您在使用飞连 Wi-Fi 管理模块的过程中，遇到疑问时可参考以下常见问题及解决方案。

跨公网部署时，飞连管理后台内对应路由设备 IP 地址应该如何填写？

建议填写对应路由设备的出口公网地址，详细 IP 地址可以通过日志查看。

为什么通过 Portal 认证入网时，没有自动生成入网账号？

使用Portal 认证入网时，使用飞连的登录认证方式，包括账号密码、短信或者扫码等方式实现员工入网，所以不会生成入网账号。

访客 Wi-Fi 外置 Portal Server 场景，无法连接 Wi-Fi

问题现象
访客 Wi-Fi 外置 Portal Server 场景中，用户连接访客 Wi-Fi 时，在弹出的 Portal 页面输入账号密码点击登录后连接不成功（弹回到 Portal 页面、提示登录失败或无法访问此网站、界面显示加载中）。
问题原因
部分无线接入控制器（AC）默认会限制外置 Portal 认证服务的请求，导致 Portal 认证服务对接无响应。所以用户输入账号密码后，认证信息没有传到 Radius Server。
问题解决
在 AC 设备配置对应 Portal 对接功能，不同 AC 设备的操作步骤如下：

• Sangfor 设备：在认证授权 > 外部服务器 > 认证服务器页面，编辑对应的 Portal 服务器，在集群配置中单击配置，在认证地址中配置 Portal Server IP。
  
• H3C 设备：在命令行中配置 portal host-check enable。
• Huawei 设备：在安全管理 > AAA > Portal服务器全局设置页面，在外置Portal对接协议区域，华为Portal协议的本机网关地址中选择所有地址，并取消选择 HTTP 协议。
  

Wi-Fi 网络访问地址时 提示“Portal http requet do not contain arg userip”

不同厂商的 AC 设备，其参数名称和配置方法会不一样，本文仅提供排查思路，具体操作请根据您的 AC 设备进行变更。
排查思路如下：

1. 检查无线接入控制器（AC）设备上的用户名关键字和密码关键字是否和 Portal 服务器上配置的一致。
   以 H3C AC 设备为例，您可以在如下界面查看用户名关键字和密码关键字的值。
   
2. 检查 AC 设备上的外置 Portal 服务器 > 认证服务器 > URL 参数 > 用户 IP 参数的值是否和 Portal 服务器上设置的用户 IP 参数的值保持一致。例如，AC 设备上的用户IP 的值为wlanuserip，则 Portal 服务器上的用户 IP 参数的值也需要配置为wlanuserip。
3. 在 AC 上检查白名单配置，查看是否已将 Portal 服务器的 IP 加入白名单。
4. 检查是否是一个 Portal 对接多个 AC 设备，如果是，您需要完成以下配置：
   • 在 Portal 的监听配置中配置 IP 和端口为0.0.0.0:2000，以便接收来自多个不同 AC 设备的用户认证请求。
   • 在 AC 设备上配置透传 ac-ip，以便将 AC 设备的 IP 透传给 Portal 服务器，Portal 服务器能准确获取用户所属的 AC 设备信息。

访客 Wi-Fi 申请时长是 30 天，第一天连接后，为什么第二天需要重新认证？

1. 在 Wi-Fi 管理 > 访客入网页面的申请记录列表中，查看该访客账号的到期时间。
   
2. 如果申请的是短信自助认证，访客 Wi-Fi 的有效期为 24 小时，到期需重新申请。有效时长配置项对短信自助认证方式不生效。
3. 检查无线接入控制器上设置的认证超时时间。如果认证超时时间较短，您可以将其调整为较大的值。

在服务器上重启 RADIUS 服务，会导致已经通过认证的用户掉线吗？

不会。RADIUS 服务器的核心作用是在用户发起网络连接请求的那一刻进行身份认证。一旦认证通过，网络设备（如交换机或 AP）就已经授予了用户访问权限，后续的数据流量将不再经过 RADIUS 服务器。
systemctl restart feilian-radius* 重启 RADIUS 服务只会短暂地影响正在尝试新建立连接的用户，而对已在线的用户没有影响。

