您可以参考本指南将 Aruba 无线控制器(AC)接入飞连,并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网,以构建基于飞连的企业办公网络,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。
说明
在网络准入系统中,飞连提供 802.1X、Portal 和 MAB 认证服务,本指南仅作为配置参考,辅助飞连和网络控制器设备的联调对接,AC 设备上的配置原则上由企业管理员或者设备厂商完成。本指南的配置步骤、截图等可能会因为设备型号、版本不同而有所差异,具体以网络厂商官方为准。若遇到因 AC 配置或厂商特性导致的对接失败或非认证引入的入网异常,请优先咨询网络设备厂商进行定位。
注意事项
- 本指南适用于 Aruba 8.5.x.x 以上版本。
- 在 Aruba AC 配置页操作时,注意需要手动单击右上角的 Pending Changes 保存配置,否则配置不生效。
- 本指南提供的示例操作场景以 Feilian Server 的单节点为例(自带一个 Radius 服务),所以在填写 Radius IP 操作步骤中均填写的是 Feilian Server IP。
配置员工 Wi-Fi
步骤一:在飞连管理后台添加 Aruba 无线路由设备
登录飞连管理后台。
在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
在网络设备页签,单击无线控制器。

在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面 | 参数配置 |
---|

| - 设备名称:自定义名称。
- 设备品牌:选择 aruba。
- IP 地址:填写真实的 AC 源 IP 地址,认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时,支持配置
0.0.0.0 通配 IP。在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00 通配 MAC 地址。 - CoA 端口:输入
3799 。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:保持默认
https://securelogin.arubanetworks.com/cgi-bin/login - 认证用户名字段:保持默认或自定义设置。
- 认证密码字段:保持默认或自定义设置。
|
步骤二:添加员工 SSID
在使用配置的 SSID 页签的员工 Wi-Fi 区域单击添加,添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

步骤三:添加员工 Wi-Fi 入网权限
在左侧导航栏,选择 Wi-Fi 管理 > 员工入网,并进入权限配置页签。
选择 802.1x 协议认证,并单击添加策略。

在添加 802.1x 权限组页面,完成以下配置,并在页面底部单击保存并生效。
配置项 | 配置说明 |
---|
基本信息 | - 权限组名称:自定义即可。
- 绝对优先级:设置当前权限组的优先级。取值范围为 0~100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
|
权限组策略 | - 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。

|
生效范围 | - 权限类型:勾选员工 Wi-Fi。
- 生效对象:按实际所需选择员工授权或者设备授权,并选择指定范围的员工或设备。

|
高级配置 | - RADIUS 服务器:可用于响应认证信息的服务器,一般选择全部。
- 网络设备:权限组策略所生效的网络设备范围,按需选择。
- SSID:权限组策略所生效的 SSID 范围,按需选择。
说明 需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID} ,部分设备需要在控制器手动设置,否则会影响入网 SSID 识别。 
|
步骤四:在 Aruba AC 中配置员工 Wi-Fi
- 进入 Configuration > WLANs 页面,新建员工 WLAN。

- 在 General 界面完成以下配置,并在页面右下角单击 Next。
- Name (SSID):填写与上述步骤二:添加 SSID 一致的 SSID。
- Primary usage:选择 Employee。
- Broadcast on:选择绑定 AP 组。
- Forwarding mode:选择 Tunnel。

- 在 VLANs 界面指定 VLAN(即业务 VLAN),并在页面右下角单击 Next。

- 在 Security 界面完成安全配置,并在页面右下角单击 Next。

- Key management:密钥管理选择 WPA2 企业级,即 WPA2-Enterprise。
- Auth servers:单击 +,新建 RADIUS 服务器。

部分配置项说明:
- IP 地址填写 AC 可访问的 RADIUS IP 地址,单节点 Feilian Server 内置一个 RADIUS 服务,故此处示例 IP 填写Feilian Server IP 地址。
- 端口号、密钥均可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置信息进行填写。

- 新建员工 WLAN 后,在该 WLAN 的 Access 页签,网络权限选择自带的 authenticated。

- 检查与配置。
- 在 Configuration > Authentication 页面,进入 AAA Profiles 页签。
- 检查自动生成的 AAA 模版中是否已经绑定认证、计费服务器(组),以及可选的 RFC 3576 动态授权服务器(CoA)。

