您可以参考本指南将华为无线控制器（AC）接入飞连，并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网，以构建基于飞连的企业办公网络，实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。

本指南适用的华为无线控制器的型号为 AirEngine 9700S-S、AC6508、AC6005-8。

配置流程图

步骤一：在飞连管理后台添加华为无线路由设备

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。

3. 在网络设备页签，单击无线控制器。
   

4. 在添加无线路由设备弹窗内，完成以下配置并单击完成。

   配置页面	参数配置
   	设备名称：自定义名称。 设备品牌：选择 huawei。 IP 地址：填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时，支持配置0.0.0.0通配 IP，在存在多个同款 AC 设备时，支持配置多个 IP 地址。 MAC 地址：AC MAC 地址。在不清楚 AC MAC 地址时，支持配置00:00:00:00:00:00通配 MAC 地址。 CoA 端口：输入3799。 开启能力：勾选员工 Wi-Fi、访客 Wi-Fi。 认证信息接收地址：修改输入框内默认地址，其中ac-ip替换为 AC 内网 IP 地址或域名（外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址），不可填写通配地址。 认证用户名字段：保持默认或自定义设置。 认证密码字段：保持默认或自定义设置。

步骤二：添加 SSID

在使用配置的 SSID 页签的员工 Wi-Fi 区域单击添加，添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称，需与无线接入点 WLAN 名称保持一致。

步骤三：添加员工 Wi-Fi 入网权限

1. 在左侧导航栏，选择 Wi-Fi 管理 > 员工入网，并进入权限配置页签。

2. 选择 802.1x 协议认证，并单击添加策略。
   

3. 在添加 802.1x 权限组页面，完成以下配置，并在页面底部单击保存并生效。

   配置项	配置说明
   基本信息	权限组名称：自定义即可。 绝对优先级：设置当前权限组的优先级。取值范围为 0~100，数值越大表示优先级越高。您可以同时生效多条权限组，飞连在对终端检测时，按优先级数值大小依次匹配策略，命中后停止匹配，如果一直未命中，则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略，则优先执行策略修改时间最新的一条。
   权限组策略	勾选基于网络。 选择 Tunnel-Pvt-Group-ID。 值输入网络设备的 VLAN ID，格式为纯数字。
   生效范围	权限类型：勾选员工 Wi-Fi。 生效对象：按实际所需选择员工授权或者设备授权，并选择指定范围的员工或设备。
   高级配置	RADIUS 服务器：可用于响应认证信息的服务器，一般选择全部。 网络设备：权限组策略所生效的网络设备范围，按需选择。 SSID：权限组策略所生效的 SSID 范围，按需选择。 说明 需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID}，部分设备需要在控制器手动设置，否则会影响入网 SSID 识别。

步骤四：在华为 AC 中新建 RADIUS 模板

1. 进入 AC Web 配置页面，选择安全管理 > AAA。
   
2. 进入 RADIUS 设置页签。
   
3. 在 RADIUS 服务器模板区域单击新建。
   
4. 在修改RADIUS服务器模板界面，完成以下配置。
   
   • 模板名称、模式：根据实际需要自行配置。
   • 模板默认共享密钥：填写相应华为 AC 的共享密钥。
   • 新建服务器：点击新建服务器，配置认证服务器、计费服务器的端口号（一般默认为 UDP 1812、1813）。
     
     其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 的员工 Wi-Fi 配置信息。
     

步骤五：新建授权服务器模板

1. 在 RADIUS 设置页签的授权服务器模板区域，单击新建。
   
2. 在新建授权服务器弹窗，完成以下配置并单击确定。
   
   • 授权服务器 IP：填写飞连 Radius Server IP 地址。
   • 密钥：填写相应华为 AC 的共享密钥。密钥信息需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 的员工 Wi-Fi 配置信息。
     

步骤六：创建无线服务

1. 在配置页面，选择配置向导 > 无线服务。
   
2. 修改 SSID。在基本信息界面，填写 SSID 名称、业务 VLAN ID。
   
3. 在安全认证界面的安全配置区域，勾选 802.1X认证(企业网络适用)，并在外置 Radius 服务器配置区域按照步骤五：新建授权服务器模板配置的 Radius 服务填写各配置项。
   
