飞连
飞连
文档指南
请输入
- 文档首页
飞连管理员指南网络准入入网配置实践教程H3C AC 网络准入配置指南
H3C AC 网络准入配置指南
文档反馈
问问助手您可以参考本指南将新华三 H3C 无线控制器(AC)接入飞连,并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网,以构建基于飞连的企业办公网络,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。
说明
在网络准入系统中,飞连提供 802.1X、Portal 和 MAB 认证服务,本指南仅作为配置参考,辅助飞连和网络控制器设备的联调对接,AC 设备上的配置原则上由企业管理员或者设备厂商完成。本指南的配置步骤、截图等可能会因为设备型号、版本不同而有所差异,具体以网络厂商官方为准。若遇到因 AC 配置或厂商特性导致的对接失败或非认证引入的入网异常,请优先咨询网络设备厂商进行定位。
注意事项
- 员工 Wi-Fi 区分 802.1x 认证协议、Portal 认证协议;访客 Wi-Fi 区分 AC 内置 Portal 服务、飞连 Portal 服务。请您根据实际业务场景,选择适用的方案配置员工 Wi-Fi 或访客 Wi-Fi。
- 本指南适用的 H3C 无线控制器的型号为 H3C WX3540X、H3C WX3510H、WX2510H-F。
配置员工 Wi-Fi(802.1x 认证协议)
配置流程图
步骤一:在飞连管理后台选择认证方式
- 登录飞连管理后台。
- 在左侧导航栏,选择网络准入 > 员工入网,并单击进入通用配置页签。
- 在页面右上角单击选择认证方式,确保已选中 802.1x 认证,并单击确定。
步骤二:在飞连管理后台添加 H3C 无线路由设备
登录飞连管理后台。
在左侧导航栏,选择网络准入 > 使用配置。
在网络设备页签,单击无线控制器。
在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面
参数配置
- 设备名称:自定义名称即可。
- 设备品牌:选择 h3c。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00通配 MAC 地址。 - CoA 端口:输入
3799。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置均可。
- 认证密码字段:保持默认或自定义设置均可。
步骤三:添加 SSID
在使用配置的 SSID 页签的员工 Wi-Fi 区域单击添加,添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。
步骤四:添加员工 Wi-Fi 入网权限
在左侧导航栏,选择网络准入 > 员工入网,并进入权限配置页签。
选择 802.1x 协议认证,并单击添加策略。
在添加 802.1x 权限组页面,完成以下配置,并在页面底部单击保存并生效。
配置项
配置说明
基本信息
- 权限组名称:自定义即可。
- 绝对优先级:设置当前权限组的优先级。取值范围为 0~100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
权限组策略
- 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。
生效范围
- 权限类型:勾选员工 Wi-Fi。
- 生效对象:按实际所需选择员工授权或者设备授权,并选择指定范围的员工或设备。
高级配置
- RADIUS 服务器:可用于响应认证信息的服务器,一般选择全部。
- 网络设备:权限组策略所生效的网络设备范围,按需选择。
- SSID:权限组策略所生效的 SSID 范围,按需选择。
说明
需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为
xx-xx-xx-xx-xx-xx:{SSID},部分设备需要在控制器手动设置,否则会影响入网 SSID 识别。
步骤五:在 H3C AC 中配置 RADIUS 方案
- 进入 H3C AC 管理界面。
- 在网络安全 > AAA > RADIUS 中完成基础配置。
认证服务器、计费服务器配置说明:- IP 地址/主机名:对应的 Radius Server IP 地址。
- 端口:默认情况下,认证端口 1812、计费端口 1813。
- 共享密钥:对应 AC 配置详情中的共享密钥。
- 状态:勾选活跃。
