You need to enable JavaScript to run this app.
导航
华为 AC 网络准入配置指南
最近更新时间:2025.02.19 19:28:42首次发布时间:2025.02.19 19:15:13
我的收藏
有用
有用
无用
无用

您可以参考本指南将华为无线控制器(AC)接入飞连,并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网,以构建基于飞连的企业办公网络,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。

说明

在网络准入系统中,飞连提供 802.1X、Portal 和 MAB 认证服务,本指南仅作为配置参考,辅助飞连和网络控制器设备的联调对接,AC 设备上的配置原则上由企业管理员或者设备厂商完成。本指南的配置步骤、截图等可能会因为设备型号、版本不同而有所差异,具体以网络厂商官方为准。若遇到因 AC 配置或厂商特性导致的对接失败或非认证引入的入网异常,请优先咨询网络设备厂商进行定位。

适用范围

本指南适用的华为无线控制器的型号为 AirEngine 9700S-S、AC6508、AC6005-8。

配置员工 Wi-Fi

配置流程图

Image

步骤一:在飞连管理后台添加华为无线路由设备

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置

  3. 网络设备页签,单击无线控制器
    Image

  4. 添加无线路由设备弹窗内,完成以下配置并单击完成

    配置页面

    参数配置

    Image

    • 设备名称:自定义名称。
    • 设备品牌:选择 huawei
    • IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。
    • MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置00:00:00:00:00:00通配 MAC 地址。
    • CoA 端口:输入3799
    • 开启能力:勾选员工 Wi-Fi访客 Wi-Fi
    • 认证信息接收地址:修改输入框内默认地址,其中ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。
    • 认证用户名字段:保持默认或自定义设置。
    • 认证密码字段:保持默认或自定义设置。

步骤二:添加 SSID

使用配置SSID 页签的员工 Wi-Fi 区域单击添加,添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。
Image

步骤三:添加员工 Wi-Fi 入网权限

  1. 在左侧导航栏,选择 Wi-Fi 管理 > 员工入网,并进入权限配置页签。

  2. 选择 802.1x 协议认证,并单击添加策略
    Image

  3. 添加 802.1x 权限组页面,完成以下配置,并在页面底部单击保存并生效

    配置项

    配置说明

    基本信息

    • 权限组名称:自定义即可。
    • 绝对优先级:设置当前权限组的优先级。取值范围为 0~100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

    权限组策略

    1. 勾选基于网络
    2. 选择 Tunnel-Pvt-Group-ID
    3. 输入网络设备的 VLAN ID,格式为纯数字。

    Image

    生效范围

    • 权限类型:勾选员工 Wi-Fi
    • 生效对象:按实际所需选择员工授权或者设备授权,并选择指定范围的员工或设备。

    Image

    高级配置

    • RADIUS 服务器:可用于响应认证信息的服务器,一般选择全部
    • 网络设备:权限组策略所生效的网络设备范围,按需选择。
    • SSID:权限组策略所生效的 SSID 范围,按需选择。

    说明

    需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID},部分设备需要在控制器手动设置,否则会影响入网 SSID 识别。

    Image

步骤四:在华为 AC 中新建 RADIUS 模板

  1. 进入 AC Web 配置页面,选择安全管理 > AAA
    Image
  2. 进入 RADIUS 设置页签。
    Image
  3. RADIUS 服务器模板区域单击新建
    Image
  4. 修改RADIUS服务器模板界面,完成以下配置。
    Image
    • 模板名称模式:根据实际需要自行配置。
    • 模板默认共享密钥:填写相应华为 AC 的共享密钥。
    • 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 1812、1813)。
      Image
      其中共享密钥端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的员工 Wi-Fi 配置信息。
      Image

步骤五:新建授权服务器模板

  1. RADIUS 设置页签的授权服务器模板区域,单击新建
    Image
  2. 新建授权服务器弹窗,完成以下配置并单击确定
    Image
    • 授权服务器 IP:填写飞连 Radius Server IP 地址。
    • 密钥:填写相应华为 AC 的共享密钥。密钥信息需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的员工 Wi-Fi 配置信息。
      Image

