 监听端口：此监听端口为Portal服务器与设备进行通信时，设备用来监听的UDP报文的端口号。

¡ 本地Challenge：在CHAP认证方式中，Portal服务器根据此配置来决定是否向设备发送Challenge请求报文，目前不支持本地Challenge方式。

¡ 认证重发次数：认证重发次数决定了Portal服务器在认证响应报文超时之后的认证请求重发次数。

¡ 下线重发次数：下线重发次数决定了Portal服务器在下线响应报文超时之后的下线请求重发次数。

¡ 支持逃生心跳：该参数表示本系统EIA是否针对这台Portal接入设备启用逃生心跳功能。如果设备不支持逃生心跳功能，或者Portal服务器不针对该设备启用逃生心跳功能，请将该参数设置为“否”。

逃生心跳功能简介：Portal服务器以逃生心跳间隔时长为周期，向Portal接入设备发送逃生心跳报文。如果设备在一定时间内没有收到逃生心跳报文（即Portal服务器无法正常工作）则会从认证模式切换到逃生模式。在逃生模式下，Portal接入设备关闭认证功能，允许所有用户访问网络。如果此时设备收到逃生心跳报文（即Portal服务器恢复正常工作），设备会立即恢复成认证模式。逃生心跳功能需要在Portal服务器（“支持逃生心跳”参数）和设备中同时进行配置（设备的配置请参见相关产品的配置手册）。

¡ 支持用户心跳：该参数表示本系统 EIA是否针对这台Portal设备启用用户心跳功能。如果设备不支持用户心跳功能，或者Portal服务器不针对该设备启用用户心跳功能，请将该参数设置为“否”。

用户心跳功能简介：Portal服务器以用户心跳间隔时长为周期，向Portal接入设备发送用户心跳报文，借此通知设备Portal服务器中用户的状态，并同步Portal服务器和设备中的用户（两边同时存在的用户将继续在线，其他用户将被下线）。用户心跳功能需要在Portal服务器（“支持用户心跳”参数）和设备中同时进行配置（设备的配置请参见相关产品的配置手册）。

¡ 版本：EIA支持Portal 2.0、Portal 3.0、CMCC和华为Portal。各选项的使用说明如下：

- 当NAS设备是H3C设备时，且使用IPv4地址时，请选择Portal 2.0；当NAS设备是H3C设备时，且使用IPv6地址时，请选择Portal 3.0。注意，只有在系统参数中将“启用IPv6”参数配置为“是”，才显示Portal 3.0选项。

- 当NAS设备是华为设备时，请选择华为Portal。

- 当NAS设备是其它厂商（除H3C、华为之外）的设备时，请选择CMCC。

¡ 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。配置该Portal设备所属的业务分组，用于Portal设备的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置Portal。

¡ 组网方式：此设备配置为直连、三层或二次地址分配方式进行认证。

- 直连：用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。

- 三层：和直连基本相同，但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。

- 二次地址分配：多用于校园、社区、公司等局域网的用户，接入设备首先为用户分配一个私网地址，用户使用这个私网地址访问局域网内的资源；如果用户需要访问互联网，那么接入设备会强制进行Portal认证，一旦认证通过，设备会分配给用户一个公网地址，用户使用这个公网地址访问Internet。这个过程就是二次地址分配。该参数必须与设备的配置相同。

¡ DHCP延迟：Portal服务器客户端在地址更新时，等待单次DHCP请求回应的最大时长。此参数仅在“组网方式”配置为“二次地址分配”的情况下才生效。

¡ DHCP重启次数：Portal服务器客户端在地址更新时，允许重新更新地址的最大次数。此参数仅在“组网方式”配置为“二次地址分配”的情况下才生效。

¡ 设备描述：用户可以通过对设备的具体描述区分所有的设备。

(2) 删除Portal设备

该功能用于删除Portal设备。操作步骤：

a. 在Portal设备配置页面，点击某一Portal设备对应的，弹出确认对话框。

b. 单击<确定>按钮完成操作。若删除Portal设备，则会删除此设备下所有Portal端口组的信息。

(3) 查询Portal设备

在Portal设备信息查询中，操作员可以通过输入设备名，选择版本查询Portal设备信息。操作步骤：

a. 单击“Portal服务管理”按钮，单击“设备配置”标签，进入Portal设备配置页面。

b. 在搜索框中输入设备名，进行查询。
也可以单击搜索框右侧的下拉按钮，在表单里填写搜索条件。单击<查询>按钮，查询出符合条件的Portal设备信息；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

(4) 端口组信息配置

端口组信息配置是配置用户接入设备的端口信息。根据设备本身的配置，将一台设备划分多个端口组，每个端口组使用相同的Portal处理策略。

注意事项：

¡ Portal端口组配置完成后需要单击导航树中的[用户业务/业务参数/接入参数/系统配置手工生效]菜单项才能使配置生效。

¡ 网页身份认证不支持二次地址分配的组网环境。

¡ 在同一设备的多个端口组中，使用相同IP地址组的端口范围不能存在重叠。

¡ 接入设备的系统名称只能包含如下字符：[A，Z]∪[a，z]∪[0，9]∪{-_.@}。

¡ 只有用户使用纯网页认证，且无法保持心跳时（如某些手持终端的浏览器只支持单任务单窗口，不能保留心跳窗口）才需要将心跳间隔和心跳超时设置为0。用户若要断开网络则需要重新打开认证页面，点击“下线”按钮下线。同时，为防止用户没有主动断开网络而挂死，需要在接入设备上配置闲置切断功能。其他情况下不要将心跳间隔和心跳超时设置为0。

¡ 如果Portal设备中配置了二次地址分配，终端用户只能使用iNode PC或者iNode DC接入上线。

基本信息参数说明：

¡ 端口组名：端口组的名称，不能和已添加的所有设备信息下已经存在的任一端口组名相同。

¡ 认证方式：认证方式分为PAP、CHAP和EAP。纯网页认证，iNode可溶解客户端认证以及“无感知认证”不支持EAP认证方式。

¡ 无感知认证：开启无感知认证功能。无感知认证是指终端用户可以使用智能终端（如智能手机等）通过网页方式进行Portal认证，仅第一次认证时Portal网关会强制推出认证页面，终端用户需要输入用户名和密码进行认证，第一次认证成功后，Portal服务器会将该智能终端的MAC地址和EIA中的用户及服务配置绑定，之后如果该智能终端再次接入网络，Portal网关和Portal服务器会根据智能终端的MAC地址自动匹配EIA中的用户，并自动进行Portal认证，Portal网关不会再强制推出Portal认证页面，当然也不需要再次输入用户名和密码，这样就实现了智能终端的无感知认证。本特性需要设备支持。

¡ IP地址组：选择本端口组要使用的IP地址组。如果选择了NAT方式，那么本端口组只能选择公网的IP地址组。

¡ 页面推送策略：根据配置的页面推送策略，在页面推送策略配置中找到对应的认证页面，用户访问Portal服务器将被重定向到此页面。如果所配置的页面推送策略为空或者没有找到配置的认证页面，用户访问Portal服务器将被重定向到配置的默认认证页面。

¡ 缺省认证页面：Portal用户认证的页面，列表中罗列了系统预定义的页面和Portal页面定制中为PC和手机定制的Portal页面。系统预定义的页面如下：

- 缺省Web认证（PC）：在PC上运行的默认Web认证页面。本条目为缺省值。

- 缺省Web认证（PAD）：适用于类似iPad等中型屏幕的智能终端的Web认证页面。

- 缺省Web认证（PDA）：适用于PDA等早期手持非智能终端的Web认证页面。

- 缺省Web认证（PHONE）：适用于类似iPhone等小型屏幕的智能终端的Web认证页面。

- 缺省Web访客认证：该认证页面包含短信开户功能。“短信开户与认证”页面同样包含了短信开户功能，且样式更加美观，所以建议使用“短信开户与认证”页面。

- 缺省iNode DC认证（PC）：在PC上运行的iNode DC认证页面，安装iNode DC组件后才有此选项。

- 第三方认证：适用于去第三方系统认证的页面。该页面提供了内外网切换功能，使用此功能时不支持弹出窗口。

- 另类缺省Web认证（PC）：与缺省Web认证（PC）相似，但是另一种界面布局与样式的认证页面。

- 二维码开户与认证：访问该页面即会自动创建一个预注册访客，若在限定时间内预注册访客被转正,则该页面会自动发起Portal认证。

- 短信开户与认证（PC）：短信开户与认证页面，适用于屏幕较大的终端（如PC、平板电脑）。

- 短信开户与认证（PHONE）：短信开户与认证页面，适用于屏幕较小的终端（如手机）。

高级信息参数说明：

¡ 开始/终止端口：设置此端口组所对应设备的开始/终止端口。如果Portal用户连接的端口不在开始和终止端口限定的范围内，用户将无法接入网络。开始端口缺省值为0，终止端口缺省值为zzzzzz，如没有特殊需求，建议保留缺省值。不同设备的开始/终止端口的格式各不相同，例如MA5200的格式为主机名-vlan-槽(**)-vlanid(****)@vlan。如果需要在本系统中自行配置开始/终止端口，请参考设备配置手册中的端口格式说明。端口进行比较之前，先对开始端口、终止端口和当前端口的结尾进行补充空格操作，使端口的长度一致。例如，开始端口为0，终止端口为zzz，当前端口为zzyc，则补充空格之后，开始端口为0|_||_||_|，终止端口为zzz|_|，当前端口为zzyc。端口按照ASCII码方式（字典序）从高位开始逐位进行比较：

- 对于最高位“当前端口=开始端口=终止端口”的情况，则最高位被忽略，第二位作为最高位开始比较，以此类推直至最低位。

- 对于最高位比较，如果“开始端口<当前端口<终止端口”，则端口属于限定范围；如果“当前端口=开始端口”或“当前端口=终止端口”则比较第二位；否则端口不属于限定范围。

- 对于最高位“当前端口=开始端口”的情况，如果第二位“当前端口>开始端口”，则端口属于限定范围；如果第二位“当前端口=开始端口”，则比较第三位，以此类推直至最低位；否则端口不属于限定范围。

- 对于最高位“当前端口=终止端口”的情况，如果且第二位“当前端口<终止端口”，则端口属于限定范围；如果第二位“当前端口=终止端口”，则比较第三位，以此类推直至最低位；否则端口不属于限定范围。

- 如果比较至最低位，且最低位“开始端口≤当前端口≤终止端口”，则端口属于限定范围；否则端口不属于限定范围。

例如，假定开始端口为0b，终止端口为cz，那么a、by、ca、cz、cyz属于限定范围；da、0a则不属于限定范围。

¡ 协议类型：系统支持HTTP和HTTPS协议。

¡ 快速认证：系统支持快速认证。如果选择快速认证，在进行认证时可以不输入用户名和密码，设备会根据实际的情况如所在的设备端口、MAC或者VLAN ID等信息进行认证。如果不选择快速认证，则必须输入用户名称和密码。本特性需要设备的支持。

¡ 是否NAT：系统支持NAT用户进行Portal认证。如果设备配置为二次地址分配，那么此项只能选择“否”，即“二次地址分配”和“NAT”属性是互斥的。本特性需要设备的支持。并且使用同一IP地址组的端口组信息其是否NAT的属性也必须一致。

¡ 错误透传：如果选择错误透传，系统会将设备返回的错误信息发送到用户侧。本特性需要设备的支持。

¡ 提示语言：选择通过此端口接入用户的提示语言。选项包括“中文”，“英文”和“动态检测”三种。如果选择“动态检测”，根据使用的浏览器语言来显示用户的提示信息。目前提示语言的种类仅支持“中文”和“英文”，若使用的浏览器不是中文，则不管是什么其他语言，都显示为英文。

¡ 客户端防破解：该参数启用后，用户使用配置了“仅限iNode客户端”的服务进行Portal认证时，EIA与iNode客户端配合实现客户端防破解。进行客户端防破解时，需要在 “用户>接入策略管理>业务参数配置>系统配置>客户端防破解配置”增加客户端管理中心并生效。

¡ 心跳间隔：心跳间隔时间用来控制用户和Portal服务器之间的握手时间间隔，0表示没有心跳。

¡ 心跳超时：心跳超时时间用来控制用户和Portal服务器之间的握手超时时间，心跳超时时间不能小于心跳间隔时间的两倍，0表示没有心跳。当心跳间隔为0时，心跳超时也应配置为0。

¡ 用户域名：输入此端口组所对应的域名。用户域名必须与设备端配置的一致，否则用户无法通过设备的认证。在设备使用用户域名的情况下，如果用户在认证主页上输入的用户名并没有带上域名，那么Portal服务器会自动在用户名后面加上此处配置的域名；否则Portal服务器将发送不带域名的用户名给设备。

¡ 端口组描述：端口组描述用于描述此端口组信息。

# 增加/修改端口组信息：

该功能用于增加/修改某一Portal设备下端口组信息。Portal设备配置页面点击某一Portal设备对应的，进入端口组信息配置页面。单击<增加>按钮或点击端口组信息对应的，填写端口组的信息包括：端口组名、开始端口、终止端口、IP地址组等，单击<确定>按钮完成操作。

注意事项：

- 增加/修改端口组时，必须确定此端口组所属的设备有可用的IP地址组，多个设备之间不能使用同一个IP地址组，而一个设备可以支持多个IP地址组。

- 增加/修改端口组时，地址组会根据用户选择是否支持NAT自动过滤，选择是过滤掉非NAT地址组，选择否过滤掉NAT地址组。

- 增加/修改端口组时，终止端口必须大于或者等于开始端口，端口不区分大小写。输入的开始端口、终止端口、IP地址组与当前设备中所配置的其它端口组不能完全一样。

- 增加/修改端口组时，心跳超时时长不能小于心跳间隔的两倍。

# 删除端口组信息

该功能用于删除某一Portal设备下的端口组信息。Portal设备配置页面点击某一Portal设备对应的，进入端口组信息配置页面，点击某一端口组信息对应的，弹出确认对话框，单击<确定>按钮完成操作。

# 查询端口组信息

根据输入条件查询某一Portal设备下的端口组信息，操作员可以通过输入端口组名、开始端口、终止端口，选择协议类型、是否NAT来查询Portal端口组的信息。Portal设备配置页面点击某一Portal设备对应的，进入端口组信息配置页面，可以直接在搜索框中输入端口组名进行查询。也可以单击搜索框右侧的下拉按钮，在端口组信息查询区域，输入端口组名，选择协议类型、是否NAT后，单击<查询>按钮，查询出符合条件的端口组信息；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

3. IP地址组配置

在Portal接入业务中，一般使用用户的IP地址对用户进行分组，通过分组可以对不同的用户群体进行不同的配置管理，从而增加对用户管理的灵活性。
IP地址组是包含了若干IP地址的地址段，一个IP地址组代表了一群同类用户，它的作用是方便Portal服务器找到这类用户的接入设备。管理员根据实际的组网情况以及设备的配置（例如是否为NAT或者二次地址分配）为所有的接入设备划分多个IP地址组，然后将这些IP地址组分配给接入设备的端口组。

选择“IP地址组配置”页签，进入IP地址组配置页面。

注意事项：

· 一台设备可以支持多个IP地址组，当“不同端口组绑定同一IP地址组”为禁止时，一个IP地址组只能被分配给一台设备；当“不同端口组绑定同一IP地址组”为允许时，一个IP地址组可以被分配给多台设备。

参数说明：

· IP地址组名：IP地址组的名称。

· 起始地址：IP地址组的起始地址。

· 终止地址：IP地址组的终止地址。

· IPv6：区分IP地址组是否是IPv6地址。

· 类型：IP地址组分为三种类型：普通、NAT、二次地址分配。

· 转换后起始地址：IP地址组为NAT或二次地址分配类型时，地址转换后的起始地址。

· 转换后终止地址：IP地址组为NAT或二次地址分配类型时，地址转换后的终止地址。

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。通过IP地址组的业务分组，分权管理。只有拥有该业务分组权限的管理员/维护员才能配置IP地址组。

(1) IP地址组查询

在Portal IP地址组查询中，操作员可以通过输入IP地址组名、业务分组、IP地址、转换后IP地址查询Portal IP地址组信息。操作步骤：

a. 单击“Portal服务管理”按钮，单击“IP地址组配置”标签，进入Portal IP地址组配置页面。

b. 在Portal IP地址组查询区域，输入IP地址组名、业务分组、IP地址、转换后IP地址的任意一个或几个条件。

c. 单击<查询>按钮，查询出符合条件的IP地址组；单击<重置>按钮，将查询条件设置为默认条件并进行查询。

注意事项：

¡ 只要操作员输入的IP地址包含在被查询IP地址组所定义地址段中，此IP地址组就会被查询出来。

¡ 有关地址的查询条件是按照IP地址来限定的，要求输入的IP地址是有效的，可以输入IPv4或者IPv6格式。

(2) 增加/修改IP地址组

该功能用于增加/修改IP地址组。操作步骤：

a. 单击“Portal服务管理”按钮，单击“IP地址组配置”标签，进入Portal IP地址组配置页面。

b. 单击<增加>按钮或点击IP地址组对应的。

c. 填写IP地址组的信息包括：IP地址组名、起始地址、终止地址、类型等。

d. 单击<确定>按钮完成操作。

注意事项：

¡ 增加/修改IP地址组时，终止地址必须大于或者等于起始地址。

¡ IP地址组分为三种类型：普通、NAT、二次地址分配，IP地址组之间不允许有地址段重叠，IP地址组之间任意两个地址段存在重叠，都认为IP地址组重叠。只有一种例外情况：两个NAT类型的地址组，NAT前地址段与NAT后地址段都有重叠时，才认为IP地址组重叠。NAT类型、二次地址分配类型，转换前后的IP地址段不允许有重叠。

¡ 增加IP地址组时，业务分组默认为未分组且不能为空。

¡ 修改IP地址组时，IP地址组名不能被修改。

¡ 修改IP地址组时，业务分组不能被修改。

(3) 删除IP地址组

该功能用于删除IP地址组。操作步骤：

a. 单击“Portal服务管理”按钮，单击“IP地址组配置”标签，进入Portal IP地址组配置页面。

b. 点击某一IP地址组对应的，弹出确认对话框。

c. 单击<确定>按钮完成操作。删除IP地址组时，IP地址组如果已经被设备的端口组引用，就不能被删除。

5.7.2 LDAP业务管理

LDAP服务器是一种以目录树结构存储用户信息的服务器。LDAP服务器中存储的用户称为LDAP用户。

本系统EIA组件可以将本系统中的接入用户和LDAP用户相关联。当接入用户发起认证请求时，本系统确认存在此用户后，根据配置执行本地LDAP用户的验证或将验证工作转交给LDAP服务器。实现此功能后，在相对稳定的网络中引入本系统时，不需要重建用户信息数据库，节省了大量的维护成本。

选择“自动化”页签，单击导航树中的[用户业务/业务参数/LDAP业务]菜单项，进入LDAP业务管理页面，同时默认进入LDAP服务器配置页面。

1. 服务器配置

服务器配置主要用于管理LDAP服务器。LDAP是轻量级目录访问协议，通过LDAP服务器可以管理用户的各种信息。

选择“服务器配置”页签，进入服务器配置页面。

(1) 增加/修改LDAP服务器

该功能用于在本系统中增加/修改LDAP服务器，即增加/修改与LDAP服务器的关联关系。如果增加的服务器的用户分组同步类型为“按OU同步”、“按OU属性同步”，一旦增加成功立即执行同步用户分组操作。操作步骤：

a. 单击<增加>按钮；或点击待修改LDAP服务器对应的链接。

b. 设置基本信息，包括服务器名称、服务器地址、服务器类型、Base DN、管理员DN及密码。服务器版本、端口、用户分组方式等其他信息在高级信息中进行配置。

c. 设置备份服务器信息，包括备份服务器地址、切换间隔时间等。

d. 单击<确定>按钮完成操作。

注意事项

¡ 修改LDAP服务器时不能修改服务器名称。

¡ LDAP服务器的域名或IP地址和Base DN的组合必须唯一。

¡ 用户接入网络认证的时候，如果配置了备份LDAP服务器，则当主服务器无法正常工作时，本系统会自动切换到备份服务器进行认证，用户登录自助平台以及其他情况下，不支持LDAP主备服务器切换。

¡ 如果不输入管理员DN或管理员密码，则将以匿名用户身份访问LDAP服务器，但该种情况要求LDAP服务器支持匿名访问。

¡ Mschapv2认证不支持认证帐号名去除前缀或者去除后缀或者增加前缀的形式。

¡ 由于微软活动目录对用户的旧密码存在生存周期的概念，因此每次修改LDAP用户的密码后，用户使用新/旧密码在一定时间内都能认证通过。旧密码的生存周期与服务器版本有关，生存周期大致在5-60分钟。

¡ LDAP用户如需通过iNode或用户自助平台修改密码，LDAP服务器配置中须勾选“启用SSL连接”。

¡ 当LDAP用户不使用iNode客户端且认证类型为EAP类型进行认证时，仅支持子类型为“EAP-PEAP/MS-CHAPv2"的认证方式，且需要LDAP服务器为微软类型。

基本信息参数说明：

¡ 服务器名称：LDAP服务器的名称。不能为空，不能与已存在的LDAP服务器名称重复。

¡ 服务器地址：LDAP服务器的域名或IP地址。该参数和Base DN的组合必须唯一。

¡ 服务器类型：LDAP服务器的类型，分为通用LDAP服务器和微软活动目录。前者表示所有符合LDAP标准的服务器，后者专指Microsoft Windows活动目录。

¡ 管理员DN（Distinguished Name）：该DN为LDAP服务器的管理员DN，可管理LDAP服务器中用户数据。若服务器类型为通用LDAP服务器，以Open LDAP为例。假设LDAP服务器的域为“contoso.com”，那么管理员DN可配置为“cn=Manager,dc=contoso,dc=com”。

¡ 管理员密码：LDAP服务器管理员密码，系统利用该密码与LDAP服务器建立连接。

¡ 显示明文：该参数决定管理员密码是否允许明文显示。考虑到管理员密码的安全性，启用该参数时，管理员密码需要重新输入。

¡ Base DN：LDAP服务器中保存用户数据的根节点名称。必须使用LDAP服务器上的绝对路径。Base DN可以手动输入，也可以手动选择。手动选择时，只有正确填写了服务器地址、管理员DN、管理员密码，才能获取对应服务器下的所有Base DN信息。若服务器类型为通用LDAP服务器，以Open LDAP为例。假设LDAP服务器的域为“contoso.com”，域下面有组织(o) group1，组织group1下有组织单位(ou) test，当需要以test为根节点新增一个LDAP服务器时，那么Base DN应配置为“ou=test,o=group1,dc=contoso,dc=com”。注意，当手工选择Base DN时，输入的管理员DN中只能使用“,”或“;”中的一种作为分隔符。

高级信息参数说明：

¡ 服务器版本：LDAP服务器使用的LDAP协议的版本，目前支持主流的V2和V3版本。

¡ 服务同步方式：当“服务器类型”设置为通用LDAP服务器时，该参数只能设置为手工指定；当“服务器类型”设置为微软活动目录时，该参数可以设置为手工指定或基于AD组。手工指定表示为LDAP服务器配置同步策略时，可以为绑定用户指定服务；基于AD组表示为LDAP服务器配置同步策略时，只能为LDAP组指定服务，根据绑定用户所属的LDAP组自动为用户分配服务。

¡ 实时认证：用户认证信息提交到本系统后，确定是在本系统本地中认证，还是在实时在LDAP服务器上认证。如果当“服务器类型”设置为微软活动目录时，由于微软活动目录不提供用户密码数据接口，该参数只能设置为实时认证。通用LDAP服务器可以把用户的密码也同步过来，所以可以选择到本系统中认证。

¡ 连接静默时长：本系统系统在与LDAP服务器建立连接时，如果连接失败，会在该设定时间后重试建立连接；在该设定时间内本系统不会与LDAP服务器再次连接，LDAP用户认证会被拒绝。

¡ 端口：LDAP服务器的监听端口。不能为空，缺省值为389。如果启用了SSL认证，缺省值为636。

¡ 同步超时时间：本系统系统在与LDAP服务器建立连接并进行同步时，如果在该设定时间内，没有同步完成时，将不再进行同步剩余的用户。取值范围为0 ~ 10000的整数。0表示不限制。

¡ 连接超时时间：本系统系统在与LDAP服务器建立连接时，如果在该设定时间内连接失败，LDAP服务器检测、同步及用户导出将无法正确执行。

¡ 启用SSL连接：本系统与LDAP服务器通信时使用SSL协议。必须满足在LDAP服务器端启动了SSL连接，并导入用于SSL连接的证书。向本系统导入与LDAP服务器端的证书配套的根证书。

¡ 用户分组：取值为“按OU同步”、“按OU属性同步”和“手工指定”。当选择“按OU同步”时，BaseDN下的OU会被同步为本系统中的用户分组。当使用该LDAP服务器的LDAP同步策略同步用户时，不同OU下的用户会同步到和OU对应的用户分组下。在提交配置后，这些用户分组会立即被系统自动同步一次。当选择“按OU属性同步”时，功能与”按OU同步”相似，区别是选择按OU属性同步后，以所选择的OU属性值作为用户分组的名称。需要注意的是，按OU属性同步时，推荐选择一个变量作为属性，以区分不同的用户分组。当选择“手工指定”时，可以为选择此LDAP服务器的LDAP同步策略设置一个用户分组，同步LDAP用户时，同步策略下的所有用户都被同步到该用户分组下。注意：用户分组的名称不能超过32个字符。

¡ 父分组：当用户分组同步方式为“按OU同步”、“按OU属性同步”时，可以为同步过来的用户分组指定一个父分组。用户分组层数缺省最多为5层。例如，当父分组所在层数为2时，只能再同步三层用户分组。

¡ 连通服务器：该参数设置为连通时，EIA会将LDAP用户的认证请求转发给LDAP服务器进行处理，如果与LDAP服务器不通，会自动将该参数设置为不连通；该参数设置为不连通时，EIA会直接拒绝LDAP用户的认证请求。LDAP服务器状态变为不连通后，系统会在“连接静默时长”后自动将其切换回连通。如果操作员希望LDAP服务器立即变为连通状态，可以手工修改该参数。

¡ 用户名属性名称：LDAP服务器中用来保存用户名的属性名称，属性指定的值可以唯一确定一个接入帐号名。

¡ 用户密码属性名称：LDAP服务器中用来保存用户密码的属性名称，服务器类型为微软活动目录时，不需配置该参数。

¡ 用户密码加密方式：表示EIA加密用户密码的方式。当“支持Bind方式”配置为“否”的时候，LDAP服务器返回给EIA是加密后的用户密码，EIA按照此处配置的用户密码加密方式加密用户发来的密码，然后根据LDAP服务器返回的密码校验用户密码。“自适应”表示EIA自动适配LDAP服务器中的密码加密方式，然后使用LDAP服务器中密码加密的方式加密用户密码。“明文”表示为不对用户密码进行加密；其它方式为具体的密码加密方式。除“自适应”方式外，其它加密方式必须与LDAP服务器中的密码加密方式一致。

¡ 支持Bind请求：选择“是”表示EIA将用户名/密码发送给LDAP服务器，由LDAP服务器校验用户名/密码，并将校验结果返回给EIA；选择“否”则表示EIA将用户名发送给LDAP服务器，LDAP服务器根据用户名查询出用户密码，然后将用户名/密码返回给EIA，由EIA校验用户名/密码。

¡ 密码策略：该参数为AD用户使用iNode客户端认证上线后所弹出的修改密码策略信息。管理员在配置该字段时要注意和LDAP服务器实际要求的密码策略保持一致。该字段的生效条件包括以下三点：（1）AD服务器上对应用户启用了“用户下次登录时必须修改密码”功能；（2）LDAP服务器的“服务器类型”配置为微软活动目录，并且启用SSL连接；（3）“管理员DN”必须是LDAP服务器管理员分组的成员。

¡ 帐号名形式/分隔符/前缀：帐号名形式包括四个选项，保持原样、去除前缀、去除后缀和增加前缀。保持原样表示不对值进行截取；去除前缀表示去掉值的前面部分内容；去除后缀表示去掉值的后面部分内容。分隔符为区分去除部分和保留部分的字符串，其中的字母分大小写。例如，值为[email protected]，如果截取方式选择去除前缀、分隔符设置为@，则保留的帐号名为test.com；如果截取方式选择去除后缀，分隔符设置为.，则保留的帐号名为Jack@test。增加前缀表示在帐号前增加值的内容。例如，前缀名为uam，帐号名为guest，组合后帐号名为uamguest。注意：Mschapv2认证不支持认证帐号名去除前缀或者去除后缀或者增加前缀的形式。

