本文导读

展开导读

文档首页/ 华为乾坤/ 云管理网络/ 典型配置案例/ 独立AC+Fit AP监控上云组网场景/ 业务配置/ 配置认证控制点（AC）

配置认证控制点（AC）

更新时间：2025-02-17 GMT+08:00

查看PDF

登录AC网管界面

登录华为乾坤控制台。
进入WAC网管界面。
1. 单击控制台菜单栏“资源中心 > 设备管理”，选择“设备”页签。
2. 选中WAC设备名称，在设备详情页面单击右上角“远程登录”，进入设备管理界面。

配置AC系统参数

配置AC基本参数。
1. 在网管界面选择“配置 > 配置向导 > AC”，进入“AC基本配置”页面。
2. 配置AC基本信息，完成后单击“下一步”。
  “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
配置端口。
1. 在“端口配置”页面，选中目标接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”，单击“批量修改”。
2. 配置接口信息。配置“Eth-Trunk”为2，“接口类型”为“Trunk”，““允许通过VLAN（Tagged）”设为“1,10,20”,将“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”加入VLAN10（管理VLAN）和VLAN20（业务VLAN）。
3. 单击“应用”，确认无误后“确定”，然后单击“下一步”。
配置网络互联。
1. 在“网络互联配置”页面，单击“接口配置”下的“新建”，配置接口VLANIF10的IP地址为10.1.2.1/24，单击“确定”。
2. 单击“DHCPv4地址池列表”下的“新建”，采用“接口地址池”，选择接口VLANIF10，单击“确定”。
3. 以同样的方式配置VLANIF20接口地址池，VLANIF20的IP地址为10.1.4.1/24，单击“下一步”。
进入“AC备份配置”，单击“下一步”。
配置AC源地址。在“AC源地址”页面，选择“IPv4”，源地址选择“VLANIF”，单击按钮，选择“Vlanif10”，单击“下一步”。
配置确认。确认配置信息无误后，单击“完成并继续AP上线配置”。

配置员工无线业务

在WAC网管界面进行AP的集中管理，同时配置校园员工的无线接入和安全控制。

说明：

认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应，SSID名称保持一致。

表1 员工无线接入业务规划表
VAP模板	SSID模板	安全模板	认证模板	认证方式
test-emp 业务VLAN ID：10 转发模式：隧道转发	SSID模板名称：test-emp SSID名称：test-emp	test-emp	test-emp	用户名密码认证

配置AP上线。
1. 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面，单击“下一步”。
2. 配置AP分组。
  1. 在“AP分组”页面单击按钮，创建“ap-group1”AP组，单击“确定”。
  2. 选中“ap-group1”组，单击“AP列表”下方“加入”，选择需要添加到“ap-group1”组的AP，单击“确定”，然后单击“下一步”。
3. 配置确认。确认配置信息无误后，单击“完成并继续无线业务配置”。

配置员工SSID。

页面跳转到“配置 > 配置向导 > 无线业务”页面，单击“新建”，进入“基本信息”页面。
配置SSID名称test-emp、隧道转发模式、业务VLAN ID为10。

单击“下一步”，进入“安全认证”页面，根据表2设置参数。

表2 员工SSID基本配置参数表
参数	参数取值
安全配置	Portal（企业网络适用）
Portal服务器	外置Portal服务器（选择“MAC优先外置Portal”）
外置Portal服务器配置	配置服务器名称：test-emp 配置服务器URL：https://device.qiankun-saas.huawei.com:19008/portal 配置服务器IP地址：139.9.137.139 报文端口号：50100 配置共享密钥
外置Radius服务器配置	配置服务器名称：test-emp 认证服务器IP地址：139.9.137.139 服务器端口号：1812 配置共享密钥

点击放大

单击“下一步”，进入“接入控制”页面。“绑定AP组”为“ap-group1”，单用户限速上/下行速度为5120Kbps，最后单击“完成”。

配置HACA认证。

创建名为“test-emp”的认证模板。
1. 单击“配置 > AP配置 > AP组配置”，进入“AP组”页面，选择“ap-group1”组，进入AP组配置页面。
2. 选中左侧导航栏“VAP配置”，单击“新建”VAP模板，模板名称为test-emp，WLAN ID设为1，并单击“确定”。
3. 选中左侧导航栏“VAP配置 > test-emp > 认证模板”，进入“认证模板”页面。
  选择“接入方式”为“Portal接入”，“Portal选项”为“HACA接入”，勾选“MAC优先”。
4. 单击“应用”，在弹出的对话框中单击“确定”。

