本文旨在为 IT 管理员提供一系列办公网络配置的教程。企业管理员可以借鉴本文内容，根据各自企业的具体需求，定制并实施飞连 Wi-Fi 功能的相关设置。

飞连提供自研 RADIUS 组件完成入网的认证计费对接，可支持对接 802.1X 认证协议的网络设备，保证入网的安全性。此外，对于提高入网便捷性，飞连提供了 Portal 入网方式，摆脱了对飞连客户端的依赖，完成一键入网。
在飞连管理后台的 Wi-Fi 管理功能中，支持配置企业 Wi-Fi 网络以及有线网络和管理企业内所有员工的办公入网权限。当您根据企业实际办公环境，在飞连中配置好 Wi-Fi 网络或者有线网络后，员工即可在办公网络覆盖范围内通过飞连客户端一键连接办公网络。

方案一：配置员工 Wi-Fi （无线控制器以 H3C 为例）

场景介绍

在数字化办公环境中，企业对网络安全和便捷性的需求日益增长。飞连提供的 802.1X 认证方案，确保网络接入的安全性，并通过简化的一键入网流程，提升员工的工作效率。员工可以通过飞连客户端，在任何办公网络覆盖的地点，快速且安全地接入企业网络。
本场景介绍了 Wi-Fi 网络 802.1x 认证接入的配置，您需要分别在飞连管理后台以及本地的无线控制器设备中进行配置。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 在 Wi-Fi 管理功能模块，添加 RADIUS 服务器、无线路由以及 SSID。
   具体操作，请参见使用配置。
3. 进入本地无线控制器设备（以 H3C 为例）的管理界面，配置 RADIUS 方案。
   1. 在左侧导航栏，选择网络安全 ＞ 认证。
   2. 单击 RADIUS 页签，并单击加号（＋）。
      
   3. 添加 RADIUS 方案。
      
      • 如上图所示配置的 1812、1813 端口，需要和飞连管理后台配置的 RADIUS 节点中的员工 Wi-Fi 端口保持一致。
        
      • 如上图所示配置的共享密钥，需要在飞连管理后台配置的无线路由中获取。
        
4. 在无线控制器中配置 ISP 域名，并绑定 RADIUS 方案。
   1. 在网络安全 ＞ 认证页面，单击 ISP 域页签。
   2. 单击加号（＋），配置 ISP 域名。
      
   3. 在指定域名的操作列，单击编辑图标，然后绑定 RADIUS 方案。
      
5. 在无线控制器中开启 802.1x 认证，并设置认证方法为 EAP。
   1. 在左侧导航栏，选择网络安全 ＞ 访问控制，单击开启 802.1X。
      
   2. 在页面右上角单击设置图标。
      
   3. 在认证方法区域，设置为 EAP。
      
6. （可选）在无线控制器中配置动态授权。
   如果您购买飞连时，选购了 Wi-Fi 准入动态控制功能，并在飞连管理后台配置了动态控制的规则组，规则组内设置了 Wi-Fi 相关的触发条件与处置规则，则您必须在本地的无线控制器中完成动态授权配置。

   说明

   • 如果您没有在无线控制器中配置动态授权，则当飞连对指定终端进行 Wi-Fi 降级时，需要在无线控制器中进行重认证或者在飞连客户端主动断开 Wi-Fi 连接并重连。
   • 如果您在无线控制器中配置动态授权，则可以实现终端触发动态控制的规则组时，由飞连主动告知无线控制器调整其权限。

   1. 使用 SSH 登录无线控制器。

   2. 在命令行中运行以下命令进行配置。

      system-view
      radius dynamic-author server
      client ip <RADIUS 服务器 IP 地址> key simple <共享密钥>
      port 3799
      