备份服务器参数说明：

¡ 备份服务器地址：如果配置了备份LDAP服务器，则当主服务器无法正常工作时，本系统会自动切换到备份服务器进行认证。切换过程如下：（1）本系统连续多次向主服务器发送认证请求，如果得不到回应，则认为主服务器不可用。（2）本系统向备份服务器发起测试连接，如果连接成功，则把认证服务器设置为备份服务器，完成切换。整个切换过程约1分钟，在此期间用户无法通过认证，并且会收到类似“该用户有其他连接正在认证，请稍后重试。”的提示信息。已经在线的用户不受切换影响，始终保持在线。

¡ 使用中的服务器：选择主服务器，则使用主服务器进行检测、同步、认证等相关操作；选择备份服务器，则使用备份服务器进行检测、同步、认证等相关操作。

¡ 备到主自动切换：本系统连接主服务器失败之后，使用备份服务器进行认证。之后本系统会定时自动检测主服务器的连通情况，当检测到主服务器可以连通时，本系统会自动切换回主服务器进行用户认证。

¡ 切换时间间隔：“备到主自动切换”的配套参数。当本系统正在使用备份LDAP服务器进行认证，且检测到可以连通主服务器时，如果切换时间已经达到或超过该参数的值，则本系统会自动从备份服务器切换到主服务器上。

MS-CHAPv2认证参数说明：

¡ 通过微软IAS/NPS中转认证：微软IAS/NPS认证即通过RADIUS服务器和策略服务器认证，这种认证不需要域控服务器，而是直接通过RADIUS和策略服务器完成认证。如果勾选则需配置IAS/NPS服务器IP地址、服务器端口和共享密钥，域控服务器选项将隐藏。通过微软IAS/NPS中转认证不支持认证账号名携带后缀。

¡ 通过虚拟计算机认证：通过虚拟计算机认证即借助一台虚拟计算机实现本系统（mschapv2server进程）与域控通信，通过虚拟计算机做中转认证。通过在域控的computers目录下新建一台计算机即可作为虚拟计算机。

¡ 服务器IP地址：填写IAS/NPS服务器的IP地址。

¡ 服务器端口：填写IAS/NPS服务器的端口。

¡ 共享密钥：填写与IAS/NPS服务器通信的共享密钥。

¡ DNS服务器IP地址：通常DNS服务器IP地址与域控服务器IP地址相同。

¡ 域控服务器IP地址：域控的IP地址。

¡ 域控服务器地址和LDAP服务器地址一致：如果勾选，则域控服务器地址、备份域控服务器地址和LDAP服务器地址、备份LDAP服务器地址一致，域控服务器地址和备份域控服务器地址参数将隐藏。

¡ 使用中的域控服务器：选择主域控服务器，则Mschapv2认证使用主域控服务器进行认证，否则使用备份域控服务器进行认证。

¡ 域控服务器地址：域控的域名或IP地址。

¡ 备份域控服务器地址：如果配置了备份域控服务器地址，则当主域控服务器无法正常工作时（例如：主域控服务器重启或断网等连通性错误），本系统会自动切换到备份域控服务器进行认证，整个切换过程约1分钟，在此期间用户无法通过认证。直到备份域控服务器无法正常工作时，本系统才会自动切换到主域控服务器进行认证。支持通过手工修改“使用中的域控服务器”参数以切换主备域控服务器的工作状态。

¡ 备份域控服务器全名：查看方式与“域控服务器全名”相同，若配置有备份域控服务器则需要填写该值。

¡ 域控服务器全名：域控服务器的全名（注意：域名也要包含在其中）。查看办法：在域控服务器上右键点击“我的电脑”打开右键菜单，选择“属性”打开系统属性页面。在“计算机名”页签中查看“完整的计算机名称”。

¡ 自动加入计算机域：启用该参数时，需要指定虚拟计算机自动加入域的目录路径，同时LDAP服务器配置的管理员须拥有该目录的管理权限。增加LDAP服务器后，需要为该LDAP服务器配置SSL证书后，该参数才能生效。该参数生效后，不再需要手动在LDAP服务器的域控Computers目录下新增虚拟计算机用于MS-Chapv2认证通信。注意：自动加入计算机域成功后，如果需要修改虚拟计算机自动加入域的目录路径，由于计算机账号的唯一性，需要先在原指定的目录下将默认已增加的虚拟计算机账号testAccount手工删除，否则修改目录后，自动加入计算机域失败。

¡ 虚拟计算机名称：本系统（mschapv2server进程）与域控通信时，需要借助一台虚拟计算机。通过在域控的computers目录下新建一台计算机即可作为虚拟计算机。此处配置的虚拟计算机名称，必须与域控中新建的计算机名称保持一致。需要注意的是，此处配置的名称不需要带域名，最大长度不超过15个字符。

¡ 虚拟计算机密码：在域控中创建虚拟计算机之后，需要设置计算机密码，操作步骤为：将本系统 EIA提供的修改密码脚本复制到域控中，使用文本编辑器打开该脚本，将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN，将本系统123替换为虚拟计算机密码，然后执行该脚本。脚本中设置的虚拟计算机密码与“PEAP认证域控配置”页面中设置的“虚拟计算机密码”要保持一致。

(2) 删除LDAP服务器

该功能用于在本系统中删除LDAP服务器，即取消与LDAP服务器的关联关系。一旦服务器被删除，系统会同时删除从该服务器同步过来的、且其中没有用户的用户分组。点击待删除LDAP服务器对应的链接，确认后即可删除。

(3) 检测LDAP服务器

该功能用于检测LDAP服务器的可用性。在增加/修改LDAP服务器时，或在LDAP服务器的使用过程中都可以进行。操作步骤：

a. 点击待检测的LDAP服务器对应的“检测”链接，即可对使用中的LDAP服务器进行检测。

b. 单击<增加>按钮，进入LDAP服务器增加页面。

c. 设置完LDAP服务器信息后，单击<检测>按钮，即可检测设置的LDAP服务器是否可用。

(4) 修改管理员密码

该功能用于在本系统中批量修改LDAP服务器的管理员密码。操作步骤：

a. 选择一个或多个LDAP服务器，单击<修改管理员密码>按钮。

b. 设置管理员密码。

c. 单击<确定>按钮完成操作。

(5) 同步用户分组

该功能用于将LDAP服务器上的OU同步成本系统中的用户分组。单击<同步用户分组>按钮完成操作。

注意事项：

¡ 只有当系统中存在按OU同步用户分组的LDAP服务器时，该功能才可用。

¡ 由于只能有5级用户分组，因此同步分组时，超过5级的分组都无法同步。

¡ 删除LDAP服务器时，系统会一并删除从LDAP服务器同步过来的、且其中没有用户的用户分组。

¡ 如果OU中包含\/"等特殊字符，则执行同步用户分组操作时无法创建该OU下子OU对应的用户分组。

(6) 批量检测

该功能用于批量检测LDAP服务器的可用性。

a. 单击<批量检测>按钮两个子菜单批量检测方法：

- 方法一：勾选LDAP服务器，选择[检测已选服务器]子菜单，进入批量检测结果页面。

- 方法二：在LDAP服务器查询里输入查询条件查询服务器，选择[按查询条件检测]子菜单，进入批量检测结果页面。

b. 在结果页面，查看批量检测结果。

(7) 证书配置

该功能用于完成根证书配置。配置步骤：

a. 在LDAP服务器列表中，点击，进入根证书配置界面。

b. 单击<浏览>按钮，选择并上传根证书文件。

c. 单击<下一步>按钮进入证书配置信息预览页面。

d. 确认信息后，点击<确定>按钮。

注意事项：

¡ 本系统支持的根证书文件格式为：pem(base64位编码，文件后缀为.pem或.cer)，der(der编码，文件后缀为.der或.cer)，pkcs12(pkcs12编码，文件后缀为.pfx或 .p12)。注意：如果证书格式是pfx格式，则不支持pvk格式的私钥文件。

¡ LDAP服务器IP地址相同的多条记录，会使用同一个证书。为其中一条记录配置证书信息，则其余记录也会使用该证书信息。清除其中一条记录的证书信息，则其余记录的证书信息也会被删除。

参数说明：

¡ 根证书文件：即CA证书文件，用于与LDAP服务器建立SSL通道时验证LDAP服务器证书的合法性，LDAP服务器上必须安装与根证书配套的服务器证书。

2. 同步策略配置

选择“同步策略配置”页签，进入同步策略配置页面。

LDAP同步的主要功能是将LDAP服务器上的帐号同步到本系统上。可以等待每天凌晨（本系统服务器时间）自动同步任务执行，也可以点击LDAP同步策略列表中“同步”链接触发手工同步，手工同步的结果可通过点击“查看同步结果”链接查看。

LDAP同步需要同步一个很重要的数据――用户关联的服务。同步服务有两种方式：手工指定和基于AD组。手工指定为所有用户指定相同的服务。在整个LDAP服务器中可能保存了成千上万的网络用户，而且不同的用户需要不同的服务。如果手工指定，显然是很繁琐的工作。由于每个用户都属于LDAP组，因此采用如下方式可以简化管理员的维护工作量：为每个LDAP组关联一个服务，属于某个LDAP组的用户申请该LDAP组关联的服务。这就是基于AD组同步。

LDAP用户分组同步方式：（1）LDAP服务器的用户分组为“手工指定”：必须为同步策略配置一个用户分组，同步过来的用户都属于该用户分组。（2）LDAP服务器的用户分组为“按OU同步”：系统自动将OU同步成用户分组，同步过来的用户分别属于所在OU对应的用户分组。

如果同步策略使用服务同步方式为“基于AD组”的LDAP服务器，则系统参数配置页面“按用户分组申请服务”参数设置不会生效，同步过来的用户使用所在AD组配置的服务。

LDAP同步策略同步过程中，该同步策略下的LDAP用户是无法认证的，需要等同步策略同步结束之后，等待几分钟才可以认证（等待时间根据同步的用户量和服务器性能来决定，用户量越大，性能越差，需要等待的时间越长，反之，则越短）。

注意事项：

· 建议LDAP服务器上的用户名不要包含英文字母以外的其他语种字母，否则可能会导致同步LDAP用户失败。

· 按OU同步的“LDAP同步策略”，不支持通过同步过来的的用户分组查询该“LDAP同步策略”。

3. 用户导出

选择“用户导出”页签，进入用户导出页面。

为了能方便地将LDAP服务器中的用户导入到本系统中，系统提供了LDAP用户导出功能。该功能可以将特定的LDAP用户导出为一定格式的文本文件。EIA组件提供的接入用户批量导入功能直接使用导出的文件即可把LDAP用户导入本系统组件。

LDAP用户导出分为：LDAP用户查询和LDAP用户导出两步。

· LDAP用户查询

导出LDAP用户之前，首先要使用LDAP用户查询功能过滤出符合条件的LDAP用户。

a. 单击“用户导出”标签，进入LDAP用户导出页面。

b. 选择LDAP服务器，设置过滤条件。

c. 单击<查询>按钮，进入导出文件设置页面。

· 导出文件设置

在将LDAP用户导出到文件之前先要在该页面设置需要导出的用户属性、列分隔符等信息。

d. 选择需要导出的用户属性，文件中用户属性之间的分隔符、文件是否包含列标题。

e. 单击<导出>按钮，进行LDAP用户导出。导出成功后，系统会提示文件在服务器本地存放的路径以及提供文件下载链接。

注意事项：

LDAP服务器上用户属性若是采用非十进制或非字符的编码格式，示例数据及导出的数据可能显示乱码，请尽量选择正常的编码格式。

参数说明：

· LDAP服务器：需要导出用户的LDAP服务器。

· 子BaseDN：BaseDN是LDAP服务器中保存用户数据的根节点名称，而子BaseDN则是为了更好的分类管理用户数据，对BaseDN进一步的细化分类，能够起到将BaseDN下的用户数据分类管理的作用，为BaseDN的子集。

· 过滤条件：基本格式为“属性名=值”，值部分支持使用*进行模糊匹配，如 cn=He*,表示cn属性的值为He开头的所有节点。可以用多个过滤条件进行组合查询，每个过滤条件使用()括起来，同时在所有过滤条件前加上&、|、!来表示各个过滤条件之间的与、或、非关系，最后整个过滤条件使用()括起来。

· 列分隔符：导出的文件中，属性之间分隔使用的符号。

· 主要供批量导入时使用。

· 是否输出列标题：导出的文件中是否将属性名称作为列标题。如果不选，导出的文件没有列标题。

4. 参数配置

选择“参数配置”页签，进入参数配置页面，对LDAP同步、检索用户以及定时任务等功能的运行参数配置。

(1) 选择“参数配置”页签，进入参数配置页面。

(2) 配置相关参数。

基本信息参数说明：

¡ LDAP按需认证模式：包含本地备份和实时认证两种模式。

¡ 本地备份：EIA周期地（在系统参数“LDAP同步/备份任务”中设置）备份LDAP服务器上的用户到本地，选择该模式时，只有在本地找到对应备份用户才会做认证开户处理。这种模式认证效率高，适合按需同步策略较多的场景。

¡ 实时认证：相对于本地备份模式，该模式在本地找不到对应备份用户情况下，仍然会进行认证开户处理。该模式支持LDAP服务器上新增用户进行实时认证，但这种情况会占用较多资源，适合按需同步策略较少，对用户数据实时性要求较高的场景。该模式仅支持LDAP服务器中用户分组、服务同步方式均为手工指定的情况。若启用实时认证，按需用户认证时默认不校验同步策略的过滤条件（即不符合同步策略的过滤条件的用户也能认证成功并开户）。

¡ LDAP服务器故障时逃生：如果启用该参数，当LDAP用户认证且LDAP服务器无法连通时，LDAP用户认证成功；如果禁用该参数，当LDAP用户认证且LDAP服务器无法连通时，LDAP用户认证失败。若配置了备机且开启逃生，当主机宕机时，LDAP用户会连接备机进行认证，认证不通过时再进行逃生。由于MS-CHAPv2认证流程需要根据密码生成指定Challenge反馈客户端，逃生的时候不能生成此数据，因此此开关不支持MS-CHAPv2认证。

¡ LDAP主备机切换发送告警：LDAP服务器主备机切换时，是否发送告警信息。当备机切换主机且切换成功会发送告警；若失败会抛出异常不会发送告警，异常信息可在日志中查看。该参数仅在安装了告警组件的前提下才能显示。

¡ MSCHAPv2 Server日志级别： mschapv2server进程记录日志的级别，共有6级:致命、错误、警告、信息、调试、跟踪，建议系统正常运行时采用默认级别“警告”，当设置为“信息”、“调试”或“跟踪”时，会影响系统性能。

¡ MSCHAPv2 认证未知异常通道重建：MSCHAPv2认证出现未知异常时是否允许重建认证通道。该参数缺省为允许。如果禁用该参数，当进行MSCHAPv2认证的部分用户出现未知异常时，不会重建认证通道，因此也不会影响到其他能够正常认证的用户上线。

¡ MSCHAPv2 Server进程重启：单击“确定”按钮，将发送停止进程的消息给mschapv2server进程，后续由监控代理自动将mschapv2server进程启动。

¡ 修改计算机密码脚本：用来修改虚拟机算机的密码。使用方法：1）点链接下载脚本文件至本地，使用文本编辑器打开该文件，将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN，本系统123替换为虚拟计算机密码；2）复制脚本至域控服务器上；3）在域控服务器上打开命令行窗口，执行cscript ModifyComputerAccountPass.vbs。

同步配置参数说明：

¡ LDAP同步时自动删除已经不存在的用户：若启用该参数，则在执行LDAP同步时自动从本系统系统中删除物理LDAP服务器上已经不存在的用户；若禁用该参数，则不会从本系统系统中删除这些用户，而是将其状态改为“不存在”。

¡ LDAP用户在同步策略间转移：该参数用于多个同步策略设置的DN包含相同用户时，已经同步到其他同步策略中的LDAP用户是否要转移到本次执行的同步策略中。如果设置为禁止，则不进行转移；如果设置为允许，则满足如下条件之一即进行转移，其他情况仍不进行转移：

- 在LDAP服务器上已不存在其他同步策略所指向的DN路径。

- 在LDAP服务器上已经将用户从其他同步策略DN转移到本次执行的同步策略DN中。

- 本次执行的同步策略优先级高于或等于LDAP用户所在同步策略的优先级。

¡ 相同优先级的同步策略间用户转移：同步策略的优先级相同时，是否允许用户转移。如果设置为“禁止”，则不允许LDAP用户在相同优先级的同步策略间转移。如果设置为“允许”，则LDAP用户在可以在相同优先级的同步策略间转移。该参数仅在“LDAP用户在同步策略间转移”设置为“允许”时才能修改。

¡ 同步转移接入服务(手工指定)：该参数决定LDAP用户同步时，是否同步转移LDAP用户申请的服务。如果设置为“禁止”，则同步用户时用户申请的服务不会变化。如果设置为“允许”，则同步用户时申请LDAP同步策略指定的服务。该参数仅对服务同步方式为“手工指定”的LDAP用户生效,对方式为基于AD组的LDAP用户无效。

¡ 同步转移接入服务(按AD组)：该参数决定LDAP用户同步时，是否同步转移LDAP用户申请的服务。如果设置为“禁止”，则同步用户时用户申请的服务不会变化。如果设置为“允许”，则同步用户时申请LDAP同步策略指定的服务。该参数仅对服务同步方式为“基于AD组”的LDAP用户生效,对方式为“手工指定”的LDAP用户无效。

¡ 同步策略间相同平台用户的用户分组转移：同步LDAP用户时当不同策略的LDAP用户隶属于同一个平台用户时，若同步策略指定的用户分组不相同，同步时是否转移用户分组。该参数缺省为允许。当出现多个LDAP用户隶属于同一个平台用户时，建议在LDAP服务器上修改同步策略中指定的用户姓名和证件号码属性，避免出现同名情况。

¡ LDAP同步处理阈值：该参数决定在LDAP用户同步时，可处理的同步用户数量大小。当需要处理的用户数量大于该参数值时，系统不进行任何处理；反之，则按正常流程处理，对不存在的LDAP用户进行注销或置为不存在状态。该参数缺省为100。

¡ LDAP分页：该参数用于设置检索LDAP用户时是否采用分页策略以及每页检索的条目数，必须为50-50000之间的整数，对于不支持分页的LDAP服务器，请不要启用该参数。

定时任务参数说明：

¡ LDAP同步/备份任务：该参数用于设定LDAP同步/备份任务的执行周期与执行时刻。执行时刻支持输入如以下格式的数据“0-3,23”，表示到达设置执行周期的当天，在0点到3点中的每小时以及23点都会执行。EIA缺省执行时刻是3点，如果要配置多个执行时刻，建议配置为服务器认证空闲时间。LDAP同步/备份任务首次执行时间为距当前时间最近的时间，与设置的间隔天数无关。首次执行后，再次执行任务则按照设置的时间间隔执行。即：如当前时间为2013/9/24 10:00，若设置的时间间隔为每3天11点，则第一次执行时间为2013/9/24 11:00；第二次执行的时间为：2013/9/27 11:00:00。若设置的时间间隔为每3天9点，则第一次执行时间为2013/9/25 9:00；第二次执行时间为：2013/9/28 9:00。

¡ 当同时启用了LDAP同步/备份任务和LDAP增量同步/备份任务时，如果两者之间时间有重叠，则第一个小时执行LDAP同步/备份任务，其他时间执行LDAP增量同步/备份任务，另外LDAP增量同步/备份任务中的按时间间隔只对按需同步策略生效，全量同步与增量同步的关系举例说明：

- 启用LDAP同步/备份任务，并设置3点执行；未启用增量同步。3点执行全量同步。

- 启用LDAP同步/备份任务，并设置3-10点执行；未启用增量同步。 3点执行全量同步，4-10点间每个整点执行增量同步。

- 启用LDAP同步/备份任务，并设置3点执行；启用增量同步并勾选“按时间点”，设置3-10点执行。3点执行全量同步，4-10点间每个整点执行增量同步。

- 启用LDAP同步/备份任务，并设置3-6点执行；启用增量同步并勾选“按时间点”，设置3-10点执行。3点执行全量同步，4-10点间每个整点执行增量同步。

- 启用LDAP同步/备份任务，并设置3-6点执行；启用增量同步并勾选“按时间点”，设置9-12点执行。3点执行全量同步，4-6点和 9-12点间每个整点执行增量同步。

- 未启用LDAP同步/备份任务；启用增量同步并勾选“按时间点”，设置3-10点执行。3-10点间每个整点执行增量同步。

- 未启用LDAP同步/备份任务；未启用增量同步。增量和全量同步都不执行。

¡ 启用LDAP增量同步/备份任务：如果启用该参数，表示每间隔N分钟（必填）就对所有按需同步策略执行一次LDAP增量备份任务，即将LDAP服务器中的上一次同步后的新增及修改的用户备份到EIA。N的取值范围是[5,60]之间的整数且是5的整数倍。对非按需同步策略，在“LDAP同步/备份任务”的执行时刻的最小时刻执行同步任务，其他时刻执行增量同步任务，如“LDAP同步/备份任务”中执行时刻配置为“3-11”，则3点执行同步任务，4-11点执行增量同步任务。

¡ 增量条件表示增量同步查询语句中的过滤条件，微软活动目录增量条件默认为AD LDAP过滤条件“whenChanged”。

格式表示增量条件的时间格式，微软活动目录格式默认为AD LDAP时间格式“yyyyMMddHHmmss.sss”。

5.7.3 接入参数

选择“自动化”页签，单击导航树中的[用户业务/业务参数/接入参数]菜单项，进入接入参数页面。该功能用于为帐号绑定IP地址。

对保证接入业务正常运行的参数进行配置。（系统查看组的操作员只具备查看接入参数页面下业务分组的权限）

1. 系统配置

选择“系统配置”页签，进入系统配置页面，对保证接入业务正常运行的参数进行配置。

EIA对管理员和查看员的权限进行了区分。管理员可以配置所有的业务参数，查看员则不能配置系统配置。

(1) 系统参数配置

系统参数配置提供了系统相关的常用参数信息，并可以根据实际需求进行修改。

¡ 认证、授权参数说明：

- 老化时间间隔：系统以老化时间间隔为周期，顺序检查每个在线用户。在用户距上一次计费更新时间后，超过老化时间没有发送计费更新报文的情况下，对此次在线用户进行老化，删除在线信息。

- 认证锁定时长：用户认证通过后，从授权结束到计费开始的一段时间内不允许用户重复认证。该参数用于指定该时间段的长度。

- 接入时段预算天数：每天预算出从该日零时起“接入时段预算天数”天内每个接入时段策略的允许接入的时段，并将预算出来的结果存入临时表中，用户使用该业务时，系统根据用户的接入时段策略查询临时表来确定该用户是否可以在当前时段接入。

- 最大会话时长：用户认证上网后，系统在每次握手交互过程中为用户分配的最大时长。

- 客户端防破解：该参数启用后，用户使用配置了“仅限iNode客户端”的服务进行认证时，用户只能使用iNode PC客户端认证接入，使用其他客户端将认证失败或不能正常在线。进行客户端防破解时，需要在 “自动化>>用户业务>>业务参数>>接入参数>>系统配置>>客户端防破解配置”增加客户端管理中心并生效。该功能仅限与HP A series或H3C设备配合。

- 认证失败阈值：用户使用某服务进行身份认证时，如果一段时间内连续认证密码错误次数达到该值时，该用户将被暂时加入黑名单。加入黑名单后，该用户不能再使用相同MAC地址的计算机上线，直到次日零时以后才能重新认证。如果设置值为0，则不检查密码错误次数。

- 双机冷备：该参数在启用策略服务器时才生效，用于控制认证服务器运行正常，但策略服务器运行异常时的认证报文处理策略。选择“启用”时，认证服务器不会回应设备发来的认证请求报文，会触发设备AAA主备切换机制，将认证报文发给备机；选择“禁用”时，认证服务器会回应设备发来的认证请求报文，从而会导致终端接入认证通过但安全认证失败的情况出现。

- NAS控制端口号：系统向设备发送控制报文的端口号，需要与设备配置保持一致。

- 用户认证防攻击：该参数如果启用，表示一段时间内用户连续认证失败次数达到阈值之后，EIA继续收到该用户的认证报文，直接丢弃报文。当认证失败阈值设置为0时，该功能不生效。

- 用户认证防攻击等待时长(分钟)：该参数必须为1-60之间的整数，且只有在用户认证防攻击启用的情况下生效。

- 用户名前缀转换方式：包括后缀和去除两种方式。用户认证时，根据该参数，系统可以将登录用户名中包含的"\"前缀转换为域后缀或直接截掉。如果LDAP服务器的“帐号名形式”配置为“增加前缀”，则通过这个LDAP服务器认证的帐号名不受此参数的控制。

- 同名帐号强制下线：接入用户在线数量限制为1，且用户已经上线，并且在其他终端又使用同名帐号登录，如果启用该参数，则新终端上线成功，原终端下线；禁用该参数，原终端保持在线，新终端登录失败。

- 无效客户端自动加入黑名单：802.1X认证方式下，用户使用无效客户端上线时是否立即将其加入黑名单。被加入黑名单的帐号可由管理员手工解除，或者等到第二天由系统自动解除。

- MAC认证用户不存在记录失败日志：该参数如果选择“是”，当MAC地址认证因用户不存在导致认证失败时，记录一条失败日志。

- 客户端保护密码：该参数与iNode管理中心的客户端密码保护功能共同决定了iNode客户端的保护密码。具体如下：

（1）在iNode管理中心定制客户端时未定制密码保护功能，则本参数配置的密码无效，iNode客户端没有保护密码。

（2）在iNode管理中心定制客户端时定制了客户端密码保护功能且本参数配置了密码，则iNode客户端认证通过前，定制客户端时配置的缺省保护密码生效；iNode客户端认证成功后，本参数配置的密码生效。

（3）在iNode管理中心定制客户端时定制了客户端密码保护功能且本参数一直为空，则定制客户端时配置的缺省保护密码生效。

（4）在iNode管理中心定制客户端时定制了客户端密码保护功能且本参数配置了密码后又重新配置为空，则客户端保护密码以最后一次生效的密码为准。密码的生效规则请参见（2）。

使用该特性时必须启用策略服务器。

- 用户认证仿真模式：启用该参数后，即使用户认证失败也返回认证成功，用户可以接入网络，但不会创建在线用户，用户下线后也不会生成接入明细。启用该参数时，不允许同时选中策略服务器参数配置中的“启用策略服务器”参数。

- 接入明细零点切换：是否启用接入明细零点切换功能。启用切换功能后，EIA在每天凌晨00:00开始为所有在线用户生成接入明细，并开始记录下一条接入明细。

- 动态密码长度：该参数用于限制动态密码的长度，必须为4-8之间的整数。如设置为“4”，表示动态密码是四位数字。

- 动态密码发送方式：该参数如果选择“短信”，动态密码将通过短信发送给用户。如果选择“邮件”，动态密码将通过邮件发送给用户。

- 短信认证图形验证码有效期(分钟)：设置短信图形验证码的有效时间。默认值为5分钟，最小值为1分钟，最大值为60分钟。

- 哑终端激活后再上线：该参数用于限制哑终端是否需要激活后再上线。启用该参数后，哑终端在上线时，需要操作员手工激活后才能上线成功。

- 客户端IP地址冲突检测：如果启用该参数，用户使用iNode PC客户端认证上线时，则EIA会检测用户的IP地址是否与在线用户的IP地址相同，如果相同，则通知用户存在IP地址冲突的在线用户登录名和MAC地址信息。

- 用户名后缀处理方式：该参数如果选择"是"，则会将用户名"@"后的内容作为服务后缀处理。如果选择"否"，用户认证匹配服务时忽略此用户后缀，使用无后缀服务。

- 认证出现数据库错误时报文处理方式：该参数决定在认证过程中发生数据库错误时认证报文处理方式，选择“回应认证拒绝报文”则向接入设备回应认证拒绝报文；选择“直接丢弃报文”则忽略该认证报文，即不向接入设备发送认证回应报文。

- 下发Session Timeout属性：该参数用于设定是否在认证回应和计费回应报文中携带Session Timeout属性。

- 检查帐号名与证书中的属性：勾选该参数前的复选框，并指定证书中的一个或多个属性与接入用户的帐号名做一致性检查，表示终端用户证书认证时,EIA检查用户的帐号名与证书中指定的属性值是否一致，只要帐号名与证书中指定的任一属性一致，认证进入下一阶段；如果帐号名与证书中所指定的所有属性均不一致，则认证失败。如果不勾选该参数前面的复选框，表示证书认证时，不检查帐号名与证书中的属性是否一致。启用该参数后，证书属性不能为空。

¡ 用户数据管理参数说明：

- Syslog服务器IP：失败日志和安全日志作为Syslog发送的目的IP地址。

- Syslog服务器端口：失败日志和安全日志作为Syslog发送的目的IP地址的端口号。

- 发送认证失败日志Syslog：该参数如果选择“是”，则系统每隔一小时就检测最近一小时内是否新增了用户认证失败日志。如果有新增日志，针对每一条日志，都会向日志服务器发送一条认证失败日志Syslog。如果没有新增日志，则不发送。