4. 在接入控制界面，绑定 AP 组。
   

步骤七：新建计费模板

1. 在配置页面，选择 AP配置 > 模板管理。
   
2. 在 AAA > 计费方案模板中，创建计费模板。
   

步骤八：在对应员工无线 VAP 模板中，应用计费模板

认证模板会在 VAP 自动应用关联，在如下页面检查是否应用即可。

配置流程图

步骤一：在飞连管理后台添加华为无线路由设备

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。

3. 在网络设备页签，单击无线控制器。
   

4. 在添加无线路由设备弹窗内，完成以下配置并单击完成。

   配置页面	参数配置
   	设备名称：自定义名称。 设备品牌：选择 huawei。 IP 地址：填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时，支持配置0.0.0.0通配 IP，在存在多个同款 AC 设备时，支持配置多个 IP 地址。 MAC 地址：AC MAC 地址。在不清楚 AC MAC 地址时，支持配置00:00:00:00:00:00通配 MAC 地址。 CoA 端口：输入3799。 开启能力：勾选员工 Wi-Fi、访客 Wi-Fi。 认证信息接收地址：修改输入框内默认地址，其中ac-ip替换为 AC 内网 IP 地址或域名（外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址），不可填写通配地址。 认证用户名字段：保持默认或自定义设置。 认证密码字段：保持默认或自定义设置。

步骤二：配置访客 SSID

在使用配置的 SSID 页签的访客 Wi-Fi 区域单击添加，添加一个 SSID。

• 访客 SSID 仅可添加一个。
• SSID 为用户终端设备显示的 Wi-Fi 名称，需与无线接入点 WLAN 名称保持一致。

步骤三：在华为 AC 中添加访客 RADIUS 服务器

1. 进入 AC Web 配置页面，选择安全管理 > AAA。
2. 修改 RADIUS 服务器模板。
   
   IP 地址填写 RADIUS Server IP 地址，以及端口、共享密钥信息可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 的访客 Wi-Fi 配置信息。
   

步骤四：创建 Portal 认证服务器

1. 进入配置 > 安全管理 > AAA 功能页。
2. 在 Portal 服务器全局设置页签，勾选 HTTP协议，并应用。
   
3. 创建 Portal 服务器。
   
   • 服务器 IP 地址填写 RADIUS Server IP 地址。
   • 共享密钥需要从飞连管理后台的 Wi-Fi 管理 > 使用配置 > Portal Server 配置中获取。如果没有配置 Portal Server，则自定义密钥即可。
     
   • 报文端口号填写 50100。
   • URL 填写的示例格式为 https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1。
     • {hostname}：对应飞连门户地址。
     • apmac：对应飞连管理后台的 AC 中配置的 Mac 地址。
       IP 地址、URL、Mac 地址可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 的访客 Wi-Fi 配置信息。
       

步骤五：创建 SSID 模板

1. 进入 SSID基本配置 > 修改SSID 功能页。
2. 在基本信息界面，填写 SSID 名称（对应飞连管理后台访客 Wi-Fi 的 SSID）、访客 VLAN ID，转发模式选择隧道转发。
   
3. 在安全认证界面，完成以下配置。
   • 勾选 Portal认证(企业网络适用)。
   • 外置 Portal 服务器选择上文步骤四：创建 Portal 认证服务器的 Portal 服务。
   • 外置 Radius 服务器选择上文步骤三：在华为 AC 中添加访客 RADIUS 服务器的 RADIUS 服务。
     
4. 在接入控制界面，绑定 AP。
   

步骤六：Portal 模板关联 Portal 服务器组

1. 进入配置 > AP 配置 > 模板管理功能页。
2. 在 Portal 模板内，完成以下配置。
   • Portal 认证选择外置Portal服务器。
   • 对接协议选择 HTTP协议。
   • 关联 Portal 服务器组并应用。
     