其中 IP 地址/主机名、端口、共享密钥需要参考飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的员工 Wi-Fi > 802.1x 协议认证的配置信息。
- 在网络安全 > AAA > RADIUS 中完成高级配置。
- 发送RADIUS报文使用的源IPv4地址:为保证认证和计费报文可被服务器正常接收并处理,设备发送 RADIUS 报文使用的源 IPv4 地址必须与 RADIUS 服务器上指定的接入设备的 IPv4 地址保持一致。
- 发送给RADIUS服务器的用户名格式:选择与用户输入一致。
步骤六:配置 ISP 域名,绑定 RADIUS 方案
进入网络安全 > AAA > ISP 域,配置 ISP 域名,并绑定 RADIUS 方案。
其中:
- 接入方式:选择 LAN接入。
- 认证、授权、计费:均选择 RADIUS,方案选择上一步步骤五:在 H3C AC 中配置 RADIUS 方案的 RADIUS 方案。
步骤七:开启 802.1X
- 进入网络安全 > 接入认证 > 802.1X,开启 802.1X。
- 单击右上角设置图标。
- 单击认证方法的下拉框,并选择 EAP。
步骤八(可选):配置动态授权
如果您需要在飞连管理后台配置使用动态控制功能,和 Wi-Fi 权限功能,则需要配置 H3C AC 动态授权。相关功能介绍请参见动态控制概述、管理网络使用权限。
说明
- 如果不配置 H3C AC 动态授权,在进行 Wi-Fi 降级时,需要设置重认证时间或者客户端主动断开重连 Wi-Fi。
- 如果配置 H3C AC 动态授权,能够配合动态控制的策略,实现对网络安全的实时控制。例如,当终端基线不符合要求时,主动告知 AC 调整该终端的入网权限。
使用 SSH 登录到命令行,配置 H3C AC 动态授权:
system-view radius dynamic-author server // client ip 配置为 Radius Server IP 地址,key simple 配置为共享密钥 client ip {Radius_ip} key simple {secret} port 3799
其中,{Radius_ip}需要配置为 Radius Server IP 地址,{secret} 需要配置为对应设备的共享密钥。你可以在飞连管理后台的网络准入 > 使用配置 > 网络设备中,参考已添加的 H3C AC 的详情页进行设置。
步骤九:创建无线服务,绑定对应 AP
- 进入无线配置 > 无线服务 > 无线服务配置,创建无线服务并绑定对应 AP。
- 在 WLAN 页签完成配置。
- SSID:SSID 的名称需要和飞连管理后台配置的 SSID 保持一致。
- 无线服务:勾选开启。
- 转发类型:如果 DHCP 由 AC 下发,选择集中式转发;如果由其他设备实现 DHCP 功能,选择本地转发。
- 在链路层认证页签完成配置。
- 认证模式:选择 802.1X 认证。
- 认证位置:选择 Local AC。
- 安全模式:选择 WPA2。
- 加密套件:选择所需的加密算法,例如 CCMP 或 TKIP 或 CCMP。
- 域名:选择已经配置好的 ISP 域。
- 在绑定页签,绑定对应的 AP。
配置员工 Wi-Fi(Portal 认证协议)
配置流程图
步骤一:在飞连管理后台选择认证方式
- 登录飞连管理后台。
- 在左侧导航栏,选择网络准入 > 员工入网,并单击进入通用配置页签。
- 在页面右上角单击选择认证方式,确保已选中 Portal 认证,并单击确定。
步骤二:添加 H3C 无线路由设备
在左侧导航栏,选择网络准入 > 使用配置。
在网络设备页签,单击无线控制器。
在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面
参数配置
- 设备名称:自定义名称即可。
- 设备品牌:选择 h3c。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00通配 MAC 地址。 - CoA 端口:输入
3799。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置均可。
- 认证密码字段:保持默认或自定义设置均可。
步骤三:在 H3C AC 中配置 RADIUS 方案
- 进入 H3C AC 管理界面。
- 进入网络安全 > 认证 > RADIUS > 修改RADIUS方案配置页,完成以下配置。
