您可以参考本指南将华为无线控制器(AC)接入飞连,并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网,以构建基于飞连的企业办公网络,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。
说明
在网络准入系统中,飞连提供 802.1X、Portal 和 MAB 认证服务,本指南仅作为配置参考,辅助飞连和网络控制器设备的联调对接,AC 设备上的配置原则上由企业管理员或者设备厂商完成。本指南的配置步骤、截图等可能会因为设备型号、版本不同而有所差异,具体以网络厂商官方为准。若遇到因 AC 配置或厂商特性导致的对接失败或非认证引入的入网异常,请优先咨询网络设备厂商进行定位。
适用范围
本指南适用的华为无线控制器的型号为 AirEngine 9700S-S、AC6508、AC6005-8。
配置员工 Wi-Fi
配置流程图

步骤一:在飞连管理后台添加华为无线路由设备
登录飞连管理后台。
在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
在网络设备页签,单击无线控制器。

在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面 | 参数配置 |
---|

| - 设备名称:自定义名称。
- 设备品牌:选择 huawei。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0 通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00 通配 MAC 地址。 - CoA 端口:输入
3799 。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip 替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置。
- 认证密码字段:保持默认或自定义设置。
|
步骤二:添加 SSID
在使用配置的 SSID 页签的员工 Wi-Fi 区域单击添加,添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

步骤三:添加员工 Wi-Fi 入网权限
在左侧导航栏,选择 Wi-Fi 管理 > 员工入网,并进入权限配置页签。
选择 802.1x 协议认证,并单击添加策略。

在添加 802.1x 权限组页面,完成以下配置,并在页面底部单击保存并生效。
配置项 | 配置说明 |
---|
基本信息 | - 权限组名称:自定义即可。
- 绝对优先级:设置当前权限组的优先级。取值范围为 0~100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
|
权限组策略 | - 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。

|
生效范围 | - 权限类型:勾选员工 Wi-Fi。
- 生效对象:按实际所需选择员工授权或者设备授权,并选择指定范围的员工或设备。

|
高级配置 | - RADIUS 服务器:可用于响应认证信息的服务器,一般选择全部。
- 网络设备:权限组策略所生效的网络设备范围,按需选择。
- SSID:权限组策略所生效的 SSID 范围,按需选择。
说明 需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID} ,部分设备需要在控制器手动设置,否则会影响入网 SSID 识别。 
|
步骤四:在华为 AC 中新建 RADIUS 模板
- 进入 AC Web 配置页面,选择安全管理 > AAA。

- 进入 RADIUS 设置页签。

- 在 RADIUS 服务器模板区域单击新建。

- 在修改RADIUS服务器模板界面,完成以下配置。

- 模板名称、模式:根据实际需要自行配置。
- 模板默认共享密钥:填写相应华为 AC 的共享密钥。
- 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 1812、1813)。

其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的员工 Wi-Fi 配置信息。

步骤五:新建授权服务器模板
- 在 RADIUS 设置页签的授权服务器模板区域,单击新建。

- 在新建授权服务器弹窗,完成以下配置并单击确定。

- 授权服务器 IP:填写飞连 Radius Server IP 地址。
- 密钥:填写相应华为 AC 的共享密钥。密钥信息需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的员工 Wi-Fi 配置信息。

步骤六:创建无线服务
- 在配置页面,选择配置向导 > 无线服务。

- 修改 SSID。在基本信息界面,填写 SSID 名称、业务 VLAN ID。

- 在安全认证界面的安全配置区域,勾选 802.1X认证(企业网络适用),并在外置 Radius 服务器配置区域按照步骤五:新建授权服务器模板配置的 Radius 服务填写各配置项。

- 在接入控制界面,绑定 AP 组。

步骤七:新建计费模板
- 在配置页面,选择 AP配置 > 模板管理。

- 在 AAA > 计费方案模板中,创建计费模板。

步骤八:在对应员工无线 VAP 模板中,应用计费模板
认证模板会在 VAP 自动应用关联,在如下页面检查是否应用即可。

配置访客 Wi-Fi(AC 内置 Portal 服务)
配置流程图

步骤一:在飞连管理后台添加华为无线路由设备
说明
如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。
登录飞连管理后台。
在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
在网络设备页签,单击无线控制器。

在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面 | 参数配置 |
---|

| - 设备名称:自定义名称。
- 设备品牌:选择 huawei。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0 通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00 通配 MAC 地址。 - CoA 端口:输入
3799 。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip 替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置。
- 认证密码字段:保持默认或自定义设置。
|
步骤二:配置访客 SSID
在使用配置的 SSID 页签的访客 Wi-Fi 区域单击添加,添加一个 SSID。
- 访客 SSID 仅可添加一个。
- SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

