You need to enable JavaScript to run this app.
导航
Aruba AC 网络准入配置指南
最近更新时间:2025.02.19 19:28:42首次发布时间:2025.02.19 19:15:13

您可以参考本指南将 Aruba 无线控制器(AC)接入飞连,并配置员工 Wi-Fi、访客 Wi-Fi、无线哑终端入网,以构建基于飞连的企业办公网络,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为企业内安全合规的终端提供网络服务的目的。

说明

在网络准入系统中,飞连提供 802.1X、Portal 和 MAB 认证服务,本指南仅作为配置参考,辅助飞连和网络控制器设备的联调对接,AC 设备上的配置原则上由企业管理员或者设备厂商完成。本指南的配置步骤、截图等可能会因为设备型号、版本不同而有所差异,具体以网络厂商官方为准。若遇到因 AC 配置或厂商特性导致的对接失败或非认证引入的入网异常,请优先咨询网络设备厂商进行定位。

注意事项
  • 本指南适用于 Aruba 8.5.x.x 以上版本。
  • 在 Aruba AC 配置页操作时,注意需要手动单击右上角的 Pending Changes 保存配置,否则配置不生效。
  • 本指南提供的示例操作场景以 Feilian Server 的单节点为例(自带一个 Radius 服务),所以在填写 Radius IP 操作步骤中均填写的是 Feilian Server IP。

配置员工 Wi-Fi

步骤一:在飞连管理后台添加 Aruba 无线路由设备

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置

  3. 网络设备页签,单击无线控制器
    Image

  4. 添加无线路由设备弹窗内,完成以下配置并单击完成

    配置页面

    参数配置

    Image

    • 设备名称:自定义名称。
    • 设备品牌:选择 aruba
    • IP 地址:填写真实的 AC 源 IP 地址,认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时,支持配置0.0.0.0通配 IP。在存在多个同款 AC 设备时,支持配置多个 IP 地址。
    • MAC 地址:填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时,支持配置00:00:00:00:00:00通配 MAC 地址。
    • CoA 端口:输入3799
    • 开启能力:勾选员工 Wi-Fi访客 Wi-Fi
    • 认证信息接收地址:保持默认 https://securelogin.arubanetworks.com/cgi-bin/login
    • 认证用户名字段:保持默认或自定义设置。
    • 认证密码字段:保持默认或自定义设置。

步骤二:添加员工 SSID

使用配置SSID 页签的员工 Wi-Fi 区域单击添加,添加一个 SSID。
SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。
Image

步骤三:添加员工 Wi-Fi 入网权限

  1. 在左侧导航栏,选择 Wi-Fi 管理 > 员工入网,并进入权限配置页签。

  2. 选择 802.1x 协议认证,并单击添加策略
    Image

  3. 添加 802.1x 权限组页面,完成以下配置,并在页面底部单击保存并生效

    配置项

    配置说明

    基本信息

    • 权限组名称:自定义即可。
    • 绝对优先级:设置当前权限组的优先级。取值范围为 0~100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

    权限组策略

    1. 勾选基于网络
    2. 选择 Tunnel-Pvt-Group-ID
    3. 输入网络设备的 VLAN ID,格式为纯数字。

    Image

    生效范围

    • 权限类型:勾选员工 Wi-Fi
    • 生效对象:按实际所需选择员工授权或者设备授权,并选择指定范围的员工或设备。

    Image

    高级配置

    • RADIUS 服务器:可用于响应认证信息的服务器,一般选择全部
    • 网络设备:权限组策略所生效的网络设备范围,按需选择。
    • SSID:权限组策略所生效的 SSID 范围,按需选择。

    说明

    需要保证认证 Radius 包携带的 Called-Station-Id 属性格式为 xx-xx-xx-xx-xx-xx:{SSID},部分设备需要在控制器手动设置,否则会影响入网 SSID 识别。