- IP 地址配置为 RADIUS Server 地址。如果仅有 FeiLian Server 镜像,则填写 FeiLian Server 地址。
- 认证服务器和计费服务器的端口和 FeiLian Server 上配置的保持一致。
- 共享密钥填写 Feilian Server 上配置的共享密钥
IP地址、端口、共享密钥信息可参考飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的员工 Wi-Fi 配置信息(需选择 Portal 协议认证)。
注意检查高级配置中发送实时计费更新报文的间隔和发送给 RADIUS 服务器的用户名格式,需要按如下图所示进行配置。
步骤四:配置 ISP 域名并绑定 RADIUS 方案
进入网络安全 > 认证 > ISP域 > 修改ISP域配置页,完成以下配置。
- 接入方式勾选 Portal。
- 认证、授权、计费均勾选 RADIUS,方案选择上一步步骤三:在 H3C AC 中配置 RADIUS 方案的 RADIUS 方案。
步骤五:配置 Portal 认证服务器
在网络安全 > 接入认证 > Portal 中,配置 Portal 认证服务器。
其中:
- IP地址:填写 Portal Server 服务器 IP 地址。
- 共享密钥:填写 Portal Server 服务器密钥。
在飞连管理后台的 WiFi 管理 > 使用配置 > Portal Server 配置获取 Portal 协议密钥。
- 服务器监听端口:保持默认 50100。
步骤六:配置 Portal Web 服务器
- 进入网络安全 > 接入管理 > Portal > 修改Portal Web服务器配置页,完成以下配置。
- URL 配置为
https://{hostname:port}/api/emgr/v1/wifi/portal/redirect/employee/ac_id,即在飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的员工 Wi-Fi > Portal 协议认证配置中的员工认证页面地址。注意
3.1.4 及之前版本还需在自定义参数内容中配置 apmac 参数。 apmac 参数必须和飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的 MAC 地址保持一致。
- URL 配置为
- 在修改本地Portal Web服务器配置页,缺省认证页面文件选择默认文件,TCP端口号保持默认 80。
- 在网络安全 > 接入管理 > Portal 配置页,添加免认证规则(确保连接上 guest Wi-Fi 以后,能够访问到 Portal 页面)。
免认证规则 IP 地址需要填写:- Portal 页面所在服务器(一般为 FeiLian Server IP 地址)
- AC 的 IP 地址
- DNS IP(能够解析 FeiLian Server 门户域名)
步骤七:创建无线服务并绑定对应 AP
- 进入无线配置 > 无线网络 > 无线网络 > 高级设置配置页,新建 SSID(与飞连管理后台员工 Wi-Fi SSID 一致)。
- 选择 IPv4 Portal 认证,选择配置好的 ISP 域名和 Portal Web 服务器。
- 选择需要绑定的 AP 或 AP 组。
- 进入 AC 终端命令行,运行以下命令。
system-view portal host-check enable portal user-logoff after-client-offline enable
步骤八(可选):重认证配置方法
说明
若无重认证需求,则无需配置。
- 在无线配置 > 无线网络 > 无线网络 > 高级设置配置页,对应 SSID 开启重认证功能。
- 在网络安全 > 访问控制 > 802.1X 配置页,设置重认证时间。
配置访客 Wi-Fi(AC 内置 Portal 服务)
配置流程图
步骤一:在飞连管理后台添加 H3C 无线路由设备
说明
如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。
登录飞连管理后台。
在左侧导航栏,选择网络准入 > 使用配置。
在网络设备页签,单击无线控制器。
在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面
参数配置
- 设备名称:自定义名称即可。
- 设备品牌:选择 h3c。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00通配 MAC 地址。 - CoA 端口:输入