配置HACA接入参数。

单击“认证模板”前按钮，选择“HACA接入配置”，进入“Portal模板”界面。
单击“Portal服务器组”后，进入“Portal认证服务器列表”页面。

单击“新建”，进入“新建Portal服务器组配置”页面，按表3配置。

表3 Portal服务器组配置参数表
参数	参数取值
服务器名称	test-emp
服务器IP地址	139.9.137.139
URL	https://device.qiankun-saas.huawei.com:19008/portal
重定向配置	AC-MAC关键字：wac-mac 用户访问URL关键字：redirect-url 用户MAC关键字：umac 用户IP地址关键字：uaddressSSID SSID关键字：ssid

点击放大

单击“确定”，在服务器名称列表中选择新建的名为“test-emp”的服务器，单击“确定”。
单击“应用”，在弹出的对话框中单击“确定”。

配置HACA服务器。
1. 单击“认证模板”前按钮，选择“HACA服务器配置”，进入“HACA服务器配置”界面。
2. 在“HACA服务器模板”页签下单击“新建”，进入“新建HACA服务器模板”页面。
  配置“模板名称”为test-emp，开启“HACA功能”，“IP地址”为139.9.137.139，“端口号”为50301，“证书名称”为default。
  说明：
  关于端口号，在设备上执行命令display pki certificate local realm default查看设备证书，新证书端口为50301，老证书端口为50300。
  - 新证书颁发者：CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
  - 老证书颁发者：CN=Huawei Switch & Enterprise Communication Product Line CA
3. 单击“确定”，在弹出的对话框中单击“确定”。
4. 选择“HACA服务器模板”为“test-emp”，“计费模式”为“HACA计费”，计费策略根据实际情况设置，与认证服务器侧配置保持一致即可。
  “计费形式”选择“实时计费”（计费时间间隔与认证控制侧保持一致），“实时计费失败后策略”为“拒绝用户上线”，“开始计费失败策略”为“允许用户上线”。
5. 单击“应用”，在弹出的对话框中单击“确定”。

配置用户免认证时可以访问的网络资源。
1. 单击“配置 > AP配置 > 模板管理”，进入“模板管理”页面。
2. 选择“无线业务 > VAP模板 > test-emp > 认证模板 > 免认证规则模板”，进入“免认证规则模板”界面。
3. 选择“免认证规则模板”为“default_free_rule”。
4. 在“控制方式”处选择“免认证规则”。
5. 单击“新建”，进入“新建免认证规则”页面，配置完成后单击“确定”。
  其中“规则编号”设为1，免认证的目的IP地址为DNS服务器的IP地址
6. 选中规则编号为1的免认证规则，单击“应用”，在弹出的提示页面中单击“确定”，完成配置。

配置访客无线业务

在WAC网管界面进行AP的集中管理，同时配置校园访客的无线接入和安全控制。

说明：

认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应，SSID名称保持一致。

表4 访客无线接入业务规划表
VAP模板	SSID模板	安全模板	认证模板	认证方式
test-guest 业务VLAN ID：20 转发模式：隧道转发	SSID模板名称：test-guest SSID名称：test-guest	test-guest	test-guest	短信认证

配置AP上线。
1. 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面，单击“下一步”。
2. 配置AP分组。
  1. 在“AP分组”页面单击按钮，创建“ap-group2”AP组，单击“确定”。
  2. 选中“ap-group2”组，单击“AP列表”下方“加入”，选择需要添加到“ap-group2”组的AP，单击“确定”，然后单击“下一步”。
3. 配置确认。确认配置信息无误后，单击“完成并继续无线业务配置”。

配置访客SSID。

页面跳转到“配置 > 配置向导 > 无线业务”页面，单击“新建”，进入“基本信息”页面。
配置SSID名称test-guest、隧道转发模式、业务VLAN ID为20。