- UAM业务分权：是否启用UAM业务分权功能。如果设置为禁止，则管理员不能自定义业务分组。同时只有当系统中只存在“未分组”时，该参数才能从允许切换为禁止。如果该参数设置为禁止，则UAM各个功能模块中均不显示、也无法配置“业务分组”参数。

- 接入明细保存时长：用户上网的接入明细信息在系统中保存的时长。每天凌晨2点整会执行接入明细删除任务，删除超过接入明细保存时长的接入明细记录。

- 注销用户保留时长：用户对应的帐号被注销后，帐号信息在系统中保存的时间。超过此时间，帐号信息将被自动删除。

- 日志保留时长：用户认证失败日志、用户日志、设备管理用户认证日志、终端识别差异审计和终端策略下发历史在系统中保存的时间。超过此时间，日志信息将被自动删除，同时认证失败类型统计报表数据自动清除。每天凌晨三点半会执行日志删除任务，删除超过日志保留时长的日志记录。

- 启用IPv6：启用IPv6后，RADIUS认证、Portal认证支持IPv6地址（需要在接入设备配置、Portal设备配置等功能中配置IPv6地址）。同时，接入用户列表、在线用户列表、漫游在线用户列表、黑名单用户、认证失败日志、接入明细、漫游接入明细都记录了用户的IPv6地址，并且可以作为查询条件进行查询。

- 发送接入用户认证队列满告警：该参数如果选择“是”，则系统每隔一分钟就检测最近一分钟内是否新增了接入用户认证队列满失败日志。如果有新增日志，则会向告警服务器发送一条告警。如果没有新增日志，则不发送。

- 告警服务器IP：接入管理的重要事件（如：接入用户认证队列满）会产生SNMP告警，该参数是接收告警的服务器IP地址。

- 告警服务器端口：该参数是接收告警的服务器端口号。

- 按用户分组申请服务：启用该参数后在开户或修改帐号时将不能够选择申请或注销服务，接入用户（服务同步方式为基于AD组的LDAP用户除外）将自动申请所属用户分组指定的服务。当用户转移用户分组或用户分组指定的服务发生变化时系统每天凌晨00:20分定时为接入用户重新申请用户分组指定的服务。可以在增加/修改用户分组页面为用户分组指定必须申请的服务，也可以在增加/修改服务配置页面指定哪些用户分组必须申请该服务。

- 按用户分组申请服务立即生效：如果配置为“启用”，当接入用户（服务同步方式为基于AD组的LDAP用户除外）在用户分组间转移或所属用户分组指定的服务发生变化时，立即为接入用户重新申请用户分组指定的服务。在增加/修改服务配置页面，修改申请服务的用户分组，将会立即生效。当禁用"按用户分组申请服务"时，该参数自动修改为“禁用”，且不可配置。

- 接入帐号强制绑定IP地址和接入服务：启用该参数后，增加/修改接入用户或为预注册用户进行正式注册时，如果接入用户选择的接入服务配置了绑定用户IP地址，则需要为用户配置IP地址。启用该参数并且禁用按用户分组申请服务，增加/修改接入用户或为预注册用户进行正式注册时，都需要为用户选择至少一项接入服务。增加/修改接入用户时不能输入已经和其它用户绑定的IP地址。上述限制仅对单用户操作有效，批量用户操作无此限制。启用该参数并且启用按用户分组申请服务，增加/修改用户分组时，需要选择至少一项接入服务。

- 注销在线用户使用的服务：该参数用于注销在线用户正在使用的接入服务。系统会将该用户踢下线，然后清除该用户的在线信息，最后将正在使用的接入服务注销。

- 报修单保留时长：用户提交的报修单在系统中保存的最大天数，该参数取值范围为5-365之间的整数，系统会自动清理过期的非典型报修单。

- IP地址重复性检查：启用该参数后，增加/修改接入用户（包括正式注册预注册用户）时不能输入已经和其它用户绑定的IP地址。注意: 仅对单用户操作有效，批量用户操作无此检查。

- MAC地址重复性检查：启用该参数后，增加/修改接入用户（包括正式注册预注册用户）时不能输入已经和其它用户绑定的MAC地址。注意: 仅对单用户操作有效，批量用户操作无此检查。

- MAC地址一致性检查：检查帐号本次上线时的MAC与上次上线时是否一致。

- 数据库异常时自动逃生：启用该参数后，当数据库服务未启动或出现未知异常导致无法正常使用时，EIA将自动切换至逃生状态，以保证用户可以正常上线。该参数默认是"禁用"状态。

- 每日短信获取密码次数：该参数用于限制终端用户每日通过短信获取密码的次数，必须为1-1000之间的整数，如果不启用该参数，表示可以无限次获取。

- 按加入时长解除黑名单：启用该参数后，可配置黑名单用户在系统中的保留时间，取值范围为5-1440分钟或1-24小时，超过此时间，黑名单用户将被自动解除（会存在2-3分钟的误差，例如配置为30分钟，用户加入黑名单时长为[28,33]分钟范围内时可能会被解除黑名单）；不启用该参数，系统每天凌晨03:30分定时解除所有黑名单用户。无论是否启用按加入时长解除黑名单，对于欠费和手工加入的黑名单用户均无效。

- 是否显示用户分组路径：该参数如果选择“是”，接入用户列表中的用户分组列将显示用户分组的路径。

- 密钥显示方式：在EIA中进行认证相关的配置时，密钥显示为明文还是密文。

- 数据库表空间告警阈值(GB)：每天凌晨4点定时检查EAD数据库已使用的表空间大小，当已使用的表空间大小超过该参数值时，将会发送告警通知。该参数缺省为10 (GB)。

- 拓扑自动展示用户：启用该参数后，拓扑视图中将自动展示用户信息。

- 删除/修改哑终端配置时关联删除接入用户：删除或者修改哑终端用户配置时，删除某MAC地址段，是否关联删除该MAC地址段内开户的接入用户。

- 导出明文密码：该参数控制导出帐号时导出密码为明文或者密文。参数值为“否”导出密码为密文；参数值为“是”导出密码为明文。

¡ 自助服务参数说明：

- 自助服务登录限制：该参数用于限制是否只有通过认证的用户才可以使用自助服务。当设置为“无需认证”时，用户可以在任何一台已登录网络的主机上使用自助服务；当设置为“必须认证”时，只有通过认证的用户才能在其登录网络的主机上使用自助服务。用户在使用802.1X客户端认证时，如果该参数设置为“必须认证”，则建议选中客户端连接配置中的“上传IPv4地址”选项，否则该用户可能无法使用自助服务。用户认证时，如果为NAT穿越方式，则该参数不能设置为“必须认证”，否则该用户无法使用自助服务。

- 同地址预注册限制值：通过用户自助页面进行预注册时，同一个IP地址每天可以注册的处于预注册状态的接入用户帐号和访客帐号的总数。该值有效范围为-1或1～1000 间的整数。值为-1时，表示不限。

- 预注册用户二级确认：若启用预注册用户二级确认，则操作员进行预注册用户正式或批量注册成功后，用户的状态是未激活，操作员需要激活用户后才能使用；若不启用预注册用户二级确认，则操作员进行预注册用户正式或批量注册成功后，用户的状态是正常，可以直接使用此用户。

- 预注册用户密码控制策略：该参数用于控制在自助服务器平台中预注册用户时设置的密码是否需要满足用户密码策略，转正后的用户修改密码时不再受该参数的限制。

- 单帐号每日提单数限制：同一用户在一日内可以提交报修单数的最大值，该参数取值范围为1-20之间的整数。

- 自助服务器端口：该参数主要在客户端升级功能中使用，取值范围为1-65535之间的整数。

- 显示验证码：选择“启用”表示在PC/智能终端自助登录页面、PC/智能终端找回密码页面、访客自助登录页面启用验证码功能。

- 用户自助清除在线信息：该参数用于控制最终用户是否可以通过自助服务平台进行清除在线信息操作。

- 闲置登录时长(分钟)：该参数用于控制用户登录自助服务平台/访客自助服务平台的在线闲置时长，超过该闲置时长后将自动注销登录。

- 自助服务器HTTPS端口：该参数主要在客户端升级功能中使用，取值范围为1-65535之间的整数。

- 用户预注册短信验证：该参数控制自助服务平台默认用户预注册页面中，是否使用短信验证。

- 找回密码发送方式：该参数控制找回密码以何种方式发送给用户。且该参数只针对普通用户生效，设备管理用户只支持邮件方式。

- 预注册电话号码格式限制：该参数按照填入的正则表达式限制用户/访客预注册时电话号码的格式，该参数缺省为空，即不校验输入内容是否正确。表达式限制在128个字符以内。举例：^1[358][0-9]{9}$ 表达的格式要求是：以13或15或18开头的11位数字串。

- 自助修改无感知认证状态：如果该参数配置为"允许"，则用户可以通过自助服务平台修改无感知认证状态、绑定当前终端以及增加或删除终端MAC地址；如果配置为"禁止"，则不能执行上述操作。

- IP地址审批超期时间（天）： IP地址管理流程中，进行IP地址申请时，审批超期时间。默认值为10天，最小值为1天，最大值为30天。

注意事项

¡ 建议将接入时段预算天数设置为3天左右。因为如果接入时段策略很多，该参数设置太大，将影响系统性能；如果该参数太小，将影响业务的使用。

¡ 启用IPv6后，用户与业务相关的配置页面、查看页面都将显示IPv6信息；如果不启用，IPv6信息将不可见。如果启用了IPv6，则在后续安装本系统 EIA子组件时，必须输入正确的IPv6地址，否则可能导致用户认证失败。

¡ 注销在线用户使用的服务后，会出现此用户依然在线一段时间的现象。

¡ 如果需要本系统平台告警模块接收策略服务器发出的告警，则必须设置告警服务器的IP和端口号为本系统平台告警模块的IP和监听端口。

(2) 策略服务器参数配置

该功能提供了对策略服务器相关参数的配置。参数说明：

¡ 启用策略服务器，在IPv6网络启用策略服务器：EIA组件的设备独立特性以及EAD组件的安全认证等功能都需要策略服务器，如果不启用策略服务器，将无法提供EIA组件的设备独立特性，也不会提供终端安全检查等EAD组件特性。当为纯IPv4网络中或者IPv4和IPv6双栈网络时，并且接入设备都配置为IPv4地址，需要开启“启用策略服务器”开关，此时客户端和代理服务器通信使用IPv4地址。当为纯IPv6网络中或者IPv4和IPv6双栈网络时，并且接入设备都配置为IPv6地址，需要开启“在IPv6网络启用策略服务器”开关，此时客户端和代理服务器通信使用IPv6地址。当为IPv4和IPv6双栈网络时，并且既有IPv4地址的接入设备也有IPv6地址的接入设备时，两个开关都需要开启，此时如果接入设备配置为IPv4地址，则客户端和代理服务器通信使用IPv4地址；如果接入设备配置为IPv6地址，则客户端和代理服务器通信使用IPv6地址。

¡ 策略服务器配置端口：配置台向策略服务器的该端口发送更新报文。仅当修改了配置文件中的安全策略服务器监听端口，才需要修改此端口。

¡ 代理服务器侦听端口：用户通过身份认证后，客户端向代理服务器的该端口发送安全认证请求。仅当修改了配置文件中的代理服务器监听端口，才需要修改此端口。

¡ 策略服务器日志级别：决定了策略服务器记录哪些级别的日志。当前日志级别分为五级：致命、错误、警告、提示和调试。致命的级别最高，调试的级别最低。配置了日志级别后，系统仅记录该级别和该级别以上的日志。当日志级别为调试时，将极大的消耗系统的资源。在正常使用本系统时，不推荐选择调试级别。

¡ 报文的压缩和加密：该参数用于设置对iNode客户端与策略服务器通信报文进行压缩加密的处理方式，“启用”表示压缩并且加密通信消息，“禁用”表示既不压缩也不加密通信消息。启用此功能可以防止传输超大通信报文而出现异常，可以提高通信报文安全性。通常，系统调试与维护时禁用此功能，系统正常运行时启用此功能。

¡ 心跳间隔时长：策略服务器与客户端间心跳报文发送的间隔时长。

¡ 心跳超时次数：策略服务器与客户端的心跳等待次数，超过此次数的心跳报文没有收到就认为客户端异常。

¡ 检查操作系统授权类型一致性：是否对终端操作系统授权类型做一致性检查。

¡ 策略服务器Nat IP地址：策略服务器NAT转换后的IP地址。

¡ 策略服务器Nat IPv6地址：策略服务器NAT转换后的IPv6地址。

注意事项：

策略服务参数设置完成时，如果选择启用策略服务器，系统将根据设置的参数向策略服务器发送更新报文。如果在操作成功页面提示更新策略服务器失败，则请确认设置的信息是否正确以及策略服务器是否运行正常。

(3) 终端管理参数配置

该功能用于终端管理功能的相关参数配置。参数说明：

¡ VXLAN组网：当VXLAN组网选择"是"时，此网络环境下可以为BYOD用户配置MAC Portal认证参数；当VXLAN组网选择"否"时，表示仅可配置无感知认证即MAC无感知和Portal无感知。

¡ 认证前ACL：当VXLAN组网选择"是"时，才会显示此选项。用于临时放通终端和本系统间的网络，使终端首次登录时可访问身份验证页面。该ACL用于下发给BYOD匿名用户。

¡ MAC Portal认证：当VXLAN组网选择"是"时，才会显示此选项。当同时启用MAC Portal认证和无感知认证时，BYOD认证用户只需首次登录时输入用户名和密码；当启用MAC Portal认证、禁用无感知认证时，BYOD认证用户每次进入网络时都需要输入用户名和密码。：当VXLAN组网选择"是"、MAC Portal认证选择"禁用"时，用户不能配置无感知认证且用户登录自助服务平台后只能查看终端设备列表，不能对终端设备进行操作。

¡ 无感知认证：无感知认证支持两种认证方式，Portal认证和MAC认证。VXLAN组网的开关决定该参数实际功能。

- 当VXLAN组网选择"否"时，只有此处启用了该参数，并且用户申请的服务中也启用了该参数时，才可以进行无感知认证，此选项仅作用于MAC无感知和Portal无感知，如果此处禁用了该参数，用户登录自助服务平台后只能查看终端设备列表，不能对终端设备进行操作。

- 当VXLAN组网选择"是"时，此选项和其他参数配合决定MAC Portal认证类型。

¡ 单帐号最大绑定终端数：每个接入帐号可以绑定MAC地址的最大数量。此参数必须设置为0-999999之间的整数，0表示不限定绑定数量。

¡ 非智能终端Portal无感知认证：当禁止非智能终端进行Portal无感知认证时，用户在非智能终端上不能进行Portal无感知认证，但可以进行其它方式的认证。

¡ 终端信息不一致时处理方式：用户进行认证过程中，如果系统获取到的该用户终端信息与数据库中已存在的终端信息不一致时的处理方式。“拒绝认证”即拒绝用户上线；“记录差异日志后允许认证”即允许用户继续认证，并将终端信息差异记录到日志中。“下发黑洞MAC”即通过下发COA报文让设备授权当前用户MAC地址为黑洞MAC。收到该报文后设备将强制该MAC地址认证用户下线，并添加该用户为静默用户。在静默时间（缺省为10分钟）内，设备不对来自该MAC地址用户的报文进行认证处理，直接丢弃。静默期后，如果设备再次收到该用户的报文，则可以对其进行认证处理。

¡ 同名帐号重绑定终端：该参数只有在以下两种情况中才生效。

- 当在终端管理参数配置中将“单帐号最大绑定终端数”配置为1时，如果启用该参数，在帐号和某一终端绑定的情况下，该帐号仍可以在其它终端上认证成功，认证成功后若终端管理参数配置中启用了VXLAN组网，则终端的无感知认证功能失效；若未启用VXLAN组网，则解除用户与终端的绑定关系，重新绑定新终端；如果禁用该参数，在帐号和某一终端绑定的情况下，则该帐号不能在其它终端上认证成功。

- 当在接入服务中的某接入场景中将“单帐号最大绑定终端数”配置为1时（缺省接入场景中的“缺省单帐号最大绑定终端数”在接入服务中配置），如果启用该参数，在该接入场景中帐号已经和某一终端绑定的情况下，该帐号仍可以使用其它终端在该接入场景中认证成功，认证成功后若终端管理参数配置中启用了VXLAN组网，则终端的无感知认证功能失效；若未启用VXLAN组网，则解除用户与终端的绑定关系，并在该接入场景中重新绑定新终端；如果禁用该参数，该接入场景中帐号已经和某一终端绑定的情况下，则该帐号不能使用其它终端在该接入场景下认证成功。

¡ 用户证书即将过期提醒天数：如果终端用户的证书即将过期，则在证书过期前EIA每天产生一条告警，操作员可根据此告警通知证书即将失效的终端用户重新申请证书。该参数的有效取值范围是[0，30]，0表示证书失效前不提醒。如果该参数配置为3天，即在用户证书过期前三天EIA每天产生一条告警。BYOD快速部署时会使用该参数。

¡ 清除在线信息条件：选择“包含接入设备”时，当EIA中在线表里的用户再次上线时，只有终端上联的接入设备匹配时，系统才会清除此用户在线信息，如果终端上联的接入设备不同，系统则不会清除此用户在线信息。选择“不包含接入设备”时，当EIA中在线表里的用户再次上线时，系统不把接入设备作为判断条件。

¡ 记录接入详细信息：当选择启用时，RADIUS服务器会在接入终端详细信息中记录该终端的在线状态、接入设备IP、接入设备端口和接入时间。

¡ 同名帐号强制解除IP绑定：该参数针对名址绑定。如果禁用该参数，当同一用户使用不同终端上线时，每个终端都会分配不同的IP地址。如果启用该参数，当同一用户使用不同终端上线时会分配相同的IP地址。假设接入用户使用终端A上线，获取到IP1，且“同名帐号强制解除IP绑定”项置为启用，具体场景说明如下：

- 场景1：终端A下线，并使用终端B上线，终端B会分配到IP1。

- 场景2：终端A一直在线，如果用户在线数量限制等于1，且“同名帐号强制下线”设置为启用，使用终端B上线时会强制终端A下线，然后为终端B分配IP1。

- 场景3：终端A一直在线，如果用户在线数量限制大于1，终端B再上线时会分配到一个新的IP2。

¡ 注意：如果“同名帐号强制下线”设置为启用，当在线数量达到限制时，如果有新的终端认证，iNode客户端上不能启用“网络故障自动重连”，否则用户被踢下线后会自动重连，导致两个终端都无法正常上线。

¡ EIP服务器故障时处理方式: 默认可以选择放开网络，或者响应报文为不回应RADIUS报文。

¡ BYOD通信协议：BYOD支持两种通信协议，HTTP或者HTTPS。

¡ 控制器配置：当启用VXLAN组网并配置控制器时，将会开启IP绑定功能，IP绑定功能栏在手动刷新后显示；重新禁用VXLAN组网时，手动刷新将会隐藏IP绑定功能栏。

¡ 服务类型标识：设备根据用户选择的服务类型匹配对应认证方案或运营商。

¡ 服务类型：服务类型标识是设备使用的信息，用户可能无法直观地理解其内在的含义。服务类型对其进行了解释，显示在MAC Portal认证主页上。服务类型信息不能为空，并且不能和现有的服务类型信息相同。服务类型的数量不能超过64个。

¡ 证书主题：该参数决定接入终端申请客户端证书时，证书主题使用帐号名还是MAC地址。若选择使用MAC地址，需要先取消勾选系统参数配置中的“检查帐号名与证书中的属性”。

(4) 终端老化策略配置

终端进行无感知认证时，一旦终端的MAC地址与帐号绑定，该终端再次接入网络，无需输入帐号名和密码，系统会自动进行认证。为了安全起见，当终端下线后系统会根据配置定时删除超过老化时长且无感知认证状态为启用的终端，这样该终端重新接入网络后，需要再次输入帐号名和密码重新绑定。如果老化时长设置为0天（时），终端将永远不老化。如果终端的无感知认证状态为禁用，则可设置非无感知终端老化时长，系统根据此参数从终端管理列表中删除该终端信息。

¡ 增加/修改终端老化策略

点击终端老化策略配置对应的链接，进入终端老化策略配置页面。单击<增加>按钮；或点击待修改终端老化策略配置对应的链接。输入终端老化时长，选择用户分组或操作系统。单击<确定>按钮完成操作。

¡ 删除终端老化策略

点击终端老化策略配置对应的链接，进入终端老化策略配置页面。点击终端老化策略配置对应的链接，确认后即可删除。

¡ 修改终端老化策略类型

点击终端老化策略配置对应的修改终端老化类型（当前类型：按xxxx）链接，进入修改终端老化类型页面，点击选择终端老化类型，单击<确定>按钮完成操作。在终端老化策略列表中，除终端老化缺省策略外，无其它策略时，才允许修改终端老化类型。

¡ 参数说明：

- 无感知终端老化时长：按天或小时配置无感知终端老化时长。按天配置终端老化时长，EIA每天凌晨删除超过老化时长且已下线的终端；按小时配置终端老化时长，EIA实时删除超过老化时长且已下线的终端。例如，终端老化方式配置为按绑定时间，终端首次进行无感知认证的时间是2019-12-1上午10点，如果终端老化时长配置为24小时，那么EIA在2019-12-2上午10点以后当该终端下线后实时删除该终端；如果终端老化时长配置为1天，那么EIA在2019-12-3日及以后每天凌晨检查该终端是否下线，如果该终端已下线则执行删除终端操作。

- 对在线用户生效：默认无感知终端老化只老化已下线终端，勾选此配置，无论终端是否在线都将触发终端老化

- 终端老化方式：包括按绑定时间和按闲置时长两种类型，该参数与“无感知终端老化时长”配合使用。（1）如果配置为按绑定时间，则终端首次进行无感知认证后的时间超过终端老化时长且终端下线后EIA删除该终端，下次认证需要重新输入帐号名和密码。例如，终端老化时长设置为1天时，如果某终端首次无感知认证日期为 2019-12-1，那么EIA在2019-12-2及以后每天凌晨检查该终端是否下线，如果该终端已下线则执行删除终端操作。（2）如果配置为按闲置时长，则终端未上线时长超过老化时长后，EIA删除该终端，下次认证需要重新输入帐号名和密码。例如，终端老化策略设置为1天时，如果某终端最后下线日期为 2019-12-1，那么EIA在2019-12-3凌晨删除该终端。

- 非无感知终端老化时长：按天或小时配置非无感知终端老化时长。按天配置终端老化时长，EIA每天凌晨删除超过老化时长且已下线的终端；按小时配置终端老化时长，EIA实时删除超过老化时长且已下线的终端。例如，终端最后一次接入网络的时间是2019-12-1上午10点，如果终端老化时长配置为24小时，那么EIA在2019-12-2上午10点以后当该终端下线后实时删除该终端；如果终端老化时长配置为1天，那么EIA在2019-12-3日及以后每天凌晨检查该终端是否下线，如果该终端已下线则执行删除终端操作。

(5) 用户密码控制策略配置

该功能提供了针对接入用户密码安全性的配置。

参数说明：

¡ 密码长度控制：对密码长度进行控制的开关。

¡ 最短、最长：密码的长度限制。

¡ 密码有效期：密码在所设置的天数后失效。密码失效后，用户通过认证上网时客户端将提示用户修改密码，如果不修改，客户端将被强制下线。

¡ 历史密码重复限制：如果参数设置为n，那么用户在修改密码时，新密码不能与最近n次的设置相同，初始密码不在限制次数内

¡ 包含小写字母：用户的密码必须包含小写字母。

¡ 包含大写字母：用户的密码必须包含大写字母。

¡ 包含数字：用户的密码必须包含数字。

¡ 包含其他字符：用户的密码必须包含除了字母和数字外的其他字符。

¡ 帐号名和密码不能相同：用户的密码不能和帐号名相同。

注意事项：

只有在用户信息中选中了“启用密码控制策略”选项，用户密码才受密码控制策略限制。

(6) 漫游配置

漫游是将不属于当前本系统的用户发来的认证请求转发到其所属EIA的一种功能。这一过程中，需要双方EIA的配合，并进行以下配置（假设将转发认证请求的EIA称为源EIA，将接收认证请求的EIA称为目的EIA）：

¡ 在目的EIA中将源EIA的配置为接入设备。

¡ 在源EIA中配置漫游，其中包括目的EIA的信息。

注意事项：

漫游用户不支持与SCC进行联动。

¡ 增加/修改漫游配置

该功能用于在本系统中增加/修改漫游配置。进入系统配置页面后点击漫游配置链接，进入漫游配置页面，单击<增加>按钮；或点击待修改漫游配置对应的链接，选择标识，设置域名、IP地址、端口、密钥和类型信息，单击<确定>按钮完成操作。

参数说明：

- 标识：表示定义的漫游标志类型。

- 域名：域的名称，在接入设备上配置的域名。该值只能包含字母、数字、“_” 、“-” 和“.”。

- 主服务器IP地址：表示漫游目的地的主服务器IP地址，即该漫游帐号所属的RADIUS的主服务器IP地址。该地址可以是IPv4地址，也可以是IPv6地址。

- 备服务器IP地址：表示漫游目的地的备服务器IP地址，即该漫游帐号所属的RADIUS的备服务器IP地址。该地址可以是IPv4地址，也可以是IPv6地址，版本须与主服务器IP地址相同。

- 使用中的服务器：表示当前使用的服务器，由RADIUS服务器定时刷新。

- 端口：表示漫游的目的端口，是指认证、计费报文转发到目标EIA的端口号，需要与目标EIA接入设备配置保持一致，认证/计费端口的缺省设置为1812/1813。

- 密钥：表示约定的共享密钥，是RADIUS报文转发时使用的密钥（也需要与目标EIA接入设备配置保持一致）。

- 类型：表示计费或认证类型。选择认证，表示漫游到目标EIA进行认证；选择计费，表示漫游到目标EIA进行计费。

注意事项：

- 配置项中如果标识为domain，则标识、域名与类型的组合必须唯一。

- 如果当前正在使用备服务器进行认证或计费，将备服务器IP地址修改为空，系统会切换为使用主服务器，这样会影响漫游功能，请谨慎修改。

¡ 删除漫游配置

该功能用于删除漫游配置。进入系统配置页面后点击漫游配置链接，进入漫游配置页面。单击漫游配置对应的链接，确认后即可删除。

(7) 帐号自动销户任务

在系统配置页面中，点击“帐号自动销户任务”后面的配置图标，进入帐号自动销户任务列表。

在列表中，单击<增加>按钮，开始增加帐号自动销户任务。需要配置的参数说明如下：

¡ 失效帐号自动销户功能

- 失效帐号：失效帐号自动销户功能的开关，用于控制是否对失效帐号进行自动销户。

- 帐号失效天数：指定失效多久的帐号会被自动注销。具体说明请参见下面的举例。

- 帐号名前缀：如果为空，表示“失效时间 > 帐号失效天数”的所有帐号都将被自动销户。如果不为空，请参见下面的举例。

举例：当前时间为2009-12-31，帐号失效天数配置为30、帐号名前缀配置为a，则在2009-12-1之前失效的所有以a开头的帐号（如abc、a123）都将被自动销户。包含a的帐号（如32a、3a2）不会被自动销户。

¡ 闲置帐号

- 闲置帐号：闲置帐号自动销户功能的开关，用于控制是否对闲置帐号进行自动销户。

- 未使用网络天数：闲置帐号多久未使用网络会被自动注销。具体说明请参见下面的举例。

- 帐号名前缀：如果为空，表示“帐号未使用网络时间 > 未使用网络天数”的所有帐号都将被自动销户。如果不为空，请参见下面的举例。

举例：当前时间为2009-12-31，未使用网络天数配置为30、帐号名前缀配置为a，则2009-12-1后未使用过网络的所有以a开头的帐号（如abc、a123）都将被自动销户。包含a的帐号（如32a、3a2）不会被自动销户。

¡ 余额为零帐号

- 余额为零帐号：余额为零帐号自动销户功能的开关，用于控制是否对于余额为零帐号进行自动销户。

- 未使用网络天数：指定余额为零的帐号多久未使用网络会被自动注销。具体说明请参见下面的举例。

- 帐号名前缀：如果为空，表示余额为零且“帐号未使用网络时间 > 未使用网络天数”的所有帐号都将被自动销户。如果不为空，请参见下面的举例。

举例：当前时间为2009-12-31，未使用网络天数配置为30、帐号名前缀配置为a，则余额为零、2009-12-1后未使用过网络的所有以a开头的帐号（如abc、a123）都将被自动销户。包含a的帐号（如32a、3a2）不会被自动销户。