步骤六:创建无线服务

  1. 配置页面,选择配置向导 > 无线服务
    Image
  2. 修改 SSID。在基本信息界面,填写 SSID 名称业务 VLAN ID
    Image
  3. 安全认证界面的安全配置区域,勾选 802.1X认证(企业网络适用),并在外置 Radius 服务器配置区域按照步骤五:新建授权服务器模板配置的 Radius 服务填写各配置项。
    Image
  4. 接入控制界面,绑定 AP 组。
    Image

步骤七:新建计费模板

  1. 配置页面,选择 AP配置 > 模板管理
    Image
  2. AAA > 计费方案模板中,创建计费模板。
    Image

步骤八:在对应员工无线 VAP 模板中,应用计费模板

认证模板会在 VAP 自动应用关联,在如下页面检查是否应用即可。
Image

配置访客 Wi-Fi(AC 内置 Portal 服务)

配置流程图

Image

步骤一:在飞连管理后台添加华为无线路由设备

说明

如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置

  3. 网络设备页签,单击无线控制器
    Image

  4. 添加无线路由设备弹窗内,完成以下配置并单击完成

    配置页面

    参数配置

    Image

    • 设备名称:自定义名称。
    • 设备品牌:选择 huawei
    • IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。
    • MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置00:00:00:00:00:00通配 MAC 地址。
    • CoA 端口:输入3799
    • 开启能力:勾选员工 Wi-Fi访客 Wi-Fi
    • 认证信息接收地址:修改输入框内默认地址,其中ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。
    • 认证用户名字段:保持默认或自定义设置。
    • 认证密码字段:保持默认或自定义设置。

步骤二:配置访客 SSID

使用配置SSID 页签的访客 Wi-Fi 区域单击添加,添加一个 SSID。

  • 访客 SSID 仅可添加一个。
  • SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

Image

步骤三:在华为 AC 中添加访客 RADIUS 服务器

  1. 进入 AC Web 配置页面,选择安全管理 > AAA
  2. 修改 RADIUS 服务器模板。
    Image
    IP 地址填写 RADIUS Server IP 地址,以及端口、共享密钥信息可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。
    Image

步骤四:创建 Portal 认证服务器

  1. 进入配置 > 安全管理 > AAA 功能页。
  2. Portal 服务器全局设置页签,勾选 HTTP协议,并应用。
    Image
  3. 创建 Portal 服务器。
    Image
    • 服务器 IP 地址填写 RADIUS Server IP 地址。
    • 共享密钥需要从飞连管理后台的 Wi-Fi 管理 > 使用配置 > Portal Server 配置中获取。如果没有配置 Portal Server,则自定义密钥即可。
      Image
    • 报文端口号填写 50100。
    • URL 填写的示例格式为 https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
      • {hostname}:对应飞连门户地址。
      • apmac:对应飞连管理后台的 AC 中配置的 Mac 地址。
        IP 地址、URL、Mac 地址可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。
        Image

步骤五:创建 SSID 模板

  1. 进入 SSID基本配置 > 修改SSID 功能页。
  2. 基本信息界面,填写 SSID 名称(对应飞连管理后台访客 Wi-Fi 的 SSID)、访客 VLAN ID,转发模式选择隧道转发
    Image
  3. 安全认证界面,完成以下配置。
  4. 接入控制界面,绑定 AP。
    Image

步骤六:Portal 模板关联 Portal 服务器组

  1. 进入配置 > AP 配置 > 模板管理功能页。
  2. 在 Portal 模板内,完成以下配置。
    • Portal 认证选择外置Portal服务器
    • 对接协议选择 HTTP协议
    • 关联 Portal 服务器组并应用。
      Image

