You need to enable JavaScript to run this app.
导航

Wi-Fi 管理最佳实践

最近更新时间2022.12.07 10:28:21

首次发布时间2022.08.08 21:41:27

本文为企业管理员提供了多个办公网络配置教程。如果您是企业管理员,则可以参考本文并结合企业实际需求完成飞连 Wi-Fi 功能的相关配置。

背景信息

在飞连管理后台的 Wi-Fi 管理功能中,支持配置企业 Wi-Fi 网络以及有线网络,同时还管理着企业内所有员工的办公入网权限。当您根据企业实际办公环境,在飞连中配置好 Wi-Fi 网络或者有线网络后,员工即可在办公网络覆盖范围内通过飞连客户端一键连接办公网络。
本文提供以下场景化教程,适用于企业管理员在配置 Wi-Fi 管理功能模块时参考使用。

场景一:配置 802.1x 入网认证

配置员工 Wi-Fi (AC 以 H3C 为例)

场景介绍
本场景中对 Wi-Fi 网络进行 802.1x 认证配置接入,以实现网络准入效果。您需要分别在飞连管理后台以及本地的 AC 设备中进行配置。

  • 在飞连管理后台,添加 RADIUS 节点、无线路由以及 SSID。
  • 在本地 AC 设备上,需要依次配置 RADIUS 方案、配置 ISP 域名并绑定 RADIUS 方案、开启 802.1x、配置动态授权、创建无线服务并绑定对应的 AP。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在 Wi-Fi 管理功能模块,添加 RADIUS 服务器、无线路由以及 SSID。
    具体操作,请参见使用配置
  3. 进入本地 AC 设备(以 H3C 为例)的管理界面,配置 RADIUS 方案。
    1. 在左侧导航栏,选择网络安全 > 认证
    2. 单击 RADIUS 页签,并单击加号(+)。
      图片
    3. 添加 RADIUS 方案。
      图片
      配置项说明:
      • 如上图所示配置的 1812、1813 端口,需要和飞连管理后台配置的 RADIUS 节点中的员工 Wi-Fi 端口保持一致。
        alt
      • 如上图所示配置的共享密钥,需要在飞连管理后台配置的无线路由中获取。
        alt
  4. 在 AC 中配置 ISP 域名,并绑定 RADIUS 方案。
    1. 网络安全 > 认证页面,单击 ISP域页签。
    2. 单击加号(+),配置 ISP 域名。
      图片
    3. 在指定域名的操作列,单击编辑图标,然后绑定 RADIUS 方案。
      图片
  5. 在 AC 中开启 802.1x 认证,并设置认证方法为 EAP。
    1. 在左侧导航栏,选择网络安全 > 访问控制
    2. 单击开启802.1X
      图片
    3. 在页面右上角单击设置图标。
      图片
    4. 认证方法区域,设置为 EAP
      图片
  6. (可选)在 AC 中配置动态授权。
    如果您购买飞连时,选购了 Wi-Fi 准入动态控制功能,并在飞连管理后台配置了动态控制的规则组,规则组内设置了 Wi-Fi 相关的触发条件与处置规则,则您必须在本地的 AC 中完成动态授权配置。

    说明

    • 如果您没有在 AC 中配置动态授权,则当飞连对指定终端进行 Wi-Fi 降级时,需要在 AC 中进行重认证或者在飞连客户端主动断开 Wi-Fi 连接并重连。
    • 如果您在 AC 中配置动态授权,则可以实现终端触发动态控制的规则组时,由飞连主动告知 AC 调整其权限。
    1. 使用 SSH 登录 AC。
    2. 在命令行中运行以下命令进行配置。
      system-view
      radius dynamic-author server
      client ip <RADIUS 服务器 IP 地址> key simple <共享密钥>
      port 3799
      
      其中:
      • <RADIUS 服务器 IP 地址>在飞连管理后台相应的 RADIUS 节点中获取。
        alt
      • <共享密钥>在飞连管理后台相应的无线路由中获取。
        alt
  7. 在 AC 中创建无线服务,绑定对应的 AP 设备。
    1. 在左侧导航栏,选择无线配置 > 无线网络
    2. 无线网络页签,单击加号(+)。
      图片
    3. 新增无线服务。
      图片
    4. 在高级设置中,绑定 AP 设备。
      图片

配置有线网络(交换机以 H3C 为例)

场景介绍
本场景中对有线网络进行 802.1x 认证配置接入,以实现网络准入效果。您需要分别在飞连管理后台以及本地的交换机中进行配置。

  • 在飞连管理后台,添加 RADIUS 节点、交换机以及 SSID。
  • 在本地交换机上,需要依次配置 RADIUS 服务器、配置 ISP 域、开启 802.1x、端口配置 802.1x、端口配置基于 MAC 地址的接入控制、端口开启逃生 VLAN、端口开启 Guest VLAN、开启 COA。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在 Wi-Fi 管理功能模块,添加 RADIUS 服务器、无线路由以及 SSID。
    具体操作,请参见使用配置
  3. 通过 SSH 登录本地交换机。
  4. 在交换机的命令行,依次执行以下命令,完成配置。
    1. 配置交换机 RADIUS 服务器。