¡ 余额位于某个范围内的帐号自动销户功能

- 余额范围：余额位于某个范围内的帐号自动销户功能开关，用于控制是否对余额位于某个范围内的帐号进行自动销户。

- 余额最小值：余额范围的最小值。

- 余额最大值：余额范围的最大值。

- 未使用网络天数：指定余额在某个范围内的帐号多久未使用网络会被自动注销。具体说明请参见下面的举例。

- 帐号名前缀：如果为空，表示余额位于某个范围内并且“未使用网络时间 > 未使用网络天数”的所有帐号都将被自动销户。如果不为空，请参见下面的举例。

举例：当前时间为2009-12-31，余额最小值配置为-10、余额最大值配置为10、未使用网络天数配置为30、帐号名前缀配置为a，则余额位于[-10，10]内、2009-12-1后未使用过网络的、所有以a开头的帐号都将在被自动销户。如帐号abc余额为-5元，会被销户；帐号cba余额为-5元不会被销户(因为帐号名前缀不是a)；帐号a123余额为11元，不会被销户(因为余额不在[-10,10]范围内)。

¡ 闲置访客自动销户功能

- 闲置访客：闲置访客自动销户功能的开关，用于控制是否对闲置帐号进行自动销户。

- 未使用网络天数：指定访客帐号多久未使用网络会被自动注销。具体说明请参见下面的举例。

- 帐号名前缀：如果为空，表示“未使用网络时间> 未使用网络天数”的所有帐号都将被自动销户。如果不为空，请参见下面的举例。

举例：当前时间为2009-12-31，未使用网络天数配置为30、帐号名前缀配置为a，则在2009-12-1后未使用过网络的所有以a开头的帐号（如abc、a123）都将被自动销户。包含a的帐号（如32a、3a2）不会被自动销户。

¡ 注销平台用户

如果选择“注销平台用户”，分为以下两种情况：（1）帐号对应的平台用户仅申请了一个接入帐号，则注销帐号时，将注销对应的平台用户及其所有信息；（2）帐号对应的平台用户申请了两个或两个以上接入帐号，则仅注销帐号。如果不选择，则仅注销帐号，不注销平台用户。无论是否选中该选项，注销访客时如果所关联的平台用户下没有帐号，总是会注销掉平台用户。

配置完参数后单击<确定>按钮，增加帐号自动销户任务完毕。

- 在列表中，点击帐号自动销户任务对应的链接，即可修改任务。修改的方法与之前创建任务的方法类似，不再赘述。

- 在列表中，点击帐号自动销户任务对应的链接，弹出确认对话框，确定后即可删除任务。

· 新增帐号默认其最后一次上线时间为创建帐号的时间，如帐号AA创建日期为2009-07-02 23:06:06，则系统默认其最后一次上线为2009-07-02 23:06:06。

· 使用闲置帐号和余额为零帐号自动销户方式时，建议将未使用网络天数设置大一些，以免错误注销帐号。

· 当无帐号注销时，会记录自动注销帐号任务执行结束的日志，但不会生成记录已注销帐号的文件。

(8) 用户通知参数配置

本系统发送消息给第三方系统，第三方系统收到该消息后将该消息转换为短信息或电子邮件发送给用户。

¡ 增加/修改用户通知

该功能用于在本系统中增加/修改用户通知。进入系统配置页面后单击用户通知参数配置链接，进入用户通知参数配置页面，单击<增加>按钮或点击待修改用户通知参数配置对应的链接，设置通知方式、通知时刻、服务器IP、服务器端口、密钥、通知内容，单击<确定>按钮完成操作。

参数说明：

- 通知方式：通知第三方服务器的报文格式。

- 通知事件：通知第三方服务器的时刻。包括：获取终端IP地址，用户上线，认证失败，用户下线

- 服务器IP：提供通知服务的第三方服务器的IP地址（不支持IPv6地址）。

- 服务器端口：提供通知服务的第三方服务器的监听端口。

- 密钥：与提供通知服务的第三方服务器交互的共享密钥。

- SYSLOG报文头：当通知方式为SYSLOG的时候，为报文设置报文头

- 报文编码格式：当通知方式为SYSLOG的时候，为报文设置报文编码格式，目前支持UTF-8和GBK两种编码格式

- 通知内容：发送给第三方服务器的内容。当通知方式为SYSLOG或UDP时，可以根据页面下方的提示写入变量

- 过滤配置：通过增加配置过滤属性、属性值以及过滤规则达到过滤通知消息的作用，避免通知消息发送到不需要的设备上。

¡ 删除用户通知

该功能用于删除用户通知。单击用户通知参数配置链接进入用户通知参数配置页面，单击用户通知配置对应的链接，确认后即可删除。

(9) 客户端防破解配置

一般情况下，终端用户必须通过了身份认证/安全认证，才能正常访问网络。而一些非法用户使用破解、篡改或仿冒的网络客户端绕开了身份认证/安全认证，非法使用网络。

为了阻止此类非法用户使用网络，本系统EIA提供了客户端防破解方案，通过iNode、本系统EIA、H3C的设备相互配合阻止非法的客户端接入网络。在此方案中，需要在EIA中配置客户端管理中心。

操作步骤：

a. 点击“客户端防破解配置”对应的配置链接，进入客户端防破解配置页面。

b. 单击<增加>按钮，进入客户端管理中心增加页面，填写IP地址和备注，单击<确定>按钮保存设置。

c. 点击客户端管理中心IP列表中的“修改”图标，进入客户端管理中心修改页面，其中IP地址不能修改。

d. 点击客户端管理中心IP列表中的“删除”图标，确认后即可删除客户端管理中心。

e. 单击<生效>按钮，生效成功后客户端管理中心的状态更新为“已生效”。在使用防破解功能前，应确保对应客户端管理中心为“已生效”状态。

在客户端防破解配置列表中，单击<生效>按钮后，EIA服务器将删除客户端字典文件，然后从iNode管理中心重新获取。如果获取客户端字典文件失败，则启用防破解功能的用户会认证失败。因此，在单击<生效>按钮前，请确保iNode管理中心已正确安装且能够与EIA服务器正常通信。

(10) 代理服务器检测参数

通常情况下，一台主机开设代理服务器后，会将接收到的大量报文转发给其他主机。本系统定义了代理服务器检测参数，并将这些参数下发给iNode客户端，由iNode客户端来判断主机是否启用了代理服务器。如果iNode客户端检测到本机转发的报文比例达到一定比例，则认为本机开启了代理服务器。代理服务器检测参数具体包括：报文转发率、不进行检测的外网IP段、待检测的内网IP段。三个参数的配合关系如下：

¡ 缺省情况下，不配置任何IP网段，iNode统计认证网卡上所有来自外网的报文，以及经过此网卡发往本机网段的报文。例如，iNode安装在192.168.1.1/24上，则统计所有来自外网的报文以及发送到192.168.1.0/24网段的报文。

¡ 如果配置了不进行检查的外网IP段，则来自于这些网段的报文不进行统计。

¡ 如果配置了待检测的内网IP段，则发往这些网段的报文也一并统计。

· “不进行检查的外网IP段”与“待检测的内网IP段”均最多只允许能配置32个网段并且各网段之间不允许存在重叠IP。

· “不进行检查的外网IP段”与“待检测的内网IP段”也不允许存在重叠IP。

· 接入策略选择了“禁止开设代理服务器”，代理服务器检测参数才生效。

(11) 用户绑定信息配置

该功能用于为接入用户的绑定信息配置自学习数量。

a. 对于要修改的用户绑定信息自学习数量，点击对应的列的“自学习数量”单元格，此时单元格变成一个输入框，输入自学习数量。当参数的自学习数量设置为0时，表示对该参数的自学习数量不作限制。

b. 点击页面任意地方使输入框重新变回不可输入状态。

c. 单击<确定>按钮完成操作，单击<取消>按钮，取消操作并返回上一页面。

(12) 别名认证配置

将用户的一些属性指定为别名字段，以别名字段的值作为认证名，进行认证上线。

a. 单击别名认证配置对应的链接，进入别名认证配置页面。

b. 在用户别名配置页面，以用户分组为单位，配置别名字段。

注意事项：

¡ 新增或者修改别名配置时，配置不会立即生效。只有执行定时任务，或者手工触发列表界面上的<立即生效>，配置才会生效。

¡ 别名值的格式要求，与接入帐号名一致:(1)不能包含如下特殊字符：#+/?%&=*'@\"[]()<>`和TAB键。(2)不能与系统保留名称重命名, 如:anonymous、byodanonymous、computer。

¡ 如果作为别名认证的属性值中包含@符号，则取@符号之前的值作为别名进行认证，例如：将电子邮件属性值“[email protected]”作为别名，则别名取值为“someUser”。

¡ 别名值不能与接入用户帐号名重复，否则EIA会将别名识别为接入帐号名。例如：EIA中同时存在someUser的帐号名和别名，使用“someUser”认证时，EIA将“someUser”识别为接入帐号名，而非别名。

(13) JAMF联动配置

JAMF是一款针对苹果公司的终端设备（包括MacBook、iPad、iPhone等）进行管理的软件。启用该参数后，使用该接入策略的接入用户认证上线时，会将其所用的终端MAC发给JAMF服务器校验该终端是否已注册，只有该终端的MAC已注册，接入用户方可认证上线成功，否则接入用户认证上线将失败。

参数说明：

¡ WEB服务URL：访问JAMF服务器进行认证的URL。

¡ 用户名：登录JAMF服务器的用户名。

¡ 密码：登录JAMF服务器的密码。

(14) 第三方RADIUS联动配置

该功能提供了基于控制器安全组匹配下发VXLAN到联软的功能。

¡ 切换厂商

切换厂商时，第三方RADIUS属性可以选择ACL或VLAN。当厂商为Leagsoft时，提供了基于控制器安全组匹配下发VXLAN到联软的功能；当为其他厂商时，由于用户信息都在第三方服务器，只需配置合规安全组，用于AD-Campus组网和第三方服务器对接。

# 单击列表右上方“切换厂商”链接，进入切换厂商页面。按需配置“厂商”、“缺省安全组”及“第三方RADIUS属性”项。配置完成后，单击<确定>按钮，完成配置。当存在第三方RADIUS联动配置时，不能切换厂商。

¡ 增加/修改第三方RADIUS联动配置

该功能用于增加/修改第三方RADIUS联动配置。

参数说明：

- 第三方RADIUS属性：与第三方服务器描述进行匹配。

- 合规/不合规安全组：根据联软下发是否合规进行匹配对应安全组，安全组数据为控制器同步数据。

注意事项：同一个配置中，合规安全组和不合规安全组不能相同。

¡ 删除第三方RADIUS联动配置

点击列表中删除列图标可删除第三方RADIUS联动配置。

2. 证书配置

证书配置主要是对根证书、服务器证书、证书吊销列表等进行配置。只有正确完成证书配置，才能保证用户使用证书进行认证。

证书：公钥证书，通常简称为证书，是一种数字签名的声明。它将公钥的值绑定到持有对应私钥的个人、设备或服务。证书的格式遵循ITU-T X.509标准（保证使用数字证书的系统间的互操作性的标准）。

适用EAP接入方式。

注意事项：

· 同一种类型的服务器证书只能上传一个。

· 已过期的服务器证书文件将无法导入。

选择“证书配置”页签，进入证书配置页面。

(1) 根证书配置

a. 点击Tab页上的“证书配置”，进入根证书配置列表页面。

b. 在根证书配置列表中，点击导入EAP根证书或导入WAPI根证书按钮，进入根证书配置界面。

c. 单击<浏览>按钮，选择并上传根证书文件。

d. 单击<下一步>按钮进入CRL配置页面。

注意事项：本系统支持的根证书文件格式为：pem(base64位编码，文件后缀为.pem或.cer)，der(der编码，文件后缀为.der或.cer)，pkcs12(pkcs12编码，文件后缀为.pfx或 .p12)。注意：如果证书格式是pfx格式，则不支持pvk格式的私钥文件。

参数说明：根证书文件，即CA证书文件，是经过CA授权中心数字签名的包含公钥拥有者信息和公钥的文件。根证书主要用于验证它所签发的服务器证书和客户端证书的合法性。CA证书可以由第三方的CA权威机构生成，也可以通过搭建Windows 2003证书服务器来生成。

(2) 服务器证书配置

服务器证书配置主要完成服务器证书文件、服务器证书私钥文件的配置。

a. 点击Tab页上的“证书配置”，进入根证书配置列表页面

b. 在服务器证书配置列表中，点击导入EAP服务器证书或导入WAPI服务器证书按钮，进入服务器证书配置界面。

- 服务器证书和服务器私钥在同一文件，选择“服务器证书和服务器私钥在同一文件”，单击<浏览>按钮，选择并上传服务器证书私钥文件。

- 服务器证书和私钥文件在不同的文件中，需要分别上传服务器证书文件和服务器私钥文件，单击服务器证书文件对应的<浏览>按钮，选择并上传服务器证书文件。再次单击服务器私钥文件对应的<浏览>按钮，选择并上传服务器私钥文件。

c. 完成服务器证书的配置，单击<下一步>按钮进入服务器私钥密码配置页面。

参数说明：

¡ 服务器证书文件：该证书将安装在服务器端，向尝试建立连接的客户端提供服务器身份和公钥信息。使用证书和公钥来进行客户端和服务器之间的信息交换和进一步的数据加密。

¡ 服务器私钥文件：服务器私钥文件中保存与服务器证书中公钥对应的密钥信息，通过此密钥信息可以对通过服务器证书中的公钥加密的内容进行解密。常见的CA服务器可以将服务器证书和私钥文件到导出一个文件中，并可以提供解密密码，这种文件扩展名为PFX或者P12。

注意事项：

¡ 上传的文件均不能超过1MB。

¡ 本系统支持的服务器证书文件格式为：pem(base64位编码，文件后缀为.pem或.cer)，der(der编码，文件后缀为.der或.cer)，pkcs12(pkcs12编码，文件后缀为.pfx或 .p12)。注意：如果证书格式是pfx格式，则不支持pvk格式的私钥文件；若服务器证书和私钥在同一个文件，则不能使用der文件。

(3) 证书文件校验

证书文件校验用于校验证书文件的合法性。

a. 点击Tab页上的“证书配置”，进入根证书配置列表页面

b. 单击<证书文件校验>按钮，进入证书文件校验界面。

c. 选择并上传各项证书文件。

d. 单击<确认>按钮开始校验。

注意事项：

¡ 本系统支持的证书文件格式为：pem(base64位编码，文件后缀为.pem或.cer)，der(der编码，文件后缀为.der或.cer)，pkcs12(pkcs12编码，文件后缀为.pfx或 .p12)。注意：如果证书格式是pfx格式，则不支持pvk格式的私钥文件；若证书和私钥在同一个文件，则不支持der格式的证书文件。

¡ 不支持WAPI证书校验。

参数说明：

¡ 根证书文件：即CA证书文件，是经过CA授权中心数字签名的包含公钥拥有者信息和公钥的文件。根证书主要用于验证它所签发的服务器证书和客户端证书的合法性。CA证书可以由第三方的CA权威机构生成，也可以通过搭建Windows 2003证书服务器来生成。

¡ 服务器证书私钥文件：服务器私钥文件中保存与服务器证书中公钥对应的密钥信息，通过此密钥信息可以对通过服务器证书中的公钥加密的内容进行解密。常见的CA服务器可以将服务器证书和私钥文件到导出一个文件中，并可以提供解密密码，这种文件扩展名为PFX或者P12。

¡ 服务器私钥密码：当把服务器证书和服务器证书私钥分开导出时，需要输入一个密码，用于保证私钥文件的安全。把私钥文件导入系统时，需要输入这个密码，才能把服务器证书私钥文件成功导入。这个密码就是此处的服务器证书私钥密码。

¡ 客户端证书文件：该证书将安装在客户端端。使用证书和公钥来进行客户端和服务器之间的信息交换和进一步的数据加密。

¡ 客户端证书私钥文件：客户端私钥文件中保存与客户端证书中公钥对应的密钥信息，通过此密钥信息可以对通过客户端证书中的公钥加密的内容进行解密。常见的CA服务器可以将证书和私钥文件到导出一个文件中，并可以提供解密密码，这种文件扩展名为PFX或者P12。

¡ 客户端私钥密码：当把客户端证书和客户端证书私钥分开导出时，需要输入一个密码，用于保证私钥文件的安全。把私钥文件导入系统时，需要输入这个密码，才能把客户端证书私钥文件成功导入。这个密码就是此处的客户端证书私钥密码。

(4) 已导入证书校验

该功能用于校验已导入证书的合法性。

a. 点击Tab页上的“证书配置”，进入根证书配置列表页面

b. 单击<已导入证书校验>按钮，进入证书校验结果页面。

c. 校验已导入证书的合法性。

注意事项：

¡ “已导入证书校验”功能的使用前提是EIA中已导入完整的证书。一条完整的证书链包括服务器证书和与之配套的根证书。其中，根证书如果存在上级根证书，其上级根证书也要导入EIA中，证书链才完整。

¡ 存在与服务器证书配套的根证书时，便可认证成功。如果根证书存在上级证书，但没有导入到EIA中，认证仍然会成功，但证书校验会提示导入证书不完整。

(5) 导入预置证书

预置证书是指EIA自带的EAP根证书和EAP服务器证书。当配置证书认证时，如果用户没有向第三方购买证书，则可以使用EIA自带的证书配置证书认证。单击<导入预置证书>按钮，导入EAP根证书和EAP服务器证书。

3. 客户端升级

选择“客户端升级”页签，进入客户端升级页面。

客户端升级配置可以管理各个用户和用户分组使用的客户端版本。

(1) 客户端升级

客户端升级配置可以管理各个用户和用户分组使用的客户端版本。

参数说明：

¡ 版本升级类型：类型分为版本升级、配置更新、补丁升级。版本升级是指把早期版本的客户端自动升级到当前版本，配置更新是指把同一版本早期的定制自动更新到当前的定制，补丁升级是指对当前版本客户端打补丁，修复一些已知问题。

¡ 定制时间：配置更新文件生成的时间。只有类型为配置更新时才显示其值。

# 增加/修改客户端版本升级、配置升级或补丁升级

用户使用的客户端版本低于增加的客户端升级版本，或者客户端配置早于增加的客户端配置，或者当前版本客户端需要打补丁、修复一些已知问题，即会触发客户端自动升级。客户端升级任务可以应用于用户分组，也可以应用于接入用户。

操作步骤：

a. 单击“客户端升级”标签，进入客户端升级任务列表页面。

b. 单击<增加>按钮，选择客户端版本升级、客户端配置升级或客户端补丁升级，进入增加页面；或点击待修改的客户端升级任务对应的链接，进入修改页面。

c. 如果进入增加页面，选择客户端升级文件，设置应用该升级任务的用户分组或接入用户，单击<确定>按钮完成操作。

d. 如果进入修改页面，设置应用该升级任务的用户分组或接入用户，单击<确定>按钮完成操作。

参数说明：

- 更新方式：分为强制更新、可选择更新、立即强制更新、强制更新-下次启动安装和立即强制更新-下次启动安装。强制更新表示，在用户上线后2小时内的一个随机时间点自动完成客户端升级（用户无法取消）。可选择更新表示，在用户上线后2小时内的一个随机时间点下载升级包，下载完成后弹出提示信息框询问用户是否进行客户端升级。立即强制更新表示，在用户上线后立即自动完成客户端升级（用户无法取消）。强制更新-下次启动安装表示，在用户上线后2小时内的一个随机时间点下载升级包，并在客户端下次启动后进行强制升级(用户无法取消)。立即强制更新-下次启动安装表示，在用户上线后立即下载升级包，在客户端下次启动后进行强制升级(用户无法取消)。

- 升级对象：包括PC客户端和移动客户端两种。移动客户端是指搭载iOS、Android等智能终端操作系统的客户端。

- 移动客户端操作系统：表示可移动智能终端所使用的操作系统。该参数只有“升级对象”选择移动客户端的时候才可见。

- 缺省移动客户端升级任务：表示该任务是否为缺省任务。通过VPN上线的帐号都使用缺省任务进行客户端升级。

- PC操作系统：PC客户端所使用的操作系统。选择的PC操作系统要与客户端升级包支持的操作系统一致，否则升级失败。

- 下载限速：设置单个用户下载客户端升级包时的速率上限，单位为KB/s，取值范围为10～1024。不设置表示不限速。

- 接入用户选择方式：如果为按接入用户选择，单击<选择接入用户>按钮，在接入用户使用弹出页面中选择用户。如果为按用户分组选择，在用户分组列表中选择用户分组。当用户及其所属的用户分组绑定同一类型的升级任务时，用户绑定的任务优先级高。

- 第三方服务器URL地址：如果从第三方服务器下载升级文件，则需要操作员将升级包解压缩，把可执行的升级文件放在对应的URL路径中。第三方服务器URL地址必须是可下载的完整路径（例如http://服务器IP/.../文件名.exe），目前仅Windows环境下的iNode支持该升级功能。

- 任务描述：该升级任务的描述信息。

注意事项：

- iOS客户端仅支持强制更新和可选择更新。强制更新此处表示，上线后立即弹出对话框，用户可以点击升级，点击升级后可以跳转到升级url页面（用户可以点击升级，也可以不点击升级）。可选择更新表示，上线后立即弹出对话框，用户可以点击取消和升级，点击取消不做任何处理，点击升级，跳转到升级url页面。

# 删除客户端升级任务

该功能用于删除客户端升级任务。单击“客户端升级”标签，进入客户端升级任务列表页面，

点击待删除任务对应的链接，确认后即可删除。

(2) 客户端上传

该功能用于增加、修改、删除客户端安装文件。单击<上传文件>按钮上传客户端安装文件。

4. 第三方认证配置

选择“第三方认证配置”页签，进入第三方认证配置页面。该功能用于对第三方用户进行认证。启用该功能后，第三方用户可以进行认证并在本系统中开户，其用户信息可以通过设定备份周期定时更新，也可以点击第三方认证策略列表中“更新用户信息”链接手工更新。手工更新结果可通过点击“查看更新结果”链接查看。点击链接，进入第三方认证配置页面。

参数说明：

· 启用第三方认证：需要先判断系统中是否已存在LDAP按需同步策略，若已存在LDAP按需同步策略，则提示用户不能再进行第三方认证配置。

· 认证方式

¡ 第三方认证优先：对第三方用户进行认证时，先查询第三方数据库用户数据，若连接不通，再查询本地数据库。

¡ 本地认证优先：对第三方用户进行认证时，先查询本地数据库用户数据，若不存在此用户，再查询第三方数据库。

· 第三方数据库

基本信息：

¡ 数据库的基本信息包括数据库用户名、密码、IP地址、数据库名称、端口号。

¡ 当数据库类型为SqlServer时，端口号默认为1433，可根据需要修改，SqlServer还需选择数据库实例，此项为选填项。

¡ 当数据库类型为MySql时，端口号默认为3306，可根据需要修改，MySql还需选择数据库字符集。

¡ 当数据库类型为Oracle时，需填写数据库服务名，并设置用户身份。本地必须安装Oracle客户端。

¡ 当数据库类型为PostgreSQL时，端口号默认为5432，可根据需要修改。

¡ 填写完数据库的基本信息，可以点击[连接测试]按钮，测试数据库是否连接成功。

联动策略：

¡ 用户分组：默认选择“未分组”，可以根据需要选择本系统中已定义的用户分组选项。

¡ 用户密码加密解密可以选择明文、DES、3DES、IDEA、RC5、MD5和自定义七种方式，前五种方式可以选择对加密结果进行Base64编码。

¡ 明文方式对密码不进行加密解密，DES、3DES、IDEA、RC5四种方式需要用户输入加密密钥，其中DES方式密钥只能输入八位，自定义方式需要用户导入自定义的密码插件。

¡ 导入密码插件：如果服务器上的用户密码是加密的，可以导入自定义的密码加解密插件。注意：Windows系统只能导入后缀为.dll的文件，Linux系统只能导入后缀为.so的文件。密码加解密插件需要参照所提供的约束头文件进行开发，且插件需区分当前系统所安装的JDK位数（32位或64位），如64位的JDK只能加载64位的动态链接库。在生成dll或者so文件时需要注意如下几点：

- 根据本系统服务器所依赖的JDK位数（32位或64位）选择相应的JDK。

- 选择的JDK版本应当与本系统服务器所依赖的JDK版本相同或者更低。

- Linux环境下推荐使用g++编译器。

¡ 当认证方式为第三方认证优先时，认证SQL为必填项，认证方式为本地认证优先时，认证SQL为选填项。

¡ 认证SQL为预置类型，用户需要替换文本域中的[用户密码字段]、[表名或视图名]、[用户名字段]。在实时认证时，若想增加用户的失效时间，可在[用户密码字段]后添加[失效时间]字段。认证SQL支持多条件查询，用户可在认证SQL后添加AND条件语句。

¡ 支持备份：

- 用户可以根据需要选择是否支持备份，选择支持备份后，页面显示需要填写的备份信息。

- 联动删除本地用户：若发现用户在第三方数据库中已不存在，则在本地数据库中删除该用户。

- 备份SQL：点击备份SQL后的[编辑]按钮，可以弹出框中输入SQL语句，并可以检测SQL语句是否正确。当点击确定后，根据备份SQL查询出来的字段会自动显示在下方的下拉框中，用户可根据需要选择相应的字段进行备份。若涉及到多表联合查询并且表之间有重名字段，可以使用别名的方式。例如：A、B表中均有ID字段,SQL语句可以写成：SELECT a.ID AS AID, b.ID AS BID FROM A a, B b。

- 备份周期：本系统根据备份周期定时执行调度任务备份第三方数据库，备份周期参数表示执行第三方数据库任务的周期天数和时点，周期天数的取值范围为1-365之间的整数，时点的取值范围为0-23之间的整数。

- 备份字段选择：用户姓名、证件号码、帐号名、密码为备份字段必选项。

- 用户可根据需要选择电话、通讯地址、电子邮件、帐号类型、预付金额、自助充值、失效时间、最大闲置时长、在线数量限制、登录提示信息、设备IP地址、端口号、VLAN ID、外层VLAN ID、无线SSID、设备序列号选项。

- 对于本系统中已经有此用户，则策略中设置为按第三方数据库中选择的属性均按策略中设置的属性同步更新，而手工输入的参数不更新。

接入信息：

在线数量限制：允许同时使用该帐号上线的用户数量，取值范围为1到255。如果该参数为空，表示不限制使用该帐号同时在线的用户数量。

接入服务：

接入服务为本系统中添加的服务，用户选择多个服务时，不能选择具有相同后缀的服务。

移动办公服务：

可根据不同的场景定义不同的移动应用策略、移动终端配置策略、移动终端合规策略、安全邮箱策略、VPN控制策略以及安全桌面策略。仅在安装有EMO组件的情况下显示。

配置检测：

填写完配置信息后，可填写测试用户名和密码测试配置是否正确。

· 第三方Web服务

基本信息：

¡ 该功能主要用于用户信息存储在第三方数据库，用户客户端上线时，为其提供第三方web服务接口的方式进行认证。基本信息包括WEB接口方式、请求方式、身份校验方式、WEB服务URL、用户密码加密方式等。

¡ WEB接口方式：当WEB接口方式为HTTP/HTTPS时，系统根据用户填写第三方服务的URL、用户名参数、密码参数、终端IP参数和终端MAC参数，向第三方系统发送认证请求。

¡ 当WEB接口方式为REST时，系统根据用户填写第三方服务的URL，向第三方系统发送认证请求。URL中的“${username},${password}”分别代表用户名和密码，URL必须包含这两个参数，系统按照这两个标示来组合并进行认证请求。如果请求方式为“POST”类型，需要用户填写XML消息体，同样必须含有“${username},${password}”这两个参数。URL中的“${ip},${mac}”分别代表终端IP和终端MAC。

¡ 密码前匹配串、密码后匹配串：如果身份校验方式为“接口返回密码本地验证”，则需要填写返回密码的前后匹配串，用以截取认证用户的密码；如果不填，则默认返回的所有字符串都为密码。

¡ 请求头：该输入值的格式为“参数名:参数值”，如“Pragma:no-cache”。最多只能输入20个“参数名:参数值”，且每个“参数名:参数值”独立一行。

¡ 认证失败信息前匹配串、认证失败信息后匹配串：调用认证URL返回的字符串中，如果匹配到认证成功字符串，则认为认证成功，否则认为认证失败。认证失败时，认证失败信息前匹配串和认证失败信息后匹配串中间的内容被解析为失败信息；如果未配置，则认为整个返回内容为认证失败信息。例如：配置认证成功标识串为“success”，则当接口返回内容包含“success”时，认证成功。如果返回内容为“{"code":"E255","msg":"账号名或者密码错误","data":null}”，匹配不到“success” 字符串，则认证失败。如果配置了认证失败信息前匹配串为“msg":"”，认证失败信息后匹配串为“","data”，则解析到两者中间的“账号名或者密码错误”为认证失败信息。如果两者都不配置，则整个字符串都被解析为认证失败信息。认证失败会记录认证失败日志，但解析出的认证失败信息不能同步到服务器认证失败日志。