步骤七:添加认证模板与计费模板

  1. 进入无线业务 > VAP模板,在对应模板的认证模板 > 认证方案模板中,添加认证模版并应用。
    Image
  2. 进入无线业务 > 计费方案模板中,添加计费模板。
    Image
  3. 进入无线业务 > VAP模板,在对应模板的认证模板 > 计费方案模板中,绑定计费模板。
    Image

步骤八:配置免认证模板

无线业务 > 免认证规则模板中,可以配置免认证模板,为 AC、飞连服务、DNS 地址加白名单。
Image

配置访客 Wi-Fi(飞连 Portal 服务)

准备工作

  • 准备一个域名可解析到 Portal Server IP(即对应工区 Radius Server IP)。
  • 准备 Nginx 证书的 .crt 及 .key 文件。
  • Portal Server 服务机器需要与 AC 互通,AC 端默认端口 UDP 2000,Portal Server 端口 UDP 50100,访客网络需要能够访问 Portal Server TCP 9100。
  • 连接终端获取的访客业务 VLAN 网络权限需要能够访问 Portal server ip:9100,以及飞连访客 Web 地址:https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1

配置流程图

Image

步骤一:在飞连管理后台配置访客认证(对接 Portal Server)

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置
  3. 网络设备页签内,找到已配置好的华为无线控制器,并进入详情页。
  4. 在设备详情页,单击访客 Wi-Fi 页签。
    Image
  5. 单击以下配置项的编辑图标,完成访客 Wi-Fi 界面配置。
    • 访客认证信息信息接收地址:地址格式为 https://域名:9100/login
    • 访客认证用户名字段:username
    • 访客认证密码字段:password
      Image
  6. 配置访客 Portal Server。
    1. 返回使用配置页面,单击 Portal Server 页签。
      Image
    2. 找到已配置好的华为无线控制器,在右上角单击编辑
    3. 在详情页配置以下信息,并单击确定
      • Portal 认证服务器名称:自定义即可。
      • 无线控制器对接地址:地址格式为 ac_ip:2000(无特殊需求端口为 2000)。

        说明

        此对接地址是没有拿到 NAS IP 兜底通讯的 IP,如果需要一个外置 Portal 能对接多个 AC,跳转认证的 URL 地址请携带 NAS IP 参数。

      • Portal 服务端口:TCP 9100(无特殊需求端口默认即可)。
      • Portal 协议端口:UDP 50100(无特殊需求端口默认即可)。
      • Portal 协议版本:支持 Portal 协议 v1、v2,目前多数 AC 品牌主要使用 v2 版本。
      • 认证协议类型:支持 PAP、CHAP,目前多数 AC 品牌两种协议类型都支持,任选其一即可。
      • 认证成功跳转地址:访客 Wi-Fi 认证成功后,Web 界面跳转的地址,一般多配置为企业官网。
      • 认证失败跳转地址:访客 Wi-Fi 认证失败后,Web 界面跳转的地址,一般多配置为 Web 认证页面,格式示例:https://feilian_server域名:端口/multiple-pages/guest-wifi-login.html
        Image

步骤二(可选):在 Portal Server 配置域名证书

说明

如果不配置证书,可以使用 HTTP 地址对接。

  1. 上传 Nginx 证书的 .crt 以及 .key 文件到 Portal Server 节点上。

    scp 本地路径 服务器路径
    eg: scp /Users/***/Desktop/xxx.crt corplink@****:/opt/
    
  2. SSH 连接到 Portal Server 节点,并修改配置文件。

    sudo -s
    vi /opt/feilian/radius/conf/config.yaml
    
    // 修改 Radius 配置文件,添加参数如下参数
    portal:
      https_cert: "/opt/xxx.crt"
      https_key: "/opt/xxx.key"
    
    // 重启 feilian-radius 服务
    systemctl restart feilian-radius
    

步骤三:在华为 AC 中添加访客 Radius 服务器

  1. 进入 AC Web 配置页面,选择安全管理 > AAA
    Image
  2. 进入 RADIUS 设置页签。
    Image
  3. RADIUS 服务器模板区域单击新建
    Image
  4. 修改RADIUS服务器模板界面,完成以下配置。
    • 模板名称模式:根据实际需要自行配置。
    • 模板默认共享密钥:填写相应华为 AC 的共享密钥。
    • 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 3812、3813)。
      Image
      其中共享密钥端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。
      Image