      [H3C]radius scheme feilian_rd        #创建 radius 方案并进入其视图。
      [H3C-radius-feilian_rd]primary authentication 127.0.0.1 2812 #配置主认证服务器 IP 地址与端口。
      [H3C-radius-feilian_rd]key authentication admin@123          #配置认证共享秘钥。
      [H3C-radius-feilian_rd]primary accounting 127.0.0.1 2813     #配置主计费服务器 IP 与端口。
      [H3C-radius-feilian_rd]key accounting admin@123              #配置计费共享秘钥。
      [H3C-radius-feilian_rd]timer realtime-accounting 5           #配置计费周期。
      [H3C-radius-feilian_rd]user-name-format without-domain       #发送给服务器的用户名不带域名。
      [H3C-radius-feilian_rd]quit
      
    2. 配置 ISP 域。

      [H3C]domain feilian_ad             #创建域并进入视图。
      [H3C-isp-feilian_ad]authentication lan-access radius-scheme feilian_rd  #配置 802.1x 使用 radius 方案进行认证与授权。
      [H3C-isp-feilian_ad]authorization lan-access radius-scheme feilian_rd
      [H3C-isp-feilian_ad]accounting lan-access radius-scheme feilian_rd    #配置计费方案为 feilian_radius。
      [H3C-isp-feilian_ad]quit                        
      
    3. 全局开启 802.1x。

      [H3C]dot1x                              #开启全局 802.1x 特性。
      [H3C]dot1x authentication-method eap    #开启 eap 中继模式。
      
    4. 端口配置 802.1x。

      [H3C]interface Ethernet 1/0/1                        #进入指定端口视图。
      [H3C-Ethernet1/0/1]port link-type hybrid             #建议使用 hybrid 端口类型以支持动态 vlan。
      [H3C-Ethernet1/0/1]mac-vlan enable
      [H3C-Ethernet1/0/1]dot1x                             #端口开启 1x 认证。
      [H3C-Ethernet1/0/1]dot1x port-method macbased        #端口模式使用 mac-based 以支持多终端接入。
      [H3C-Ethernet1/0/1]undo dot1x handshake              #建议开启,避免终端频繁握手重连。
      [H3C-Ethernet1/0/1]undo dot1x multicast-trigger      #建议开启,避免终端频繁认证。
      [H3C-Ethernet1/0/1]dot1x unicast-trigger             #建议开启,缩短 1x 认证触发时间。
      [H3C-Ethernet1/0/1]dot1x mandatory-domain feilian_ad #配置端口强制使用的认证域,如果不配则使用全局默认域。
      [H3C-Ethernet1/0/1]quit
      
    5. 端口下配置基于 MAC 地址的接入控制。

      [H3C]mac-authentication                        #开启全局 MAC 认证特性。
      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]mac-authentication          #开启此端口 MAC 地址认证。
      [H3C-Ethernet1/0/1]mac-authentication domain feilian_ad   #配置 MAC 认证时强制使用的认证域,如果不配则使用全局默认域。
      [H3C-Ethernet1/0/1]quit
      [H3C]dot1x timer supp-timeout 30 #设置 802.1x 认证超时时间,即 MAC 认证开始的时间。
      
    6. 端口开启逃生 VLAN。

      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]port hybrid vlan 100 untagged  #此处举例 vlan 100 为逃生 vlan。
      [H3C-Ethernet1/0/1]dot1x critical vlan 100
      [H3C-Ethernet1/0/1]quit
      
    7. 端口开启 Guest VLAN。

      [H3C]interface Ethernet 1/0/1
      [H3C-Ethernet1/0/1]port hybrid vlan 0 untagged
      [H3C-Ethernet1/0/1]dot1x guest-vlan 0
      [H3C-Ethernet1/0/1]quit
      
    8. 开启 COA。

      [H3C]radius dynamic-author server
      [H3C]client ip 127.0.0.1  key simple admin@123
      

场景二:多地办公的企业实现统一入网认证

解决方案一:将 RADIUS 服务部署在公有云,对外暴露认证与计费端口

场景介绍
RADIUS 服务器部署在公有云上,并对外网开放认证和计费端口,然后企业各个办公区分别配置 AC 设备或者交换机,并关联 RADIUS 服务器开放的认证与计费端口。
图片
操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在 Wi-Fi 管理功能模块下,配置 RADIUS 节点。
  3. 分别在不同的办公区配置无线路由(或者交换机)以及 SSID。
    Wi-Fi 网络和有线网络的配置方式有所不同:
    • 在 RADIUS 节点下配置与办公区数量一致的无线路由和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作,请参见配置员工 Wi-Fi (AC 以 H3C 为例)
    • 在 RADIUS 节点下配置与办公区数量一致的交换机和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作,请参见配置有线网络(交换机以 H3C 为例)