¡ 第三方开户：当身份校验方式为“访问接口认证”时，可以选择由第三方开户。

¡ WEB接口要求先进行操作员登录：当勾选“WEB接口要求先进行操作员登录”时，必须填写第三方系统操作员的用户名和密码。

¡ 用户分组：默认选择“未分组”，可以根据需要选择本系统中已定义的用户分组选项。

¡ 认证成功标识串：在调用WEB接口完成后，系统根据接口返回值中是否包含该值来判断认证是否成功。

¡ 用户密码加密方式：用户密码加密解密可以选择明文、DES、3DES、IDEA、RC5、MD5和自定义七种方式，前五种方式可以选择对加密结果进行Base64编码。

- 根据本系统服务器所依赖的JDK位数（32位或64位）选择相应的JDK。

- 选择的JDK版本应当与本系统服务器所依赖的JDK版本相同或者更低。

- Linux环境下推荐使用g++编译器。

接入信息：

在线数量限制：允许同时使用该帐号上线的用户数量，取值范围为1到255。如果该参数为空，表示不限制使用该帐号同时在线的用户数量。

接入服务：

接入服务为本系统中添加的服务，用户选择多个服务时，不能选择具有相同后缀的服务。

配置检测：

填写完配置信息后，可填写测试用户名和密码测试配置是否正确。

· 自定义第三方插件

基本信息：

¡ 身份校验方式：该功能主要用于以第三方插件的方式与第三方数据库交互进行认证，EIA提供一个认证接口由第三方来实现，实现步骤为：

方法一：

- 需要实现com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginMgr接口中定义的authenticate方法，实现插件认证的具体逻辑。认证方法authenticate(String username, StringBuilder password)，其中username为用户名参数，password为密码参数，另外password也用作返回密码的载体。

- 使用文本编辑器打开acmAuthNPluginCfg.xml文件，将com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginMgrImpl替换为实现类的完整路径。

- 实现类编译为class文件后，生成jar包；将生成的jar包上传即可。

方法二：

- 需要实现com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginExtensionMgr接口中定义的authenticate方法，实现插件认证的具体逻辑。认证方法authenticate(StringBuilder params)传入参数格式为用户名\n密码\nIP地址\nMAC地址，各字段以“\n”分隔，例如：zhangshan\n123456\n1.1.1.1\n11:11:11:11:11:11。

- 使用文本编辑器打开acmAuthNPluginCfg.xml文件，将com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginMgr替换为com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginExtensionMgr。

- 使用文本编辑器打开acmAuthNPluginCfg.xml文件，将com.h3c.imc.acm.thirdPartyAuth.pluginAuth.func.ThirdPartPluginMgrImpl替换为实现类的完整路径。

- 实现类编译为class文件后，生成jar包；将生成的jar包上传即可。

- 若选择接口返回密码本地认证，在认证方法中将返回的密码赋值给params参数。

¡ 用户分组：默认选择“未分组”，可以根据需要选择本系统中已定义的用户分组选项。

¡ 用户名处理方式：用户名可以选择去除服务后缀或者保留服务后缀。

¡ 第三方开户：当身份校验方式为“访问接口认证”时，可以选择由第三方开户。

¡ 支持备份：当勾选“支持备份”时，按照周期天数和点时来定期同步或删除已经认证后的第三方用户。

¡ 需要实现认证接口中定义的processUserData方法，该方法返回的用户信息需符合标准XML格式。

¡ 联动删除本地用户：若发现用户在第三方数据库中已不存在，则在本地数据库中删除该用户。

¡ 备份周期：本系统根据备份周期定时执行调度任务备份第三方数据库，备份周期参数表示执行第三方数据库任务的周期天数和时点，周期天数的取值范围为1-365之间的整数，时点的取值范围为0-23之间的整数。

接入信息：

在线数量限制：允许同时使用该帐号上线的用户数量，取值范围为1到255。如果该参数为空，表示不限制使用该帐号同时在线的用户数量。

接入服务：

接入服务为本系统中添加的服务，用户选择多个服务时，不能选择具有相同后缀的服务。

移动办公服务：

配置检测：

填写完配置信息后，可填写测试用户名和密码测试配置是否正确。

· 第三方RADIUS认证

基本信息：

¡ IP地址：第三方RADIUS服务器的IP地址。该地址可以是IPv4地址，也可以是IPv6地址。

¡ 端口：第三方RADIUS服务器监听认证报文的端口。

¡ 密钥：EIA与第三方RADIUS服务器互相验证对方合法性时使用的密钥。

¡ 本地密码：为第三方RADIUS认证用户设置的静态初始密码，用户后续也可以登录自助服务平台进行修改。

¡ 密码检查类型：如果选择“第三方密码+本地密码”，则既由第三方服务器进行动态密码（第三方密码）校验，又由EIA进行静态密码（本地密码）校验，如果选择“第三方密码”，则仅由第三方服务器进行动态密码校验。

接入信息：

在线数量限制：允许同时使用该帐号上线的用户数量，取值范围为1到255。如果该参数为空，表示不限制使用该帐号同时在线的用户数量。

接入服务：

¡ 接入服务为本系统中添加的服务，同一RADIUS服务器选择多个服务时，不能选择具有相同后缀的服务。

¡ 不同的Radius服务器不能选择具有相同后缀的服务，系统根据服务后缀选择RADIUS服务器进行认证。

5. 系统配置手工生效

业务参数的配置修改后，配置台会通知各后台进程，请求立即生效，如果通知失败，则需要使用“系统配置手工生效”使参数配置立即生效。如果手工生效失败，将提示失败原因。

选择“系统配置手工生效”页签，进入系统配置手工生效页面。

6. 业务分组

分权管理是保证系统安全可靠的运行的有效手段，其核心思想是特定的人只能管理特性的业务，既职责分明，也不会互相越权。本系统中的分权管理具体体现在将本系统系统中的业务数据（如接入服务、安全策略等）划分到不同的分组中，只有与分组相关联的管理员/维护员才能对业务数据进行操作。

选择“业务分组”页签，进入业务分组页面，本系统的业务分组进行了严格的设置，详细说明如下：

· 安装了EIA后，系统自动创建业务分组“未分组”，该分组不能被修改和删除。

· 管理员可以自定义业务分组，并对分组进行修改、删除；维护员和查看员无上述权限。

· 管理员与所有业务分组关联（即可以配置所有分组中的业务）；维护员/查看员只能关联一个分组，该分组可以是预定义的“未分组”，也可以是自定义的业务分组。系统新创建的维护员/查看员，默认关联“未分组”。

· 管理员可以对所有分组的数据进行增、删、改、查操作。

· 如果维护员拥有管理分组A的权限，则维护员可以增、删、改、查分组A中的数据，可以查看和引用未分组中的数据；如果维护员没有任何分组的管理权限，则维护员可以增、删、改、查未分组中的数据。例如，维护员配置任务T时需要引用参数X，如果T属于分组G，则引用的参数X可以属于G，也可以属于未分组。

· 查看员可以查看与其关联的分组和未分组中的数据。

本系统系统提供了启用和关闭业务分组的功能，功能开关在系统参数中配置，具体请参见系统参数配置。

(1) 增加/修改业务分组

该功能用于增加/修改一个业务分组。

a. 进入业务分组页面。

b. 单击<增加>按钮或点击待修改分组对应的链接。

c. 设置分组的基本信息和可管理此分组（即与分组关联）的操作员。

d. 单击<确定>按钮完成操作。

(2) 删除业务分组

该功能用于删除一个业务分组。

a. 进入业务分组页面。

b. 点击待删除分组对应的链接，弹出确认对话框，确认后即可删除。删除业务分组后，属于该分组的业务数据（如接入服务、安全策略）全部归入“未分组”。

7. 系统日志

选择“系统日志”页签，进入系统日志参数配置页面，该功能提供了对系统运行环境相关参数的配置。

· 日志级别：指定日志的重要级别。配置了日志级别后，系统仅记录该级别和该级别以上的日志。

8. HTTPS证书文件上传

当用户需要使用HTTPS协议访问自助服务平台、Portal认证页面和MAC Portal认证页面时，需要在该页面上传证书文件和密钥文件。

选择“HTTPS证书文件上传”页签，进入HTTPS证书文件上传页面。

(1) 选择“HTTPS证书文件上传”页签，进入HTTPS证书文件上传页面。

(2) 单击<上传文件>按钮，选择需上传的证书文件，将证书文件上传至服务器。

(3) 单击<密钥文件>按钮，选择需上传的密钥文件，将密钥文件上传至服务器。

(4) 单击<生效>按钮。

注意事项：

· 证书文件和密钥文件必须一起上传。

· 只支持上传pem格式的证书及密钥文件。

9. 单点登录配置

单点登录是将入网认证和应用认证进行整合的一种认证方式。即终端用户进行一次认证后，既可以顺利接入网络，又能访问各种Web应用系统。避免用户反复登录各种系统，以提升用户体验。

选择“单点登录配置”页签，进入单点登录配置页面。

(1) Web应用系统 > Portal

通过Web应用系统认证的同时完成了Portal认证，可以直接访问portal认证保护的网络。

# 点击“Web应用系统 > Portal”对应的<配置>图标，进入“Web应用系统 > Portal”配置页面，配置各项参数，单击<确定>按钮，完成操作。

参数说明：

¡ 启用：如果选中则启用“Web应用系统 > Portal”配置，如果不选中则所有配置项都将灰显。

¡ 共享密钥：用于Web应用系统与Portal 服务器之间交互的安全性。该项只能输入8位，只能包含如下字符：[A，Z]∪[a，z]∪[0，9]∪{~`!@#$%^&*()_-+{[}]|:";'<,>./}。

¡ 时间戳有效时长：当Web应用系统和Portal服务器完成一次完整成功的报文交互后，两者彼此信任的时长，作为Portal服务器安全性和有效性验证。取值范围5～60分钟。

¡ Portal认证后重定向到URL：Portal认证成功或失败后，打开Web应用系统服务器的URL地址。遵循标准URL格式，即“http://XXXXXXXX”。

此方式不支持接入用户启用“下次登录须修改密码”功能，否则用户上线后会在10分钟后自动下线。

(2) Web应用系统 > BYOD

通过Web应用系统认证的同时完成了BYOD认证，可以直接访问BYOD认证保护的网络。

# 点击“Web应用系统 > BYOD”对应的<配置>图标，进入“Web应用系统 > BYOD”配置页面，配置各项参数，单击<确定>按钮，完成操作。

参数说明：

¡ 启用：如果选中则启用“Web应用系统 > BYOD”配置，如果不选中则所有配置项都将灰显。

¡ 共享密钥：用于Web应用系统与BYOD 服务器之间交互的安全性。该项只能输入8位，只能包含如下字符：[A，Z]∪[a，z]∪[0，9]∪{~`!@#$%^&*()_-+{[}]|:";'<,>./}。

¡ 时间戳有效时长：当Web应用系统和BYOD服务器完成一次完整成功的报文交互后，两者彼此信任的时长，作为BYOD服务器安全性和有效性验证。取值范围5～60分钟。

此方式不支持接入用户启用“下次登录须修改密码”功能，否则用户上线后会在10分钟后自动下线。

6 分析

在顶部导航栏选择“分析”进入分析业务专区。

H3C平台分析业务是融合云、网、端三位一体的网络运维系统，能够随时随地的进行网络监控，致力于迅速定位网络问题以及智能优化网络配置。让复杂的网络运维工作变得简单有效，极大节省用户运维成本。

设备通过平台上线后，管理员可以在分析页面查看整网的运维信息，如设备基本信息、设备健康度、无线信道热力图、终端关键事件历史信息、终端健康度详情等等。这些信息将极大的降低网络管理员巡检网络的时间成本，同时为解决网络问题提供了有效的数据支撑。

本文将按照功能在页面上的呈现顺序由上至下依次进行讲解。

· 仅H3C WLAN产品支持平台分析专区功能，但WTU420系列产品不支持。

· AC产品5412及以后的软件版本支持分析专区几乎所有功能，若设备低于该版本，分析专区中部分功能不可用或显示数据不准确，请升级软件版本至最新版。

· 云AP产品目前全系列支持分析业务专区，但部分型号产品对于专区下的部分功能不完全支持，请参见章节说明。

· 若场所中没有设备则分析业务专区无数据。

在平台页面顶部导航栏中选择“分析”进入分析业务专区，也可在“监控”专区下，在“视图 > 总览”页面场所卡片处选择“智能运维”进入分析业务专区。

6.1 仪表盘

6.1.1 概览

本章节内容指导管理员查看运维系统最常用的统计信息，包括网络健康度、AC健康度、AP健康度、终端健康度、问题分类、设备在线情况、终端流量、网络流量等。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

1. 网络健康度

综合场所中所有设备、终端当前的健康度评分显示网络健康评价。

2. 健康度分布

统计本场所在所选时间范围内的所有统计周期中（每隔5分钟进行一次统计）网络健康度的优秀、良好、一般评价占比。

3. 受影响AP统计

统计当天或多天中所选场所下指定或全部设备上，问题影响（和未影响）的AP占比。

4. 受影响终端统计

统计当天或多天中所选场所下指定或全部设备上，问题影响（和未影响）的终端占比。

5. 告警统计

显示当天或多天中指定场所下的指定设备出现的各级别告警数量、告警总数以及未解除告警数。

6. 设备在线统计

当选择全部设备时，显示本场所当前在线设备和全部设备数量信息；当选择一个AC设备时，显示当前AC在线情况、AP在线数量以及AP总数。

本节显示的统计数据仅受限于所选的场所与设备。

7. 健康度评分

每个采样时刻对收集的数据进行汇总、计算，并对AC、AP、终端的健康度进行评分。

选择单日时，每隔5分钟进行一次采样；选择多日时，采样间隔与选择的天数有关。

评分标准如下：

· AC健康度：评分标准主要参考设备的CPU使用率、流量统计等数据。

· AP健康度：评分标准参考信道利用率、客户端数量以及终端RSSI。

· 终端健康度：评分标准参考信道利用率、RSSI、漫游频率等信息。

点击AC健康度、AP健康度或终端健康度链接可进入相应的健康度页面。

8. 问题分布统计

显示当天或多天中所选场所下指定或全部设备涉及问题统计信息。

9. 问题趋势

选择问题类型可筛选显示该问题在所选时间范围内的产生趋势。

每隔5分钟进行一次采样。

10. 终端接入趋势

显示当天或多天中所选场所下指定或全部设备上接入终端的数量信息。

每隔5分钟进行一次采样。

11. 流量趋势

显示当天或多天中所选场所下指定或全部设备的上、下行流量信息。

每隔5分钟进行一次采样。

6.1.2 连接快照

显示所选场所指定或全部设备当前接入终端和上线AP的即时信息。

在左侧导航栏中选择选择“仪表盘 > 连接快照”进入连接快照页面，在分支卡片中选择场所，而后选择设备或区域，进入概览页面。

点击<刷新>按钮可查看最新的终端、AP射频信息。

1. 终端

终端栏显示的数据为不同终端模式的接入终端数量，以及分别工作在5GHz频段、2.4GHz频段的终端的数量。

在详情栏中，分区段显示所有终端的健康度、RSSI、丢包、重传、时延、选速、流量等信息。

点击图中指定的内容，将跳转到在线终端列表页面，并以该内容为筛选条件，显示符合条件的在线终端的信息。

2. Radio

Radio栏显示的数据为不同射频模式的Radio的数量，以及5GHz频段、2.4GHz频段的射频数量。

点击图中指定的内容，将跳转到Radio列表页面，在“Radio详情列表”中以所选内容为筛选条件，显示符合条件的AP Radio的信息。

在详情栏中，分区段显示所有Radio的工作参数信息，包含信道利用率、RSSI、丢包、重传、时延、选速、接入终端数等。

3. AP

AP栏中，分区段显示不同健康度评分、不同CPU及内存利用率的AP的数量。

点击图中指定的内容，将跳转到AP列表页面，在“在线AP列表”中以所选内容为筛选条件，显示符合条件的AP的信息。

6.1.3 区域分析

区域分析支持以场所中区域管理创建的区域为基础，再继续创建细分的区域，支持多级区域划分，以更细的粒度来监控整个网络中的AP和终端。

在左侧导航栏中选择选择“仪表盘 > 区域分析”进入区域分析页面，在分支卡片中选择场所，进入概览页面。

1. 概览

区域指定位置信息后，可在概览视图下可鸟瞰指定场所在地图中所在区域的AP分布情况。地图右上方有不同评价的区域的数量统计，包括优秀、良好、一般统计，点击以上评分按钮可筛选查看不同评价包含的区域。

图6-1 概览

区域位置依赖于区域信息，在添加区域信息的时候需要填入区域所在的位置才能正确显示。

2. 区域详情

在“区域详情”页签页面，可查看场所下各区域更详尽的信息，包括健康度、AP总量、AP在线数、终端总数、上行/下行速率等。

(1) 添加区域

点击<添加>按钮，在当前页面选择区域位置，配置区域的名称、地址，通过点击“”配置多个区域的名称，点击<提交>按钮完成操作。区域创建完成后可立即添加AP，或者返回区域详情页面，再进入未添加AP的区域添加AP。点击列表中“操作”列下的“”进入绑定AP页面，在当前页面可一次性添加、移除一个或多个AP，点击<提交>按钮完成操作。

(2) 绑定AP

点击区域列表中“操作”列下的“”进入绑定AP页面，在当前页面可一次性添加、移除一个或多个AP，点击<提交>按钮完成操作。

(3) 重启AP

点击区域列表中“操作”列下的“”进入重启AP页面可对区域下的单台或所有AP进行重启。

(4) 编辑区域

点击区域列表中“操作”列下的“”按钮可修改区域名称、地址。

(5) 编辑区域

点击区域列表中“操作”列下的“”按钮可删除区域。若区域中存在AP则无法删除。

3. AP统计

AP统计以区域为基础显示每个区域的AP总数、AP在线率、AP健康度、AP周离线分布、健康度、CUP、内存等数量及占比统计。

4. AP明细

AP明细以区域为基础显示每个区域的AP和Rdio统计信息。

5. 终端统计

终端统计以区域为基础显示每个区域的终端数据、终端认证方式、终端类型的统计，以及Radio统计信息，包括健康度、速率、RSSI、丢包率、重传率、时延等。

6. 终端明细

终端明细以区域为基础显示每个区域的接入终端明细，包括终端MAC、用户名、认证方式、安全性、速率、健康度、接入AP、接入射频等。

6.2 问题

6.2.1 问题分析

1. 问题分析

问题分析页面显示的数据为设备上接入的终端或AP遇到的各类问题的统计数据，包括终端接入、漫游、上网问题以及AP探测到的无线环境问题。本章节内容指导管理员查看近期平台发现的各类问题的统计数据，管理员可据此进行深入分析。

· 如无特指，本章节显示的统计数据受限于所选的设备与日期。

· 选择不同的问题分类，页面中显示的内容和所有统计数据也会发生变化。

· 本章节所述的“发现问题”，其问题根源可能为AP、终端或无线环境质量等，平台基于AP上报的数据判断出现问题，不代表问题一定出自该AP（或该AP上接入的终端），但上报的数据会涉及该AP（或该AP上接入的终端）。管理员需进行深入分析并通过逐步排查，查找问题根源。

2. 主要功能

在问题分析页面中显示了几大类的问题信息，问题大类上的统计数值为该分类中所有发现的问题的总数。

· 问题分布统计

显示当天或多天中所选场所下指定或全部设备涉及问题统计信息。

· 问题趋势

选择问题类型可筛选显示该问题在所选时间范围内的产生趋势。

每隔5分钟进行一次采样。

· 受影响AP统计

统计当天或多天中所选场所下指定或全部设备上，问题影响（和未影响）的AP占比。

· 受影响终端统计

统计当天或多天中所选场所下指定或全部设备上，问题影响（和未影响）的终端占比。

每大类问题由一个或多个细分问题构成，管理员可查看细分问题发现的总次数、涉及的终端数和涉及的AP数。

· 问题次数

在“统计”页签下可查看问题次数折线图，该图显示的数据为所选时间范围内每个统计时刻发现问题的总次数、涉及AP数、涉及终端数与在线终端数。

系统每隔5分钟进行一次采样。

管理员可对折线图下的滚动条缩放和拖动，以调整折线图显示范围和显示区域。

点击折线图中某时刻的统计点，在页面下方的子页签中可查看该时刻下更多细节的统计数据。

· 统计分析（部分细分问题无此项）

在“统计”页签下的“统计分析”子页签中可查看原因统计图和趋势图。统计图显示的数据为：所选时间范围内截止到所选时刻，不同问题或原因出现次数的占比（若选择的细分问题与时间有关，比如接入慢、认证慢等，将根据耗时区间进行占比统计；若选择的细分问题与比例有关，比如信道利用率高等，将根据百分比进行占比统计）。趋势图显示的数据为：所选时间范围内截止到所选时刻发现问题的次数，根据问题的不同将按照具体问题、耗时区间或百分比进行统计。

· 涉及AP（部分细分问题无此项）

列表显示的数据为：所选时间范围内截止到所选时刻，发现问题涉及的AP的信息，包括AP的名称、接入的AC、发现问题次数以及问题涉及的终端的数量。

点击AP名称或AC名称可进入对应的详情页面。

点击发现次数可查看有关该AP、该细分问题的所有原始数据信息。

· 涉及终端（部分细分问题无此项）

列表显示的数据为：所选时间范围内截止到所选时刻，发现问题涉及的终端的信息，包括终端MAC、终端厂商、IP地址、问题发现次数、最近一次发现问题的时间等。

点击发现次数可查看有关该终端、该细分问题的所有原始数据信息。

· 原始数据

列表显示的数据为：所选时间范围内截止到所选时刻，发现问题涉及的终端的详细信息，包括问题发现时间、终端信息、AP信息、AC信息、Radio信息等。

列表显示内容与选择的细分问题有关。

点击AP名称或AC名称可进入对应的详情页面。

· 影响分布

在“影响分布”页签下，分别按照问题发生次数和涉及终端数进行统计。色块面积越大代表问题发现次数越多。色块中将显示统计项和问题发生次数（例如按照问题发生次数进行统计，统计项为APs，则色块中将显示发现问题涉及的AP和涉及问题的数量）。

6.2.2 白名单

本章节内容指导管理员配置问题分析白名单。问题分析白名单中的终端遇到的问题不会被问题分析模块统计。

在左侧导航栏中选择“问题 > 白名单”，而后在分支场所选框中选择分支和场所。点击<添加>按钮，输入加入白名单的终端MAC和加入原因后，完成配置。

6.3 终端

6.3.1 无线终端

1. 终端健康度——介绍

本章节的内容指导管理员查看设备上上线的终端的健康度。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

(1) 终端健康度

显示当天或多天中单一场所全部设备或指定设备上接入的终端的健康度。

选择单日时，每隔5分钟进行一次采样；选择多日时，采样间隔与选择的天数有关。

终端健康度评分标准为：

等级	评分区间
优秀	>=85
良好	>=65且<85
一般	<65
空闲	100

影响终端健康度评分的因素有信道利用率、RSSI、上下行速率等。

点击柱状图中的柱状条可显示终端健康度详情列表。

(2) 健康度详情

终端健康度详情列表显示了该时刻下所有终端的接入运行情况。其中，终端分数将综合信道利用率、RSSI、上下行速率等数据进行评分；接入终端数为射频当前接入的终端的总数。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击<导出>按钮可将该时刻“健康度详情”列表中2.4GHz频段/5GHz频段/全部终端的数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击健康度详情表中MAC列中的数据可进入指定终端的详情页面；点击接入AP或接入射频可进入AP的详情页面，查看指定AP于所选时段的运行情况；点击接入AC的名称可进入AC的详情页面。

2. 终端健康度——详情介绍（普通模式）

本章节的内容指导管理员查看设备上上线的终端的详细信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

选择左侧导航栏中的“终端 > 无线终端 > 健康度”，进入终端健康度页面，在终端健康度详情列表中点击终端的MAC，进入终端详情页面，点击“终端信息”页签，进入终端详情页面（普通模式）。

(1) 统计信息

显示终端统计信息，包括终端的上行选速、下行选速以及平均信号强度。

本节显示的统计数据受限于所选的场所与设备。

(2) 基本信息

显示终端的基本信息，包括终端MAC、IP地址、终端厂商、终端模式、VIP等级、支持5GHz、支持802.11k、支持802.11r、支持802.11v、备注等信息。点击“加入问题分析白名单”链接将该终端一键加入白名单。

本节显示的统计数据受限于所选的场所与设备。

(3) 连接信息

显示最近一次采样周期终端在线情况、接入的无线服务、接入的AP、接入的AC等信息。

点击AP名称或AC名称可进入对应的详情页面。

(4) 评分趋势

鼠标悬停在趋势图中时将显示该时刻终端评分。

选择单日时，每隔5分钟进行一次采样；选择多日时，采样间隔与选择的天数有关。

(5) 终端日志

显示终端最近上下线、IP地址变化、DHCP、漫游及异常等信息。

本节显示的统计数据受限于所选的场所、设备以及终端日志树上方的日期。

· 速率档

在终端日志树中点击事件信息中的“速率档”可进入速率档页面。（速率档会在离线事件或者当前在线终端上线时刻的事件中）

速率档：根据AP与终端收发报文的速率将速率分为六档（依次为1～20，21～50，51～100，101～200，201～400，>400，单位为Mbps）。

速率档列表显示发送失败数占比、丢弃报文数、重传报文数、AP成功发至终端的报文数以及AP成功收到终端的报文数。

发送失败数占比：以某档速率发送失败的报文数占该档速率发送报文总数之比。

· 深度解析

· 使用本功能前需在设备侧开启终端深度解析功能，方可在平台中使用。

· AC产品仅5420及以后的软件版本支持本功能。

深度解析功能可帮助管理员更加清晰的查看终端在上线前后的报文交互过程、交互耗时等多种事件类型。

目前支持深度解析的事件为上线事件、上线失败事件、上线过程深度解析事件、DHCP续约事件、DHCP申请地址事件等。

¡ 在终端日志树中点击上线事件信息中的“深度解析”可查看终端上线过程中的报文交互。

¡ 终端日志树中的DHCP续约事件显示了终端在进行DHCP续约时的报文交互过程和交互耗时。

接收端从接收到第一个报文开始进行计时，整个报文交互过程中的所有耗时数据均为距接收到此报文所消耗的时长，接收端的响应报文处显示的耗时数据包含了报文处理耗时。

相关命令：

命令描述	配置终端深度解析功能
命令行	wlan client inspect { disable \| enable }
视图	AP视图或AP组视图
示例（AP视图）	<Sysname> system-view [Sysname] wlan ap ap1 model WA4320i-ACN [Sysname-wlan-ap-ap1] wlan client inspect enable

3. 终端健康度——详情介绍（专家模式）

本章节的内容指导管理员查看设备上上线的终端的详细信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

在平台分析业务专区中选择左侧导航栏中的“终端 > 无线终端 > 健康度”，进入终端健康度页面，在终端健康度详情列表中点击终端的MAC，进入终端详情页面（普通模式），点击“专家模式”页签进入终端详情页面（专家模式）。

(1) 终端接入网络信息

显示最近一次终端接入的AP以及该AP上线的AC。

(2) 终端基本信息

显示终端的基本信息，包括终端MAC、IP地址、终端厂商、终端模式等信息。

本节显示的统计数据受限于所选的场所与设备。

(3) 体检报告

显示终端连接的各项指标的当前信息。显示信息中的当前值为上一采样周期各项指标的平均值，若超出既定的参考值将在参考值后进行红点亮显以作提示。

若终端此刻为离线状态，则显示信息中的当前值为离线前的信息。

接入时长：终端关联、认证直至成功接入所耗费时长。

认证时长：进行MAC地址认证、802.1X认证所耗费时长。

每隔5分钟进行一次采样。

(4) 终端连接信息

显示终端的连接信息，包括终端接收信号强度、上下行流量统计、上下行选速、上下行报文数、重传、丢包、时延、信道利用率以及所连接射频的负载情况。

点击趋势图可查看详细信息。

(5) 邻居终端

显示当天或多天中各时间段与某一终端在同一射频上上线的终端的数量（包括该终端本身）。每隔5分钟进行一次采样。

点击指定时刻的柱状图可查看这些终端的详细信息。

(6) 终端日志

以列表形式显示终端的日志信息，包括日志产生时间、日志类型、接入信息、速率档、深度解析、日志详情等。（点击右侧“+ / -”按钮编辑列表显示的内容）

本节显示的统计数据受限于所选的场所、设备以及终端日志列表上的日期。

· 点击列表中“速率档”列的“详情”，可进入速率档页面。

速率档：根据AP与终端收发报文的速率将速率分为六档（依次为1～20，21～50，51～100，101～200，201～400，>400，单位为Mbps）。

速率档列表显示发送失败数占比、丢弃报文数、重传报文数、AP成功发至终端的报文数以及AP成功收到终端的报文数。

发送失败数占比：以某档速率发送失败的报文数占该档速率发送报文总数之比。

· 点击列表中“深度解析”列下的<详情>，可查看终端在上线前后的报文交互过程及交互耗时。

4. 在线表

本章节内容指导管理员查看所选场所指定设备上的在线终端的信息。当管理员需要查找某个或多个在线终端，可通过筛选功能，输入参数信息点击<搜索>按钮即可。

点击<刷新>按钮可查看最新的在线终端的信息。

本章节显示的统计数据受限于所选的场所与设备。

5. 连接分析

(1) 接入认证统计

本章节内容指导管理员查看终端接入信息、认证耗时信息。

¡ 接入成功率

显示当天或多天中指定或全部设备上接入成功终端数占总接入数之比。每隔5分钟进行一次采样。

¡ 平均耗时

显示本场所指定或全部设备上接入的所有终端在接入、认证等阶段的平均耗费时长。

本节显示的部分统计数据受限于所选的场所、设备与日期。

接入平均耗时：统计周期内，所有终端关联、认证直至成功接入所耗费时长与接入成功终端总数之比。

认证平均耗时：统计周期内，所有进行MAC地址认证、802.1X认证的终端所耗费的认证时长与认证成功终端总数之比。

最终接入网络不成功的终端所耗费时长不统计在内。

可按照小时、天、周进行显示。每隔1小时/1天/7天进行一次采样。若日期选择多日，且单位为小时或天时，显示的数据为多天的数据；若单位为周时，无论日期选择单日还是多日，显示结果相同。