步骤七：添加认证模板与计费模板

1. 进入无线业务 > VAP模板，在对应模板的认证模板 > 认证方案模板中，添加认证模版并应用。
   
2. 进入无线业务 > 计费方案模板中，添加计费模板。
   
3. 进入无线业务 > VAP模板，在对应模板的认证模板 > 计费方案模板中，绑定计费模板。
   

步骤八：配置免认证模板

在无线业务 > 免认证规则模板中，可以配置免认证模板，为 AC、飞连服务、DNS 地址加白名单。

准备工作

• 准备一个域名可解析到 Portal Server IP（即对应工区 Radius Server IP）。
• 准备 Nginx 证书的 .crt 及 .key 文件。
• Portal Server 服务机器需要与 AC 互通，AC 端默认端口 UDP 2000，Portal Server 端口 UDP 50100，访客网络需要能够访问 Portal Server TCP 9100。
• 连接终端获取的访客业务 VLAN 网络权限需要能够访问 Portal server ip:9100，以及飞连访客 Web 地址：https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1。

配置流程图

步骤一：在飞连管理后台配置访客认证（对接 Portal Server）

1. 登录飞连管理后台。
2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。
3. 在网络设备页签内，找到已配置好的华为无线控制器，并进入详情页。
4. 在设备详情页，单击访客 Wi-Fi 页签。
   
5. 单击以下配置项的编辑图标，完成访客 Wi-Fi 界面配置。
   • 访客认证信息信息接收地址：地址格式为 https://域名:9100/login
   • 访客认证用户名字段：username
   • 访客认证密码字段：password
     
6. 配置访客 Portal Server。
   1. 返回使用配置页面，单击 Portal Server 页签。
      
   2. 找到已配置好的华为无线控制器，在右上角单击编辑。
   3. 在详情页配置以下信息，并单击确定。
      • Portal 认证服务器名称：自定义即可。
      • 无线控制器对接地址：地址格式为 ac_ip:2000（无特殊需求端口为 2000）。

        说明

        此对接地址是没有拿到 NAS IP 兜底通讯的 IP，如果需要一个外置 Portal 能对接多个 AC，跳转认证的 URL 地址请携带 NAS IP 参数。

      • Portal 服务端口：TCP 9100（无特殊需求端口默认即可）。
      • Portal 协议端口：UDP 50100（无特殊需求端口默认即可）。
      • Portal 协议版本：支持 Portal 协议 v1、v2，目前多数 AC 品牌主要使用 v2 版本。
      • 认证协议类型：支持 PAP、CHAP，目前多数 AC 品牌两种协议类型都支持，任选其一即可。
      • 认证成功跳转地址：访客 Wi-Fi 认证成功后，Web 界面跳转的地址，一般多配置为企业官网。
      • 认证失败跳转地址：访客 Wi-Fi 认证失败后，Web 界面跳转的地址，一般多配置为 Web 认证页面，格式示例：https://feilian_server域名:端口/multiple-pages/guest-wifi-login.html。
        

步骤二（可选）：在 Portal Server 配置域名证书

1. 上传 Nginx 证书的 .crt 以及 .key 文件到 Portal Server 节点上。

   scp 本地路径 服务器路径
   eg： scp /Users/***/Desktop/xxx.crt corplink@****:/opt/
   

2. SSH 连接到 Portal Server 节点，并修改配置文件。

   sudo -s
   vi /opt/feilian/radius/conf/config.yaml
   
   // 修改 Radius 配置文件，添加参数如下参数
   portal:
     https_cert: "/opt/xxx.crt"
     https_key: "/opt/xxx.key"
   
   // 重启 feilian-radius 服务
   systemctl restart feilian-radius
   

步骤三：在华为 AC 中添加访客 Radius 服务器

1. 进入 AC Web 配置页面，选择安全管理 > AAA。
   
2. 进入 RADIUS 设置页签。
   
3. 在 RADIUS 服务器模板区域单击新建。
   
4. 在修改RADIUS服务器模板界面，完成以下配置。
   • 模板名称、模式：根据实际需要自行配置。
   • 模板默认共享密钥：填写相应华为 AC 的共享密钥。
   • 新建服务器：点击新建服务器，配置认证服务器、计费服务器的端口号（一般默认为 UDP 3812、3813）。
     
