You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/Wi-Fi 管理/管理员工入网/管理 802.1x 认证员工入网
管理 802.1x 认证员工入网
最近更新时间:2024.09.24 17:16:49首次发布时间:2022.11.29 10:24:02
我的收藏

使用 802.1x 认证协议开通员工入网后,员工可登录飞连客户端,并通过账号密码实现一键连接网络。在员工入网页面,您可以集中管理员工入网账号、网络使用权限以及调整入网相关的通用配置。

协议说明

飞连的员工入网功能支持两种认证协议,即 802.1x 认证协议和 Portal 认证协议。相较于 Portal 认证协议,802.1x 认证协议更注重入网的安全性,支持 CoA 准入策略和一人一端安全联网,入网方式包括有线网络和 Wi-Fi 网络。
飞连支持同时启用 802.1x 认证协议和 Portal 认证协议,如果您需要同时启用两种协议,请参考调整通用配置。两种协议主要功能区别如下:

  • 802.1x 认证:员工需要下载飞连客户端,登录客户端后,自动分配入网账号和密码,根据企业划分网络权限,实现一键连接网络。
  • Portal 认证:员工无需下载飞连客户端,使用飞连的登录认证方式,包括账号密码、短信或者扫码等方式,实现员工入网。更多信息,详见管理 Portal 认证员工入网

前提条件
  • 已通过 802.1x 认证协议开通员工入网功能。
  • 已在飞连管理后台构建了 Wi-Fi 或有线网络。更多信息,请参见添加 RADIUS 服务器

管理员工入网账号
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 Wi-Fi 管理员工入网
  3. 员工入网页面的入网详情页签,支持以下管理操作。

    • 在页面顶部,您可以设置筛选条件,或者关键词搜索指定员工的入网详情。

      说明

      在页面右上角,您可以单击展开筛选查看所有筛选条件。

      图片

      筛选项

      说明

      设备在线状态

      选择入网设备的在线状态,支持选择全部在线离线未连接。默认选择在线

      认证协议

      选择认证协议,支持选择全部802.1x 协议认证Portal 协议认证

      设备接入方式

      选择入网设备的接入方式,支持选择全部Wi-Fi有线。默认选择全部

      入网账号状态

      选择员工入网账号的状态,支持选择全部生效中已停用

      最近在线

      选择入网设备最近在线的时间段,时间段细粒度到天,格式为 YYYY-MM-DD。

      设备降级状态

      选择入网设备的降级状态,支持选择全部正常已降级

      员工身份状态

      选择员工的身份状态,支持选择全部(除离职)正常运行暂停使用已离职未激活

      关键词搜索

      通过关键词搜索,支持输入员工部门名称IP 地址MAC 地址

    • 在入网详情页面,您可以查看员工名称、在线/总计设备、入网账号以及入网密码。

    • 操作列,您可以停用账号重置密码

      • 停用账号:根据实际需求,您可选择停用指定员工的入网账号。停用后,员工会自动下线,且不可以使用该账号连接企业内网。

        说明

        默认情况下,选择停用账号将同时停用 Wi-Fi 和有线入网,您也可以单独选择停用 Wi-Fi 或有线入网。

      • 重置密码:如果员工忘记了入网密码,您可以重置密码并告知员工。重置入网密码后,员工会自动下线,并且所有客户端的连网均会下线。员工需要输入新密码,重新认证入网。

    • 在对应员工名称的左侧,单击加号图标,您可查看该账号的历史设备登录信息,信息包括设备名称、认证协议、接入类型、IP 地址、设备连接状态以及网络权限等信息。在对应历史设备登录信息的操作列,您可以查看设备详情安全状态

      • 设备详情:提供入网设备的详细信息。
      • 安全状态:提供入网设备的安全信息。

      说明

      网络权限降级时,设备状态将显示为“降级”。此时,您可以快速查看终端的安全状态,并了解是哪些策略导致了降级。

      图片

管理网络使用权限

  1. 登录飞连客户端。

  2. 在左侧导航栏,选择 Wi-Fi 管理员工入网

  3. 员工入网页面单击权限配置页签,单击右上角的添加策略,完成以下配置,并单击保存保存并生效。

    注意

    如果新创建或编辑的权限组优先级高于旧权限组,并且覆盖了已有生效对象的范围,那么该范围内的员工重新连接网络时,将被赋予新权限组的权限内容。

    配置区域

    配置项

    说明

    基本信息

    权限组名称

    自定义权限组名称,用于标识当前权限组。

    绝对优先级

    设置当前权限组的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。您可以同时生效多条权限组,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有权限组后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

    权限组策略

    网络权限-基于网络

    认证服务通过下发权限标识符到路由设备实现不同入网权限。默认选中 Tunnel-Pvt-Group-ID,也支持改为 VLAN Pool。勾选基于网络后,您可以选择授权属性:

    • Tunnel-Pvt-Group-ID:一般对应网络设备的 VLAN ID,格式为纯数字,例如97
    • VLAN Pool:VLAN 池,格式为英文与数字组合,例如Dev1。飞连根据每个 VLAN 所填的容量权重比均匀下发 VLAN。您可以在右侧容量框里修改容量。

      说明

      单击输入框下方的添加,您可以设置多个 VLAN 池。

    网络权限-基于角色

    若采用基于用户组或 ACL 进行网络授权,请勾选基于角色,并设置授权属性 Filter-ID

    • 如果是基于用户组授权,Filter-ID 请填写用户组名称,格式为英文与数字组合,例如Dev1
    • 如果是基于 ACL 授权,Filter-ID 请填写 ACL ID,格式为纯数字。