步骤三:在华为 AC 中添加访客 RADIUS 服务器
- 进入 AC Web 配置页面,选择安全管理 > AAA。
- 修改 RADIUS 服务器模板。

IP 地址填写 RADIUS Server IP 地址,以及端口、共享密钥信息可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。

步骤四:创建 Portal 认证服务器
- 进入配置 > 安全管理 > AAA 功能页。
- 在 Portal 服务器全局设置页签,勾选 HTTP协议,并应用。

- 创建 Portal 服务器。

- 服务器 IP 地址填写 RADIUS Server IP 地址。
- 共享密钥需要从飞连管理后台的 Wi-Fi 管理 > 使用配置 > Portal Server 配置中获取。如果没有配置 Portal Server,则自定义密钥即可。

- 报文端口号填写 50100。
- URL 填写的示例格式为
https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
。
{hostname}
:对应飞连门户地址。apmac
:对应飞连管理后台的 AC 中配置的 Mac 地址。
IP 地址、URL、Mac 地址可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。

步骤五:创建 SSID 模板
- 进入 SSID基本配置 > 修改SSID 功能页。
- 在基本信息界面,填写 SSID 名称(对应飞连管理后台访客 Wi-Fi 的 SSID)、访客 VLAN ID,转发模式选择隧道转发。

- 在安全认证界面,完成以下配置。
- 在接入控制界面,绑定 AP。

步骤六:Portal 模板关联 Portal 服务器组
- 进入配置 > AP 配置 > 模板管理功能页。
- 在 Portal 模板内,完成以下配置。
- Portal 认证选择外置Portal服务器。
- 对接协议选择 HTTP协议。
- 关联 Portal 服务器组并应用。

步骤七:添加认证模板与计费模板
- 进入无线业务 > VAP模板,在对应模板的认证模板 > 认证方案模板中,添加认证模版并应用。

- 进入无线业务 > 计费方案模板中,添加计费模板。

- 进入无线业务 > VAP模板,在对应模板的认证模板 > 计费方案模板中,绑定计费模板。

步骤八:配置免认证模板
在无线业务 > 免认证规则模板中,可以配置免认证模板,为 AC、飞连服务、DNS 地址加白名单。

配置访客 Wi-Fi(飞连 Portal 服务)
准备工作
- 准备一个域名可解析到 Portal Server IP(即对应工区 Radius Server IP)。
- 准备 Nginx 证书的 .crt 及 .key 文件。
- Portal Server 服务机器需要与 AC 互通,AC 端默认端口 UDP 2000,Portal Server 端口 UDP 50100,访客网络需要能够访问 Portal Server TCP 9100。
- 连接终端获取的访客业务 VLAN 网络权限需要能够访问
Portal server ip:9100
,以及飞连访客 Web 地址:https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
。
配置流程图

步骤一:在飞连管理后台配置访客认证(对接 Portal Server)
- 登录飞连管理后台。
- 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
- 在网络设备页签内,找到已配置好的华为无线控制器,并进入详情页。
- 在设备详情页,单击访客 Wi-Fi 页签。

- 单击以下配置项的编辑图标,完成访客 Wi-Fi 界面配置。
- 访客认证信息信息接收地址:地址格式为
https://域名:9100/login
- 访客认证用户名字段:username
- 访客认证密码字段:password

- 配置访客 Portal Server。
- 返回使用配置页面,单击 Portal Server 页签。

- 找到已配置好的华为无线控制器,在右上角单击编辑。
- 在详情页配置以下信息,并单击确定。
- Portal 认证服务器名称:自定义即可。
- 无线控制器对接地址:地址格式为
ac_ip:2000
(无特殊需求端口为 2000)。说明
此对接地址是没有拿到 NAS IP 兜底通讯的 IP,如果需要一个外置 Portal 能对接多个 AC,跳转认证的 URL 地址请携带 NAS IP 参数。
- Portal 服务端口:TCP 9100(无特殊需求端口默认即可)。
- Portal 协议端口:UDP 50100(无特殊需求端口默认即可)。
- Portal 协议版本:支持 Portal 协议 v1、v2,目前多数 AC 品牌主要使用 v2 版本。
- 认证协议类型:支持 PAP、CHAP,目前多数 AC 品牌两种协议类型都支持,任选其一即可。
- 认证成功跳转地址:访客 Wi-Fi 认证成功后,Web 界面跳转的地址,一般多配置为企业官网。
- 认证失败跳转地址:访客 Wi-Fi 认证失败后,Web 界面跳转的地址,一般多配置为 Web 认证页面,格式示例:
https://feilian_server域名:端口/multiple-pages/guest-wifi-login.html
。