     其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 的访客 Wi-Fi 配置信息。
     

步骤四：配置 Portal 认证服务器

1. 在安全管理 > AAA 页面，配置 Portal 服务器全局设置。
   • 本机网关地址：需要勾选所有地址，否则不响应 Portal 协议报文。
   • HTTP协议：使用外置 Portal Server 方式，所以不勾选 HTTP 协议。
     
2. 在 Portal 认证服务器列表区域，单击新建，创建外置 Portal 服务器。
   
   配置页面与配置项说明：
   
   • 服务器IP地址：Radius 地址（即 Portal Server IP）。
   • 共享密钥：在飞连管理后台 Portal Server 配置页面获取。
   • 报文端口号：50100
   • URL：https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
     • {hostname}：飞连门户域名
     • apmac：飞连管理后台添加的 AC 设备模板的 Mac 地址 （可自定义，只需和飞连管理后台一致）

   说明

   若 Radius & Portal Server 是放云上，AC 在本地 IDC，通过公网对接，需要固定 AC 出口 nasip 的取值为：Url = https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1&nasip=x.x.x.x&b

   其中：
   • 服务器 IP 地址、共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > Portal Server 中，已添加的华为访客 Portal Server 配置信息。
     
   • URL，以及 URL 中的 apmac 可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，华为 AC 的 Mac 地址、和访客 Wi-Fi 的访客认证页面地址。
     

步骤五：创建访客无线服务

1. 在配置页面，选择配置向导 > 无线服务。
   
2. 修改 SSID。在基本信息界面，填写 SSID 名称、业务 VLAN ID。
   
3. 在安全认证界面完成以下配置。
   • 安全配置：勾选 Portal认证(企业网络适用)。
   • 勾选 MAC优先外置Portal。

     说明

     开启 MAB（MAC ARP 绑定）功能后，无需每次重连访客都要重新输入用户名密码进行认证。

   • 外置Portal服务器配置：参考上文步骤四：配置 Portal 认证服务器填写的各配置项。
   • 外置Radius服务器配置：参考上文步骤三：在华为 AC 中添加访客 Radius 服务器填写的各配置项。
     
4. 在接入控制界面，绑定 AP 组。
   

步骤六：配置访客模板

1. 进入 AP 配置 > 模板管理页面。
2. 在 AAA > Portal模板 中进入指定模板，完成以下配置。
   • Portal认证：选择外置Portal服务器。
   • 对接使用协议：选择 Portal协议。
   • 主Portal服务器组：关联对应的 Portal 服务器组。
     
3. 在无线业务 > VAP模板 > Botanee-Guest > 认证模板 > Portal模板中，调用 Portal 模板。
   
4. 在 AAA > 计费方案模板 > feilian-guest 中，添加计费模板并在 VAP 模板下绑定计费模板。
   
5. 在 AAA > 免认证规则模板 > feilian-guest 中，添加免认证模板。
   需加白的对象：AC IP、DNS、Radius、飞连服务器 IP。

   注意

   在网络核心设备上也需要提前放通访客 VLAN 权限（AC IP、DNS、Radius、飞连服务器内外网 IP）。

   
6. 在无线业务 > VAP模板 > Botanee-Guest > 认证模板 > 免认证规则模板 中，关联免认证模板。
   

注意事项

• 无线哑终端的认证、计费端口为 2812、2813 端口。
• 在飞连管理后台创建的交换机，AC 添加认证服务器 RADIUS 时，认证、计费端口填写为 2812、2813；密钥填写新建的交换机的共享密钥。

配置流程图

步骤一：在飞连管理后台添加华为无线路由设备

1. 步骤一：在飞连管理后台添加华为无线路由设备

2. 登录飞连管理后台。

3. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。

4. 在网络设备页签，单击无线控制器。
   

5. 在添加无线路由设备弹窗内，完成以下配置并单击完成。

   配置页面	参数配置
   	设备名称：自定义名称。 设备品牌：选择 huawei。 IP 地址：填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时，支持配置0.0.0.0通配 IP，在存在多个同款 AC 设备时，支持配置多个 IP 地址。 MAC 地址：AC MAC 地址。在不清楚 AC MAC 地址时，支持配置00:00:00:00:00:00通配 MAC 地址。 CoA 端口：输入3799。 开启能力：勾选员工 Wi-Fi、访客 Wi-Fi。 认证信息接收地址：修改输入框内默认地址，其中ac-ip替换为 AC 内网 IP 地址或域名（外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址），不可填写通配地址。 认证用户名字段：保持默认或自定义设置。 认证密码字段：保持默认或自定义设置。