Wi-Fi 准入是否支持使用静态 IP 地址的终端设备进行 802.1x 认证？

支持，但需要确保网络规划一致。
飞连的 802.1x 认证过程本身不关心终端使用的是静态 IP 还是通过 DHCP 动态获取 IP。认证的核心是验证设备或用户的身份凭证。关键在于认证成功后的网络分配：

• 飞连的作用：认证成功后，飞连会根据您的策略，向网络设备下发一个 VLAN ID 指令，告诉网络设备“请将这个用户划分到 VLAN xx”。
• 成功的条件：为了让这台使用静态 IP 的终端能够正常通信，必须确保该终端上配置的静态 IP 地址与飞连策略下发的 VLAN ID 在您的网络规划中是相互匹配的。即您为终端设置的静态 IP 必须是 VLAN xx 网段内的一个合法地址。
  • 如果 VLAN 与静态 IP 匹配，终端认证后即可正常通信。
  • 如果 VLAN 与静态 IP 不匹配（例如，飞连将其划分到 VLAN 200，但其 IP 是 VLAN 100 的地址），终端虽然可以通过认证，但将无法正常进行网络通信。

管理员能否从管理后台主动断开某个员工的 Wi-Fi 连接？

可以。飞连提供了多种方式来主动断开员工的 Wi-Fi 连接，您可以根据管理目标选择不同的操作路径。

• 方式一：禁用 Wi-Fi 账号
  此操作会禁用该员工的 Wi-Fi 接入权限，使其不仅当前会话被断开，而且在被重新启用前，将无法再次通过 802.1x 认证连接 Wi-Fi。
  1. 登录管理后台，导航至网络准入 > 员工入网。
  2. 在入网详情页签，找到目标员工的在线记录。
  3. 在该记录的操作列，点击 停用账号。
• 方式二：强制设备下线
  此操作仅将指定的某台设备从当前 Wi-Fi 会话中踢下线，但不影响该员工的 Wi-Fi 权限。设备后续仍然可以重新发起认证并连接。
  1. 登录管理后台，导航至身份 > 部门与成员。
  2. 找到目标员工并点击其姓名，进入员工信息页面。
  3. 切换至登录设备页签。
  4. 在设备列表中，找到目标设备，并在其操作列选择下线。

如何选择：

• 如果您需要临时中断某个设备的连接（例如，排查问题或强制其重新认证），请使用方式二。
• 如果您需要撤销某个员工的 Wi-Fi 访问权限（例如，安全事件响应或权限变更），请使用方式一。

如何实现针对不同的 Wi-Fi SSID（网络名称），为员工下发不同的网络访问权限？

当员工连接 Wi-Fi 时，无线 AP 或控制器会向飞连 RADIUS 服务器发送一个认证请求。这个请求中通常会包含一个名为 Called-Station-ID 的 RADIUS 属性，其值一般包含了员工所连接的 SSID。飞连通过解析该属性来识别 SSID，并匹配您设定的相应权限策略。

• 配置方法
  您可以在创建或编辑 802.1x 权限组时，通过高级配置来实现这一功能。
  1. 登录管理后台，导航至网络准入 > 员工入网 > 权限配置。
  2. 创建或编辑一条 802.1x 权限组策略。
  3. 在该策略的配置页面下方，找到并展开高级配置。
  4. 在 SSID 配置项中，选择部分 SSID，输入您希望这条权限策略生效的特定 SSID 名称。您可以添加多个 SSID。
• 示例场景
  假设您公司有两个 Wi-Fi SSID：
  • Corp-Internal：用于连接内部研发网络 (VLAN 100)。
  • Corp-Guest：用于连接访客网络 (VLAN 200)。
    您可以创建两条权限组策略：
  • 策略 A
    • 权限组策略：下发 VLAN 100。
    • 高级配置 > SSID：选择 Corp-Internal。
  • 策略 B
    • 权限组策略：下发 VLAN 200。
    • 高级配置 > SSID：选择 Corp-Guest。
      此时当员工连接 Corp-Internal 时，将自动匹配策略 A 并进入研发网络；连接 Corp-Guest 时，则匹配策略 B 进入访客网络。
• 重要提示
  此功能依赖于您的无线网络设备能够正确地将 SSID 信息填充到 Called-Station-ID 属性中。如果配置后无法按预期生效，请首先检查您的无线 AP 或控制器的 RADIUS 配置。