3799。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置均可。
- 认证密码字段:保持默认或自定义设置均可。
步骤二:配置访客 SSID
在使用配置的 SSID 页签的访客 Wi-Fi 区域单击添加,添加一个 SSID。
- 访客 SSID 仅可添加一个。
- SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。
步骤三:在 H3C AC 中配置 RADIUS 方案
- 进入 H3C AC 管理界面。
- 进入网络安全 > 认证 > RADIUS > 修改 RADIUS 方案配置页,配置 RADIUS 方案。
- IP 地址配置为 RADIUS Server 地址。如果仅有 FeiLian Server 镜像,则填写 FeiLian Server 地址。
- 认证服务器和计费服务器的端口和 FeiLian Server 上配置的保持一致。
- 共享密钥填写 Feilian Server 上配置的共享密钥
IP地址、端口、共享密钥信息可参考飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的访客 Wi-Fi 配置信息。
注意检查高级配置中发送实时计费更新报文的间隔和发送给 RADIUS 服务器的用户名格式,需要按如下图所示进行配置。
步骤四:配置 ISP 域名并绑定 RADIUS 方案
- 进入网络安全 > 认证 > ISP域 > 修改ISP域配置页,完成以下配置。
- 接入方式勾选 Portal。
- 认证、授权、计费均勾选 RADIUS,方案选择上一步步骤三:在 H3C AC 中配置 RADIUS 方案的 RADIUS 方案。
步骤五:配置 Portal Web 服务器
- 进入网络安全 > 接入管理 > Portal > 修改Portal Web服务器配置页,完成以下配置。
- URL 配置为
https://{hostname:port}/api/emgr/v1/wifi/portal/redirect/guest/ac_id,即在飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的访客 Wi-Fi 配置中的访客认证页面地址。注意
3.1.4 及之前版本还需在自定义参数内容中配置 apmac 参数。 apmac 参数必须和飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的 MAC 地址保持一致。
- URL 配置为
- 在修改本地Portal Web服务器配置页,缺省认证页面文件选择默认文件,TCP端口号保持默认 80。
- 在网络安全 > 接入管理 > Portal 配置页,添加免认证规则(确保连接上 guest Wi-Fi 以后,能够访问到 Portal 页面)。
免认证规则 IP 地址需要填写:- Portal 页面所在服务器(一般为 FeiLian Server IP 地址)
- AC 的 IP 地址
- DNS IP(能够解析 FeiLian Server 门户域名)
步骤六:创建无线服务并绑定对应 AP
- 进入无线配置 > 无线网络 > 无线网络 > 高级设置配置页,新建 SSID。
- 选择 IPv4 Portal 认证,选择配置好的 ISP 域名和 Portal Web 服务器。
- 选择需要绑定的 AP 或 AP 组。
- 进入 AC 终端命令行,运行以下命令。
system-view portal host-check enable portal user-logoff after-client-offline enable
步骤七(可选):重认证配置方法
说明
若无重认证需求,则无需配置。
- 在无线配置 > 无线网络 > 无线网络 > 高级设置配置页,对应 SSID 开启重认证功能。
- 在网络安全 > 访问控制 > 802.1X 配置页,设置重认证时间。
配置访客 Wi-Fi(飞连 Portal 服务)
准备工作
- 准备一个域名可解析到 Portal Server IP(即对应工区 Radius Server IP)。
- 准备 Nginx 证书的 .crt 及 .key 文件。
- Portal Server 服务机器需要与 AC 互通,AC 端默认端口 UDP 2000,Portal Server 端口 UDP 50100,访客网络需要能够访问 Portal Server TCP 9100。