    Image

步骤四:在 Aruba AC 中配置员工 Wi-Fi

  1. 进入 Configuration > WLANs 页面,新建员工 WLAN。
    Image
  2. General 界面完成以下配置,并在页面右下角单击 Next
    • Name (SSID):填写与上述步骤二:添加 SSID 一致的 SSID。
    • Primary usage:选择 Employee
    • Broadcast on:选择绑定 AP 组。
    • Forwarding mode:选择 Tunnel
      Image
  3. VLANs 界面指定 VLAN(即业务 VLAN),并在页面右下角单击 Next
    Image
  4. Security 界面完成安全配置,并在页面右下角单击 Next
    Image
    • Key management:密钥管理选择 WPA2 企业级,即 WPA2-Enterprise
    • Auth servers:单击 +,新建 RADIUS 服务器。
      Image
      部分配置项说明:
      • IP 地址填写 AC 可访问的 RADIUS IP 地址,单节点 Feilian Server 内置一个 RADIUS 服务,故此处示例 IP 填写Feilian Server IP 地址。
      • 端口号、密钥均可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置信息进行填写。
        Image
  5. 新建员工 WLAN 后,在该 WLAN 的 Access 页签,网络权限选择自带的 authenticated
    Image
  6. 检查与配置。
    1. Configuration > Authentication 页面,进入 AAA Profiles 页签。
    2. 检查自动生成的 AAA 模版中是否已经绑定认证、计费服务器(组),以及可选的 RFC 3576 动态授权服务器(CoA)。
      Image
      注意 802.1X Authentication 中的 Termination 选项需要取消勾选。
      Image
    3. 在 AAA 模版中开启计费更新。
      Image
      Configuration > Authentication 页面,进入 Auth Servers 页签,可查看生成的认证服务器(组)。
      Image

步骤五:配置动态授权 CoA

  1. Configuration > Authentication 页面,进入 Auth Servers 页签,新建 CoA Server。
    Image
    其中 IP 地址填写 Radius Server IP,该 IP 需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置的 IP 地址
    Image
  2. 修改服务器密钥,填写无线路由模版的共享密钥。
    Image
    共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置的共享密钥
    Image
  3. 在员工 Wi-Fi AAA 模版内,绑定已新建好的 CoA Server。
    Image

配置访客 Wi-Fi

步骤一:在飞连管理后台配置访客 Wi-Fi

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置
  3. 网络设备页签内,找到已配置好的 Aruba 无线控制器,并进入详情页。
  4. 在设备详情页,单击访客 Wi-Fi 页签。
    Image
  5. 单击以下配置项的编辑图标,完成访客 Wi-Fi 界面配置。
    • 访客认证信息信息接收地址:地址默认为https://securelogin.arubanetworks.com/cgi-bin/login