    网络权限-基于自定义

    若采用其他网络授权方式,请自定义授权的属性。勾选基于自定义后,您可以设置属性名称和属性值。最多添加 10 个属性。
    飞连内置了多种常用属性,如果在内置的属性名称中没有对应的属性,您可以在属性名称列表的底部单击自定义属性,添加自定义属性,参数说明如下:

    • 厂商 ID:请填写该网络设备的厂商 ID。
    • 厂商内部属性 ID:请填写该自定义属性在厂商的内部属性 ID。
    • 属性名称:请填写自定义属性的名称。
    • 属性类型:请填写属性值的类型,飞连客户端将按这个规则校验属性值。
    • 加密类型:请根据实际情况选择 RADIUS 认证报文是否经过加密,以及加密的类型。包括无、User-Password、Tunnel-Password、Ascend-Secret。

    生效范围

    权限类型

    指定权限组生效的入网方式,可选员工 Wi-Fi员工有线网络,支持多选。

    生效对象

    员工授权或者设备授权维度设置当前权限组的生效对象。

    • 员工授权:以部门角色维度划分员工范围。
    • 设备授权:通过设备名称或者设备分组指定设备范围,该授权方式仅在飞连客户端入网方式下生效。

    高级配置

    设置该权限组适用的 RADIUS 服务器、网络设备以及 SSID,默认适用于全部设备。您也可以选择部分设备,为该权限组设置一个或多个 RADIUS 服务器、网络设备以及 SSID。

    说明

    只有当您选择了员工 Wi-Fi 的入网方式,您才可以配置 SSID。

  4. (可选)您还可以根据需要管理权限组:

    • 在页面顶部,支持设置筛选条件,或者关键词搜索指定权限组。

      筛选项

      说明

      认证协议

      切换认证,可选 802.1x 协议认证Portal 协议认证

      入网方式

      选择设备的入网方式,支持选择全部员工 Wi-Fi员工有线网络

      关键词搜索

      通过关键词搜索指定权限组,支持输入部门角色人员权限字符串权限组名称网络设备RADIUSSSID

      排序

      选择按优先级按创建时间来排序权限组。

    • 在权限组列表的操作列,您可以开启编辑删除权限组。

调整通用配置

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 Wi-Fi 管理员工入网

  3. 员工入网页面,单击通用配置页签。

  4. 802.1x 认证协议右侧单击展开,并在展开页的右上角单击编辑,您可以调整以下配置,并单击保存
    图片

    配置项

    说明

    认证方式

    • 主账号形式:可选员工 ID员工手机号或者员工邮箱。只能选择一种账号形式,默认向所有员工展示主账号。
    • 备账号形式:除主账号形式外,您可勾选剩余两种备选账号形式。若员工未设置主账号形式,将按优先级依次展示备账号 1 和备账号 2。
    • WindowsAD 账号
      • 开启功能:开启后,飞连将新增 WindowsAD 账号作为入网认证方式,员工可以同时使用飞连账号和 WindowsAD 账号连接网络。
      • 生效对象:您可以单击去设置调整 WindowsAD 账号生效对象范围。

    说明

    启用 WindowsAD 作为员工 Wi-Fi 的认证方式,您需要先完成 Windows AD 账号的同步设置。具体操作,请参考同步第三方数据源

    员工使用飞连客户端进行一键入网认证时,员工 ID、手机号或邮箱地址将作为 Wi-Fi 账号名显示。其中,员工 ID 是指用户的唯一标识,在飞连账号源下,飞连默认会自动生成员工 ID,您可以编辑员工 ID。具体信息,请参考管理员工

    员工入网指引配置

    如果您是首次设置员工入网功能,单击高级策略区域下方的立即配置,了解完整的入网流程,并根据弹窗中的指引完成配置。

    隐藏员工 Wi-Fi 与有线网络密码
    (需单击高级策略,才可查看该配置项。)

    开启该功能后,员工无法通过飞连客户端获取入网账号的密码,仅可以查看账号,支持通过客户端一键连接入网。此外,您可以设置管理员。管理员设置效果说明:

    • 设置管理员后信息会被展示在飞连客户端,员工可联系管理员索要密码。
    • 不设置管理员,飞连客户端内不会展示管理员信息。

    Windows 有线网络识别方式
    (需单击高级策略,才可查看该配置项。)

    配置 Windows 操作系统内有线网络连接后的生效账户。

    • 如果选择所有系统账户生效,则网络权限根据联网设备识别,切换系统账号不影响网络连接状态。
    • 如果选择当前系统账户生效,则网络权限根据系统账号识别,切换系统账号需重新连接网络。

    连接员工网络后,忘记访客网络 SSID
    (需单击高级策略,才可查看该配置项。)

    开启该功能后,需要添加指定的访客 Wi-Fi SSID。当员工一键连接企业员工网络后,会自动忘记访客 Wi-Fi SSID,忘记后不会再主动连接该 Wi-Fi。

    获取入网凭证时,触发二次认证
    (需单击高级策略,才可查看该配置项。)

    单击修改后,页面会自动跳转至账号配置中的多因素认证页签,具体配置方法,详见配置多因素认证

    定制员工入网文案
    (需单击高级策略,才可查看该配置项。)

    单击前往配置后,页面会自动跳转至定制员工入网文案页面,具体配置方法,详见定制员工入网文案

  5. (可选)在页面右上角,您可以单击选择认证方式,添加 Portal 认证或切换至 Portal 认证。
    关于 Portal 认证配置,请参见管理 Portal 认证员工入网

    说明

    您切换认证方式后,连网的设备会自动下线,员工需要重新连网。