      • <RADIUS 服务器 IP 地址>在飞连管理后台相应的 RADIUS 节点中获取。
        
      • <共享密钥>在飞连管理后台相应的无线路由中获取。
        
7. 在无线控制器中创建无线服务，绑定对应的接入点设备。
   1. 在左侧导航栏，选择无线配置 ＞ 无线网络。
   2. 在无线网络页签，单击加号（＋）。
      
   3. 新增无线服务。
      
   4. 在高级设置中，绑定接入点设备。
      

操作结果

配置完成后，员工只需打开飞连客户端，一键点击即可连接到企业 Wi-Fi，无需进行繁琐的认证步骤。

方案二：配置有线网络（交换机以 H3C 为例）

场景介绍

本场景中对有线网络进行 802.1x 认证配置接入，以实现网络准入效果。您需要分别在飞连管理后台以及本地的交换机中进行配置。

• 在飞连管理后台，添加 RADIUS 节点、交换机以及 SSID。
• 在本地交换机上，需要依次配置 RADIUS 服务器、配置 ISP 域、开启 802.1x、端口配置 802.1x、端口配置基于 MAC 地址的接入控制、端口开启逃生 VLAN、端口开启 Guest VLAN、开启 COA。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 在 Wi-Fi 管理功能模块，添加 RADIUS 服务器、无线路由以及 SSID。
   具体操作，请参见使用配置。
3. 通过 SSH 登录本地交换机。
4. 在交换机的命令行，依次执行以下命令，完成配置。

   1. 配置交换机 RADIUS 服务器。

      [H3C]radius scheme feilian_rd        #创建 radius 方案并进入其视图。
      [H3C-radius-feilian_rd]primary authentication 127.0.0.1 2812 #配置主认证服务器 IP 地址与端口。
      [H3C-radius-feilian_rd]key authentication admin@123          #配置认证共享秘钥。
      [H3C-radius-feilian_rd]primary accounting 127.0.0.1 2813     #配置主计费服务器 IP 与端口。
      [H3C-radius-feilian_rd]key accounting admin@123              #配置计费共享秘钥。
      [H3C-radius-feilian_rd]timer realtime-accounting 5           #配置计费周期。
      [H3C-radius-feilian_rd]user-name-format without-domain       #发送给服务器的用户名不带域名。
      [H3C-radius-feilian_rd]quit
      

   2. 配置 ISP 域。

      [H3C]domain feilian_ad             #创建域并进入视图。
      [H3C-isp-feilian_ad]authentication lan-access radius-scheme feilian_rd  #配置 802.1x 使用 radius 方案进行认证与授权。
      [H3C-isp-feilian_ad]authorization lan-access radius-scheme feilian_rd
      [H3C-isp-feilian_ad]accounting lan-access radius-scheme feilian_rd    #配置计费方案为 feilian_radius。
      [H3C-isp-feilian_ad]quit                        
      

   3. 全局开启 802.1x。

      [H3C]dot1x                              #开启全局 802.1x 特性。
      [H3C]dot1x authentication-method eap    #开启 eap 中继模式。
      

   4. 端口配置 802.1x。

      [H3C]interface Ethernet 1/0/1                        #进入指定端口视图。
      [H3C-Ethernet1/0/1]port link-type hybrid             #建议使用 hybrid 端口类型以支持动态 vlan。
      [H3C-Ethernet1/0/1]mac-vlan enable
      [H3C-Ethernet1/0/1]dot1x                             #端口开启 1x 认证。
      [H3C-Ethernet1/0/1]dot1x port-method macbased        #端口模式使用 mac-based 以支持多终端接入。
      [H3C-Ethernet1/0/1]undo dot1x handshake              #建议开启，避免终端频繁握手重连。
      [H3C-Ethernet1/0/1]undo dot1x multicast-trigger      #建议开启，避免终端频繁认证。
      [H3C-Ethernet1/0/1]dot1x unicast-trigger             #建议开启，缩短 1x 认证触发时间。
      [H3C-Ethernet1/0/1]dot1x mandatory-domain feilian_ad #配置端口强制使用的认证域，如果不配则使用全局默认域。
      [H3C-Ethernet1/0/1]quit
      