      说明

      如果替换证书,则需要配置对应的地址,详情参考(可选配置)Captive Portal 替换证书章节。

    • 访客认证用户名字段:默认 user
    • 访客认证密码字段:默认 password
      Image

步骤二:配置访客 SSID

使用配置SSID 页签的访客 Wi-Fi 区域单击添加,添加一个 SSID。

  • 访客 SSID 仅可添加一个。
  • SSID 为用户终端设备显示的 Wi-Fi 名称,需与无线接入点 WLAN 名称保持一致。

Image

步骤三:在 Aruba AC 中配置访客 Wi-Fi

  1. 进入 Configuration > Services 页面。
  2. Firewall 页签内,开启 Allow tri-session with DNAT
    Image
  3. Configuration > Tasks 页面,新建访客 WLAN。
  4. General 界面完成以下配置,并在页面右下角单击 Next
    • Name (SSID):填写在上文步骤二:配置访客 SSID 配置的 SSID。
    • Primary usage:选择 Guest
    • Broadcast on:选择绑定 AP 组。
    • Forwarding mode:选择 Tunnel
      Image
  5. VLANs 界面指定访客 VLAN,并在页面右下角单击 Next
    Image
  6. Security 界面完成安全配置,并在页面右下角单击 Next
    • 安全类型选择 ClearPass or other external Captive Portal
    • Auth servers 区域单击 +,新建 RADIUS 服务器。
      Image
      部分配置项说明:
      • IP 地址填写 AC 可访问的 RADIUS IP 地址,单节点 Feilian Server 内置一个 RADIUS 服务,故此处示例 IP 填写Feilian Server IP 地址。
      • 端口号、密钥均可参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的员工 Wi-Fi 配置信息进行填写。
        Image
    • 配置 Portal 页面。
      Image
      部分配置项说明:
      • Host:填写飞连门户域名。
        飞连自带访客认证页面https://{门户域名}/multiple-pages/guest-wifi-login.html,其中{门户域名}可以在火山引擎飞连控制台获取。

        说明

        此处添加门户域名的端口号会报错,端口请在 L3 Authentication > Login page 配置补全。

      • Page:示例格式/multiple-pages/guest-wifi-login.html?apmac=00:00:00:00:00:00:01&a=1,其中apmac是指飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 的 Mac
        Image
  7. 访问权限会自动生成 Default role(默认访客角色,连接访客 Wi-Fi 后获取),可在 Configuration > WLANs > Access 中查看。
    Image
  8. 开放免认证规则。
    1. Configuration > Authentication 页面,进入 L3 Authentication 页签。
    2. 在 WLAN captive portal 模版下查找白名单模版。
      Image
    3. Configuration > Roles & Policies 页面,进入 Aliases 页签。
    4. 在白名单模版下,添加 Portal 认证页面域名。
      Image
  9. 确认配置。
    1. Configuration > Authentication 页面,进入 AAA Profiles 页签。
    2. 绑定计费服务器,选择自动生成的 RADIUS 服务器。
      Image
  10. 返回 L3 Authentication 页签,确认 Portal 页面配置和认证方法。
    Image
  • 如果 AC 不支持 HTTPS 则可以选中使用 HTTP,同时需要在飞连管理后台,将访客认证信息接收地址改成 HTTP 协议。
  • Redirect url 为认证成功后的回调地址,可根据实际需要填写。
  • Login page 需要补齐访客门户端口配置。示例链接:https://blackhouse.feilian-test.tech:10444/multiple-pages/guest-wifi-login.html?apmac=00:00:00:00:00:00:01&a=1
    补齐后,需要添加一条放通域名 10443 的白名单,否则访客 Portal 无法弹出。
    Image

配置无线哑终端入网

步骤一:在 Aruba AC 中添加哑终端 WLAN

  1. 进入 Configuration > WLANs 页面,新建哑终端 WLAN。
    Image
  2. 在 VLANs 界面,配置授权 VLAN。
    Image
  3. Security 选择 Open。
    Image
  4. Access 界面的配置默认无需修改,完成配置即可。
    Image

步骤一:在飞连管理后台添加 Aruba 无线路由设备

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 Wi-Fi 管理 > 使用配置

  3. 网络设备页签,单击无线控制器
    Image

  4. 添加无线路由设备弹窗内,完成以下配置并单击完成

    配置页面

    参数配置

    Image

    • 设备名称:自定义名称。
    • 设备品牌:选择 aruba
    • IP 地址:填写真实的 AC 源 IP 地址,认证时用于校验 Radius 密钥。在不清楚 AC 源 IP 地址时,支持配置0.0.0.0通配 IP。在存在多个同款 AC 设备时,支持配置多个 IP 地址。
    • MAC 地址:填写 AC 真实的 MAC 地址。在不清楚 AC MAC 地址时,支持配置00:00:00:00:00:00通配 MAC 地址。
    • CoA 端口:输入3799
    • 开启能力:勾选员工 Wi-Fi访客 Wi-Fi
    • 认证信息接收地址:保持默认 https://securelogin.arubanetworks.com/cgi-bin/login
    • 认证用户名字段:保持默认或自定义设置。
    • 认证密码字段:保持默认或自定义设置。