步骤二(可选):在 Portal Server 配置域名证书
说明
如果不配置证书,可以使用 HTTP 地址对接。
上传 Nginx 证书的 .crt 以及 .key 文件到 Portal Server 节点上。
scp 本地路径 服务器路径
eg: scp /Users/***/Desktop/xxx.crt corplink@****:/opt/
SSH 连接到 Portal Server 节点,并修改配置文件。
sudo -s
vi /opt/feilian/radius/conf/config.yaml
// 修改 Radius 配置文件,添加参数如下参数
portal:
https_cert: "/opt/xxx.crt"
https_key: "/opt/xxx.key"
// 重启 feilian-radius 服务
systemctl restart feilian-radius
步骤三:在华为 AC 中添加访客 Radius 服务器
- 进入 AC Web 配置页面,选择安全管理 > AAA。

- 进入 RADIUS 设置页签。

- 在 RADIUS 服务器模板区域单击新建。

- 在修改RADIUS服务器模板界面,完成以下配置。
- 模板名称、模式:根据实际需要自行配置。
- 模板默认共享密钥:填写相应华为 AC 的共享密钥。
- 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 3812、3813)。

其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 的访客 Wi-Fi 配置信息。

步骤四:配置 Portal 认证服务器
- 在安全管理 > AAA 页面,配置 Portal 服务器全局设置。
- 本机网关地址:需要勾选所有地址,否则不响应 Portal 协议报文。
- HTTP协议:使用外置 Portal Server 方式,所以不勾选 HTTP 协议。

- 在 Portal 认证服务器列表区域,单击新建,创建外置 Portal 服务器。

配置页面与配置项说明:

- 服务器IP地址:Radius 地址(即 Portal Server IP)。
- 共享密钥:在飞连管理后台 Portal Server 配置页面获取。
- 报文端口号:50100
- URL:
https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1
{hostname}
:飞连门户域名apmac
:飞连管理后台添加的 AC 设备模板的 Mac 地址 (可自定义,只需和飞连管理后台一致)
说明
若 Radius & Portal Server 是放云上,AC 在本地 IDC,通过公网对接,需要固定 AC 出口 nasip 的取值为:Url = https://{hostname}/multiple-pages/guest-wifi-login.html?apmac=xxxxx&a=1&nasip=x.x.x.x&b
其中:
- 服务器 IP 地址、共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > Portal Server 中,已添加的华为访客 Portal Server 配置信息。

- URL,以及 URL 中的
apmac
可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,华为 AC 的 Mac 地址、和访客 Wi-Fi 的访客认证页面地址。

步骤五:创建访客无线服务
- 在配置页面,选择配置向导 > 无线服务。

- 修改 SSID。在基本信息界面,填写 SSID 名称、业务 VLAN ID。

- 在安全认证界面完成以下配置。
- 在接入控制界面,绑定 AP 组。

步骤六:配置访客模板
- 进入 AP 配置 > 模板管理页面。
- 在 AAA > Portal模板 中进入指定模板,完成以下配置。
- Portal认证:选择外置Portal服务器。
- 对接使用协议:选择 Portal协议。
- 主Portal服务器组:关联对应的 Portal 服务器组。

- 在无线业务 > VAP模板 > Botanee-Guest > 认证模板 > Portal模板中,调用 Portal 模板。

- 在 AAA > 计费方案模板 > feilian-guest 中,添加计费模板并在 VAP 模板下绑定计费模板。

- 在 AAA > 免认证规则模板 > feilian-guest 中,添加免认证模板。
需加白的对象:AC IP、DNS、Radius、飞连服务器 IP。注意
在网络核心设备上也需要提前放通访客 VLAN 权限(AC IP、DNS、Radius、飞连服务器内外网 IP)。

- 在无线业务 > VAP模板 > Botanee-Guest > 认证模板 > 免认证规则模板 中,关联免认证模板。

配置无线哑终端入网
注意事项
- 无线哑终端的认证、计费端口为 2812、2813 端口。
- 在飞连管理后台创建的交换机,AC 添加认证服务器 RADIUS 时,认证、计费端口填写为 2812、2813;密钥填写新建的交换机的共享密钥。
配置流程图