以周为单位时，将显示周一～周日共计7天的统计信息。

¡ 认证平均耗时

显示本场所指定或全部设备上接入的终端平均耗费的认证时长，不同的认证方式单独计算平均时长。

本节显示的部分统计数据受限于所选的场所、设备与日期。

802.1X认证平均耗时：统计周期内，所有以802.1X认证方式成功认证的终端所耗费认证时长与802.1X认证终端总数之比。

MAC地址认证平均耗时：统计周期内，所有以MAC地址认证方式成功认证的终端所耗费认证时长与MAC地址认证终端总数之比。

最终认证不成功的终端所耗费时长不统计在内。

以周为单位时，将显示周一～周日共计7天的统计信息。

(2) 上下线分析

本章节内容指导管理员查看终端接入异常与下线信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

¡ 接入异常

显示当天或多天中本场所下指定或全部设备接入异常终端的异常统计信息。

每隔1小时进行一次统计。

每个显示时间点最多显示异常次数前10的异常原因。

点击柱状图中的柱状条，可查看接入异常终端TOP100列表以及接入异常终端所在AP TOP100列表。

¡ 下线分析

显示当天或多天中本场所下指定或全部设备接入的终端的下线信息。

每隔1小时进行一次统计。

每个显示时间点最多显示下线次数前10的下线原因。

点击柱状图中的柱状条，可查看下线终端TOP100列表以及下线终端所在AP TOP100列表。

¡ 接入异常终端

点击接入异常柱状图中某一时刻的柱状条，查看该时刻出现接入异常的终端的统计信息。（统计信息默认按照出现接入异常次数由多到少的顺序罗列排在前100位的终端）

点击<导出>按钮可将该时刻“接入异常终端TOP100”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击接入异常终端TOP100列表中的终端MAC可进入终端详情页面，查看该终端的详细信息。

¡ 接入异常终端所在AP

点击接入异常柱状图中某一时刻的柱状条，查看该时刻异常终端所接入的AP的异常统计信息。（统计信息默认按照终端出现接入异常次数由多到少的顺序罗列排在前100位的AP）

点击<导出>按钮可将该时刻“接入异常终端所在AP TOP100”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击接入异常终端所在AP TOP100列表中的AP名称可进入AP详情页面，查看该AP的运行信息。

¡ 下线终端

点击下线分析柱状图中某一时刻的柱状条，查看该时刻正常下线或异常下线的终端的统计信息。（统计信息默认按照下线次数由多到少的顺序罗列排在前100位的终端）

点击<导出>按钮可将该时刻“下线终端TOP100”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击下线终端TOP100列表中的终端MAC可进入终端详情页面，查看该终端的详细信息。

¡ 下线终端所在AP

点击下线分析柱状图中某一时刻的柱状条，查看该时刻终端下线的AP的统计信息。（统计信息默认按照终端下线次数由多到少的顺序罗列排在前100位的AP）

点击<导出>按钮可将该时刻“下线终端所在AP TOP100”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击下线终端所在AP TOP100列表中的AP名称可进入AP详情页面，查看该AP的运行信息。

(3) IP跟踪

本章节内容指导管理员查看终端上线后首次获得地址和地址变更时的信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

¡ IPv4地址监控

本功能默认处于开启状态，无需在设备侧配置。

在IPv4地址监控栏下的列表中，显示当日终端上线成功后通过DHCP方式获取首个IPv4地址时的状态，包括终端地址变更时间、终端MAC、IPv4地址、距离上线时长等信息。

点击<导出>按钮可将当天“IPv4地址监控”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

“距离上线时长”指的是终端完成上线后到获取首个IPv4地址所耗时间，若所有终端整体耗时较长，可能的原因有网络比较繁忙或DHCP服务器响应延迟较高等因素。

点击终端MAC列下的MAC地址，进入终端详情页面（普通模式），可查看终端日志中的上下线信息和IP变更信息，进行深入的分析。

点击“”按钮进入“IPv4地址监控详情”页面，与前页显示不同的是列表中的“判断依据”列，该列显示了设备从哪些报文中获悉的终端地址信息（例如：终端在上线或地址变更时，交互的DHCP或ARP报文会携带地址信息，设备从这些报文中读取地址信息后上报至平台）。

相关命令：

命令描述	关闭通过DHCP方式学习客户端IPv4地址功能
命令行	undo client ipv4-snooping dhcp-learning enable
视图	无线服务模板视图
示例	<Sysname> system-view [Sysname] wlan service-template service1 [Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable

命令描述	关闭通过ARP方式学习客户端IPv4地址功能
命令行	undo client ipv4-snooping arp-learning enable
视图	无线服务模板视图
示例	<Sysname> system-view [Sysname] wlan service-template service1 [Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable

¡ IPv6地址监控

本功能默认处于关闭状态，请先在设备侧开启相应的终端地址学习功能。

在IPv6地址监控栏下的列表中，显示当日终端上线成功后通过DHCPv6方式获取首个IPv6地址时的状态，包括终端地址变更时间、终端MAC、IPv6地址、距离上线时长等信息。

点击<导出>按钮可将当天“IPv6地址监控”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

“距离上线时长”指的是终端完成上线后到获取首个IPv6地址所耗时间，若所有终端整体耗时较长，可能的原因有网络比较繁忙或DHCPv6服务器响应延迟较高等因素。

点击终端MAC列下的MAC地址，进入终端详情页面（普通模式），可查看终端日志中的上下线信息和IP变更信息，进行深入的分析。

点击“”按钮进入“IPv6地址监控详情”页面，与前页显示不同的是列表中的“判断依据”列，该列显示了设备从哪些报文中获悉的终端地址信息（例如：终端在上线或地址变更时，交互的DHCPv6或ND报文会携带地址信息，设备从这些报文中读取地址信息后上报至平台）。

相关命令：

命令描述	开启通过DHCPv6方式学习客户端IPv6地址功能
命令行	client ipv6-snooping dhcpv6-learning enable
视图	无线服务模板视图
示例	<Sysname> system-view [Sysname] wlan service-template service1 [Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable

命令描述	开启通过ND方式学习客户端IPv6地址功能
命令行	client ipv6-snooping nd-learning enable
视图	无线服务模板视图
示例	<Sysname> system-view [Sysname] wlan service-template service1 [Sysname-wlan-st-service1] client ipv6-snooping nd-learning enable

6. 终端统计

本章节内容指导管理员查看近期2.4GHz与5GHz终端的接入信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

(1) 终端数目统计

本场所当前终端总数、5GHz接入总数、2.4GHz接入总数。

(2) 无线服务

显示本场所当前指定或全部设备上的终端接入的无线服务（SSID）。

本节显示的统计数据受限于所选的场所与设备。

(3) 终端厂商

显示本场所当前指定或全部设备上的终端的厂商。

本节显示的统计数据受限于所选的场所与设备。

(4) 认证方式

显示本场所当前指定或全部设备上的终端的认证方式。

本节显示的统计数据受限于所选的场所与设备。

(5) AP组

显示本场所当前指定或全部设备上的终端接入的AP组。

本节显示的统计数据受限于所选的场所与设备。

(6) 终端类型

显示本场所当前指定或全部设备上的终端的类型。

本节显示的统计数据受限于所选的场所与设备。

(7) 终端接入趋势（按AP组）

显示本场所当天或多天中指定或全部设备上的终端接入的AP组（取接入终端数最多的32个AP组）。

每隔5分钟进行一次采样。

点击<导出>按钮可将数据以电子表单的形式进行汇总并压缩后，保存到本地。

(8) 终端接入趋势（按无线服务）

显示本场所当天或多天中指定或全部设备上的终端接入的无线服务（取接入终端数最多的16个无线服务）。

每隔5分钟进行一次采样。

(9) 终端接入趋势（按频段）

显示本场所当天或多天中指定或全部设备上接入的2.4GHz或5GHz终端的数量。

每隔5分钟进行一次采样。

(10) 终端流量趋势（按频段）

显示本场所当天或多天中指定或全部设备上接入的2.4GHz或5GHz终端的上下行总流量。

每隔5分钟进行一次采样。

点击任意时刻，可以下拉打开流量Top N列表。

6.3.2 有线终端

1. 终端健康度——介绍

(1) 终端健康度

显示当天或多天中单一场所全部设备上接入的有线终端的健康度。

选择单日时，每隔5分钟进行一次采样；选择多日时，采样间隔与选择的天数有关。

终端健康度评分标准为：

等级	评分区间
优秀	>=85
良好	>=65且<85
一般	<65

(2) 有线用户列表

有线用户列表显示了该时刻下所有终端的接入运行情况。（点击右侧“+ / -”按钮编辑列表显示的内容）

2. 终端统计

本章节内容指导管理员查看近期有线接入终端的接入信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

(1) 终端总数统计

本场所当前有线终端总数。

(2) 终端厂商统计

显示本场所中所有设备在所选日期中的有线终端的厂商。

本节显示的统计数据受限于所选的场所与设备。

(3) 终端接入趋势

显示当前场所中所有设备在所选日期中的有线终端接入情况。点击柱状图中的柱状条，可在终端列表中显示该采样时刻所有有线终端的详细信息。

每隔5分钟进行一次采样。

点击按钮可将数据以图片的形式保存到本地。

(4) 终端列表

¡ 点击终端接入趋势图中某一时刻的柱状条,将显示该时刻下所有接入的有线终端的详细信息。点击表中MAC链接，可查看指定有线终端的详细信息

¡ 点击任意时刻，可以下拉打开流量Top N列表。

6.4 网络

6.4.1 AC——介绍

本章节的内容将指导管理员查看场所下AC的基本信息、运行时的数据信息。

如无特指，本章节显示的统计数据仅受限于所选的场所。

1. AC统计

显示本场所当前在线AC数、AC总数以及各型号AC的数量。

2. AC列表

以列表的形式显示本场所下所有AC设备的信息，包括设备名称、在线状态、AP总数、R/M状态AP数、R/B状态AP数、Idle状态AP数、运行时长、在线终端数等。（点击右侧“+ / -”按钮编辑列表显示的内容）

上行速率（LAN）：表示从所有LAN口接收的报文的总速率。

下行速率（LAN）：表示从所有LAN口发送的报文的总速率。

上行速率（WAN）：表示从所有WAN口发送的报文的总速率。

下行速率（WAN）：表示从所有WAN口接收的报文的总速率。

端口速率每隔半分钟刷新一次。

列表中显示的设备评分为所选时段的评分。

在列表中的AC名称列可点击修改AC的名称，点击AC的名称可进入AC的详情页面。

3. AC CPU TOP5

本章节显示的统计数据受限于所选的场所与日期。

显示当天或多天中本场所下，上一采样时刻所有设备中CPU使用率最高的5台设备。

每隔5分钟进行一次采样。

4. AC内存TOP5

本章节显示的统计数据受限于所选的场所与日期。

显示当天或多天中本场所下，上一采样时刻所有设备中内存使用率最高的5台设备。

每隔5分钟进行一次采样。

6.4.2 AC——详情介绍

本章节的内容将指导管理员查看场所下AC设备的基本信息、能力集、硬件资源使用以及端口信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

进入AC详情页面方式：

· 方式一：

在平台分析业务专区选择左侧导航栏中的“网络 > AC”，进入AC信息页面，在该页面的AC列表中点击任一AC设备的名称，进入AC详情页面。

· 方式二：

在平台分析业务专区中选择左侧导航栏中的“网络 > AP > 健康度”，进入AP健康度页面，在AP健康度详情列表中点击任一AP关联的AC的名称，进入AC详情页面。

· 方式三：

在平台分析业务专区中选择左侧导航栏中的“网络 > AP > AP统计”，进入AP统计页面，在“AP离线统计”页签下的AP离线明细列表中点击指定AP关联的AC的名称，进入AC详情页面。

1. AC基本信息

显示AC设备的名称、MAC、SN（序列号）、型号、软件版本、上一次重启原因。

· 本节显示的统计数据受限于所选的场所与设备。

· 如果AC组建了IRF系统（使用堆叠技术），则MAC、SN、上一次重启原因将显示多个值。

2. 设备能力集

显示支持的最大AP数量、授权License信息以及支持的最大终端数。

本节显示的统计数据受限于所选的场所与设备。

3. 设备评分

设备评分将参考CPU及内存使用率、端口出入方向流量、告警。

在某一时刻若评分较低，系统将显示扣分原因。

每隔5分钟进行一次采样。

4. CPU、内存

显示本设备当天或多天中CPU和内存的使用情况。

每隔5分钟进行一次采样。

5. 端口状态与端口流量

· 端口状态

显示端口当前的工作状态。

· 本节显示的统计数据受限于所选的场所与设备。

· 部分款型设备不支持显示端口状态。

出速率为端口出方向实际发送速率与端口协商速率之比；入速率为端口入方向实际接收速率与端口协商速率之比。

点击设备模拟图上的任一端口可显示端口流量柱状图。

如下图所示，中心为绿色的端口表示该端口的状态为UP；中心为灰色的端口表示该端口的状态为Down；具有相同色彩边框的端口表示这些端口属于同一聚合组。

图6-2 设备模拟图

· 端口流量

显示当天或多天中设备上指定端口入方向与出方向的流量、报文数统计信息。

本节显示的统计数据受限于所选的场所、设备与日期。

每隔5分钟进行一次采样。

若未指定任何端口将显示全部端口的信息。

6.4.3 AP健康度——介绍

本章节的内容指导管理员纵览场所下所有AP的健康度。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

1. AP健康度与AP射频详情

显示当天或多天中单一场所指定或全部设备下的AP的健康度。

每隔5分钟进行一次采样。

AP健康度评分标准为：

等级	评分区间
优秀	>=80
良好	>=65且<80
一般	<65

点击AP健康度柱状条可显示指定时刻场所内所有AP的健康度详情。健康度详情数据包括：AP名称、AP关联的AC、Radio ID、AP评分、健康度、终端RSSI、使用信道、信道利用率、时延、丢包率、重传率等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击<导出>按钮可将该时刻“健康度详情”列表中的数据以电子表单的形式进行汇总并压缩后，保存到本地。

AP评分将综合信道利用率、客户端数量、终端RSSI进行评分。

点击指定AP设备的名称可进入AP的详情页面。

点击AP关联的AC设备的名称可进入AC的详情页面。

6.4.4 AP健康度——详情介绍

本章节的内容指导管理员查看场所内设备上所管理的AP的详细信息。

如无特指，本章节显示的统计数据受限于所选的日期。

进入AP详情页面方式：

· 方式一：

在平台分析业务专区中选择左侧导航栏中的“网络 > AP > 健康度”，进入AP健康度页面，在AP健康度详情列表中点击任一AP的名称，进入AP详情页面。

· 方式二：

在平台分析业务专区中选择左侧导航栏中的“网络 > AP > AP统计”，进入AP统计页面，在“AP列表”页签下的在线AP列表中点击任一AP的名称，进入AP详情页面。

· 方式三：

在平台分析业务专区中选择左侧导航栏中的“网络 > AP > AP统计”，进入AP统计页面，在“AP离线统计”页签下的AP离线明细列表中点击任一AP的名称，进入AP详情页面。

1. AP基本信息

· AP基本信息

显示AP设备的名称、MAC、型号、关联的AC、当前在线情况、上一次重启原因、射频数量、运行情况等信息。

本节显示的统计数据受限于所选的日期。

· 评分趋势

显示AP当天或多天中每个采样时刻的评分。

每隔5分钟进行一次评分。

· CPU内存趋势

显示AP当天或多天中每个采样时刻的CPU、内存使用率。（使用率取自AP上线的AC设备）

每隔5分钟进行一次采样。

· 在线终端详情

显示当天或多天中每个采样时刻的在线终端数量。

每隔5分钟进行一次采样。

点击柱状图中指定时刻的柱状条，以列表形式显示该时刻已接入无线网络的终端，该列表包含终端的MAC、IP地址、IPv6地址、用户名、认证方式、上行ARP数、终端分数、健康度、接入的AP、接入的射频、接入的AC以及接入的SSID。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击终端列表中的MAC地址可进入终端的详情页面。

点击终端列表中的AC名称可进入AC的详情页面。

终端分数与终端健康度的对应关系如下：

终端体验	终端分数
优秀	>=80
良好	>=65且<80
一般	<65
空闲	100

· 终端速率

点击“终端速率”柱状图中指定时刻的柱状条，将显示终端速率Top N列表，列表中罗列了终端的接入认证方式、使用频段、接入的AP、接入的AC以及上下行流量信息。

· 端口流量

显示所有接入终端当天或多天中每个采样周期内的上下行流量。

每隔5分钟进行一次采样。

· AP日志

显示AP的上下线时间、评分、下线原因等信息。

2. AP射频信息

显示射频当前及历史运行信息，包括工作信道、信道利用率、底噪、在线终端数、重传率、丢包率、时延、RSSI、评分等信息。

趋势图为当天或多天信息。

每隔5分钟进行一次采样。（上行流量与下行流量恒为5分钟一次采样）

点击趋势图可查看详细信息。

点击对应射频可查看该射频统计数据。

点击<Doctor AP检测>按钮，进入Doctor AP检测配置页面，详见6.7.2 Doctor AP。

点击<抓包>按钮，对AP配置抓包条件来抓取工作信道下的全部报文。抓包的详细配置请参见3.1.8 工具。

6.4.5 信道分析

本章节内容指导管理员查看2.4GHz、5GHz射频工作信道的使用情况。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

1. 5GHz信道分析

显示工作在5GHz信道上的射频的数量，以及各信道的繁忙程度。

每隔5分钟进行一次采样。

可将鼠标置于表格范围内，滑动鼠标滚轴，调整表格中显示的数据量。

点击信道分析表中指定信道、指定时刻的数据，可查看信道利用详情。

2. 2.4GHz信道分析

显示工作在2.4GHz信道上的射频的数量，以及各信道的繁忙程度。

每隔5分钟进行一次采样。

可将鼠标置于表格范围内，滑动鼠标滚轴，调整表格中显示的数据量。

点击信道分析表中指定信道、指定时刻的数据，可查看信道利用详情。

3. 信道利用率详情

查看信道利用详情，包括射频所属AP的信息、工作信道、信道利用率、干扰。

点击列表中的AP名称可进入AP的详情页面。

6.4.6 AP统计

本章节内容指导管理员查看场所内管理的AP的在线情况、离线情况以及上线失败分析。

如无特指，本章节显示的统计数据受限于所选的场所与设备。

1. AP列表——在线

在AP列表页面点击<在线>按钮，查看在线AP信息，AP将分别按照型号和承载终端数量进行统计。

在线AP列表中显示的内容为AP名称、在线终端数、接入AC信息、Radio数量、运行时长等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击<导出>按钮可将当前在线的AP的信息以电子表单的形式进行汇总并压缩后，保存到本地。

点击列表中的AP名称可进入AP的详情页面。

2. AP列表——离线

在AP列表页面点击<离线>按钮，查看离线AP信息，AP将分别按照型号和离线原因进行统计。

离线AP列表中显示的内容为AP名称、接入AC信息、Radio数量、离线原因、离线时间等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击<导出>按钮可将当前离线的AP的信息以电子表单的形式进行汇总并压缩后，保存到本地。

点击列表中的AP名称可进入AP的详情页面。

3. AP列表——全部

在AP列表页面点击<全部>按钮，查看全部AP信息，AP将分别按照所有AP的型号和在线AP的承载终端数量进行统计。（无效AP的数量不计入总数）

全部AP列表中显示的内容为AP名称、当前状态、在线终端数、接入AC信息、Radio数量、运行时长等信息。（点击右侧“+ / -”按钮编辑列表显示的内容）

点击<导出>按钮可将当前场所全部AP的信息以电子表单的形式进行汇总并压缩后，保存到本地。

点击列表中的AP名称可进入AP的详情页面。

4. AP列表——无效AP

在AP列表页面点击<无效AP>按钮，显示所选设备上序列号信息未被设备正确获取的AP的列表。

5. Radio列表

Radio列表页面显示了基于信道、基于信道利用率、终端接入数、射频开启状态的分布图。

在Radio详情列表中，可查看所有AP射频的详细信息，包括开启状态、类型、频宽、信道、信道利用率等。

6. AP离线统计——原因

显示近7天AP离线原因及由于该原因使AP离线的次数。

点击AP离线原因柱状图中某一日期的柱状条，在AP离线明细列表处查看当日所有离线AP信息。

7. AP离线统计——次数

显示近7天离线一定次数的AP的数量。

点击AP离线次数柱状图中某一日期的柱状条，在AP离线明细列表处查看当日所有离线AP信息。

8. AP离线统计——明细

显示近7天内指定日期中AP的离线详情。

点击<导出>按钮可将指定日期的AP离线明细数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击AP离线明细列表中的AP名称可进入AP的详情页面。

点击AP关联的AC设备的名称可进入AC的详情页面。

9. AP重启统计

显示近7天AP重启的原因及由该原因使AP重启的次数。

点击AP重启原因柱状图中某一日期的柱状条，查看当日所有重启AP的明细及AP重启原因汇总数据。关联AC是指AP在重启上线后所在的AC。

点击AP重启次数柱状图中某一日期的柱状条，查看当日所有重启AP的明细及AP重启次数汇总数据。

点击<导出>按钮可将指定日期的明细及汇总数据以电子表单的形式进行汇总并压缩后，保存到本地。

10. AP上线失败统计——原因

显示近7天AP上线失败原因及由于该原因使AP上线失败的次数。

点击AP上线失败原因柱状图中某一日期的柱状条，在AP上线失败明细列表处查看当日所有上线失败AP的信息。

11. AP上线失败统计——次数

显示近7天上线失败一定次数的AP的数量。

点击AP上线失败次数柱状图中某一日期的柱状条，在AP上线失败明细列表处查看当日所有上线失败AP的信息。

12. AP上线失败统计——明细

显示近7天内指定日期中AP的上线失败详情。

点击<导出>按钮可将指定日期的AP上线失败明细数据以电子表单的形式进行汇总并压缩后，保存到本地。

点击AP上线失败明细列表中的AP名称可进入AP的详情页面。

点击AP关联的AC设备的名称可进入AC的详情页面。

13. ARP分析

本节显示的统计数据受限于所选的场所、设备与日期。

显示AP发送的上、下行ARP报文以及报文总数。

14. 有线端口表

历史统计数据受限于所选的场所、设备与日期。

“实时统计”页签下的列表，显示了最近一个统计周期中AP物理端口入方向和出方向报文收发速率以及流量信息。

“历史统计”页签下的列表，显示了指定日期下AP物理端口入方向和出方向报文收发数量以及流量信息。

6.4.7 重启AP

本章节内容指导管理员配置立即重启在线AP或制定定时重启AP任务。

如无特指，本章节显示的统计数据受限于所选的场所与设备。

AP统计信息显示了所选场所中指定AC设备下的AP总数和离线AP数。

AP上下线信息显示了所选场所中指定AC设备下的AP的上下线记录。

在“AP列表”中，选择一个或多个在线AP后点击<立即重启>按钮，可立即重启所选AP；选择一个或多个AP后点击<定时重启>按钮，根据需要选择定时执行或周期执行后可定制定时重启AP任务。编辑AP标签后，可配合“筛选”功能，对使用同一标签的AP进行集中操作。

“任务列表”显示了历史重启任务信息，而“定时重启任务列表”显示了所有定时重启任务的详细信息。

6.4.8 路由器——介绍

1. 路由器统计

显示本场所当前在线路由器数、路由器总数以及各型号路由器的数量。

2. 路由器列表

以列表的形式显示本场所下所有路由器设备的信息，包括设备名称、在线状态、评分等。（点击右侧“+ / -”按钮编辑列表显示的内容）

上行速率（WAN）：表示从所有WAN口发送的报文的总速率。

下行速率（WAN）：表示从所有WAN口接收的报文的总速率。

列表中显示的设备评分为所选时段的评分。

在列表中的路由器设备名称可进入路由器的详情页面。

6.4.9 路由器——详情介绍

本章节的内容将指导管理员查看路由器设备的基本信息、硬件资源使用以及端口信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

进入路由器详情页面方式：在平台分析业务专区选择左侧导航栏中的“网络 > 路由器”，进入路由器信息页面，在该页面的路由器列表中点击任一路由器设备的名称，进入路由器详情页面。

1. 路由器基本信息

显示路由器设备的名称、MAC、SN（序列号）、型号、软件版本。

本节显示的统计数据受限于所选的场所与设备。

2. 设备评分

设备评分将参考CPU及内存使用率等。

在某一时刻若评分较低，系统将显示扣分原因。

每隔5分钟进行一次采样。

3. CPU、内存

显示本设备当天或多天中CPU和内存的使用情况。

每隔5分钟进行一次采样。

4. 接口速率与流量

· 接口速率

本节显示的统计数据受限于所选的场所、设备与日期。

显示本设备指定或全部接口的上下行速率信息。

点击右侧选择接口，显示该接口信息。若未指定任何端口将显示全部端口的信息。

· 接口流量

显示当天或多天中设备上指定端口入方向与出方向的流量统计信息。

本节显示的统计数据受限于所选的场所、设备与日期。

每隔5分钟进行一次采样。

若未指定任何端口将显示全部端口的信息。

6.4.10 交换机——介绍

1. 交换机统计

显示本场所当前在线交换机数、交换机总数以及各型号交换机的数量。

2. 交换机列表

以列表的形式显示本场所下所有交换机设备的信息，包括设备名称、在线状态、运行时长、评分等。（点击右侧“+ / -”按钮编辑列表显示的内容）

上行速率（LAN）：表示从所有LAN口接收的报文的总速率。

下行速率（LAN）：表示从所有LAN口发送的报文的总速率。

列表中显示的设备评分为所选时段的评分。

在列表中的交换机设备名称可进入交换机的详情页面。

6.4.11 交换机——详情介绍

本章节的内容将指导管理员查看交换机设备的基本信息、硬件资源使用以及端口信息。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

进入交换机详情页面方式：在平台分析业务专区选择左侧导航栏中的“网络 > 交换机”，进入交换机信息页面，在该页面的交换机列表中点击任一交换机设备的名称，进入交换机详情页面。

1. 交换机基本信息

显示交换机设备的名称、MAC、SN（序列号）、型号、软件版本。

本节显示的统计数据受限于所选的场所与设备。

2. 设备评分

设备评分将参考CPU及内存使用率等。

在某一时刻若评分较低，系统将显示扣分原因。

每隔5分钟进行一次采样。

3. CPU、内存

显示本设备当天或多天中CPU和内存的使用情况。

每隔5分钟进行一次采样。

4. 接口速率与流量

· 接口速率

本节显示的统计数据受限于所选的场所、设备与日期。

显示本设备指定或全部接口的上下行速率信息。

点击右侧选择接口，显示该接口信息。若未指定任何端口将显示全部端口的信息。

· 接口流量

显示当天或多天中设备上指定端口入方向与出方向的流量统计信息。

本节显示的统计数据受限于所选的场所、设备与日期。

每隔5分钟进行一次采样。

若未指定任何端口将显示全部端口的信息。

6.5 网优

6.5.1 一键网优

· 本章节显示的统计数据受限于所选的场所。

· AC产品仅5428及以后的软件版本支持一键调优功能。

本章节的内容将指导管理员使用一键调优功能自动优化AP常用参数配置，使各个AP在当前无线环境中工作在最佳的状态。使用一键调优功能，管理员可以对指定的一组或多组AP进行自动调优，同时根据AP实际的部署方式选择最适宜的调整方案。

(1) 创建空间

在“优化设置”页签下点击<添加>按钮进入增加空间页面，根据AP的实际部署方式，选择对应的场景类型（系统针对AP不同的使用场景提供了不同的配置参数），而后选择需要调整的AP，可基于区域、AP组或AP选择调优范围，最后选择调整的选项（信道、频宽或射频发射功率）。

