802.1x 认证是飞连提供的基于客户端的高安全性网络准入方案，适用于对办公安全有强管控需求的受控终端。使用 802.1x 认证协议开通员工入网后，员工可登录飞连客户端，并通过账号密码实现一键连接网络。本文详细指导管理员如何配置 802.1x 协议认证入网，以实现企业网络的“一人一端”强审计与自动化权限分配，有效解决办公网密码共用的安全隐患。

更多关于 802.1x 协议认证的介绍可参看入网认证方式选型建议。

在配置 802.1x 入网策略前，请确保您已完成以下准备工作：

1. 基础设施对接：已在飞连管理后台构建了 Wi-Fi 或有线网络。详情参看管理 RADIUS 服务器，管理无线控制器（AC）或管理有线交换机。
2. 网络互通：确保网络设备与飞连 RADIUS 节点间的 UDP 1812（认证）、1813（计费）端口双向放行。
3. 客户端准备：由于 802.1x 强依赖客户端托管认证流，请确保目标员工终端已安装并能正常运行飞连客户端。

一、启用 802.1x 认证协议 #

1. 登录飞连管理后台。
2. 在左侧导航栏选择网络准入 > 员工入网。
3. 切换至通用配置页签下，点击右上角的选择认证方式。
   
4. 勾选 802.1x 认证并点击确定。

注意：若您打算同时开启 802.1x 与 Portal 认证，请务必确保飞连 RADIUS 节点为最新版本，避免因版本过低导致认证不可用。

二、员工 Wi-Fi 的认证形式配置 #

在通用配置页签下，展开 802.1x 认证协议，您可以对入网账号的展示形式和来源进行精准控制。

使用飞连账号入网 #

飞连账号为系统默认使用的认证方式，支持以下精细化配置：

使用 WindowsAD 账号入网 #

开启后，飞连将新增 WindowsAD 账号作为入网认证方式，员工可以同时使用飞连账号和同步自 WindowsAD 的域账号进行网络认证。

• 前置要求：启用 WindowsAD 作为员工 Wi-Fi 的认证方式之前，需要先完成 WindowsAD 账号的同步设置。

入网安全与体验配置 #

点击高级策略，针对不同终端平台（尤其是 Windows）进行深度行为控制。

• 入网安全策略
  

  • 清理入网认证信息：可勾选员工登出飞连或登录失败时清理以及员工卸载飞连时清理。建议全部勾选，以确保终端不留存敏感入网凭证。
  • 多因素认证（MFA）：点击修改可跳转至 MFA 设置页（具体配置方法，详见配置多因素认证）。开启后，员工在获取入网凭证前必须通过二次校验。

• 入网体验策略
  
  入网体验策略配置部分将直接影响员工入网的自动化程度及稳定性：

  配置项	说明
  检测办公网 SSID 信号，连接入网操作方式	设备在检测到办公网 SSID 信号时，连接入网的操作方式。 客户端无操作：隐藏客户端首页的提醒通知，检测到信号时不进行提醒且不进行自动连接，完全由用户手动触发。 客户端仅提醒，员工手动一键连接：检测到信号时弹出通知，提醒员工手动点击连接。 客户端自动连接入网：检测到信号后全自动入网（推荐），必须指定唯一的 SSID 信号。关于 SSID 配置详见设置 Wi-Fi SSID。 说明 macOS 15 兼容性说明 由于 macOS 15 系统收紧了周边网络扫描权限，飞连的入网体验将受到以下限制： 信号检测不持续：客户端无法在后台实时监测 SSID 信号，因此“入网提醒”功能可能失效。 自动连接仅单次：系统仅允许在员工登录飞连客户端的瞬间尝试一次自动连接。若连接中断或需要二次认证（MFA），请手动进入客户端首页点击“一键连接”。
  连接员工网络后，忘记访客网络 SSID	开启后需指定访客 Wi-Fi 的名称（SSID）。当员工终端成功连接 802.1x 办公网时，会自动从系统“已知网络”中清除指定的访客 Wi-Fi。 应用场景： 保障网络合规：防止员工终端在办公过程中，因信号波动自动重连至权限受限、不具备安全基线检测能力的访客网络，确保设备始终处于安全监管之下。 优化联网性能：强制终端“唯一驻留”在办公网络，避免因误连访客网络导致的网速缓慢或频繁切网，确保办公体验的连续性。
  Windows 有线网络识别方式	配置 Windows 操作系统内有线网络连接后的生效账户。 所有系统账户生效：认证会话与物理设备绑定。一旦认证成功，切换 Windows 用户不会触发重新认证。 适用场景：办公区固定位电脑或需要后台静默下载更新的设备。 安全提示：切换用户后将维持原有的网络权限（VLAN/ACL），不建议在高度敏感的公共共用终端使用。 当前系统账户生效：认证会话与 Windows 登录用户绑定。用户注销或切换账号时，系统会自动断开当前网络连接并要求新用户重新认证。 适用场景：公用机房、前台接待终端等多人共用一台电脑的场景。 效果：确保网络权限能够根据当前登录人的身份实时动态调整。
  Windows 系统 802.1x 认证模块	配置 Windows 终端发起 802.1x 认证时使用的底层驱动模块。 系统默认：调用 Windows 原生的 WLAN-AutoConfig（无线）或 Wired-AutoConfig（有线）服务。该模式依赖操作系统原生逻辑，易受系统组策略（GPO）或第三方准入软件干扰。若认证失败，需查阅系统原生日志（WLAN/Wired-AutoConfig）进行排查，信息较模糊，排查深度有限。建议仅在特殊要求使用系统原生 UI 交互时选择。 飞连自研（推荐）：使用飞连自研的 EAP 协议栈独立管理认证流程。自研模块具有更强的环境兼容性，能够规避部分系统配置冲突。此外，该模块支持精细化事件审计（Event ID），管理员可通过 Windows 应用程序日志（来源：CorpLinkNetAuth）定位至证书校验、凭据交换等具体环节，显著提升认证失败时的排障效率。建议优先选择此项以提升入网稳定性。
  Windows 有线入网连接方式	可选手动连接或自动连接。设为自动可实现插线即入网的体验。
  自动识别域控用户名	开启后，系统可自动解析带域名的账号（如将 domain\test 识别为 test），确保域控设备顺利入网。
  定制员工入网文案	点击前往配置，可跳转至员工入网文案配置页，自定义客户端入网引导的提示文字。具体配置方法详见定制员工入网文案。