注意 802.1X Authentication 中的 Termination 选项需要取消勾选。

- 在 AAA 模版中开启计费更新。

在 Configuration > Authentication 页面,进入 Auth Servers 页签,可查看生成的认证服务器(组)。

步骤五:配置动态授权 CoA
- 在 Configuration > Authentication 页面,进入 Auth Servers 页签,新建 CoA Server。

其中 IP 地址填写 Radius Server IP,该 IP 需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置的 IP 地址。

- 修改服务器密钥,填写无线路由模版的共享密钥。

共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置的共享密钥。

- 在员工 Wi-Fi AAA 模版内,绑定已新建好的 CoA Server。

配置访客 Wi-Fi
步骤一:在飞连管理后台配置访客 Wi-Fi
- 登录飞连管理后台。
- 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
- 在网络设备页签内,找到已配置好的 Aruba 无线控制器,并进入详情页。
- 在设备详情页,单击访客 Wi-Fi 页签。

- 单击以下配置项的编辑图标,完成访客 Wi-Fi 界面配置。
- 访客认证信息信息接收地址:地址默认为
https://securelogin.arubanetworks.com/cgi-bin/login
。 - 访客认证用户名字段:默认
user
。 - 访客认证密码字段:默认
password
。

步骤二:配置访客 SSID
在使用配置的 SSID 页签的访客 Wi-Fi 区域单击添加,添加一个 SSID。
- 访客 SSID 仅可添加一个。
- SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

步骤三:在 Aruba AC 中配置访客 Wi-Fi
- 进入 Configuration > Services 页面。
- 在 Firewall 页签内,开启 Allow tri-session with DNAT。

- 在 Configuration > Tasks 页面,新建访客 WLAN。
- 在 General 界面完成以下配置,并在页面右下角单击 Next。
- Name (SSID):填写在上文步骤二:配置访客 SSID 配置的 SSID。
- Primary usage:选择 Guest。
- Broadcast on:选择绑定 AP 组。
- Forwarding mode:选择 Tunnel。

- 在 VLANs 界面指定访客 VLAN,并在页面右下角单击 Next。

- 在 Security 界面完成安全配置,并在页面右下角单击 Next。
- 访问权限会自动生成 Default role(默认访客角色,连接访客 Wi-Fi 后获取),可在 Configuration > WLANs > Access 中查看。

- 开放免认证规则。
- 在 Configuration > Authentication 页面,进入 L3 Authentication 页签。
- 在 WLAN captive portal 模版下查找白名单模版。

- 在 Configuration > Roles & Policies 页面,进入 Aliases 页签。
- 在白名单模版下,添加 Portal 认证页面域名。

- 确认配置。
- 在 Configuration > Authentication 页面,进入 AAA Profiles 页签。
- 绑定计费服务器,选择自动生成的 RADIUS 服务器。

- 返回 L3 Authentication 页签,确认 Portal 页面配置和认证方法。

- 如果 AC 不支持 HTTPS 则可以选中使用 HTTP,同时需要在飞连管理后台,将访客认证信息接收地址改成 HTTP 协议。
- Redirect url 为认证成功后的回调地址,可根据实际需要填写。
- Login page 需要补齐访客门户端口配置。示例链接:
https://blackhouse.feilian-test.tech:10444/multiple-pages/guest-wifi-login.html?apmac=00:00:00:00:00:00:01&a=1
补齐后,需要添加一条放通域名 10443 的白名单,否则访客 Portal 无法弹出。

配置无线哑终端入网
步骤一:在 Aruba AC 中添加哑终端 WLAN
- 进入 Configuration > WLANs 页面,新建哑终端 WLAN。

- 在 VLANs 界面,配置授权 VLAN。

- Security 选择 Open。

- Access 界面的配置默认无需修改,完成配置即可。

步骤一:在飞连管理后台添加 Aruba 无线路由设备
登录飞连管理后台。
在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。
在网络设备页签,单击无线控制器。