   5. 端口下配置基于 MAC 地址的接入控制。

      [H3C]mac-authentication                        #开启全局 MAC 认证特性。
      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]mac-authentication          #开启此端口 MAC 地址认证。
      [H3C-Ethernet1/0/1]mac-authentication domain feilian_ad   #配置 MAC 认证时强制使用的认证域，如果不配则使用全局默认域。
      [H3C-Ethernet1/0/1]quit
      [H3C]dot1x timer supp-timeout 30 #设置 802.1x 认证超时时间，即 M无线控制器 认证开始的时间。
      

   6. 端口开启逃生 VLAN。

      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]port hybrid vlan 100 untagged  #此处举例 vlan 100 为逃生 vlan。
      [H3C-Ethernet1/0/1]dot1x critical vlan 100
      [H3C-Ethernet1/0/1]quit
      

   7. 端口开启 Guest VLAN。

      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]port hybrid vlan 0 untagged
      [H3C-Ethernet1/0/1]dot1x guest-vlan 0
      [H3C-Ethernet1/0/1]quit
      

   8. 开启 COA。

      [H3C]radius dynamic-author server
      [H3C]client ip 127.0.0.1  key simple admin@123
      

操作结果

配置完成后，员工即可使用公司的有线网络，无需进行繁琐的认证步骤。

场景介绍

为了满足不同企业对网络接入方式的多样化需求，飞连提供了基于 Portal 的入网方案。该方案适合希望保留传统登录习惯，同时提升登录便捷性的企业。通过 Portal 入网，员工可以在连接 Wi-Fi 后，通过一个简单的网页界面完成认证，即可使用网络服务。

操作步骤

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 ＞ 员工入网。

3. 在员工入网页面，单击通用配置页签。

4. 在通用配置页面右上角，您可以单击选择认证方式，添加 Portal 认证或切换至 Portal 认证。

   说明

   飞连支持同时启用 802.1x 认证协议和 Portal 认证协议。关于 Portal 认证配置，请参见管理 Portal 认证员工入网。

5. 在 Portal 认证协议右侧单击展开，并在展开页的右上角单击编辑，您可以调整以下配置，并单击保存。
   

   配置项	说明
   员工入网认证方式配置	单击修改后，页面会自动跳转至账号配置中的身份认证页签，具体配置方法，详见配置飞连账号体系。 说明 仅 Portal 认证协议支持员工入网认证方式配置。
   员工入网认证时，触发二次认证	单击修改后，页面会自动跳转至账号配置中的多因素认证页签。具体操作，请参考配置多因素认证。
   员工 Portal 认证，检测登录飞连桌面端	开启功能：开启后，在员工进行 Portal 认证前，系统会检测员工是否安装或登录飞连桌面端。若检测到员工未安装或登录飞连桌面端，员工可以联系指定管理员。 管理员：输入管理员姓名，仅支持设置一位。设置后，当系统检测到员工未安装或登录飞连桌面端，会提示员工联系该管理员（如下图）；若不设置，则不会显示该提示。
   设备认证有效期 （需单击高级策略，才可查看该配置项。）	选择设备认证有效期，默认 7 天，可选 1 天、3 天或 7 天。

操作结果

部署 Portal 入网方案后，员工在连接 Wi-Fi 时将自动弹出登录页面。他们可以使用企业分配的账号信息，或者通过短信验证码等方式快速登录，整个过程无需下载客户端。

场景介绍

飞连为企业提供了一个既安全又便捷的访客入网解决方案，通过区分员工和访客的 SSID，确保了企业网络的安全，同时也优化了访客的上网体验。飞连支持访客入网和员工入网的同时配置，只需要设置不同 SSID 以及后台的对接配置。访客接入飞连访客 Wi-Fi 时，支持多种登录方式：