- 连接终端获取的访客业务 VLAN 网络权限需要能够访问
Portal server ip:9100,以及飞连访客 Web 地址:https://{hostname}.ifeilian.cn/api/emgr/v1/wifi/portal/redirect/guest/:ac_id。
配置流程图
步骤一:在飞连管理后台配置访客认证(对接 Portal Server)
- 登录飞连管理后台。
- 在左侧导航栏,选择网络准入 > 使用配置。
- 在网络设备页签内,找到已配置好的 H3C 无线控制器,并进入详情页。
- 在设备详情页,单击访客 Wi-Fi 页签。
- 单击以下配置项的编辑图标,完成访客 Wi-Fi 界面配置。
- 访客认证信息信息接收地址:地址格式为
https://域名:9100/login。 - 访客认证用户名字段:username
- 访客认证密码字段:password
- 访客认证信息信息接收地址:地址格式为
- 配置访客 Portal Server。
- 返回使用配置页面,单击 Portal Server 页签。
- 找到已配置好的 H3C 无线控制器,在右上角单击编辑。
- 在详情页配置以下信息,并单击确定。
- Portal 认证服务器名称:自定义即可。
- 无线控制器对接地址:地址格式为
ac_ip:2000(无特殊需求端口为 2000)。说明
此对接地址是没有拿到 NAS IP 兜底通讯的 IP,如果需要一个外置 Portal 能对接多个 AC,跳转认证的 URL 地址请携带 NAS IP 参数。
- Portal 服务端口:TCP 9100(无特殊需求端口默认即可)。
- Portal 协议端口:UDP 50100(无特殊需求端口默认即可)。
- Portal 协议版本:支持 Portal 协议 v1、v2,目前多数 AC 品牌主要使用 v2 版本。
- 认证协议类型:支持 PAP、CHAP,目前多数 AC 品牌两种协议类型都支持,任选其一即可。
- 认证成功跳转地址:访客 Wi-Fi 认证成功后,Web 界面跳转的地址,一般多配置为企业官网。
- 认证失败跳转地址:访客 Wi-Fi 认证失败后,Web 界面跳转的地址,一般多配置为 Web 认证页面,格式示例:
https://{hostname:port}/api/emgr/v1/wifi/portal/redirect/guest/ac_id。
- 返回使用配置页面,单击 Portal Server 页签。
步骤二:在 Portal Server 配置域名证书
上传 Nginx 证书的 .crt 以及 .key 文件到 Portal Server 节点上。
scp 本地路径 服务器路径 eg: scp /Users/***/Desktop/xxx.crt corplink@****:/opt/SSH 连接到 Portal Server 节点,并修改配置文件。
sudo -s vi /opt/feilian/radius/conf/config.yaml // 修改 Radius 配置文件,添加参数如下参数 portal: https_cert: "/opt/xxx.crt" https_key: "/opt/xxx.key" // 重启 feilian-radius 服务 systemctl restart feilian-radius
步骤三:在 H3C AC 中配置 RADIUS 方案
- 进入 H3C AC 管理界面。
- 在网络安全 > AAA > RADIUS 完成基础配置。
认证服务器、计费服务器配置说明:- IP 地址/主机名:对应的 Radius Server IP 地址。
- 端口:默认情况下,认证端口 3812、计费端口 3813。
- 共享密钥:对应的 AC 配置详情中的共享密钥。
- 状态:勾选活跃。
其中 IP 地址/主机名、端口、共享密钥需要参考飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的 H3C AC 的访客 Wi-Fi 配置信息。
- 在网络安全 > AAA > RADIUS 中完成高级配置。
- 发送RADIUS报文使用的源IPv4地址:为保证认证和计费报文可被服务器正常接收并处理,设备发送 RADIUS 报文使用的源 IPv4 地址必须与 RADIUS 服务器上指定的接入设备的 IPv4 地址保持一致。
- 发送给RADIUS服务器的用户名格式:选择与用户输入一致。
步骤四:配置 ISP 域名,绑定 RADIUS 方案
进入网络安全 > AAA > ISP 域,配置 ISP 域名,并绑定 RADIUS 方案。