在添加无线路由设备弹窗内,完成以下配置并单击完成。
配置页面 | 参数配置 |
---|

| - 设备名称:自定义名称。
- 设备品牌:选择 aruba。
- IP 地址:填写真实的 AC 源 IP 地址,认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时,支持配置
0.0.0.0 通配 IP。在存在多个同款 AC 设备时,支持配置多个 IP 地址。 - MAC 地址:填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时,支持配置
00:00:00:00:00:00 通配 MAC 地址。 - CoA 端口:输入
3799 。 - 开启能力:勾选员工 Wi-Fi、访客 Wi-Fi。
- 认证信息接收地址:保持默认
https://securelogin.arubanetworks.com/cgi-bin/login - 认证用户名字段:保持默认或自定义设置。
- 认证密码字段:保持默认或自定义设置。
|
步骤三:在 Aruba AC 中添加认证服务器组
- 在 Configuration > Authentication 页面,进入 Auth Servers 页签。
- 添加认证服务器组,IP 地址填写 AC 可与 RADIUS 正常通讯的 IP 地址。

- All Servers 找到 feilian-IOT 认证模版,并配置认证参数。

- IP 地址填写 AC 可通讯 RADIUS 的 IP 地址。
- 认证端口、计费端口、共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 配置信息。

步骤四:添加 Mac 认证
- 在 Configuration > Authentication 页面,进入 AAA Profiles 页签。

- 添加 Mac 认证。

- 在页面右上角单击 Pending Change,并保存配置。

步骤五:在飞连管理后台增加哑终端设备
- 在左侧导航栏,进入 Wi-Fi 管理 > 哑终端入网页面。
- 在设备列表页签,单击右侧添加设备。
- 在添加哑终端设备弹窗,完成以下配置,并单击完成。

步骤六:配置哑终端授权
- 返回哑终端入网页面,单击使用授权页签,并在右侧单击添加策略。

- 在添加权限组页面,完成以下配置,并单击确定。
其中权限组策略需要:
- 勾选基于网络。
- 选择 Tunnel-Pvt-Group-ID。
- 值输入网络设备的 VLAN ID,格式为纯数字。
其他配置项根据实际需要自定义配置即可。

(可选配置)Captive Portal 替换证书
步骤一:在 Aruba AC 中配置证书信息
- 进入 Configuration > System 页面,并单击 Certificates 页签。
- 上传同时包含公钥、私钥的证书文件,类型使用 PEM,Cert 和 Key 合并到一个文件(私钥文件内容追加到整数文件最下方)。证书类型选择 ServerCert。

文件内容图示如下:

- 在页面顶部单击 More 页签,Captive Portal 使用上传证书。

步骤二:在飞连管理后台替换访客认证对接地址
- 登录飞连管理后台。
- 在左侧导航栏,选择 WiFi 管理 > 使用配置。
- 进入网络设备页签,找到 Aruba AC 设备。
- 进入设备详情页,在访客 Wi-Fi 页签,替换访客认证信息接收地址。
格式示例:https://captiveportal-login.yourdomain.net/cgi-bin/login
。如果使用泛域名证书,其中.yourdomain.net
是证书的 CN 字段;captiveportal-login
由 AC 默认生成;如果使用子域名证书,则尝试直接使用 CN 字段拼接。

常见问题
对接 Aruba AC 时,员工 Portal 认证通过后页面加载时间过长如何处理?
- 在 Aruba AC 管理配置页面,进入 Configurtaion > L3 Authentication,找到对应的配置模板。
- 设置 Redirect Pause 为 1 秒,并把 Welcome page 取消。

- 使用 Redirect URL。

Aruba 访客 Wi-Fi 在输入账号密码后,认证成功但不跳转认证成功页面是什么原因?
- 问题原因:Aruba AC 中的 Welcome Page 和 Redirect URL 均配置为访客 Portal URL,而 Portal 跳转流程是先到 Welcome Page,加载成功后再跳转到 Redirect URL。
- 解决方案:在 Aruba AC 管理配置页面,进入 Configurtaion > L3 Authentication,找到对应的配置模板,取消 Welcome page 配置项,或者将 Welcome page 设置为预期的认证成功页面地址。