三、配置网络权限策略 #

通过权限组策略，认证服务器可以根据员工的身份、设备类型或接入位置，下发特定的 RADIUS 属性，从而实现动态的 VLAN 划分或访问控制（ACL）。

添加权限策略 #

• 操作路径
  在员工入网页面选择权限配置页签，切换至 802.1x 协议认证子页签，点击添加策略。

• 基本信息配置

  配置项	说明
  权限组名称	自定义名称，用于标识当前策略。建议采用“部门-接入方式-权限级别”的命名方式（如：研发-Wi-Fi-VLAN90）。
  绝对优先级	设置策略的匹配顺序。取值范围为 0 ～ 100，数值越大优先级越高。 系统从高优先级向低优先级依次匹配。一旦命中生效对象，即应用该策略并停止后续检测。若优先级相同，则优先匹配最后修改的策略。

• 权限组策略
  决定终端入网后权限的核心设置，支持基于网络、角色及自定义三个维度。

  说明

  配置网络权限前，请确认您的网络硬件（交换机/AC）已开启 802.1x 认证支持，并已预先创建好目标 VLAN。飞连仅负责下发授权指令，真正的网络切割和 IP 分配由您的硬件设备执行。

  授权维度	授权属性名称	配置说明与示例
  基于网络	Tunnel-Pvt-Group-ID	指定员工入网后的 VLAN 归属。 下发特定 VLAN：填写物理网络定义的 VLAN ID（纯数字），如 97。此时网络权限由飞连强制下发。请确保物理交换机/AC 上已预先创建该 VLAN，并配置了可用的 DHCP 地址池。 透传本地权限：填写固定字符串 DEFAULT。此时飞连仅完成身份认证，不主动修改终端 VLAN。请确保网络设备侧已配置好本地业务 VLAN，终端将沿用该默认权限。
  	VLAN Pool	用于在多个 VLAN 间实现负载均衡，防止单一网段 IP 枯竭。 请填写 VLAN 池名称（英文与数字组合），如 Dev1。可点击下方 + 添加输入多个 VLAN ID。支持设置容量权重，飞连将按权重均匀下发 VLAN。 前置要求：必须确保此处添加的所有 VLAN ID 均已在物理网络设备中预先创建，且网络架构支持动态 VLAN 切换。
  基于角色	Filter-ID	通过设备端预设的 ACL 或用户配置文件进行精细化流控。 操作： 如果基于用户组授权，请填写用户组名称，格式为英文与数字组合，例如Group1。 如果基于 ACL 授权，请填写设备端预设的 ACL ID，格式为纯数字。 前提： 本地配置：该 ID 或名称必须已在物理交换机/AC 上手动创建并配置了具体的访问规则。 精确匹配：飞连下发的字符串必须与设备端的名称大小写精确一致。 厂商适配：请确保您的硬件设备支持通过标准 RADIUS 属性 11（Filter-ID）进行授权。
  基于自定义	厂商私有属性名称 & 属性值	若需适配特定厂商的私有属性，可自定义添加（至多 10 个）： 厂商 ID：填写硬件厂商标识码。 厂商内部属性 ID/名称：按厂商协议规范填写。 属性类型：属性值的格式类型。RADIUS 将按照此规则封装属性值，以便网络设备能够正确解析。 加密类型：指定该属性在 RADIUS 报文传输过程中是否需要加密。请务必根据硬件厂商的手册要求选择，若无特殊说明，请保持为“无”。 无：默认选项。属性值以明文传输，适用于 VLAN ID、ACL 名称等常规属性。 User Password：采用 RFC 2865 标准的混淆算法。 Tunnel Password：采用 RFC 2868 标准的带盐加密，常用于加密隧道密码。 Ascend Secret：采用 Ascend 厂商特有的加密算法。