单击“下一步”，进入“安全认证”页面，根据表5设置参数。

表5 访客SSID基本配置参数表
参数	参数取值
安全配置	Portal（企业网络适用）
Portal服务器	外置Portal服务器
外置Portal服务器配置	配置服务器名称：test-guest 配置服务器URL：https://device.qiankun-saas.huawei.com:19008/portal 配置服务器IP地址：139.9.137.139 报文端口号：50100 配置共享密钥
外置Radius服务器配置	配置服务器名称：test-guest 认证服务器IP地址：139.9.137.139 服务器端口号：1812 配置共享密钥

点击放大

单击“下一步”，进入“接入控制”页面。“绑定AP组”为“ap-group2”，单用户限速上/下行速度为5120Kbps，最后单击“完成”。

配置HACA认证。

创建名为“test-guest”的认证模板。
1. 单击“配置 > AP配置 > AP组配置”，进入“AP组”页面，选择“ap-group2”组，进入AP组配置页面。
2. 选中左侧导航栏“VAP配置”，单击“新建”VAP模板，模板名称为test-guest，WLAN ID设为2，并单击“确定”。
3. 选中左侧导航栏“VAP配置 > test-guest > 认证模板”，进入“认证模板”页面。
  选择“接入方式”为“Portal接入”，“Portal选项”为“HACA接入”。
4. 单击“应用”，在弹出的对话框中单击“确定”。

配置HACA接入参数。

单击“认证模板”前按钮，选择“HACA接入配置”，进入“Portal模板”界面。
单击“Portal服务器组”后，进入“Portal认证服务器列表”页面。

单击“新建”，进入“新建Portal服务器组配置”页面，按表6配置。

表6 Portal服务器组配置参数表
参数	参数取值
服务器名称	test-guest
服务器IP地址	139.9.137.139
URL	https://device.qiankun-saas.huawei.com:19008/portal
重定向配置	AC-MAC关键字：wac-mac 用户访问URL关键字：redirect-url 用户MAC关键字：umac 用户IP地址关键字：uaddressSSID SSID关键字：ssid

点击放大

单击“确定”，在服务器名称列表中选择新建的名为“test-guest”的服务器，单击“确定”。
单击“应用”，在弹出的对话框中单击“确定”。

配置HACA服务器。
1. 单击“认证模板”前按钮，选择“HACA服务器配置”，进入“HACA服务器配置”界面。
2. 在“HACA服务器模板”页签下单击“新建”，进入“新建HACA服务器模板”页面。
  配置“模板名称”为test-guest，开启“HACA功能”，“IP地址”为139.9.137.139，“端口号”为50301，“证书名称”为default。
  说明：
  关于端口号，在设备上执行命令display pki certificate local realm default查看设备证书，新证书端口为50301，老证书端口为50300。
  - 新证书颁发者：CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
  - 老证书颁发者：CN=Huawei Switch & Enterprise Communication Product Line CA
3. 单击“确定”，在弹出的对话框中单击“确定”。
4. 选择“HACA服务器模板”为test-guest，“计费模式”为“HACA计费”，计费策略根据实际情况设置，与认证服务器侧配置保持一致即可。
  “计费形式”选择“实时计费”（计费时间间隔与认证控制侧保持一致），“实时计费失败后策略”为“拒绝用户上线”，“开始计费失败策略”为“允许用户上线”。
5. 单击“应用”，在弹出的对话框中单击“确定”。

配置用户免认证时可以访问的网络资源。
1. 单击“配置 > AP配置 > 模板管理”，进入“模板管理”页面。
2. 选择“无线业务 > VAP模板 > test-guest > 认证模板 > 免认证规则模板”，进入“免认证规则模板”界面。
3. 选择“免认证规则模板”为“default_free_rule”。
4. 在“控制方式”处选择“免认证规则”。
5. 单击“新建”，进入“新建免认证规则”页面，配置完成后单击“确定”。
  其中“规则编号”设为1，免认证的目的IP地址为DNS服务器的IP地址
6. 选中规则编号为1的免认证规则，单击“应用”，在弹出的提示页面中单击“确定”，完成配置。