• 短信发送账密，访客无需再手动输入复杂账密。
• 员工协助扫码，访客只需要展示二维码即可完成登录。
• 短信自助认证，访客输入手机号即可完成自助认证，为访客提供高自由度。

操作步骤

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 ＞ 访客入网。

3. 在访客入网页面，单击通用配置页签。

4. 在页面右上角单击编辑，完成以下配置，并单击保存。

   配置项	说明
   访客 Wi-Fi 名称	自定义名称，用于标识当前访客 Wi-Fi。
   员工申请/认证访客权限	设置可以申请或认证访客权限的员工范围，可选全体成员或部分成员。如果选择部分成员，则需要以部门、人员或角色维度添加生效范围。
   访客认证协议类型（生效至全部路由器）	可选 Portal 认证或者 PEAP 认证，其中 Portal 认证支持员工扫码协助的认证方式。
   访客认证方式	选择 Portal 认证后，访客认证方式支持账号密码或者扫码。选择 PEAP 认证后，访客认证方式仅支持账号密码。认证方式说明： 账号密码：访客输入账号密码的方式连接 Wi-Fi。设置该方式后，还需要指定账号密码的通知方式，可选： 短信通知：发送短信告知访客账号与密码。 申请人员自行通知：员工申请访客 Wi-Fi 权限后，自行通知访客账号与密码。 扫码：员工申请访客 Wi-Fi 权限后，可通过飞连移动端扫码协助访客连接 Wi-Fi。 短信自助认证：访客到访后，可通过输入手机号获取短信验证码的方式自助认证访客 Wi-Fi。使用该方式时您需要注意： 该方式不需要员工申请或认证访客权限，且因为每次认证均通过手机号码短信验证的方式，所以访客账号密码通知方式、有效时长配置项也不生效于该方式。如果您只选择了短信自助认证方式，则访客账号密码通知方式、有效时长配置项会自动隐藏。 该方式收录的访客信息包含访客手机号和来访时间。
   收录访客信息	开启该功能后，可选访客手机号、来访时间、来访原因，支持多选。选择后访客连接 Wi-Fi 时飞连会收录访客信息，并展示在访客入网的申请记录页面。

操作结果

通过飞连的访客入网配置，访客将能够通过简单的短信验证、二维码扫描或自助认证等方式，快速获得网络访问权限。

场景介绍

为已部署 Microsoft AD 的企业，飞连提供一种无缝的网络接入方案。员工可通过单一 SSID 使用其 AD 域账号和密码接入企业网络。此方案利用 Windows 身份验证组件和协议，将身份验证请求转发至 AD 域进行校验，确保只有完全匹配的账户才能成功认证。