• 生效范围

  配置项	说明
  权限类型	指定该策略适用的接入介质，可选员工 Wi-Fi 或员工有线网络，支持多选。
  生效对象	以员工（部门/角色/成员）或设备（名称/分组）维度，指定该策略覆盖的用户范围。设备授权仅在终端已安装飞连客户端的情况下生效。

• 高级配置
  点击底部的高级配置展开，可以设定更严苛的触发条件。只有当入网请求完全满足以下所有条件时，该策略才会被激活并下发权限。

  配置项	说明
  RADIUS 服务器权限类型	指定策略仅对特定的 RADIUS 节点生效（全部/部分设备）。
  网络设备	指定策略仅对特定的 AC/AP 或交换机生效。
  SSID	限定策略仅在连接特定的办公 Wi-Fi 名称时生效。
  RADIUS 属性	开启此开关后，飞连将根据网络设备在请求报文（Access-Request）中携带的属性值进行比对。只有用户属性完全符合配置条件时，才会匹配并下发对应的权限组。 支持从下拉列表中搜索标准 RADIUS 属性，或点击添加自定义来定义厂商私有属性。 多条属性间为“且（AND）”逻辑：若添加了多个属性名称（如同时配置 NAS-IP-Address 和 SSID），用户请求必须同时满足所有条件才生效。 请勿针对同一属性名配置多个不同的值（例如添加两个 NAS-Port-ID 分别对应不同办公室），否则该策略将因无法同时满足而永远无法命中。 说明 典型场景：例如可以配置匹配属性 NAS-Port-ID 等于 Office_01，表示该权限策略仅在员工从“1 号办公室”接入时才生效。

策略管理与运维 #

配置完成后，您可以在权限组列表页面进行日常维护：

• 启用/禁用：在操作列通过开关快速控制策略生效状态。
• 筛选与检索：支持按入网方式、认证方式（飞连账号等）进行多维度筛选。
• 关键词搜索：支持搜索部门、人员、权限字符串（VLAN ID）、网络设备名称或 SSID 等信息。
• 排序控制：支持按“绝对优先级”或“创建时间”对列表进行重新排序，方便全局核对。
• 优先级调整：支持在列表左侧直接通过下拉框修改优先级数值，系统将自动按新数值从大到小重新排列策略执行顺序。
• 编辑：点击操作栏的编辑，可重新调整策略的优先级、VLAN/ACL 属性、生效范围及高级配置。修改已生效策略后，在线用户通常需要重新连接网络才能获取更新后的权限。
• 删除：点击操作栏的删除可永久移除该策略。删除前请确认是否有其他策略可覆盖受影响的用户范围，避免造成员工入网后权限缺失。
• 默认权限组：在列表最下方存在一条优先级为 0 的默认权限组作为系统的“兜底策略”。当所有高优先级策略均未命中时，系统将应用此组配置。默认权限组不支持编辑和删除。

策略生效后，管理员可以通过入网详情页签，实时掌握全量终端的入网状态，并对异常接入进行快速处置。

• 实时监控与多维检索
  支持利用多维条件筛选与关键词搜索，实现对全量员工终端在线状态、接入方式及安全合规性的实时监控与精准定位。
• 账号应急处置
  当发生安全风险或员工报障时，您可以在操作列执行以下操作：
  • 停用账号：根据实际需求，可全局停用或单独停用该员工的 Wi-Fi/有线入网权限。停用后，员工会被立即强制下线，且无法再通过该账号连接企业内网。
  • 重置密码：若员工遗忘密码或怀疑账号被盗，可重置密码并告知员工。重置后，该账号名下的所有终端连接均会失效。员工需在客户端输入新密码方可重新入网。
• 历史追溯与安全性分析
  飞连提供了精细到“每台设备”的深度溯源能力：
  • 历史设备查看：点击员工名称左侧的加号（+）图标，展开查看该账号下所有历史登录设备详情，包括设备名称、认证协议、接入类型、IP 地址及网络权限。
  • 设备安全状态：当终端权限显示为“降级”时，在操作列点击安全状态，系统会列出导致该设备被降级的具体安全策略项（如杀毒软件未运行、系统补丁未更新、开启了不合规软件等）。管理员可据此指导员工修复环境，恢复正常权限。
  • 查看设备详情：点击设备详情可深度查看该终端的硬件参数、飞连客户端版本及最近活跃时间，辅助判断连接问题的根本原因。