在 macOS 14（Sonoma）及以上版本的系统上，连接员工 Wi-Fi 时，为什么飞连 App 提示需要开启定位权限？这是必须的吗？

是的，对于 macOS 14 及以上版本的系统，这是必须开启的。从 macOS 14（Sonoma）开始，苹果公司要求任何应用程序如果想通过编程方式自动连接到 Wi-Fi 网络，必须首先获得用户的定位服务权限。这是苹果为了增强系统隐私保护而实施的一项全局性变更。
飞连 App 请求定位权限的目的仅是为了调用系统必需的 Wi-Fi 连接接口，以实现一键连接的便捷功能，而不会用于追踪或记录用户的地理位置信息。

• 对于 macOS 14 (Sonoma) 及更高版本用户：
  • 在飞连客户端点击连接员工 Wi-Fi 时，系统会弹出请求定位权限的对话框，必须选择允许，飞连才能自动完成 Wi-Fi 连接。
  • 如选择不允许，自动连接将会失败。需要根据飞连客户端提供的手动配置指引，自行在系统的网络设置中完成 Wi-Fi 的配置。
• 对于 macOS 13 (Ventura) 及更早版本用户：
  • 使用体验无变化，无需开启定位权限即可正常使用一键连接功能。

哑终端入网后，为什么被分配到了错误的网段（VLAN）？

1. 检查飞连下发的 VLAN 是否正确
   1. 在飞连后台的认证日志或在线设备详情中，找到该哑终端的记录。
   2. 查看 Tunnel-Private-Group-ID 属性的值，这即是飞连下发的 VLAN ID。
      • 若该值不正确：说明飞连的权限策略匹配有误。请检查并调整您的权限组策略（如优先级、授权对象等）。
      • 若该值正确：说明问题出在网络设备侧，请继续下一步。
2. 检查网络设备配置
   登录哑终端所连接的交换机或无线控制器，排查以下常见问题：
   • VLAN 未创建：确认飞连下发的 VLAN ID（例如 101）是否已在该设备上创建。
   • 端口/SSID 配置问题：确认该端口或 SSID 是否已正确配置为支持 RADIUS 动态 VLAN 分配。

如何通过命令行查询 RADIUS 节点的版本号？

您可以通过 SSH 登录到部署了 RADIUS 组件的 Linux 服务器，然后执行以下步骤：

1. 切换至 corplink 用户（如果当前不是）。

   su - corplink
   

2. 执行版本查询命令。

   /opt/feilian/radius/bin/feilian-radius -v
   

3. 查看输出结果。命令执行后，终端将直接返回版本号信息。例如：

   3.1.4_1196
   

RADIUS 节点加入 Active Directory (AD) 域后，如何验证加域是否成功？

加域成功后，您可以通过 SSH 登录到 RADIUS 节点服务器，并执行以下三个层级的验证命令，从基础连通性到用户凭据验证进行逐级排查。

• 第 1 步：检查域信息是否可读
  此命令用于验证 RADIUS 节点是否已成功与 AD 域控制器建立基本的通信连接。

  • 命令

    net ads info
    

  • 预期结果
    命令应成功返回 AD 域的详细信息，如 LDAP 服务器地址、域名 (Realm) 等。如果此命令报错或无返回，说明加域过程很可能在网络层面或基础配置上就已失败。

    LDAP server: 172.31.0.2
    LDAP server name: ad-controller.example.com
    Realm: EXAMPLE.COM
    Bind Path: dc=EXAMPLE,dc=COM
    ...
    