若需要修改或删除已创建的空间，可以在“优化设置”页签下直接对空间卡片进行操作，但不能修改或删除正在执行调优功能的空间。

(2) 执行一键调优

空间创建完成后，点击“优化进度”页签，在此页签下，点击指定空间的<一键优化>按钮，对该空间下的所有AP进行调优。在经过一段时间调优过程后，若调优成功，将显示本次调优的相关信息，如涉及AP数量、开始时间、耗时以及调优前后的信息对比。点击列表上的<展开全部>可查看本次调优更加详细的综合信息，点击列表中的<查看详情>后弹出调优详情对话框，若对话框中无内容表示本次调优过程没有调整任何参数。若调优失败，将显示具体的失败原因。

调优过程可以刷新当前页面，但在调优过程中请勿对该空间重复执行一键优化操作。

(3) 查看优化记录

在“优化历史”页签下可查看一周内的调优记录，列表中将显示调优的综合信息，点击列表上的<展开全部>可查看更加详细的调优信息，点击列表中的<查看详情>后弹出当次调优的详情对话框，若对话框中无内容表示当次调优过程没有调整任何参数。

6.5.2 一键诊断

· 本章节显示的统计数据受限于所选的场所。

· 云AP产品不支持本功能。

· AC产品仅5412及以后的软件版本支持一键诊断的全部功能。

本章节的内容将指导管理员使用一键诊断功能检查设备存在的问题或隐患，并向管理员提供修复建议。诊断功能对设备进行配置项和状态项检查，并根据检查项的重要程度设立了星级标识，以便于管理员决定问题处理顺序。必检项优先等级最高，其次为五星项、四星项，以此类推。

(1) 执行一键诊断

通过点击一键诊断页面的<查看检查项>勾选需要检查的项目，最后点击<立即诊断>按钮开始诊断。（必检项无法取消勾选）

(2) 查看诊断结果

诊断完成后，将显示诊断结果。诊断结果分为五种：通过项、不通过项、可优化项、诊断失败项、未检查项，默认全部显示。通过点击各个诊断结果的统计数量，可筛选查看该结果的全部检查项；通过点击检查项总数，可恢复显示本次诊断的所有检查结果。

若场所中包含多个设备，对于同一检查项，只要有一台设备未通过该项检查，则该检查项将被标记为未通过；若设备上管理多台AP，对于同一检查项，只要有一台AP未通过该项检查，则该检查项将被标记为未通过。

对于不通过和可优化的检查项，点击<展开修复建议>可以查看详细的修复建议。若是配置类修复建议，可通过点击列表中的<命令助手>按钮，跳转到命令助手功能中进行手工配置；若显示设备状态类信息，可点击列表中的详情列内容跳转到告警页面进行问题分析。

若诊断结果中有显示诊断失败项，通常为平台无法正常获取设备数据，请优先检查设备连接问题。

(3) 查看历史诊断信息

点击一键诊断页面的<历史诊断信息>查看诊断历史记录，而后点击诊断结果可查看当次诊断详情。

历史诊断信息仅保留6天，且最多为16条，超出后最早的诊断记录将被删除。

6.6 安全

本章节内容指导管理员查看场所内指定AC设备统计的攻击检测信息、SSID扫描结果以及仿冒MAC检测信息。详细的配置过程，请参见“3.2.1 3. 无线安全”章节。

如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

6.6.1 攻击检测

1. 攻击检测功能

累计攻击检测与累计反制仅受限于所选的场所与设备。

· “攻击总数”显示了设备发现的攻击总次数。点击任一攻击类型，可在“检测攻击趋势图”中查看该类型的攻击的数量变化趋势。

· “检测攻击趋势图：总计”显示了不同时间段的攻击次数变化趋势。

以下内容统计的数据与所选择的攻击类型有关：

· “攻击检测数据分布”中的“源MAC地址”显示了攻击次数排在前n位的终端，色块面积大的终端表示攻击次数越多。

· “攻击检测数据分布”中的“Sensor AP”显示了探针AP探测到的攻击次数，色块面积大的AP表示检测到的攻击次数越多。

· “攻击检测数据分布”中的“Radio”显示了5GHz、2.4GHz频段射频检测到的攻击次数，色块面积越大的Radio表示该射频检测到的攻击次数越多。

· “攻击检测数据分布”中的“攻击类型”显示了不同攻击类型出现次数，色块面积越大的攻击类型表示该攻击类型出现的次数越多。

· “攻击源MAC Top5”显示了出现所选攻击类型的前5个终端。

· 若选择“检测总览”，则“攻击类型Top5”将显示出现次数排在前5的攻击类型。

· “Sensor AP Top5”显示了检测到所选攻击类型的前5个探针AP。

· “攻击时间Top5”显示了在一个统计周期内出现所选攻击类型次数最多的5个统计时间点。

“反制总数”显示了所选场所中的设备在指定日期进行反制的总次数。

以下内容统计的数据与选择的反制方式有关：

· “攻击反制趋势”显示了不同时间段的反制次数变化趋势。

· “被反制MAC Top5”显示了排在前5的被反制终端。

· “反制AP Top5”显示了反制次数排在前5的AP。

2. 攻击检测日志

攻击日志显示了每次发生攻击的时间点、终端MAC、攻击类型等信息。

反制日志显示了每次发生反制的时间点、被反制终端MAC、被反制设备类型及厂商等信息。点击列表中的反制AP名称可进入反制AP的详情页面，点击反制AC名称可进入反制AP上线的AC的详情页面。

6.6.2 SSID扫描

累计扫描SSID与累计反制仅受限于所选的场所与设备。

SSID扫描功能即通过AP扫描周边的无线信号。

在“扫描信息”列表中有三级列表：

· 第一级列表中显示了AP探测到的无线信号的SSID以及发射此信号的射频的数量（BSSID数目）等信息。

· 点击“BSSID数目”列下的数字进入二级列表，二级列表按照BSSID数目展开，该表显示了所选SSID下的所有射频的信息（以BSSID排列）。“Sensor AP数目”列下的数字表示扫描到同一射频的AP的数量。

· 点击“Sensor AP数目”列下的数字进入三级列表，三级列表按照AP数目展开，该表显示了扫描到该射频的具体AP的信息。

若一级列表中“SSID”列中的内容为空，表示扫描到的隐藏SSID的无线信号。

6.6.3 仿冒MAC检测

累计检测仿冒MAC与累计反制仅受限于所选的场所与设备。

仿冒日志记录了所选场所中的设备在指定日期检测到的仿冒终端的信息，包括发现时间、冲突的MAC、冲突类型、终端品牌、厂商以及接入的AP、AC等信息。

冲突类型包括IP冲突和MAC冲突。

每条信息将罗列仿冒终端和被仿冒终端的信息。

6.7 高级

如无特指，本章节显示的统计数据受限于所选的场所。

6.7.1 巡检验收

测试或运维人员在项目验收或日常巡检中，往往需要在无线设备信号覆盖区域内的各个位置测试终端接入情况，收集一些环境数据加以分析。测试或运维人员需要在Cloudnet App的配合下，将每个测试位置的数据上传至平台的指定场所下进行汇总统计，管理员可根据需要将统计数据进行导出归档。上传的数据包括项目名称、测试时间、测试位置、无线环境信息、无线服务信息、传输速率、设备信息、终端信息等。

· Cloudnet App可在平台顶部导航栏中菜单下扫描二维码下载。

· 每个测试位置的测试数据从Cloudnet App上传至平台后仅保留3个月。

点击巡检验收页面中“说明”内的“Cloudnet App”链接可查看Cloudnet App多点测试指导。

巡检验收页面列表中的评分将参考所有测试数据，达标率为达标测试项数目与已选测试项总数的比值。点击列表中的<详情>可进入某一测试位置的详情页面（同一测试位置的详情页面相同），该详情页面中的三个列表从上到下显示的数据依次为：

(1) 同一项目、同一测试位置的所有测试数据。

(2) 2.4GHz频段信道干扰数。

(3) 5GHz频段信道干扰数。

删除测试数据表中的数据将同步删除该时刻的信道干扰测试数据。

点击信道干扰数列表中某信道的数据，将显示该测试时刻占用信道的无线设备。

6.7.2 Doctor AP

Doctor AP是AP的一种诊断模式，开启后该AP可以模拟成终端接入到AP，全面体验用户的连网流程，以帮助运维人员远程诊断体验类的网络问题，实现网络的智能检测。

· AC设备版本需为R54XX系列且R5442及以上版本。

· 仅支持部分型号设备且设备版本号为R2442及以上版本的AP作为Doctor AP。

· 开启了Doctor AP模式的AP将会影响其无线服务的正常使用。

1. Doctor AP检测

在左侧导航栏中选择“高级 > Doctor AP > Doctor AP检测”，进入Doctor AP检测页面。

(1) 自动检测

主要针对重点网络（SSID）进行全网巡检。先点击<同步>按钮同步数据，再进行自动检测。

¡ 添加自动检测配置：点击<添加自动检测配置>按钮，配置自动检测。

表6-1 自动检测说明

字段	说明
选择AC设备	新增时定义的AC名称
AP检测范围	被测AP范围： · 所有绑定被测信号的AP：自动选取绑定了被测信号的AP，最多自动选取128台在线AP。 · 指定AP：支持指定最多128台AP。
被测信号	配置被测SSID，最多可配置3个SSID。
诊断项配置	配置检测项目： · 默认配置：系统预定义的诊断项配置。 · 自定义配置：用户自定义的诊断项配置。
配置关键AP	AP被选为Doctor AP后，连接此AP的终端会断开网络连接，巡检过程中会排除被设置为关键AP的AP。点击“查看关键AP”查看或配置关键AP。
Doctor AP选择策略	巡检过程中会遵循以下策略选择Doctor AP： · 默认策略：自动选择终端连接数为0的AP作为Doctor AP，若无法找到则寻找近一小时上下行总流量不超过10MB的AP，若还是无法找到合适AP，则跳过对该AP的检测。 · 自定义策略：自定义最大终端连接数和近一小时最大上下行总流量，只有当AP上的这两项指标同时低于自定义的阈值时，该AP才可以被选为Doctor AP。
时间配置	巡检时间配置： · 立即执行：配置完成点击保存即触发Doctor AP的自动巡检。 · 定时执行：通过指定某个时间点，触发doctorAP的自动巡检 · 周期执行：通过配置周期时间，在指定的周期内循环触发doctorAP的自动巡检。

¡ 详情：点击自动检测操作列详情图标，可查看或修改自动检测任务的详细信息。

¡ 检测结果：点击自动检测操作列检测结果图标，查看自动检测结果信息。

¡ 中断检测任务：点击正在进行中的自动检测任务操作列的中断检测图标，可将正在进行中的任务中断检测。

¡ 删除自动检测任务：点击自动检测操作列删除图标，可删除对应的自动检测任务。

¡ 批量删除自动检测任务：在自动检测任务列表中，勾选自动检测任务后，点击<批量删除>按钮，可删除对应的自动检测任务。

(2) 手动检测

主要针对单个被测信号进行网络巡检。先点击<同步>按钮同步数据，再进行手动检测。

¡ 添加自动检测配置：点击<添加自动检测配置>按钮，配置手动检测。

表6-2 手动检测说明

字段	说明
Doctor AP模式	· 智能模式：系统自动进行智能选取。 ¡ 配置关键AP：AP被选为Doctor AP后，连接此AP的终端会断开网络连接，巡检过程中会排除被设置为关键AP的AP。点击“查看关键AP”查看或配置关键AP。 ¡ 选择被测AP：选择被测AP的所属AC、AP名称及Radio。 ¡ 被测信号：配置被测SSID。 · 手动模式：选择一个在线AP进行绑定。 ¡ 选择Doctor AP：在可选择的在线AP中选择一个AP作为Doctor AP。 ¡ 无线服务：选择SSID、被测AP及Radio。
Doctor AP选择策略	Doctor AP智能模式配置该项。巡检过程中会遵循以下策略选择Doctor AP： · 默认策略：自动选择终端连接数为0的AP作为Doctor AP，若无法找到则寻找近一小时上下行总流量不超过10MB的AP，若还是无法找到合适AP，则跳过对该AP的检测。 · 自定义策略：自定义最大终端连接数和近一小时最大上下行总流量，只有当AP上的这两项指标同时低于自定义的阈值时，该AP才可以被选为Doctor AP。
诊断项配置	配置检测项目： · 默认配置：系统预定义的诊断项配置。 · 自定义配置：用户自定义的诊断项配置。

¡ 详情：点击自动检测操作列详情图标，可查看或修改手动检测任务的详细信息。

¡ 检测结果：点击手动检测操作列检测结果图标，查看自动检测结果信息。

¡ 中断检测任务：点击正在进行中的手动检测任务操作列的中断检测图标，可将正在进行中的任务中断检测。

¡ 删除手动检测任务：点击手动检测操作列删除图标，可删除对应的手动检测任务。

¡ 批量删除手动检测任务：在手动检测任务列表中，勾选手动检测任务后，点击<批量删除>按钮，可删除对应的手动检测任务。

(3) 概览

可查看今天以及历史的测试结果，点击柱状图，下面的测试列表会出现相应时间的测试统计。

· 测试结果：包含该时间点测试成功次数、测试失败次数统计。

· 测试统计：该时间段无线接入成功、无线接入失败、网络连接成功、网络连接失败、应用测试成功、应用测试失败项的测试次数。

· 自动检测结果：展示自动检测的检测记录。

¡ 点击测试记录仅显示失败结果按钮，开启或关闭仅显示失败结果。

¡ 检测记录包含检测开始、结束时间、被测AC、被测SSID、检测状态及检测结果，状态为“检测中”的记录无检测结果，检测记录根据检测开始时间排序，可根据检测配置查询相应检测记录。

¡ 点击检测记录，查看检测详细信息，包含测试时间、SSID、被测AP、Radio ID、Doctor AP名称、Doctor AP型号、Doctor AP MAC、测试状态、测试详情等。点击“详情”链接，查看检测详情。

¡ 检测记录的有效期为7天，7天后会自动删除。

· 手动检测结果：展示手动检测的检测记录。

¡ 点击测试记录仅显示失败结果按钮，开启或关闭仅显示失败结果。

¡ 检测记录包含检测开始、结束时间、被测AC、Doctor AP、Radio、检测状态及检测结果，状态为“检测中”的记录无检测结果，检测记录根据检测开始时间排序，可根据检测配置查询相应检测记录。

· 检测记录的有效期为7天，7天后会自动删除。

2. 关键AP

AP被选为Doctor AP后，连接此AP的终端会断开网络连接，巡检过程中会排除被设置为关键AP的AP。

在左侧导航栏中选择“高级 > Doctor AP > 关键AP”，进入关键AP页面。

· AP列表

显示场所下所有的AP，以及AP详情，包括AP状态、在线终端数、版本、接入AC名称等。在列表中勾选AP，即可将AP设置为关键AP。

· 关键AP列表

显示场所下所有的关键AP，以及AP详情，包括AP状态、在线终端数、版本、接入AC名称等。在列表中勾选AP，即可将关键AP删除。

6.8 VIP

云AP产品不支持本功能。

6.8.1 VIP AP——介绍

本章节的内容指导管理员VIP AP的健康度及详细信息。

· 仅5420及以后软件版本支持VIP AP功能。

· 如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

VIP AP：管理员需要重点关注的AP。在设备侧配置将VIP AP加入到VIP AP组中，AP会将收集到的终端的信息、自身运行信息等数据通过AC上报至平台。

相关命令：

命令描述	配置将指定VIP AP添加到VIP AP组、配置AP采集数据并上报AC的时间间隔
命令行	ap-name ap-name report-interval interval
视图	VIP AP组视图
示例	<Sysname> system-view [Sysname] wlan vip-ap-group [Sysname-wlan-vip-ap-group] ap-name ap1 [Sysname-wlan-vip-ap-group] report-interval 30

1. VIP AP健康度

显示指定时间段内单一场所指定或全部设备下的VIP AP的健康度。

每隔2分钟进行一次采样。

VIP AP健康度评分标准为：

等级	评分区间
优秀	>=80
良好	>=65且<80
一般	<65

VIP AP评分将综合信道利用率、客户端数量、终端RSSI进行评分。

点击柱状图中的柱状条可显示VIP AP列表。

2. VIP AP

显示了当前VIP AP以及非VIP AP的接入数量。

3. 在线VIP AP列表

在线VIP AP列表显示了该时刻下所有VIP AP的接入运行情况。其中，VIP AP评分将参考信道利用率、客户端数量、终端RSSI等值；

AP分数与AP健康度的对应关系如下：

AP体验	评分区间
优秀	>=80
良好	>=65且<80
一般	<65

点击在线VIP AP列表中AP名称可进入VIP AP的详情页面，查看指定AP于指定时间段内的运行情况。

管理员可通过列表中的备注功能为VIP AP添加备注信息。

6.8.2 VIP AP——详情介绍

本章节的内容指导管理员查看场所内设备上所管理的VIP AP的详细信息。

· 仅5420及以后软件版本支持VIP AP功能。

· 如无特指，本章节显示的统计数据受限于所选的日期。

进入VIP AP详情页面的方式有多种，以下仅提供通过VIP AP页面进入指定VIP AP详情页面的方式。

在平台分析业务专区中选择左侧导航栏中的“VIP > VIP AP”，进入VIP AP页面，在在线VIP AP列表中点击任一AP的名称，进入VIP AP详情页面。

1. AP基本信息

显示AP设备的名称、MAC、型号、关联的AC、当前在线情况、上一次重启原因、射频数量、运行情况等信息。

本节显示的统计数据不受限于所选的日期。

2. 评分趋势

显示AP当天或多天中每个采样时刻的评分，以及扣分项。

每隔5分钟进行一次评分。

3. CPU内存趋势

显示AP当天或多天中每个采样时刻的CPU、内存使用率。使用率取自AP上线的AC设备。

每隔5分钟进行一次采样。

4. 在线终端详情

显示当天或多天每个采样时刻的在线终端数量。

每隔5分钟进行一次采样。

点击终端列表中的MAC地址可进入终端的详情页面。

点击终端列表中的AC名称可进入AC的详情页面。

终端分数与健康度的对应关系如下：

健康度	终端分数
空闲	100
优秀	>=85
良好	>=65且<85
一般	<65

5. 终端速率

6. 端口流量

显示所有接入终端当天或多天中每个采样周期内的上下行流量。

每隔5分钟进行一次采样。

7. AP日志

显示AP的上下线时间、评分、下线原因等信息。

8. AP射频信息

在页面上方选择“AP射频信息”页签，进入射频信息页面。显示射频当前及历史运行信息，包括工作信道、信道利用率、底噪、在线终端数、重传率、丢包率、时延、RSSI等信息。

趋势图为所选时段的信息。

一般情况下每隔2分钟进行一次采样。

点击图形可查看详细信息。

6.8.3 VIP终端

本章节的内容指导管理员VIP终端的管理，以及查看VIP终端的健康度、接入数量及详细信息。

在左侧导航栏中选择“高级 > VIP > VIP终端”，进入VIP终端页面。

· 仅5436及以后软件版本支持VIP终端功能。

· 如无特指，本章节显示的统计数据受限于所选的场所、设备与日期。

1. 终端列表

VIP终端即管理员需要重点关注的终端。VIP终端列表显示了该时刻下所有VIP终端的接入运行情况。其中，终端分数将综合信道利用率、RSSI、上下行速率等数据进行评分。

· VIP终端详情：点击VIP终端列表中的MAC可进入指定VIP终端的详情页面。有关终端详情的详细介绍请参见6.3.1 无线终端。

· AP详情：点击接入AP或接入射频可进入接入的AP的详情页面，查看指定AP于当天的运行情况。有关AP详情的详细介绍请参见6.4.4 AP健康度——详情介绍。

· AC详情：点击接入AC可进入接入的AC的详情页面，查看指定AC于当天的运行情况。有关AC详情的详细介绍请参见6.4.2 AC——详情介绍。

· 添加备注：点击列表中的备注功能为VIP终端添加备注信息。

· 邻居终端对比：点击在线终端操作列“查看对比”，进入邻居终端页面，查看与其接入同一AP、同一射频下的所有邻居终端及运行情况。还可查看该终端与同优先级VIP平均值、非VIP平均值的对比数据，包括平均时延、丢包率、错包率、重传率、RSSI、下行选速、上行选速、终端健康度等。

图6-3 邻居终端

2. 终端管理

(1) 添加终端

在“终端列表”页签页面，点击<添加VIP>按钮，在添加VIP窗口中，选择“添加终端”页签，选择添加VIP终端的设备，可选单个设备或全部设备，而后配置终端信息：

¡ 输入终端MAC地址。

¡ 选择VIP等级。即优先级，终端优先级由高到低为一级VIP、二级VIP、非VIP，一级VIP不限速，二级VIP和非VIP可配置限速。资源不足时，AP可能将低优先级终端下线以保证高优先级终端正常工作。

¡ 输入终端备注。VIP终端支持添加四个备注，该备注与“园区网络”中的终端备注相同，并以最后添加的备注为准，不填写则默认使用“园区网络”中的终端备注。点击可继续添加终端，最多可添加128个一级VIP终端。

(2) 添加用户

在“终端列表”页签页面，点击<添加VIP>按钮，在添加VIP窗口中，选择“添加用户”页签，配置用户信息：

¡ 输入认证用户名。

¡ 选择VIP等级。即优先级，终端优先级由高到低为一级VIP、二级VIP、非VIP，一级VIP不限速，二级VIP和非VIP可配置限速。

¡ 点击可继续添加用户。

用户终端通过MAC地址认证、802.1X认证或Portal认证认证上线时，将被自动识别为VIP终端，并匹配已设置的VIP等级。

(3) 配置限速

AP可提供的可用带宽有限，且由多个终端共享，部分终端占用过多带宽，势必导致其他终端使用受到影响。通过配置限速功能，可以根据优先级限制部分终端对带宽的过多消耗，保证所有接入终端均能正常使用网络业务。

在“终端列表”页签页面，点击<配置限速>按钮，配置限速信息：

¡ 选择配置对象，可选二级VIP、非VIP，一级VIP不支持限速。

¡ 选择生效设备。

¡ 选择开启或关闭限速功能。开启限速功能后，需配置上行/下行最大限速。

开启限速功能后，当资源不足时，AP可能将低优先级终端下线以保证高优先级终端正常工作。

(4) 批量导入终端

若管理员需要批量导入终端时，可使用批量导入功能。

在“终端列表”页签页面，点击<批量导入>按钮后，在弹框中先点击“点击下载模板”链接下载模板，按照模板内的规则编辑信息，完成后，上传文件即可导入至平台指定的场所。

(5) 取消VIP终端

在终端列表中，勾选待取消终端，点击<取消终端>按钮，在弹窗中点击<确定>按钮，已选VIP终端将被降级为普通终端。

(6) 取消VIP用户

点击<取消用户>按钮，在弹窗中选择用户，可选多个用户，再点击<确定>按钮，已选VIP用户将被降级为普通终端。

3. 数据概览

(1) VIP终端数量

显示当天单一场所全部设备或指定设备当前VIP终端以及非VIP终端的接入数量。

(2) 终端健康度分布

显示当天单一场所全部设备或指定设备上接入的VIP终端的健康度。

默认每隔2分钟进行一次采样。

VIP终端健康度评分标准为：

终端体验	终端分数
空闲	100
优秀	>=80
良好	>=65且<80
一般	<65

影响终端健康度评分的因素有信道利用率、RSSI、上下行速率等。

点击柱状图中的柱状条后，VIP终端列表中将显示指定时刻下的VIP终端。

(3) 问题数量统计

显示当天单一场所全部设备或指定设备上接入的VIP终端的问题数量统计。

点击柱状图中的柱状条后，VIP终端列表中将显示指定时刻下的VIP终端。

(4) 终端类型

显示当天单一场所全部设备或指定设备上接入的VIP终端类型统计。

点击柱状图中的柱状条后，VIP终端列表中将显示指定时刻下的VIP终端。

(5) VIP终端列表

在健康度分布、问题数量统计、终端类型中分别点击柱状条，可显示其VIP终端及运行情况。点击“查看详情”链接，跳转至终端列表查看详细信息，请参见终端列表。

6.9 AI作业

6.9.1 问题智愈

问题智愈功能旨在帮助管理员监控场所中无线网络的运行情况，发现问题后会自动优化问题并记录优化日志。管理员打开自动优化开关，授权平台向设备自动下发配置命令。当系统检测到某些问题在一段时间内不再复现，会视情况自动回退配置。

在平台分析业务专区中选择左侧导航栏中的“AI作业 > 问题智愈”，进入问题智愈页面，在分支场所选框中选择分支和场所，而后开启问题智愈功能。点击按钮，根据需要打开自动优化开关。在问题智愈页面会显示系统累计优化问题数量，并显示发现问题的日志信息，管理员可选择查看优化日志、回退日志。

· 若管理员针对部分问题开启自动优化开关，系统下发配置执行优化操作可能对业务产生影响，请谨慎操作。

· 关闭问题智愈功能可选择回退部分优化配置到开启问题智愈前的状态或不回退配置直接关闭问题智愈功能。

· 问题智愈有两种模式，开启问题智愈开关后为“分析模式”，发现问题后会仅分析记录，不做优化配置；开启问题智愈开关基础上再开启每个问题自动优化开关，为“智愈模式”，发现问题后会自动优化问题并记录优化日志。

开启问题智愈功能后，问题分析相应问题下获取到问题智愈的根因分析与优化措施，如图6-4所示，管理员可结合问题详情数据做进一步分析运维。

图6-4 根因分析与优化措施

6.9.2 渐进优化

开启指定场所的的渐进优化功能后，平台将自动通过无线设备收集所需环境数据，并依据数据分析结果在网络闲时优化射频工作信道、射频发射功率或射频频宽。整个过程自动执行，无需人工干预。通过不断的优化，提升无线网络用户体验。

· 仅5444及以后的软件版本支持渐进优化的全部功能。

· 本章节显示的统计数据受限于所选的场所与日期。

· 所有统计数据每隔5分钟进行一次采样。

累计优化次数显示了所选时间内的渐进优化次数。

1. 终端体验

显示本场所今日的评分趋势以及全网（全部场所）今日的评分趋势。

评分将参考终端上下行选速、平均信号强度、时延、丢包率等指标。

2. 弱信号终端统计

显示所选场所今日接入的弱信号终端的统计信息。

3. 问题统计

显示所选场所今日终端的乒乓漫游问题的统计信息。

4. 终端速率

显示所选场所今日终端的上下行选速的统计信息，速率单位为Mbps。

5. 干扰趋势

显示所选场所今日AP射频检测出的同频干扰信息。同一时刻，柱状图中干扰较轻的面积越大，表示同频干扰越小。

干扰程度	取值区间
严重	＞70%
一般	＞50%且≤70%
较轻	≤50%

6. 丢包率

显示所选场所今日AP射频检测出的丢包率信息。同一时刻，柱状图中丢包率较轻的面积越大，表示丢包率越小。

丢包率	取值区间
严重	≥3%
一般	≥1%且＜3%
较轻	＜1%

7. 时延

显示所选场所今日AP射频检测出的时延信息。同一时刻，柱状图中时延较轻的面积越大，表示时延越小。

时延	取值区间
严重	＞500ms
一般	＞100ms且≤500ms
较轻	≤100ms

6.10 节能

6.10.1 智能节能

仅AC + Fit AP的组网方式支持，要求Wi-Fi 6 Fit AP 且AC设备的软件版本在R5456及以上。

开启绿色节能开关后，平台会分析和识别AP的业务，在AP的闲时自动下发节能配置，在保持业务连续的前提下实现智能化的节能效果，并在平台形成功耗分析、功耗对比以及节能详情。

在左侧导航栏中选择“节能 > 智能节能”进入智能节能页面，在分支卡片中选择场所，点击绿色节能开关，开启本场所绿色节能功能。

1. 功耗统计

· 总功耗：显示当前场所指定日期设备的总功耗。

· 节约功耗：显示当前场所指定日期截止到最后一个采样周期设备节约功耗总和。

2. 功耗分析

· 实际功耗分布：显示指定日期中设备在各个时间段功耗分布。

· 历史功耗：显示指定日期中各个时间段内设备实际总功耗趋势，并对比显示节能关闭时预测功耗趋势，系统每隔5分钟进行一次采样。

· 节约功耗分布：显示指定日期中设备在各个时间段的节约功耗分布。

· 节约功耗：显示指定日期中各个时间段内设备实际节约功耗的趋势，系统每隔5分钟进行一次采样。

3. 功耗对比

选择两个相同时长的时段，点击<确定>按钮，对比两个同时长的日期内的设备实际功耗，系统每隔1小时进行一次采样。

4. 绿色节能详情

· 绿色节能信息：显示当前绿色节能状态/正常工作状态的AP节能状态比例及AP个数信息。

· 绿色节能状态：选择显示时间段，查看该时间段内各采样点处于绿色节能状态或正常工作状态的AP个数信息。

· AP绿色节能详情：显示当前绿色节能的AP详请，包括AP名称、AP型号、当前节能状态、节能模式等信息。点击图标，将AP绿色节能详情导出到本地。

6.10.2 精准节能

以区域为维度，为场所下的AP创建关闭Radio计划以实现节能，支持定时执行和单次执行，计划创建完闭后可在平台查看计划详情、计划日志，支持在区域概览中显示各区域的Radio开启状态。