步骤一:在飞连管理后台添加华为无线路由设备
说明
如果您已经完成了员工 Wi-Fi 配置,添加了无线路由设备,则可以跳过本步骤。
步骤一:在飞连管理后台添加华为无线路由设备
登录飞连管理后台。
在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
在网络设备页签,单击无线控制器。

在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面 | 参数配置 |
---|

| - 设备名称:自定义名称。
- 设备品牌:选择 huawei。
- IP 地址:填写 AC 与RADIUS 通信的源 IP 地址。在不清楚 AC IP 地址时,支持配置
0.0.0.0 通配 IP,在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:AC MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00 通配 MAC 地址。 - CoA 端口:输入
3799 。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:修改输入框内默认地址,其中
ac-ip 替换为 AC 内网 IP 地址或域名(外置 Portal Server 需要设置 Portal Server IP 或者域名认证接收地址),不可填写通配地址。 - 认证用户名字段:保持默认或自定义设置。
- 认证密码字段:保持默认或自定义设置。
|
步骤二:增加哑终端设备信息
- 在左侧导航栏,进入 Wi-Fi 管理 > 哑终端入网页面。
- 在设备列表页签,单击右侧添加设备。
- 在添加哑终端设备弹窗,完成以下配置,并单击完成。
其中,MAC 地址需配置为 xx:xx:xx:xx:xx:xx
格式的哑终端设备 MAC 地址。其他配置项根据实际需要自定义配置即可。

步骤三:配置哑终端授权
- 返回哑终端入网页面,单击使用授权页签,并在右侧单击添加策略。

- 在添加权限组页面,完成以下配置,并单击确定。
其中权限组策略需要:
- 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。
其他配置项根据实际需要自定义配置即可。

步骤四:在华为 AC 中添加哑终端认证服务器
- 进入 AC Web 配置页面,选择安全管理 > AAA。

- 进入 RADIUS 设置页签。

- 在 RADIUS 服务器模板区域单击新建。

- 在修改RADIUS服务器模板界面,完成以下配置。

- 模板名称、模式:根据实际需要自行配置。
- 模板默认共享密钥:填写相应华为 AC 的共享密钥。
- 新建服务器:点击新建服务器,配置认证服务器、计费服务器的端口号(一般默认为 UDP 1812、1813)。
其中共享密钥、端口号需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的华为 AC 配置信息。

步骤五:创建哑终端无线服务
- 在配置页面,选择配置向导 > 无线服务。

- 修改 SSID。在基本信息界面,填写 SSID 名称、业务 VLAN ID。

- 在安全认证界面,安全配置选择不认证(个人网络适用)。

- 在接入控制界面,绑定 AP 组。

步骤六:配置认证模板
- 进入 AP 配置 > 模板管理页面。
- 在无线业务 > VAP模板 > Botanee > 认证模板 > 认证方案模板中,配置认证方案模板。

步骤七:配置 MAC 接入模板
- 在 AAA > MAC接入模板 中的指定模板,完成以下配置。
- 认证方式:选择PAP。
- 认证用户名形式:选择 MAC地址。
- MAC地址格式:选择 xxxxxxxxxxxx。

- 在无线业务 > VAP模板 > Botanee > 认证模板 > MAC接入模板中,关联模板。

常见问题
如何开启华为 AC 的 COA 配置?
配置命令如下:
sys(在系统视图下配置)
radius-server authorization 「radius地址」 shared-key cipher 「AC共享密钥」 server-group raidus-feilian
radius-server authorization port 3799
radius-server session-manage 「radius地址」 shared-key cipher 「AC共享密钥」
radius-server authorization attribute-decode-sameastemplate
radius-server authorization server-source all-interface //配置该项,才会接收coa报文
如何设置无线逃生方案?
无线 802.1X 认证方式不支持认证服务器 Down 的逃生。此场景可以通过配置 Open 的 SSID,在认证服务器 Down 时触发激活,用于用户选择临时逃生接入网络。配置参考:
#配置逃生安全模板、SSID模版,备份业务型VAP模板调用安全模版和SSID模版
wlan
security-profile name open
security open
quit
ssid-profile name OPEN
ssid OPEN
vap-profile name wlan-vap_backup
security-profile open
ssid-profile OPEN
type service-backup auth-server-down radius-server template feilian18 //对应Radius服务模板
quit
#
---
# Radius服务器恢复后手动关闭备份VAP
wlan
vap-service-backup auth-server-down inactive
#
配置无线逃生后的预期效果如下图所示:
