您可以参考本指南将 Aruba 无线控制器（AC）接入飞连，并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网，以构建基于飞连的企业办公网络，实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。

• 本指南适用于 Aruba 8.5.x.x 以上版本。
• 在 Aruba AC 配置页操作时，注意需要手动单击右上角的 Pending Changes 保存配置，否则配置不生效。
• 本指南提供的示例操作场景以 Feilian Server 的单节点为例（自带一个 Radius 服务），所以在填写 Radius IP 操作步骤中均填写的是 Feilian Server IP。

步骤一：在飞连管理后台添加 Aruba 无线路由设备

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。

3. 在网络设备页签，单击无线控制器。
   

4. 在添加无线路由设备弹窗内，完成以下配置并单击完成。

   配置页面	参数配置
   	设备名称：自定义名称。 设备品牌：选择 aruba。 IP 地址：填写真实的 AC 源 IP 地址，认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时，支持配置0.0.0.0通配 IP。在存在多个同款 AC 设备时，支持配置多个 IP 地址。 MAC 地址：填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时，支持配置00:00:00:00:00:00通配 MAC 地址。 CoA 端口：输入3799。 开启能力：勾选员工 Wi-Fi、访客 Wi-Fi。 认证信息接收地址：保持默认 https://securelogin.arubanetworks.com/cgi-bin/login 认证用户名字段：保持默认或自定义设置。 认证密码字段：保持默认或自定义设置。

步骤二：添加员工 SSID

在使用配置的 SSID 页签的员工 Wi-Fi 区域单击添加，添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称，需与无线接入点 WLAN 名称保持一致。

步骤三：添加员工 Wi-Fi 入网权限

1. 在左侧导航栏，选择 Wi-Fi 管理 > 员工入网，并进入权限配置页签。

2. 选择 802.1x 协议认证，并单击添加策略。
   

3. 在添加 802.1x 权限组页面，完成以下配置，并在页面底部单击保存并生效。

   配置项	配置说明
   基本信息	权限组名称：自定义即可。 绝对优先级：设置当前权限组的优先级。取值范围为 0~100，数值越大表示优先级越高。您可以同时生效多条权限组，飞连在对终端检测时，按优先级数值大小依次匹配策略，命中后停止匹配，如果一直未命中，则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略，则优先执行策略修改时间最新的一条。
   权限组策略	勾选基于网络。 选择 Tunnel-Pvt-Group-ID。 值输入网络设备的 VLAN ID，格式为纯数字。
   生效范围	权限类型：勾选员工 Wi-Fi。 生效对象：按实际所需选择员工授权或者设备授权，并选择指定范围的员工或设备。
   高级配置	RADIUS 服务器：可用于响应认证信息的服务器，一般选择全部。 网络设备：权限组策略所生效的网络设备范围，按需选择。 SSID：权限组策略所生效的 SSID 范围，按需选择。 说明 需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID}，部分设备需要在控制器手动设置，否则会影响入网 SSID 识别。

步骤四：在 Aruba AC 中配置员工 Wi-Fi

1. 进入 Configuration > WLANs 页面，新建员工 WLAN。
   
2. 在 General 界面完成以下配置，并在页面右下角单击 Next。
   • Name (SSID)：填写与上述步骤二：添加 SSID 一致的 SSID。
   • Primary usage：选择 Employee。
   • Broadcast on：选择绑定 AP 组。
   • Forwarding mode：选择 Tunnel。
     
3. 在 VLANs 界面指定 VLAN（即业务 VLAN），并在页面右下角单击 Next。
   
4. 在 Security 界面完成安全配置，并在页面右下角单击 Next。
   
   • Key management：密钥管理选择 WPA2 企业级，即 WPA2-Enterprise。
   • Auth servers：单击 +，新建 RADIUS 服务器。
     
     部分配置项说明：
     • IP 地址填写 AC 可访问的 RADIUS IP 地址，单节点 Feilian Server 内置一个 RADIUS 服务，故此处示例 IP 填写Feilian Server IP 地址。
     • 端口号、密钥均可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 的员工 Wi-Fi 配置信息进行填写。
       
5. 新建员工 WLAN 后，在该 WLAN 的 Access 页签，网络权限选择自带的 authenticated。
   
6. 检查与配置。
   1. 在 Configuration > Authentication 页面，进入 AAA Profiles 页签。
   2. 检查自动生成的 AAA 模版中是否已经绑定认证、计费服务器（组），以及可选的 RFC 3576 动态授权服务器（CoA）。
      