操作步骤

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 ＞ 员工入网。

3. 在员工入网页面，单击通用配置页签。

4. 在 802.1x 认证协议右侧单击展开，并在展开页的右上角单击编辑，您可以调整以下配置，并单击保存。
   

   配置项	说明
   认证方式	主账号形式：可选员工 ID、员工手机号或者员工邮箱。只能选择一种账号形式，默认向所有员工展示主账号。 备账号形式：除主账号形式外，您可勾选剩余两种备选账号形式。若员工未设置主账号形式，将按优先级依次展示备账号 1 和备账号 2。 WindowsAD 账号： 开启功能：开启后，飞连将新增 WindowsAD 账号作为入网认证方式，员工可以同时使用飞连账号和 WindowsAD 账号连接网络。 生效对象：您可以单击去设置调整 WindowsAD 账号生效对象范围。 说明 启用 WindowsAD 作为员工 Wi-Fi 的认证方式，您需要先完成 Windows AD 账号的同步设置。具体操作，请参考同步第三方数据源。 员工使用飞连客户端进行一键入网认证时，员工 ID、手机号或邮箱地址将作为 Wi-Fi 账号名显示。其中，员工 ID 是指用户的唯一标识，在飞连账号源下，飞连默认会自动生成员工 ID，您可以编辑员工 ID。具体信息，请参考管理员工。
   员工入网指引配置	如果您是首次设置员工入网功能，单击高级策略区域下方的立即配置，了解完整的入网流程，并根据弹窗中的指引完成配置。
   隐藏员工 Wi-Fi 与有线网络密码 （需单击高级策略，才可查看该配置项。）	开启该功能后，员工无法通过飞连客户端获取入网账号的密码，仅可以查看账号，支持通过客户端一键连接入网。此外，您可以设置管理员。管理员设置效果说明： 设置管理员后信息会被展示在飞连客户端，员工可联系管理员索要密码。 不设置管理员，飞连客户端内不会展示管理员信息。
   Windows 有线网络识别方式 （需单击高级策略，才可查看该配置项。）	配置 Windows 操作系统内有线网络连接后的生效账户。 如果选择所有系统账户生效，则网络权限根据联网设备识别，切换系统账号不影响网络连接状态。 如果选择当前系统账户生效，则网络权限根据系统账号识别，切换系统账号需重新连接网络。
   连接员工网络后，忘记访客网络 SSID （需单击高级策略，才可查看该配置项。）	开启该功能后，需要添加指定的访客 Wi-Fi SSID。当员工一键连接企业员工网络后，会自动忘记访客 Wi-Fi SSID，忘记后不会再主动连接该 Wi-Fi。
   获取入网凭证时，触发二次认证 （需单击高级策略，才可查看该配置项。）	单击修改后，页面会自动跳转至账号配置中的多因素认证页签，具体配置方法，详见配置多因素认证。
   定制员工入网文案 （需单击高级策略，才可查看该配置项。）	单击前往配置后，页面会自动跳转至定制员工入网文案页面，具体配置方法，详见定制员工入网文案。

操作结果

完成 AD 域账号入网配置后，员工可以使用他们熟悉的 AD 账号和密码，通过飞连系统进行网络认证。

方案一：将 RADIUS 服务部署在公有云，对外暴露认证与计费端口

场景介绍

对于拥有多个办公地点的企业，实现网络入网的统一管理和认证是一个挑战。飞连提供的统一入网认证解决方案，无论是通过公有云部署 RADIUS 服务，并对外网开放认证和计费端口，还是企业各个办公区分别配置无线控制器设备或者交换机，并关联 RADIUS 服务器开放的认证与计费端口，都能够实现入网的统一管理。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 在 Wi-Fi 管理功能模块下，配置 RADIUS 节点。
3. 分别在不同的办公区配置无线路由（或者交换机）以及 SSID。
   Wi-Fi 网络和有线网络的配置方式有所不同：
   • 在 RADIUS 节点下配置与办公区数量一致的无线路由和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作，请参见添加无线路由和添加 RADIUS 服务器。
   • 在 RADIUS 节点下配置与办公区数量一致的交换机和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作，请参见添加交换机和添加 RADIUS 服务器。

   说明

   当您为有线网络配置交换机时，802.1x 认证需要在接入层进行配置，而不是在汇聚层与核心层配置，以保证交换机能与飞连的 RADIUS 节点正常通信。

操作结果

部署完成后，企业将拥有一个集中管理的网络认证系统。无论是通过云部署还是本地部署 RADIUS 服务，员工都能在任何办公地点通过飞连客户端一键入网。

方案二：将 RADIUS 服务部署在各个办公区

场景介绍

在多地办公的企业环境中，确保网络的一致性和安全性是至关重要的。飞连提供的解决方案允许企业在每个办公地点独立部署 RADIUS 服务节点，实现本地化的网络认证和管理。这种分布式部署策略不仅能够降低对中央服务器的依赖，还能提高网络的响应速度和可靠性，确保即使在网络分区或故障情况下，各个办公区的网络服务也能独立运行，保障业务连续性。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 配置 RADIUS 节点、无线路由（或者交换机）以及 SSID。
   1. 在各个办公区配置相应的 RADIUS 节点。
   2. 在各个办公区的 RADIUS 节点下，配置无线网络（或者交换机）以及 SSID。
      Wi-Fi 网络和有线网络的配置方式有所不同：
      • 在 RADIUS 节点下配置无线路由和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作，请参见添加无线路由和添加 RADIUS 服务器。

