最近更新时间:2022.12.07 10:28:21
首次发布时间:2022.08.08 21:41:27
本文为企业管理员提供了多个办公网络配置教程。如果您是企业管理员,则可以参考本文并结合企业实际需求完成飞连 Wi-Fi 功能的相关配置。
在飞连管理后台的 Wi-Fi 管理功能中,支持配置企业 Wi-Fi 网络以及有线网络,同时还管理着企业内所有员工的办公入网权限。当您根据企业实际办公环境,在飞连中配置好 Wi-Fi 网络或者有线网络后,员工即可在办公网络覆盖范围内通过飞连客户端一键连接办公网络。
本文提供以下场景化教程,适用于企业管理员在配置 Wi-Fi 管理功能模块时参考使用。
场景介绍
本场景中对 Wi-Fi 网络进行 802.1x 认证配置接入,以实现网络准入效果。您需要分别在飞连管理后台以及本地的 AC 设备中进行配置。
操作步骤
说明
其中:system-view radius dynamic-author server client ip <RADIUS 服务器 IP 地址> key simple <共享密钥> port 3799
<RADIUS 服务器 IP 地址>
在飞连管理后台相应的 RADIUS 节点中获取。<共享密钥>
在飞连管理后台相应的无线路由中获取。场景介绍
本场景中对有线网络进行 802.1x 认证配置接入,以实现网络准入效果。您需要分别在飞连管理后台以及本地的交换机中进行配置。
操作步骤
配置交换机 RADIUS 服务器。
[H3C]radius scheme feilian_rd #创建 radius 方案并进入其视图。 [H3C-radius-feilian_rd]primary authentication 127.0.0.1 2812 #配置主认证服务器 IP 地址与端口。 [H3C-radius-feilian_rd]key authentication admin@123 #配置认证共享秘钥。 [H3C-radius-feilian_rd]primary accounting 127.0.0.1 2813 #配置主计费服务器 IP 与端口。 [H3C-radius-feilian_rd]key accounting admin@123 #配置计费共享秘钥。 [H3C-radius-feilian_rd]timer realtime-accounting 5 #配置计费周期。 [H3C-radius-feilian_rd]user-name-format without-domain #发送给服务器的用户名不带域名。 [H3C-radius-feilian_rd]quit
配置 ISP 域。
[H3C]domain feilian_ad #创建域并进入视图。 [H3C-isp-feilian_ad]authentication lan-access radius-scheme feilian_rd #配置 802.1x 使用 radius 方案进行认证与授权。 [H3C-isp-feilian_ad]authorization lan-access radius-scheme feilian_rd [H3C-isp-feilian_ad]accounting lan-access radius-scheme feilian_rd #配置计费方案为 feilian_radius。 [H3C-isp-feilian_ad]quit
全局开启 802.1x。
[H3C]dot1x #开启全局 802.1x 特性。 [H3C]dot1x authentication-method eap #开启 eap 中继模式。
端口配置 802.1x。
[H3C]interface Ethernet 1/0/1 #进入指定端口视图。 [H3C-Ethernet1/0/1]port link-type hybrid #建议使用 hybrid 端口类型以支持动态 vlan。 [H3C-Ethernet1/0/1]mac-vlan enable [H3C-Ethernet1/0/1]dot1x #端口开启 1x 认证。 [H3C-Ethernet1/0/1]dot1x port-method macbased #端口模式使用 mac-based 以支持多终端接入。 [H3C-Ethernet1/0/1]undo dot1x handshake #建议开启,避免终端频繁握手重连。 [H3C-Ethernet1/0/1]undo dot1x multicast-trigger #建议开启,避免终端频繁认证。 [H3C-Ethernet1/0/1]dot1x unicast-trigger #建议开启,缩短 1x 认证触发时间。 [H3C-Ethernet1/0/1]dot1x mandatory-domain feilian_ad #配置端口强制使用的认证域,如果不配则使用全局默认域。 [H3C-Ethernet1/0/1]quit
端口下配置基于 MAC 地址的接入控制。
[H3C]mac-authentication #开启全局 MAC 认证特性。 [H3C]interface Ethernet 1/0/1 [H3C-Ethernet1/0/1]mac-authentication #开启此端口 MAC 地址认证。 [H3C-Ethernet1/0/1]mac-authentication domain feilian_ad #配置 MAC 认证时强制使用的认证域,如果不配则使用全局默认域。 [H3C-Ethernet1/0/1]quit [H3C]dot1x timer supp-timeout 30 #设置 802.1x 认证超时时间,即 MAC 认证开始的时间。
端口开启逃生 VLAN。
[H3C]interface Ethernet 1/0/1 [H3C-Ethernet1/0/1]port hybrid vlan 100 untagged #此处举例 vlan 100 为逃生 vlan。 [H3C-Ethernet1/0/1]dot1x critical vlan 100 [H3C-Ethernet1/0/1]quit
端口开启 Guest VLAN。
[H3C]interface Ethernet 1/0/1 [H3C-Ethernet1/0/1]port hybrid vlan 0 untagged [H3C-Ethernet1/0/1]dot1x guest-vlan 0 [H3C-Ethernet1/0/1]quit
开启 COA。
[H3C]radius dynamic-author server [H3C]client ip 127.0.0.1 key simple admin@123
场景介绍
RADIUS 服务器部署在公有云上,并对外网开放认证和计费端口,然后企业各个办公区分别配置 AC 设备或者交换机,并关联 RADIUS 服务器开放的认证与计费端口。
操作步骤
注意
当您为有线网络配置交换机时,802.1x 认证需要在接入层进行配置,而不是在汇聚层与核心层配置,以保证交换机能与飞连的 RADIUS 节点正常通信。
场景介绍
在企业的每一个办公区均配置 RADIUS 节点,并在各个节点下配置无线路由或者交换机,以实现企业 Wi-Fi 网络或者有线网络的统一入网认证。
说明
该解决方案需要您的飞连支持创建多个 RADIUS 节点,如果您的节点配额不足以满足实际配置需要,则可以增配。具体操作,请参见变更配置。
操作步骤
注意
在各个办公区本地的 AC 设备中配置 RADIUS 服务时,需要填写本地办公区 RADIUS 节点的相关信息。
场景介绍
在指定的办公区配置 RADIUS 节点,并对外网暴露节点的认证和计费端口,然后其他办公区保持与该 RADIUS 节点正常通信。
操作步骤
注意
当您为有线网络配置交换机时,802.1x 认证需要在接入层进行配置,而不是在汇聚层与核心层配置,以保证交换机能与飞连的 RADIUS 节点正常通信。
本场景中,在飞连管理后台配置两个 RADIUS 节点,并对应的在本地 AC 设备(以 Huawei AP3050DE 为例)添加服务器模板并配置主备模式。该配置方式可以增强企业 Wi-Fi 网络的稳定性。
本场景主要介绍当您在飞连内配置好企业 Wi-Fi 网络或者有线网络后,设置企业网络权限,使员工入职后自动继承所属部门或者角色的办公网络使用权限。