步骤四:配置 Portal 认证服务器

  1. 安全管理 > AAA 页面,配置 Portal 服务器全局设置。
    • 本机网关地址:需要勾选所有地址,否则不响应 Portal 协议报文。
    • HTTP协议:使用外置 Portal Server 方式,所以不勾选 HTTP 协议。
      Image
  2. Portal 认证服务器列表区域,单击新建,创建外置 Portal 服务器。
    Image
    配置页面与配置项说明:
    Image
    • 服务器IP地址:Radius 地址(即 Portal Server IP)。
    • 共享密钥:在飞连管理后台 Portal Server 配置页面获取。
    • 报文端口号:50100
    • URLhttps://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
      • {hostname}:飞连门户域名
      • apmac:飞连管理后台添加的 AC 设备模板的 Mac 地址 (可自定义,只需和飞连管理后台一致)

    说明

    若 Radius & Portal Server 是放云上,AC 在本地 IDC,通过公网对接,需要固定 AC 出口 nasip 的取值为:Url = https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1&nasip=x.x.x.x&b

    其中:
    • 服务器 IP 地址共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > Portal Server 中,已添加的华为访客 Portal Server 配置信息。
      Image
    • URL,以及 URL 中的 apmac 可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,华为 AC 的 Mac 地址、和访客 Wi-Fi 的访客认证页面地址
      Image

步骤五:创建访客无线服务

  1. 配置页面,选择配置向导 > 无线服务
    Image
  2. 修改 SSID。在基本信息界面,填写 SSID 名称业务 VLAN ID
    Image
  3. 安全认证界面完成以下配置。
  4. 接入控制界面,绑定 AP 组。
    Image

步骤六:配置访客模板

  1. 进入 AP 配置 > 模板管理页面。
  2. AAA > Portal模板 中进入指定模板,完成以下配置。
    • Portal认证:选择外置Portal服务器
    • 对接使用协议:选择 Portal协议
    • 主Portal服务器组:关联对应的 Portal 服务器组。
      Image
  3. 无线业务 > VAP模板 > Botanee-Guest > 认证模板 > Portal模板中,调用 Portal 模板。
    Image
  4. AAA > 计费方案模板 > feilian-guest 中,添加计费模板并在 VAP 模板下绑定计费模板。
    Image
  5. AAA > 免认证规则模板 > feilian-guest 中,添加免认证模板。
    需加白的对象:AC IP、DNS、Radius、飞连服务器 IP。

    注意

    在网络核心设备上也需要提前放通访客 VLAN 权限(AC IP、DNS、Radius、飞连服务器内外网 IP)。

    Image
  6. 无线业务 > VAP模板 > Botanee-Guest > 认证模板 > 免认证规则模板 中,关联免认证模板。
    Image

配置无线哑终端入网

注意事项

  • 无线哑终端的认证、计费端口为 2812、2813 端口。
  • 在飞连管理后台创建的交换机,AC 添加认证服务器 RADIUS 时,认证、计费端口填写为 2812、2813;密钥填写新建的交换机的共享密钥。

配置流程图

Image

步骤一:在飞连管理后台添加华为无线路由设备

说明

如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。

  1. 步骤一:在飞连管理后台添加华为无线路由设备

  2. 登录飞连管理后台。

  3. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置

  4. 网络设备页签,单击无线控制器
    Image

  5. 添加无线路由设备弹窗内,完成以下配置并单击完成

    配置页面

    参数配置

    Image

    • 设备名称:自定义名称。
    • 设备品牌:选择 huawei
    • IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置0.0.0.0通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。
    • MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置00:00:00:00:00:00通配 MAC 地址。
    • CoA 端口:输入3799
    • 开启能力:勾选员工 Wi-Fi访客 Wi-Fi
    • 认证信息接收地址:修改输入框内默认地址,其中ac-ip替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。
    • 认证用户名字段:保持默认或自定义设置。
    • 认证密码字段:保持默认或自定义设置。