        说明

        在各个办公区本地的无线控制器设备中配置 RADIUS 服务时，需要填写本地办公区 RADIUS 节点的相关信息。

      • 在 RADIUS 节点下配置交换机和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作，请参见添加交换机和添加 RADIUS 服务器。

操作结果

部署完成后，每个办公区都将拥有自己的 RADIUS 服务节点，负责处理该区域内所有设备的认证请求。员工在各自的办公地点使用飞连客户端进行一键入网时，认证请求将直接发送到本地 RADIUS 服务节点，从而实现快速认证和网络接入。

方案三：将 RADIUS 服务部署在其中一个办公区（内网不互通的情况）

场景介绍

在某些企业中，可能由于安全策略或网络架构的限制，不同办公区之间的网络并不互通。针对这种情况，飞连提供的解决方案是在其中一个中心办公区部署 RADIUS 服务节点，并将其认证和计费端口对外网暴露，以供其他办公区远程接入和认证。这样，即使在内网不互通的情况下，也能实现统一的网络认证和管理。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 在指定办公区下配置 RADIUS 节点。
3. 分别在不同的办公区配置无线路由（或者交换机）以及 SSID。
   Wi-Fi 网络和有线网络的配置方式有所不同：
   • 在 RADIUS 节点下配置与办公区数量一致的无线路由和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作，请参见添加无线路由和添加 RADIUS 服务器。
   • 在 RADIUS 节点下配置与办公区数量一致的交换机和 SSID，并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作，请参见添加交换机和添加 RADIUS 服务器。

   说明

   当您为有线网络配置交换机时，802.1x 认证需要在接入层进行配置，而不是在汇聚层与核心层配置，以保证交换机能与飞连的 RADIUS 节点正常通信。

操作结果

通过这种配置，所有远程办公区的网络设备将通过安全的 VPN 连接或其他加密通道，将认证请求发送到中心办公区的 RADIUS 服务节点。一旦认证成功，员工便能获得网络访问权限。

场景介绍

为了提高企业网络的稳定性和可靠性，在飞连管理后台配置两个 RADIUS 节点，并对应的在本地无线控制器设备（以 Huawei AP3050DE 为例）添加服务器模板并配置主备模式。这种配置可以在主 RADIUS 服务器出现故障时，自动切换到备用服务器，确保网络认证服务的连续性，以增强企业 Wi-Fi 网络的稳定性。

操作步骤

1. 登录飞连管理后台。
   您需要使用企业管理员账号登录飞连管理后台。
2. 在 Wi-Fi 管理功能模块，配置两个 RADIUS 节点。
   两个 RADIUS 节点将对应您本地路由设备的主备 RADIUS。关于添加 RADIUS 节点的具体操作，请参见添加 RADIUS 服务器。
3. 登录本地路由设备的 Web 页面，配置 RADIUS。
   1. 在新建 RADIUS 服务器模板页面，完成以下配置。
      
      配置项说明：
      • 模式选择主备模式。
      • 单击新建服务器，添加两台 RADIUS，并开启计费与认证端口。
      • 其他配置项根据实际情况填写即可。
   2. 新建授权服务器并关联 RADIUS 服务器模板。
      
      配置项说明：
      • 授权服务器 IP 地址：即对应的 RADIUS 服务器 IP 地址。
      • 模板名称：选择对应的 RADIUS 服务器模板。
      • 密钥：即飞连管理后台中无线路由设备对应的共享密钥。
        

操作结果

配置主备 RADIUS 后，企业将拥有更加稳定和可靠的网络认证服务。即使在主服务器发生故障的情况下，备用服务器也能够迅速接管，保证员工的网络连接不受影响。