• 第 2 步：检查域内用户是否可枚举
  此命令用于验证 RADIUS 节点是否拥有足够的权限来查询 AD 域内的用户列表。

  • 命令

    net ads user
    

  • 预期结果
    命令应成功列出您 AD 域中的用户账号列表。如果能看到用户列表，说明网络已连通，而且认证授权也已初步建立。

    Administrator
    Guest
    krbtgt
    zhangsan
    lisi
    ...
    

• 第 3 步：模拟用户密码验证
  完地模拟一次用户凭据的验证流程，确认 RADIUS 节点能否使用 NTLM 协议正确校验 AD 用户的密码。

  • 命令 (--domain 和 --username 的值请替换为您的真实信息)

    ntlm_auth --request-nt-key --domain=YOUR_DOMAIN --username=test_user
    

    执行命令后，系统会提示您输入密码。请输入 test_user 这个 AD 账号的正确密码，然后按回车。

  • 预期结果分析

    • 成功：如果返回 NT_STATUS_OK，表示加域配置完全正确，RADIUS 节点已具备验证 AD 用户凭据的全部能力。

      NT_STATUS_OK: The operation completed successfully. (0x0)
      

    • 用户不存在：如果返回 NT_STATUS_NO_SUCH_USER，请检查您输入的用户名是否正确。

    • 密码错误：如果返回 NT_STATUS_WRONG_PASSWORD，说明用户名正确，但密码错误。证明 RADIUS 节点已能够与 AD 通信并进行密码比对，只是密码本身不匹配。

为什么员工使用 AD 账号，通过飞连客户端“一键连接”Wi-Fi 正常，但尝试在操作系统中“手动连接”时却失败了？

这个问题通常与您网络认证服务器（如 RADIUS 服务器）上部署的 SSL 证书类型有关，特别是在使用 PEAP-MSCHAPv2 认证协议时。

• 核心原因
  当进行手动连接时，员工的终端操作系统会严格校验认证服务器的身份。如果您的服务器使用的是泛域名证书（Wildcard Certificate，例如 *.yourcompany.com），部分操作系统或客户端出于安全策略，可能不接受这类证书用于 802.1x 认证，从而导致手动连接失败。
• 解决方案与建议
  为了确保最佳的兼容性，并允许员工在需要时能够手动连接 Wi-Fi，建议为您的 RADIUS 认证服务器配置并使用单域名证书 (Single-Domain Certificate)。

飞连 RADIUS 节点是如何拉取和同步用户信息的？

RADIUS 节点采用“周期性缓存 + 实时查询”的机制来同步用户信息。

• 周期性缓存
  RADIUS 服务启动时，以及之后每隔 12 小时，会从飞连主服务器全量拉取用户信息并缓存在本地。
• 实时查询
  当有认证请求到达，但 RADIUS 节点在本地缓存中找不到该用户信息时（例如，新创建的用户），它会立即向飞连主服务器发起一次实时查询。

果飞连主服务器 (Server) 宕机，已部署的外置 RADIUS 节点还能独立完成网络认证吗？
可以，但仅限于“已缓存”的老用户。 新用户或信息发生变更的用户将无法完成认证。

• 对于已缓存的老用户（认证成功）：
  RADIUS 节点在本地缓存了这些用户的认证信息（通过之前的周期性同步）。当这些用户发起认证时，RADIUS 节点可以直接使用本地缓存来完成验证，无需与主服务器通信。因此，即使主服务器宕机，他们的网络认证不受影响。
• 对于新用户或信息变更的用户（认证失败）：
  当一个新用户（或密码/设备刚发生变更的用户）发起认证时，RADIUS 节点在本地缓存中找不到其信息。此时，它会尝试向飞连主服务器发起实时查询。由于主服务器已宕机，这个查询请求将失败，导致认证无法完成。

结论与建议
RADIUS 节点的本地缓存机制为网络认证提供了一定程度的容灾能力，能保障在主服务器短暂中断期间，绝大多数员工的正常网络访问。然而，它无法处理新用户的准入。为实现高可用，建议您部署冗余的飞连主服务器集群。