其中:
- 接入方式:选择 Portal。
- 认证、授权、计费:均选择 RADIUS,方案选择上一步骤建的 RADIUS 方案。
- 用户闲置切断时间:启用闲置切断功能,即指定分钟内无流量进行老化,用于实现用户自动下线功能。
步骤五:配置 Portal
- 在网络安全 > 接入认证 > Portal 中,配置 Portal Web 服务器。
其中:- URL:配置为
https://{hostname:port}/api/emgr/v1/wifi/portal/redirect/guest/ac_id。 - URL 携带的参数:需要添加 apmac(3.1.4 及之前版本需配置,3.1.5 及之后版本无需配置)、userip 和 nasip,其中,
- apmac:对应飞连管理后台配置的 AC 的 Mac 地址。
- nasip:对应飞连管理后台配置的 AC 的 IP 地址。
- URL:配置为
- 在网络安全 > 接入认证 > Portal 中,配置 Portal 认证服务器。
其中:- IP地址:填写外置 Portal Server 服务器 IP 地址。
- 共享密钥:外置 Portal Server 服务器密钥。
在飞连管理后台的 WiFi 管理 > 使用配置 > Portal Server 配置获取 Portal 协议密钥。 - 服务器监听端口:保持默认 50100。
- 在网络安全 > 接入认证 > Portal 中,配置免认证规则。需要加到免认证规则的目标:
说明
在网络核心设备上也需要提前放通访客 VLAN 权限(AC IP、DNS、Radius、飞连服务器内外网 IP)。
- Portal 页面所在服务器(一般为 FeiLian Server IP 地址)
- Portal Server IP 地址
- Radius Server IP 地址
- DNS 地址
- AC IP 地址
步骤六:创建无线服务,绑定对应 AP
- 进入无线配置 > 无线服务 > 无线服务配置,创建无线服务并绑定对应 AP。
- 在 WLAN 页签完成配置。
- SSID:Guest SSID 名称。
- 无线服务:勾选开启。
- 转发类型:如果 DHCP 由 AC 下发,选择集中式转发;如果由其他设备实现 DHCP 功能,选择本地转发。
- 在链路层认证页签完成配置。
- 认证模式:选择 IPv4 Portal认证。
- 认证位置:选择 Local AC。
- 域名:选择已经配置好的 ISP 域。
- Web服务器名称:选择已经创建好的 Portal 服务器。
- 在绑定页签,绑定对应的 AP。
配置无线哑终端入网
注意事项
- 无线哑终端的认证、计费端口为 1812、1813 端口。
- 在飞连管理后台创建的交换机,AC 添加认证服务器 RADIUS 时,认证、计费端口填写为 1812、1813;密钥填写新建的交换机的共享密钥。
配置流程图
步骤一:在飞连管理后台添加 H3C 无线路由设备
说明
如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。
登录飞连管理后台。
在左侧导航栏,选择网络准入 > 使用配置。
在网络设备页签,单击无线控制器。
在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面
参数配置
- 设备名称:自定义名称即可。
- 设备品牌:选择 h3c。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00通配 MAC 地址。 - CoA 端口:输入
3799。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置均可。
- 认证密码字段:保持默认或自定义设置均可。
步骤二:增加哑终端设备信息
- 在左侧导航栏,进入网络准入 > 哑终端入网页面。
- 在设备列表页签,单击右侧添加设备。
- 在添加哑终端设备弹窗,完成以下配置,并单击完成。
其中,MAC 地址需配置为xx:xx:xx:xx:xx:xx格式的哑终端设备 MAC 地址。其他配置项根据实际需要自定义配置即可。
步骤三:配置哑终端授权
- 返回哑终端入网页面,单击使用授权页签,并在右侧单击添加策略。
- 在添加权限组页面,完成以下配置,并单击确定。
其中权限组策略需要:- 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。
其他配置项根据实际需要自定义配置即可。