使用精准节能功能前，请先在场所内已创建区域并为其绑定相应的AP。

1. 计划详情

在左侧导航栏中选择“节能 > 精准节能 > 计划详情”进入计划详情页面，在分支卡片中选择场所，可进行定时关闭Radio计划相关配置。

(1) 筛选关闭Radio计划

¡ 在日期框中选择日期

¡ 点击区域选择框，在下拉框中可选全部区域、一级区域、二级区域。

即可查看已选日期当前场所全部区域或一级区域/二级区域的关闭Radio计划。

(2) 新建关闭Radio计划

每个区域每日仅可配置一个关闭Radio计划。

点击弹出新建关闭Radio计划窗口，配置如下：

¡ 输入计划名称。

¡ 选择执行区域。请先添加区域且已绑定AP，有关区域的详细介绍请参见区域详情。

¡ 选择执行方式，可单次执行和周期执行。周期执行需另外配置如下：

- 配置执行周期，可选每天、每周、每月。

- 勾选有效时间范围，在持续时间框中选择时间段，配置完成后，计划在此时间段生效。

¡ 选择执行时间。

¡ 输入计划备注信息。

配置完成后，在计划详情页面选择已配置计划的日期，可查看已选日期该区域的计划，通过橙色填充可直观查看计划执行时间，鼠标浮在其上可查看计划明细。

图6-5 计划详情

(3) 编辑关闭Radio计划

鼠标点击区域的执行时间段可查看计划明细，点击<编辑>按钮可修改计划。

(4) 删除关闭Radio计划

鼠标点击区域的执行时间段可查看计划明细，点击<删除>按钮可删除该关闭Radio计划。

(5) 清除关闭Radio计划

点击区域计划的图标，选择“清除计划”选项，可清除该区域所有计划。

2. 区域概览

在左侧导航栏中选择“节能 > 精准节能 > 区域概览”进入区域概览页面，在分支卡片中选择场所，查看当前场所各区域的Radio开启状态信息。

(1) 区域卡片视图

在卡片视图下（点击“”按钮）可看到每个区域的名称、AP在线数/AP总数、在线终端数等信息。也可通过点击卡片，查看该区域的基本信息。

通过卡片颜色方式呈现Radio的状态，其中：

¡ 绿色卡片：表示区域的Radio已全部开启。

¡ 橙色卡片：表示区域的Radio已全部关闭。

¡ 蓝色色块：表示区域的Radio部分已开启。

¡ 灰色色块：表示区域的Radio全部离线。

(2) 重启AP

点击卡片上的“重启AP”进入重启AP页面，可对该区域的单台或所有AP进行重启。

(3) 管理Radio

点击卡片上的“管理Radio”进入管理Radio页面，可对该区域的单个或所有Radio进行开启或关闭。

(4) 区域列表视图

在列表视图下（点击“”按钮）可查看场所下各区域更详尽的信息，包括AP数量、Radio 1状态及接入终端数、Radio 2状态及接入终端数、Radio 3状态及接入终端数、当前计划及下一计划等信息。

¡ 重启AP

点击某区域操作列的“重启AP”图标，进入重启AP页面，可对该区域的单台或所有AP进行重启。

¡ 管理Radio

点击某区域操作列的“管理Radio”图标，进入管理Radio页面，可对该区域的单个或所有Radio进行开启或关闭。

3. 计划日志

在左侧导航栏中选择“节能 > 精准节能 > 计划日志”进入计划日志页面，在分支卡片中选择场所，选择时间段，即可查看所选时段当前场所各区域的执行计划日志信息，包括执行时间、计划名称、类型、执行区域及执行结果。

7 系统

在顶部导航栏选择“系统”进入系统业务专区。

7.1 操作员管理

7.1.1 账户管理

在左侧导航栏中选择“操作员管理 > 账户管理”进入账户管理页面。

1. 账户管理

在“账户管理”页签，可以对账户的基本信息、业务信息和联系方式进行修改以及配置：

· 在“基本信息”页面，可以修改账户的密码、邮箱、头像等信息。修改头像上传图片的大小限制为最大2MB。

· 在“业务信息”页面，可以选择行业类型、配置企业名称和企业LOGO信息。

· 在“联系方式”页面，可以配置公司地址信息。

· 点击<确定>按钮，完成账户管理的相关配置。

2. 账户安全设置

在“账户安全设置”页签，进入账户安全设置页面。

· 开启登录邮件通知后：当账户登录时，登录日志将以邮件通知的方式推送给账户绑定的邮箱。

· 开启异常登录锁定功能后：需配置锁定时长。当密码输入错误10次后，将账户锁定。

7.1.2 子账户管理

在左侧导航栏中选择“操作员管理 > 子账户管理”进入子账户管理页面，可以添加、授权、修改、删除子账户。

允许创建子账户，也允许子账户再创建下一级的子账户。父账户拥有对子账户的创建、修改、删除权限，可以看到所有子账户创建的子账户和场所，并且可以查看子账户的操作日志等信息。

子账户权限包括模块管理权限和区域管理权限：

· 模块管理权限即子账户登录后所拥有的功能模块操作权限，由子账户角色决定。角色分为如下五类：

¡ 全权账户：拥有同租户一样的管理权限，可继续创建子账户；

¡ 监控账户：以网络监控为主，没有配置管理权限，不能继续创建子账户；

¡ 运维账户：拥有网络配置、维护权限，可继续创建子账户；

¡ 演示账户：拥有全部模块只读功能，不能继续创建子账户；

¡ 运营账户：主要负责运营相关业务，包括客流分析、广告投放等，可继续创建子账户；

¡ 配置账户：拥有网络配置权限，可继续创建子账户。

· 区域管理权限即子账户拥有的对某区域的管理权限，所能管理的区域由对子账户的授权决定。

1. 添加子账户

点击租户或者子账户对应的添加按钮，进入子账户添加页面，在此页面配置子账户名、密码、角色、手机号等信息，然后点击<确定>按钮即可完成添加该账户的子账户。

租户以下创建的子账户最多有500个，且最多有5个层级。

2. 授权子账户

点击子账户对应的授权按钮，进入账户授权页面，选择需要对当前子账户授权的分支场所，然后点击<确定>按钮即可完成子账户的授权。

3. 修改子账户

点击子账户对应的修改按钮，进入子账户修改页面，可以修改子账户的角色、邮箱/手机号、密码等信息，然后点击<确定>按钮即可完成子账户信息的修改。

4. 删除子账户

点击子账户对应的删除按钮，在弹出的提示页面选择“仅删除此账户”或者“删除此账户及其子账户”，然后点击<确定>按钮即可完成子账户的删除。

7.2 日志管理

7.2.1 操作日志

在左侧导航栏中选择“日志管理 > 操作日志”进入操作日志信息显示页面。

1. 操作日志

在“操作日志”页签，可以查看用户操作日志、场所导入日志、设备导入日志及登录日志信息。通过记录的日志信息，可以查看用户通过平台执行的操作，例如：添加设备、添加场所、添加无线服务等。

图7-1 查看操作日志

2. 登录日志

在“登录日志”页签，可以查看当前账户的登录日志信息，以便于了解账户的登录状态以及登录失败的原因。

7.2.2 运行日志

在左侧导航栏中选择“日志管理 > 运行日志”进入运行日志页面，查看系统运行日志。

· 点击<导出>按钮即可将显示的所有文件导出到本地。

· 点击<刷新>按钮即可刷新页面。

7.3 系统配置

7.3.1 短信网关

在左侧导航栏中选择“系统配置 > 短信网关”进入短信网关配置页面，在此页面可以配置短信网关的相关信息。

1. 购买短信包

点击页面的“亿美官网”链接或者在浏览器中输入网址www.emay.cn至亿美平台购买短信包。

2. 配置短信网关

点击页面的<新建>按钮，进入短信网关配置页面：

· 配置短信网关的名称

· 输入在亿美平台购买短信包的序列号

· 输入在亿美平台购买短信包的序列号Key

· 输入在亿美平台购买短信包的序列号密码

· 输入短信签名

· 勾选是否设置为默认短信网关

· 点击<确定>按钮完成短信网关的配置

7.3.2 短信记录

在左侧导航栏中选择“系统配置 > 短信记录”进入短信记录显示页面，可以查看当前账户下的短信包发送详情。

· 点击<导出>按钮即可将显示的所有短信信息导出到本地。

· 点击对应表项后的<删除>按钮即可将显示的短信信息删除。

7.3.3 标签

在左侧导航栏中选择“系统配置 > 标签”菜单项，进入标签页面。将标签与AP进行绑定，便于标识、筛选及重启AP。

· 增加新标签

¡ 单击列表上方<增加>按钮，进入增加标签页面。可通过下述两种方式增加标签：

- 添加标签：输入标签名称并选择标签颜色，单击<确定>按钮，创建标签成功。或点击颜色框后的图标，一次性创建多个标签。

- 同步已有分组：按需选择“获取设备AP分组”、“获取区域AP分组”中的一个分组，选择场所设设备后，在列表中勾选添加标签的组，单击<确定>按钮，标签创建成功。

· 标签的其他操作

¡ 删除：单击“操作”栏图标，将该条标签删除，或勾选列表中需要删除的标签，单击<批量删除>按钮，将列表中标签批量删除。

¡ 编辑：单击“操作”栏图标，在弹出的“编辑标签”窗口页面中编辑标签名称及颜色，单击<确定>按钮，标签编辑成功。

¡ 绑定与取消绑定：单击“操作”栏图标，或点击“已绑AP数量”栏的数字，进入“绑定”页面，可查看已绑定的AP。选择标签和场所，在“未绑定AP”页面中勾选需要绑定该标签的AP，点击图标，单击<确定>按钮，新增AP与标签的绑定。在“已绑定AP”页面中勾选需要取消绑定该标签的AP，点击图标，单击<确定>按钮，将已选AP与标签取消绑定。

¡ 搜索：列表中标签条目较多时，可使用搜索功能精准查找相关标签。点击列表右上角图标，输入“名称”实现标签精准查找。

· 按标签筛选AP并重启AP

可根据标签快速在AP列表中筛选出与该标签绑定的所有AP，查看AP的相关信息，以及对AP执行重启操作。

7.3.4 开放平台

开放平台的KEY用于与第三方平台对接时使用，以便于第三方平台可以获取到当前平台的数据。

在左侧导航栏中选择“系统配置 > 开放平台”进入开放平台配置页面。

7.3.5 第三方推送

将需要订阅的告警日志信息通过企业微信、钉钉等第三方应用方式进行推送，便于及时了解设备的运行状态。

1. 企业微信群机器人

将订阅的告警日志信息推送到指定的企业微信群。

请先在企业微信群内添加机器人，并完成机器人配置。

在左侧导航栏中选择“系统配置 > 第三方推送”页签，进入企业微信群机器人页面。

(1) 添加企业微信群机器人

点击<增加>按钮，设置机器人名称，查看企业微信群机器人Webhook地址并复制到Webhook地址输入框中，点击<确定>按钮，完成添加企业微信群机器人。配置完成后，订阅的告警信息可推送到指定的企业微信群，有关告警订阅的详细介绍请参见2.2 1. 告警订阅。

(2) 编辑企业微信群机器人

点击按钮，在弹窗中编辑企业微信群机器人信息。Webhook为敏感信息，编辑机器人时需重新填写。

(3) 推送异常列表

点击按钮，查看最近一周的推送异常记录。

(4) 删除企业微信群机器人

点击删除按钮，可以删除已经添加的企业微信群机器人。

2. 钉钉群机器人

将订阅的告警日志信息推送到指定的钉钉群组。

请先在钉钉群组中添加机器人，并完成机器人配置。

在左侧导航栏中选择“系统配置 > 第三方推送”页签，在页面中点击“钉钉群机器人”页签，进入钉钉群机器人配置页面。

(1) 添加钉钉群机器人

点击<增加>按钮，设置机器人名称，获取钉钉群机器人Webhook地址并复制到Webhook地址输入框中，配置安全策略信息后，点击<确定>按钮，完成添加钉钉群机器人。配置完成后，订阅的告警信息可推送到指定的钉钉群组，有关告警订阅的详细介绍请参见2.2 1. 告警订阅。

(2) 编辑钉钉群机器人

点击编辑按钮，在弹窗中编辑钉钉群机器人信息。Webhook、密钥为敏感信息，编辑机器人时需重新填写。

(3) 推送异常列表

点击详情按钮，查看最近一周的推送异常记录。

(4) 删除钉钉群机器人

点击删除按钮，可以删除已经添加的钉钉群机器人。

3. 飞书群机器人

将订阅的告警日志信息推送到指定的飞书群组。

请先在飞书群组中添加自定义机器人，并完成机器人配置。

在左侧导航栏中选择“系统配置 > 第三方推送”页签，在页面中点击“飞书群机器人”页签，进入飞书群机器人配置页面。

(1) 添加飞书群机器人

点击<增加>按钮，设置机器人名称，获取飞书群机器人Webhook地址并复制到Webhook地址输入框中，配置安全策略信息后，点击<确定>按钮，完成添加飞书群机器人。配置完成后，订阅的告警信息可推送到指定的飞书群组，有关告警订阅的详细介绍请参见2.2 1. 告警订阅。

(2) 编辑飞书群机器人

点击编辑按钮，在弹窗中编辑飞书群机器人信息。Webhook、密钥为敏感信息，编辑机器人时需重新填写。

(3) 推送异常列表

点击详情按钮，查看最近一周的推送异常记录。

(4) 删除飞书群机器人

点击删除按钮，可以删除已经添加的飞书群机器人。

4. 指定推送

在左侧导航栏中选择“系统配置 > 第三方推送”页签，选择“指定推送”页签，进入指定推送页面。

使用该功能需要用户必须具有企业微信、钉钉或飞书的管理员权限。

(1) 企业信息配置

点击“企业信息”页签，进入企业信息配置页面。

a. 获取企业信息。

- 获取企业微信的企业ID：点击“这里”从企业微信获取企业信息的企业ID，跳转至企业微信扫码登录页面，请使用企业微信扫描二维码登录，在“我的企业 > 企业信息”页面获取“企业ID”信息，供后续使用。

- 获取钉钉的CorpId：点击“这里”从钉钉获取企业信息的CorpId，跳转至钉钉扫码登录页面，请使用钉钉扫描二维码登录，在首页中获取“CorpId”信息，供后续使用。

- 获取飞书的企业编号：点击“这里”从飞书获取企业信息的企业ID，跳转至飞书扫码登录页面，请使用飞书扫描二维码登录，在“企业设置 > 企业信息”页面中获取“企业编号”信息，供后续使用。

b. 添加企业信息配置。在企业信息配置页面，单击<增加>按钮，弹出添加企业信息配置窗口，在此窗口中输入企业名称、获取的企业微信的企业ID/钉钉企业信息的CorpId/飞书的企业编号，选择推送平台，按需填写备注信息，单击<确定>按钮。

(2) 推送对象配置

点击“推送对象”页签，进入推送对象配置页面。

a. 获取推送对象信息。

- 获取企业微信推送对象信息：点击“这里”获取企业微信推送对象信息，跳转至企业微信通讯录页面，点击待推送的成员，在成员详情页面获取“账号”信息，供后续使用。

- 获取钉钉推送对象信息：点击“这里”获取钉钉推送对象信息，跳转至钉钉通讯录页面，点击“部门人员”下待推送的成员，获取其“员工UserID”，供后续使用。

- 获取飞书推送对象信息：点击“这里”获取飞书推送对象信息，跳转至飞书成员与部门页面，点击“成员”下待推送的成员姓名链接，在成员详情页面获取其“用户ID”，供后续使用。

b. 添加推送对象。在推送对象配置页面，单击<增加>按钮，弹出添加推送对象窗口，在此窗口中输入获取到的企业微信“账号”信息/钉钉成员“员工UserID”信息/飞书“用户ID”、姓名，选择用户对应的企业名称，单击<确定>按钮。

(3) 第三方应用管理

点击“第三方应用”链接，进入应用信息管理页面。

a. 获取应用信息。

- 获取企业微信应用信息：点击“这里”从企业微信获取应用信息，跳转至企业微信应用页面，点击自建下待推送应用，进入该应用详情页面，获取应用的AgentId和Secret信息，供后续使用。

- 获取钉钉应用信息：点击“这里”从钉钉获取应用信息，跳转至应用管理页面，自建应用下，在待推送应用浮出的菜单中选择“设置”，进入应用的凭证与基础信息页面，获取应用凭证信息，包括AgentId、AppSecret和AppKey信息。

- 获取飞书应用信息：点击“这里”从飞书获取应用信息，在页面企业自建应用列表中下，点击待推送的自建应用，再左侧导航中选择“凭证与基础信息”，在“应用凭证”栏目下获取App ID和App Secret信息。

b. 添加应用信息管理。在应用信息管理页面，单击<增加>按钮，弹出添加应用信息管理窗口，在此窗口中输入应用的名称，选择企业名称后，系统根据选择的企业自动匹配推送平台。

- 企业微信：推送平台为企业微信，需配置获取的AgentId和Secret参数。

- 钉钉：推送平台为钉钉，需配置获取的AgentId、AppSecret和AppKey参数。

- 飞书：推送平台为飞书，需配置获取的App ID和AppSecret参数。

(4) 绑定推送对象。增加完成后可以在弹窗中单击<绑定>按钮，立即绑定推送对象；或在应用信息管理列表中，点击“绑定”图标，绑定推送对象。

钉钉应用创建完成后，请在钉钉平台待推送应用详情页面“开发管理”页签中添加服务器出口IP，IP地址请添加您的AD-Campus MagicBox一体机所在网络公网出口地址。

配置完成后，订阅的告警信息即可推送到指定的企业微信用户、钉钉用户或飞书用户，有关告警订阅的详细介绍请参见2.2 1. 告警订阅。

7.3.6 邮箱配置

当平台需要向用户发送邮件时，如配置了邮件告警方式，当产生告警时，会给绑定的邮箱发送邮件，或者账号绑定了邮箱将以邮件通知的方式推送给账户各种通知。需要首先配置邮箱服务器，且确保邮箱服务器的连通性，否则会影响邮件的收发。

在左侧导航栏中选择“系统配置 > 邮箱配置”进入邮箱配置页面，配置邮箱的相关信息。

· SMTP server：发送邮件的邮箱所属的SMTP地址。格式为IP地址或smtp.mail.com格式。

· 端口：邮件服务器对外提供SMTP服务的端口，通常端口号为25。

· 邮箱地址：邮箱的地址，需在邮箱服务器上已注册开通。

· 是否开启认证：选择是否开启认证。开启后，设置登录邮箱服务器的账号和密码。

· 是否开启TLS：选择是否开启TLS。TLS是传输层安全性协议，开启后提供安全及数据完整性报障。

· 是否开启NTLM：选择是否开启NTLM。开启后，设置Domain，NTLM使用您的Windows登录名和密码进行身份验证。

7.3.7 系统管理

系统管理是一款基于Kubernetes（K8s）对Docker容器进行编排调度的微服务PaaS平台，该平台主要用于完成Kubernetes集群的搭建，应用的部署，系统、Docker容器、微服务等的运维监控。

· 高可靠的管理平台

本部署平台支持单机模式和集群模式两种方式运行，集群由3台Master节点和多台Worker节点组成，用于避免单点故障造成微服务业务中断等问题，从而保证平台的高可靠性。

· 应用部署平台

支持应用的快速部署，用户仅需要提供产品的应用软件包，在界面选择需要部署的应用即可完成应用的部署或升级。

· 可扩展平台

通过配置网络、共享存储、数据库的方式拓展业务及功能。

在左侧导航栏中选择“系统配置 > 系统管理”进入系统管理页面，点击<立即使用>按钮进入页面。

7.4 资产管理

7.4.1 资产管理

在左侧导航栏中选择“资产管理”，点击“资产管理”页签进入资产管理页面。

(1) 筛选资产

点击页面的<筛选>按钮，在页面输入资产类型、资产编号、选择所属场所等信息，然后点击<搜索>按钮，筛选出符合条件的资产。

(2) 同步在线状态

点击页面的<同步在线状态>按钮，立即同步所有资产的在线状态。

(3) 同步上次在线状态

点击页面的<同步上次在线状态>按钮，立即同步所有资产上次的在线时间。

(4) 增加资产

点击页面的<增加>按钮，在弹出的页面输入资产类型、资产编号、选择所属场所等信息，然后点击<确定>按钮，完成资产的创建。

(5) 修改资产

点击页面对应资产的修改按钮，在弹出的页面修改资产的相关信息，然后点击<确定>按钮，完成资产信息的修改。

(6) 自动同步资产

点击页面的<自动同步>按钮，在弹出的页面勾选相关配置，然后点击<确定>按钮，将同步当前账户下的所有设备的信息到资产管理，便于统一管理资产。

(7) 导出资产列表

Safari浏览器暂时不支持导出功能。

¡ 按条件导出

点击页面的<按条件导出>按钮，可按资产标签、资产状态、资产寿命导出条件，将对应的资产信息导出并保存到本地，便于管理员对资产的统一管理。

¡ 全部导出

点击页面的<全部导出>按钮，即可将创建的所有资产信息导出并保存到本地，便于管理员对资产的统一管理。

(8) 标签管理

点击页面的<标签管理>按钮，弹出标签管理窗口，即可对资产标签进行管理。点击<增加>按钮，即可添加标签。点击指定标签对应操作列按钮，然后在弹出的页面点击<确定>按钮即可完成标签的删除。

(9) 删除资产

勾选需要删除的资产信息并点击页面的<批量删除>按钮，然后在弹出的页面点击<确定>按钮即可完成资产的删除。

7.4.2 终端资产

在左侧导航栏中选择“资产管理”，点击“终端资产”页签进入终端资产页面，支持将终端资产通过平台进行管理，可查看终端在线状态，接入SSID以及终端上下行流量等信息。在所属场所下拉菜单中选择场所，查看该场所下的终端资产。点击页面右侧的按钮，可以增加或者删除展示列。

(1) 筛选资产

点击页面的<筛选>按钮，在页面中选择终端类型、在线状态、输入终端名称等信息，然后点击<搜索>按钮，筛选出符合条件的终端资产。

(2) 新增终端资产

点击页面的<增加>按钮，在弹出的页面输入终端名称、MAC地址、选择所属场所、选择终端类型、设置资产有效期信息，根据实际情况配置资产的自定义属性，然后点击<确定>按钮，完成终端资产的创建。

(3) 修改资产

点击页面对应终端资产的MAC地址链接，在弹出的页面修改终端资产的相关信息，然后点击<确定>按钮，完成终端资产信息的修改。

(4) 导出资产列表

点击页面的<导出>按钮，即可将创建的所有终端资产信息导出并保存到本地，便于管理员对终端资产的统一管理。

(5) 导入终端资产列表

点击页面的<导入>按钮，在弹窗中点击“下载模板”链接，下载模板。在模板中按要求填写终端资产，而后在批量导入终端资产窗口中选择该模板，点击<确定>按钮即可完成终端资产的导入。

(6) 自定义属性

点击页面的<自定义属性>按钮，在自定义属性页面点击按钮，配置属性名、按需填写缺省属性值，点击<确定>按钮即可添加属性。点击自定义属性对应按钮，即可删除自定义属性。最多支持管理10条自定义属性。

(7) 删除终端资产

勾选需要删除的终端资产信息并点击页面的<删除>按钮，然后在弹出的页面点击<确定>按钮即可完成资产的删除。

7.5 自定义大屏

7.5.1 业务简介

管理员可通过定制自定义大屏业务，将关心的网络数据统计图摆放完成后投放到监控屏幕中，便于日常工作中，随时查看最新的网络信息。

支持查看的统计数据包括：

· 智能运维：网络健康度、问题分布、AP数量、AP负载、终端接入信息、终端流量信息、告警信息等分析相关统计数据。

· 商业运营：整网健康度趋势、健康度排行、终端接入趋势、终端数量排行、组织架构、场所信息、终端厂商分布等商业运营相关统计数据。

图7-2 自定义大屏业务组件

7.5.2 业务定制

在左侧导航栏中选择“资产管理”，点击“资产管理”页签进入大屏系统首页，在左侧导航栏中选择“我的大屏”，而后在当前页面可创建大屏。创建完成后，鼠标悬停在大屏的封面图上后，可查看、编辑、克隆（复制）、删除大屏，同时支持为大屏添加备注和修改大屏名称。

每个账户最多创建10个大屏，父账户可查看子账户大屏。

点击“新建大屏”，管理员可使用智能运维模板、商业运营模板或直接使用空白模板，而后进入大屏编辑页面。在画布中可添加的组件类别有业务、文字、图片、时间以及辅助边框等。点击鼠标左键可将所选组件加入到画布中。

· 图层栏

在屏幕左侧的图层栏中，通过调整图层的层级顺序（上移、下移、置顶和置底）调整多个组件在画布中重叠时的优先显示顺序（图层在上时优先显示）。点击指定图层前的按钮，可显示/隐藏画布中该图层对应的组件。点击图层后，可在下拉框中查看该组件的数据源，若点击按钮，可删除该图层并从画布中移除对应的组件。

鼠标右键点选图层后，同样支持移动层级和删除图层操作。

· 画布

组件加入到画布后，可鼠标拖动、拉伸组件框，使得各组件按照管理员的需要摆放在画布中。

在画布中选择组件后可使用键盘上的“↑”、“↓”、“←”、“→”键对组件进行位置微调。

画布旁的坐标尺可辅助操作者对齐画布中的各个组件，点击横坐标尺或纵坐标尺可添加水平或垂直辅助线。水平辅助线可沿垂直方向上下移动，垂直辅助线可沿水平方向左右移动。双击辅助线可删除该辅助线。点击横、纵坐标尺交叉点的可显示/隐藏辅助线。

· 全局缺省设置

点击画布中的空白处，可在屏幕右侧的页面设置中设置全局缺省配置，修改此处的配置将影响画布中所有组件。

可调整的详细样式包括大屏主题、标题样式、组件标题文字、画布背景以及大屏系统首页的封面图。图片要求格式为JPG、JPEG或PNG，大小不超过2MB。

组件数据源可配置的项包括设备选择、时间范围以及数据刷新周期。若需要将当前大屏中所有组件的配置恢复成缺省配置，可使用“恢复缺省配置”功能。

· 组件设置

点击画布中的组件或者图层栏中的图层，可在屏幕右侧的组件设置框中设置组件的详细样式、数据源信息。

根据组件不同，可调整的详细样式包括组件标题名称、标题对齐方式、文字字号、组件位置或组件显示样式等。

根据组件不同，组件数据源可配置的项包括设备选择、时间范围以及数据刷新周期，以上三项配置默认使用全局缺省配置。

大屏中的组件摆放并设置完成后，点击屏幕右上角的“保存并预览大屏”即可查看大屏效果。

大屏定制完成后，将浏览器拖动到监控屏幕上后，使用快捷键可进入全屏模式（不同操作系统或浏览器的快捷键不同）。

7.6 License授权

部署完成后，需要获取License授权后才能正常使用。已购买产品的用户，使用软件授权函中包含的授权码进行后续注册流程。

平台通过License Server获得License授权，关于授权的申请和安装的详细过程，请参见《H3C 软件产品远程授权 License使用指南》。

7.6.1 获取License授权

在License Server上安装产品的授权后，只需在产品的License管理页面与License Server建立连接即可获取授权，操作步骤如下：

(1) 登录平台。

(2) 点击“系统”页签，在左导航树中选择“License”，进入License页面，如图7-3所示。

图7-3 License页面

(3) 配置如下信息：

¡ IP地址：License Server所在服务器的IP地址。

¡ 端口号：默认值为5555，与License Server授权服务端口号保持一致。

¡ 客户端名称：License Server中配置的客户端名称。

¡ 客户端密码：License Server中配置的客户端名称对应的密码。

(4) 点击<连接>按钮，与License Server建立连接，连接成功后可自动获取授权信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C AD-Campus MagicBox用户手册-5W103

目录

01-正文

1 基本配置与敏捷部署

1.1 首页

1. 场所

2. 分支

1. 导出场所

2. 导入场所

1. 场所标签简介

1.3 设备

1.3.3 设备的导入与导出

1. 导出设备

2. 导入设备

1.4 自动化开局

1. 场所概览

2.1.2 场所概览

1. 场所概览

2. 设备信息

3. AP明细

4. 终端列表

5. 网络拓扑

2.2 告警

2. 告警趋势

3. 告警级别

4. 告警类型TOP5

5. 告警信息

1. 基本信息

2. 设备上下线记录

3. CPU内存趋势

4. 速率监控

5. AP离线排行TOP10

6. 终端趋势

7. 流量

8. 面板信息

9. 设备日志

10. 日志告警

11. AP列表

12. 终端列表