步骤三:在 Aruba AC 中添加认证服务器组

  1. Configuration > Authentication 页面,进入 Auth Servers 页签。
  2. 添加认证服务器组,IP 地址填写 AC 可与 RADIUS 正常通讯的 IP 地址。
    Image
  3. All Servers 找到 feilian-IOT 认证模版,并配置认证参数。
    Image
    • IP 地址填写 AC 可通讯 RADIUS 的 IP 地址。
    • 认证端口、计费端口、共享密钥需要参考飞连管理后台 Wi-Fi 管理 > 使用配置 > 网络设备中,已添加的 Aruba AC 配置信息。
      Image

步骤四:添加 Mac 认证

  1. Configuration > Authentication 页面,进入 AAA Profiles 页签。
    Image
  2. 添加 Mac 认证。
    Image
  3. 在页面右上角单击 Pending Change,并保存配置。
    Image

步骤五:在飞连管理后台增加哑终端设备

  1. 在左侧导航栏,进入 Wi-Fi 管理 > 哑终端入网页面。
  2. 设备列表页签,单击右侧添加设备
  3. 添加哑终端设备弹窗,完成以下配置,并单击完成
    Image

步骤六:配置哑终端授权

  1. 返回哑终端入网页面,单击使用授权页签,并在右侧单击添加策略
    Image
  2. 添加权限组页面,完成以下配置,并单击确定
    其中权限组策略需要:
    1. 勾选基于网络
    2. 选择 Tunnel-Pvt-Group-ID
    3. 输入网络设备的 VLAN ID,格式为纯数字。
      其他配置项根据实际需要自定义配置即可。
      Image

(可选配置)Captive Portal 替换证书

步骤一:在 Aruba AC 中配置证书信息

  1. 进入 Configuration > System 页面,并单击 Certificates 页签。
  2. 上传同时包含公钥、私钥的证书文件,类型使用 PEM,Cert 和 Key 合并到一个文件(私钥文件内容追加到整数文件最下方)。证书类型选择 ServerCert。
    Image
    文件内容图示如下:
    Image
  3. 在页面顶部单击 More 页签,Captive Portal 使用上传证书。
    Image

步骤二:在飞连管理后台替换访客认证对接地址

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 WiFi 管理 > 使用配置
  3. 进入网络设备页签,找到 Aruba AC 设备。
  4. 进入设备详情页,在访客 Wi-Fi 页签,替换访客认证信息接收地址
    格式示例:https://captiveportal-login.yourdomain.net/cgi-bin/login。如果使用泛域名证书,其中.yourdomain.net是证书的 CN 字段;captiveportal-login由 AC 默认生成;如果使用子域名证书,则尝试直接使用 CN 字段拼接。
    Image

常见问题

对接 Aruba AC 时,员工 Portal 认证通过后页面加载时间过长如何处理?

  1. 在 Aruba AC 管理配置页面,进入 Configurtaion > L3 Authentication,找到对应的配置模板。
  2. 设置 Redirect Pause 为 1 秒,并把 Welcome page 取消。
    Image
  3. 使用 Redirect URL。
    Image

Aruba 访客 Wi-Fi 在输入账号密码后,认证成功但不跳转认证成功页面是什么原因?

  • 问题原因:Aruba AC 中的 Welcome Page 和 Redirect URL 均配置为访客 Portal URL,而 Portal 跳转流程是先到 Welcome Page,加载成功后再跳转到 Redirect URL。
  • 解决方案:在 Aruba AC 管理配置页面,进入 Configurtaion > L3 Authentication,找到对应的配置模板,取消 Welcome page 配置项,或者将 Welcome page 设置为预期的认证成功页面地址。