      注意 802.1X Authentication 中的 Termination 选项需要取消勾选。
      
   3. 在 AAA 模版中开启计费更新。
      
      在 Configuration > Authentication 页面，进入 Auth Servers 页签，可查看生成的认证服务器（组）。
      

步骤五：配置动态授权 CoA

1. 在 Configuration > Authentication 页面，进入 Auth Servers 页签，新建 CoA Server。
   
   其中 IP 地址填写 Radius Server IP，该 IP 需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 的员工 Wi-Fi 配置的 IP 地址。
   
2. 修改服务器密钥，填写无线路由模版的共享密钥。
   
   共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 的员工 Wi-Fi 配置的共享密钥。
   
3. 在员工 Wi-Fi AAA 模版内，绑定已新建好的 CoA Server。
   

步骤一：在飞连管理后台配置访客 Wi-Fi

1. 登录飞连管理后台。
2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。
3. 在网络设备页签内，找到已配置好的 Aruba 无线控制器，并进入详情页。
4. 在设备详情页，单击访客 Wi-Fi 页签。
   
5. 单击以下配置项的编辑图标，完成访客 Wi-Fi 界面配置。
   • 访客认证信息信息接收地址：地址默认为https://securelogin.arubanetworks.com/cgi-bin/login。

     说明

     如果替换证书，则需要配置对应的地址，详情参考（可选配置）Captive Portal 替换证书章节。

   • 访客认证用户名字段：默认 user。
   • 访客认证密码字段：默认 password。
     

步骤二：配置访客 SSID

在使用配置的 SSID 页签的访客 Wi-Fi 区域单击添加，添加一个 SSID。

• 访客 SSID 仅可添加一个。
• SSID 为用户终端设备显示的 Wi-Fi 名称，需与无线接入点 WLAN 名称保持一致。

步骤三：在 Aruba AC 中配置访客 Wi-Fi

1. 进入 Configuration > Services 页面。
2. 在 Firewall 页签内，开启 Allow tri-session with DNAT。
   
3. 在 Configuration > Tasks 页面，新建访客 WLAN。
4. 在 General 界面完成以下配置，并在页面右下角单击 Next。
   • Name (SSID)：填写在上文步骤二：配置访客 SSID 配置的 SSID。
   • Primary usage：选择 Guest。
   • Broadcast on：选择绑定 AP 组。
   • Forwarding mode：选择 Tunnel。
     
5. 在 VLANs 界面指定访客 VLAN，并在页面右下角单击 Next。
   
6. 在 Security 界面完成安全配置，并在页面右下角单击 Next。
   • 安全类型选择 ClearPass or other external Captive Portal。
   • 在 Auth servers 区域单击 +，新建 RADIUS 服务器。
     
     部分配置项说明：
     • IP 地址填写 AC 可访问的 RADIUS IP 地址，单节点 Feilian Server 内置一个 RADIUS 服务，故此处示例 IP 填写Feilian Server IP 地址。
     • 端口号、密钥均可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 的员工 Wi-Fi 配置信息进行填写。
       
   • 配置 Portal 页面。
     
     部分配置项说明：
     • Host：填写飞连门户域名。
       飞连自带访客认证页面https://{门户域名}/multiple-pages/guest-wifi-login.html，其中{门户域名}可以在火山引擎飞连控制台获取。

       说明

       此处添加门户域名的端口号会报错，端口请在 L3 Authentication > Login page 配置补全。

     • Page：示例格式/multiple-pages/guest-wifi-login.html?apmac=00:00:00:00:00:00:01&a=1，其中apmac是指飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 的 Mac。
       
7. 访问权限会自动生成 Default role（默认访客角色，连接访客 Wi-Fi 后获取），可在 Configuration > WLANs > Access 中查看。
   
8. 开放免认证规则。
   1. 在 Configuration > Authentication 页面，进入 L3 Authentication 页签。
   2. 在 WLAN captive portal 模版下查找白名单模版。
      
   3. 在 Configuration > Roles & Policies 页面，进入 Aliases 页签。
   4. 在白名单模版下，添加 Portal 认证页面域名。
      
9. 确认配置。
   1. 在 Configuration > Authentication 页面，进入 AAA Profiles 页签。
   2. 绑定计费服务器，选择自动生成的 RADIUS 服务器。
      
10. 返回 L3 Authentication 页签，确认 Portal 页面配置和认证方法。
    

• 如果 AC 不支持 HTTPS 则可以选中使用 HTTP，同时需要在飞连管理后台，将访客认证信息接收地址改成 HTTP 协议。
• Redirect url 为认证成功后的回调地址，可根据实际需要填写。
• Login page 需要补齐访客门户端口配置。示例链接：https://blackhouse.feilian-test.tech:10444/multiple-pages/guest-wifi-login.html?apmac=00:00:00:00:00:00:01&a=1
  补齐后，需要添加一条放通域名 10443 的白名单，否则访客 Portal 无法弹出。
  