步骤四:在 H3C AC 中配置 RADIUS 方案
- 进入 H3C AC 管理界面。
- 在网络安全 > AAA > RADIUS 完成基础配置。
认证服务器、计费服务器配置说明:- IP 地址/主机名:输入所对接的 Radius Server IP 地址。
- 端口:默认情况下,认证端口 1812、计费端口 1813。
- 共享密钥:AC 配置详情中的共享密钥。
- 状态:勾选活跃。
其中 IP 地址/主机名、端口、共享密钥需要参考飞连管理后台网络准入 > 使用配置 > 网络设备中,已添加的H3C AC 配置信息。
- 在网络安全 > AAA > RADIUS 中完成高级配置。
- 发送RADIUS报文使用的源IPv4地址:为保证认证和计费报文可被服务器正常接收并处理,设备发送 RADIUS 报文使用的源 IPv4 地址必须与 RADIUS 服务器上指定的接入设备的 IPv4 地址保持一致。
- 发送给RADIUS服务器的用户名格式:选择与用户输入一致。
步骤五:配置 ISP 域名,绑定 RADIUS 方案
进入网络安全 > AAA > ISP 域,配置 ISP 域名,并绑定 RADIUS 方案。
其中:
- 接入方式:选择 LAN接入。
- 认证、授权、计费:均选择 RADIUS,方案选择上一步骤建的 RADIUS 方案。
步骤六:创建无线服务,绑定对应 AP
- 进入无线配置 > 无线服务 > 无线服务配置,创建无线服务并绑定对应 AP。
- 在 WLAN 页签完成配置。
- SSID:填写配置在飞连管理后台的哑终端 SSID 名称。
- 无线服务:勾选开启。
- 转发类型:如果 DHCP 由 AC 下发,选择集中式转发;如果由其他设备实现 DHCP 功能,选择本地转发。
- 在链路层认证页签完成配置。
- 认证模式:选择 MAC 地址认证。
- 认证位置:选择 Local AC。
- 域名:选择已经配置好的 ISP 域。
- 在绑定页签,绑定对应的 AP。
常见问题
网络准入配置过程中遇到报错,如何做基本的故障检查?
你可以通过以下操作依次排查入网配置是否有问题:
- 检查 AC 和 Portal 服务器的用户名和密码字段是否配置一致。
例如,H3C 默认用户名为 username、默认密码为 password。 - 检查 Portal 外置服务器的配置是否正确。
- 检查白名单是否配置了 Portal 服务器的 IP。
如何设置无线逃生方案?
无线 802.1X 认证方式不支持认证服务器 Down 的逃生。此场景可以通过配置 Open 的 SSID,在认证服务器 Down 时触发激活,用于用户选择临时逃生接入网络。配置参考:
# wlan service-template Feilian-staff // 在开启 802.1X 认证的服务模板下启用逃生功能,keep-online 为可选参数(未携带则逃生状态用户全部下线) fail-permit enable keep-online wlan service-template Feilian-open ssid Feilian-open vlan $VlanId client forwarding-location ap fail-permit template service-template enable quit #
配置无线逃生后的预期效果如下图所示:
配置访客 Wi-Fi 后,入网报错 Portal http requet do not contain arg userip 如何处理?
- 问题原因:Portal HTTP 请求 URL 中,没有携带 userip 参数。
- 解决方案:需要在配置 H3C AC 访客 Wi-Fi 的 Portal 时,确保携带 userip 参数。详情参见上文步骤五:配置 Portal。
访客 Wi-Fi 外置 Portal Server 场景中,连接访客 Wi-Fi 时输入账号密码登录失败(例如无法登录,会弹回到 Portal 登录页面)如何处理?
- 问题原因:Portal Server 向网络设备发送了 Portal 认证消息(PAP/CHAP),但是 AC 没有给 Radius Server 发送认证请求,认证交互过程在这个步骤终止。这是因为部分 AC 默认会限制外置 Portal 认证服务的请求,导致 Portal 认证服务对接无响应。
- 解决方法:H3C 需要执行
portal host-check enable命令,在 AC 中开启 Portal 对接功能。
最近更新时间:2025.09.28 17:31:15
这个页面对您有帮助吗?
有用
有用
无用
无用