    注意

    当您为有线网络配置交换机时,802.1x 认证需要在接入层进行配置,而不是在汇聚层与核心层配置,以保证交换机能与飞连的 RADIUS 节点正常通信。

解决方案二:将 RADIUS 服务部署在各个办公区

场景介绍
在企业的每一个办公区均配置 RADIUS 节点,并在各个节点下配置无线路由或者交换机,以实现企业 Wi-Fi 网络或者有线网络的统一入网认证。
图片

说明

该解决方案需要您的飞连支持创建多个 RADIUS 节点,如果您的节点配额不足以满足实际配置需要,则可以增配。具体操作,请参见变更配置

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 配置 RADIUS 节点、无线路由(或者交换机)以及 SSID。
    1. 在各个办公区配置相应的 RADIUS 节点。
    2. 在各个办公区的 RADIUS 节点下,配置无线网络(或者交换机)以及 SSID。
      Wi-Fi 网络和有线网络的配置方式有所不同:
      • 在 RADIUS 节点下配置无线路由和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作,请参见配置员工 Wi-Fi (AC 以 H3C 为例)

        注意

        在各个办公区本地的 AC 设备中配置 RADIUS 服务时,需要填写本地办公区 RADIUS 节点的相关信息。

      • 在 RADIUS 节点下配置交换机和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作,请参见配置有线网络(交换机以 H3C 为例)

解决方案三:将 RADIUS 服务部署在其中一个办公区(内网不互通的情况)

场景介绍
在指定的办公区配置 RADIUS 节点,并对外网暴露节点的认证和计费端口,然后其他办公区保持与该 RADIUS 节点正常通信。
图片
操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在指定办公区下配置 RADIUS 节点。
  3. 分别在不同的办公区配置无线路由(或者交换机)以及 SSID。
    Wi-Fi 网络和有线网络的配置方式有所不同:
    • 在 RADIUS 节点下配置与办公区数量一致的无线路由和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、无线路由以及 SSID 的具体配置操作,请参见配置员工 Wi-Fi (AC 以 H3C 为例)
    • 在 RADIUS 节点下配置与办公区数量一致的交换机和 SSID,并根据各个办公区的实际情况配置设备信息。关于 RADIUS 节点、交换机以及 SSID 的具体配置操作,请参见配置有线网络(交换机以 H3C 为例)

    注意

    当您为有线网络配置交换机时,802.1x 认证需要在接入层进行配置,而不是在汇聚层与核心层配置,以保证交换机能与飞连的 RADIUS 节点正常通信。

场景三:在路由设备上配置主备 RADIUS

场景介绍

本场景中,在飞连管理后台配置两个 RADIUS 节点,并对应的在本地 AC 设备(以 Huawei AP3050DE 为例)添加服务器模板并配置主备模式。该配置方式可以增强企业 Wi-Fi 网络的稳定性。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在 Wi-Fi 管理功能模块,配置两个 RADIUS 节点。
    两个 RADIUS 节点将对应您本地路由设备的主备 RADIUS。关于添加 RADIUS 节点的具体操作,请参见添加 RADIUS 服务器
  3. 登录本地路由设备的 Web 页面,配置 RADIUS。
    1. 新建RADIUS服务器模板页面,完成以下配置。
      图片
      配置项说明:
      • 模式选择主备模式
      • 单击新建服务器,添加两台 RADIUS,并开启计费与认证端口。
      • 其他配置项根据实际情况填写即可。
    2. 新建授权服务器并关联 RADIUS 服务器模板。
      图片
      配置项说明:
      • 授权服务器IP地址:即对应的 RADIUS 服务器 IP 地址。
      • 模板名称:选择对应的 RADIUS 服务器模板。
      • 密钥:即飞连管理后台中无线路由设备对应的共享密钥
        alt

场景四:员工入职授权使用办公网

场景介绍

本场景主要介绍当您在飞连内配置好企业 Wi-Fi 网络或者有线网络后,设置企业网络权限,使员工入职后自动继承所属部门或者角色的办公网络使用权限。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. 在 Wi-Fi 管理功能中配置企业网络。
    关于企业网络的配置操作详情,请参见场景一:配置 802.1x 入网认证
  3. 在左侧导航栏,选择 Wi-Fi 管理 > 员工入网
  4. 员工入网页面,单击权限配置页签。
    权限配置页签内,您可以选择以下网络权限设置。
    alt
    • 全员启用
      选择该权限后,飞连将会自动下发企业办公网络的使用权限,所有已接入飞连的员工默认拥有企业办公网络的使用权限。
    • 部分启用
      选择该权限后,您需要设置权限组。飞连将根据权限组的配置,为指定的部门、角色或员工下发企业办公网络的使用权限。
      • 如果入职员工所处的部门或角色拥有网络使用权限,则员工继承部门或角色的权限,默认拥有企业办公网络的使用权限。
      • 如果入职员工未关联部门或者角色,又或者员工所属的部门或者角色没有网络使用权限,则该员工默认无法访问办公网络。此时需要企业管理员将该员工关联有权限的部门或者角色中,或者单独为该员工添加网络使用权限。