步骤一：在 Aruba AC 中添加哑终端 WLAN

1. 进入 Configuration > WLANs 页面，新建哑终端 WLAN。
   
2. 在 VLANs 界面，配置授权 VLAN。
   
3. Security 选择 Open。
   
4. Access 界面的配置默认无需修改，完成配置即可。
   

步骤一：在飞连管理后台添加 Aruba 无线路由设备

1. 登录飞连管理后台。

2. 在左侧导航栏，选择 Wi-Fi 管理 > 使用配置。

3. 在网络设备页签，单击无线控制器。
   

4. 在添加无线路由设备弹窗内，完成以下配置并单击完成。

   配置页面	参数配置
   	设备名称：自定义名称。 设备品牌：选择 aruba。 IP 地址：填写真实的 AC 源 IP 地址，认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时，支持配置0.0.0.0通配 IP。在存在多个同款 AC 设备时，支持配置多个 IP 地址。 MAC 地址：填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时，支持配置00:00:00:00:00:00通配 MAC 地址。 CoA 端口：输入3799。 开启能力：勾选员工 Wi-Fi、访客 Wi-Fi。 认证信息接收地址：保持默认 https://securelogin.arubanetworks.com/cgi-bin/login 认证用户名字段：保持默认或自定义设置。 认证密码字段：保持默认或自定义设置。

步骤三：在 Aruba AC 中添加认证服务器组

1. 在 Configuration > Authentication 页面，进入 Auth Servers 页签。
2. 添加认证服务器组，IP 地址填写 AC 可与 RADIUS 正常通讯的 IP 地址。
   
3. All Servers 找到 feilian-IOT 认证模版，并配置认证参数。
   
   • IP 地址填写 AC 可通讯 RADIUS 的 IP 地址。
   • 认证端口、计费端口、共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中，已添加的 Aruba AC 配置信息。
     

步骤四：添加 Mac 认证

1. 在 Configuration > Authentication 页面，进入 AAA Profiles 页签。
   
2. 添加 Mac 认证。
   
3. 在页面右上角单击 Pending Change，并保存配置。
   

步骤五：在飞连管理后台增加哑终端设备

1. 在左侧导航栏，进入 Wi-Fi 管理 > 哑终端入网页面。
2. 在设备列表页签，单击右侧添加设备。
3. 在添加哑终端设备弹窗，完成以下配置，并单击完成。
   

步骤六：配置哑终端授权

1. 返回哑终端入网页面，单击使用授权页签，并在右侧单击添加策略。
   
2. 在添加权限组页面，完成以下配置，并单击确定。
   其中权限组策略需要：
   1. 勾选基于网络。
   2. 选择 Tunnel-Pvt-Group-ID。
   3. 值输入网络设备的 VLAN ID，格式为纯数字。
      其他配置项根据实际需要自定义配置即可。
      

步骤一：在 Aruba AC 中配置证书信息

1. 进入 Configuration > System 页面，并单击 Certificates 页签。
2. 上传同时包含公钥、私钥的证书文件，类型使用 PEM，Cert 和 Key 合并到一个文件（私钥文件内容追加到整数文件最下方）。证书类型选择 ServerCert。
   
   文件内容图示如下：
   
3. 在页面顶部单击 More 页签，Captive Portal 使用上传证书。
   

步骤二：在飞连管理后台替换访客认证对接地址

1. 登录飞连管理后台。
2. 在左侧导航栏，选择 WiFi 管理 > 使用配置。
3. 进入网络设备页签，找到 Aruba AC 设备。
4. 进入设备详情页，在访客 Wi-Fi 页签，替换访客认证信息接收地址。
   格式示例：https://captiveportal-login.yourdomain.net/cgi-bin/login。如果使用泛域名证书，其中.yourdomain.net是证书的 CN 字段；captiveportal-login由 AC 默认生成；如果使用子域名证书，则尝试直接使用 CN 字段拼接。
   

对接 Aruba AC 时，员工 Portal 认证通过后页面加载时间过长如何处理？

1. 在 Aruba AC 管理配置页面，进入 Configurtaion > L3 Authentication，找到对应的配置模板。
2. 设置 Redirect Pause 为 1 秒，并把 Welcome page 取消。
   
3. 使用 Redirect URL。
   

Aruba 访客 Wi-Fi 在输入账号密码后，认证成功但不跳转认证成功页面是什么原因？

• 问题原因：Aruba AC 中的 Welcome Page 和 Redirect URL 均配置为访客 Portal URL，而 Portal 跳转流程是先到 Welcome Page，加载成功后再跳转到 Redirect URL。
• 解决方案：在 Aruba AC 管理配置页面，进入 Configurtaion > L3 Authentication，找到对应的配置模板，取消 Welcome page 配置项，或者将 Welcome page 设置为预期的认证成功页面地址。