步骤二：增加哑终端设备信息

1. 在左侧导航栏，进入 Wi-Fi 管理 > 哑终端入网页面。
2. 在设备列表页签，单击右侧添加设备。
3. 在添加哑终端设备弹窗，完成以下配置，并单击完成。
   其中，MAC 地址需配置为 xx:xx:xx:xx:xx:xx 格式的哑终端设备 MAC 地址。其他配置项根据实际需要自定义配置即可。
   

步骤三：配置哑终端授权

1. 返回哑终端入网页面，单击使用授权页签，并在右侧单击添加策略。
   
2. 在添加权限组页面，完成以下配置，并单击确定。
   其中权限组策略需要：
   1. 勾选基于网络。
   2. 选择 Tunnel-Pvt-Group-ID。
   3. 值输入网络设备的 VLAN ID，格式为纯数字。
      其他配置项根据实际需要自定义配置即可。
      

步骤四：在华为 AC 中添加哑终端认证服务器

1. 进入 AC Web 配置页面，选择安全管理 > AAA。
   
2. 进入 RADIUS 设置页签。
   
3. 在 RADIUS 服务器模板区域单击新建。
   
4. 在修改RADIUS服务器模板界面，完成以下配置。
   
   • 模板名称、模式：根据实际需要自行配置。
   • 模板默认共享密钥：填写相应华为 AC 的共享密钥。
   • 新建服务器：点击新建服务器，配置认证服务器、计费服务器的端口号（一般默认为 UDP 1812、1813）。
     其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的华为 AC 配置信息。
     

步骤五：创建哑终端无线服务

1. 在配置页面，选择配置向导 > 无线服务。
   
2. 修改 SSID。在基本信息界面，填写 SSID 名称、业务 VLAN ID。
   
3. 在安全认证界面，安全配置选择不认证(个人网络适用)。
   
4. 在接入控制界面，绑定 AP 组。
   

步骤六：配置认证模板

1. 进入 AP 配置 > 模板管理页面。
2. 在无线业务 > VAP模板 > Botanee > 认证模板 > 认证方案模板中，配置认证方案模板。
   

步骤七：配置 MAC 接入模板

1. 在 AAA > MAC接入模板 中的指定模板，完成以下配置。
   • 认证方式：选择PAP。
   • 认证用户名形式：选择 MAC地址。
   • MAC地址格式：选择 xxxxxxxxxxxx。
     
2. 在无线业务 > VAP模板 > Botanee > 认证模板 > MAC接入模板中，关联模板。
   

如何开启华为 AC 的 COA 配置？

配置命令如下：

sys(在系统视图下配置)
radius-server authorization 「radius地址」 shared-key cipher 「AC共享密钥」  server-group raidus-feilian
radius-server authorization port 3799
radius-server session-manage 「radius地址」 shared-key cipher 「AC共享密钥」
radius-server authorization attribute-decode-sameastemplate
radius-server authorization server-source all-interface  //配置该项，才会接收coa报文

如何设置无线逃生方案？

无线 802.1X 认证方式不支持认证服务器 Down 的逃生。此场景可以通过配置 Open 的 SSID，在认证服务器 Down 时触发激活，用于用户选择临时逃生接入网络。配置参考：

• Web 页配置请参见无线认证逃生。
• 命令行配置如下：

#配置逃生安全模板、SSID模版，备份业务型VAP模板调用安全模版和SSID模版
wlan
 security-profile name open
  security open
  quit
 ssid-profile name OPEN
  ssid OPEN
 vap-profile name wlan-vap_backup
  security-profile open
  ssid-profile OPEN
  type service-backup auth-server-down radius-server template feilian18  //对应Radius服务模板
  quit
#
---
# Radius服务器恢复后手动关闭备份VAP
wlan
 vap-service-backup auth-server-down inactive
#

配置无线逃生后的预期效果如下图所示：