步骤二:增加哑终端设备信息

  1. 在左侧导航栏,进入 Wi-Fi 管理 > 哑终端入网页面。
  2. 设备列表页签,单击右侧添加设备
  3. 添加哑终端设备弹窗,完成以下配置,并单击完成
    其中,MAC 地址需配置为 xx:xx:xx:xx:xx:xx 格式的哑终端设备 MAC 地址。其他配置项根据实际需要自定义配置即可。
    Image

步骤三:配置哑终端授权

  1. 返回哑终端入网页面,单击使用授权页签,并在右侧单击添加策略
    Image
  2. 添加权限组页面,完成以下配置,并单击确定
    其中权限组策略需要:
    1. 勾选基于网络
    2. 选择 Tunnel-Pvt-Group-ID
    3. 输入网络设备的 VLAN ID,格式为纯数字。
      其他配置项根据实际需要自定义配置即可。
      Image

步骤四:在华为 AC 中添加哑终端认证服务器

  1. 进入 AC Web 配置页面,选择安全管理 > AAA
    Image
  2. 进入 RADIUS 设置页签。
    Image
  3. RADIUS 服务器模板区域单击新建
    Image
  4. 修改RADIUS服务器模板界面,完成以下配置。
    Image
    • 模板名称模式:根据实际需要自行配置。
    • 模板默认共享密钥:填写相应华为 AC 的共享密钥。
    • 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 1812、1813)。
      其中共享密钥端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 配置信息。
      Image

步骤五:创建哑终端无线服务

  1. 配置页面,选择配置向导 > 无线服务
    Image
  2. 修改 SSID。在基本信息界面,填写 SSID 名称业务 VLAN ID
    Image
  3. 安全认证界面,安全配置选择不认证(个人网络适用)
    Image
  4. 接入控制界面,绑定 AP 组。
    Image

步骤六:配置认证模板

  1. 进入 AP 配置 > 模板管理页面。
  2. 无线业务 > VAP模板 > Botanee > 认证模板 > 认证方案模板中,配置认证方案模板。
    Image

步骤七:配置 MAC 接入模板

  1. AAA > MAC接入模板 中的指定模板,完成以下配置。
    • 认证方式:选择PAP
    • 认证用户名形式:选择 MAC地址
    • MAC地址格式:选择 xxxxxxxxxxxx
      Image
  2. 无线业务 > VAP模板 > Botanee > 认证模板 > MAC接入模板中,关联模板。
    Image

常见问题

如何开启华为 AC 的 COA 配置?

配置命令如下:

sys(在系统视图下配置)
radius-server authorization 「radius地址」 shared-key cipher 「AC共享密钥」  server-group raidus-feilian
radius-server authorization port 3799
radius-server session-manage 「radius地址」 shared-key cipher 「AC共享密钥」
radius-server authorization attribute-decode-sameastemplate
radius-server authorization server-source all-interface  //配置该项,才会接收coa报文

如何设置无线逃生方案?

无线 802.1X 认证方式不支持认证服务器 Down 的逃生。此场景可以通过配置 Open 的 SSID,在认证服务器 Down 时触发激活,用于用户选择临时逃生接入网络。配置参考:

#配置逃生安全模板、SSID模版,备份业务型VAP模板调用安全模版和SSID模版
wlan
 security-profile name open
  security open
  quit
 ssid-profile name OPEN
  ssid OPEN
 vap-profile name wlan-vap_backup
  security-profile open
  ssid-profile OPEN
  type service-backup auth-server-down radius-server template feilian18  //对应Radius服务模板
  quit
#
---
# Radius服务器恢复后手动关闭备份VAP
wlan
 vap-service-backup auth-server-down inactive
#

配置无线逃生后的预期效果如下图所示:
Image