组网结论

一、整体原理梳理（对应你的拓扑）

1. AP (UAP672)+ 二层 US226-P 只做二层透传：无线用户 802.1X (EAPOL) 报文是二层组播帧 (0180-C200-0003)，不经过三层转发，直接透传上联至 MSR860 路由器；
2. MSR860 充当 NAS（认证接入网关）：收到终端 EAP 报文后，封装 RADIUS 报文发给 RADIUS 服务器；
3. RADIUS 服务器对接 Windows AD：AD 域用户信息在 AD，RADIUS 通过 LDAP 读取 AD 账号密码；普通用户账号建在 RADIUS 本地；
4. 认证结果回传 MSR：认证成功→MSR 放行终端流量，终端获取网段 IP；认证失败→阻断上网；免认证用户配置免认证规则直接放行。

关键点：802.1X 报文是二层报文，二层交换机无需配置 802.1X，仅透传即可，认证逻辑全部在 MSR 路由器上，US226-P 不用开启 dot1x。

二、设备分步配置思路

1、US226-P 二层交换机（最简配置，只透传）

1. AP 接入口、上联 MSR 口全部配置 Trunk，放行业务 VLAN；
2. 全局、接口均不用开启 dot1x，仅做二层转发；

2、MSR860-6EI-XS（核心 NAS 配置，V7 平台）

① 配置 RADIUS 方案（对接 RADIUS 服务器）

② 配置 ISP 域，绑定 radius，开启 802.1X 认证

③ 全局开启 802.1X+EAP（对接 AD 必须 EAP 认证）

④ 下联交换机的三层 VLANIF 接口（用户网关，开启接口 802.1X）

用户网关在 MSR，DHCP 在 MSR 或旁挂服务器，认证通过才可分配 IP

⑤ DHCP 配置（MSR 分配用户 IP，认证成功才可获取地址）

3、RADIUS 服务器配置

1. 添加 NAS 设备：填入 MSR860 的上联 IP、RADIUS 共享密钥；
2. AD 域对接：开启 LDAP，填写 AD 服务器 IP、域名称、管理员账号，同步 AD 域账号（用户 1、2 走 AD 校验）；
3. 本地用户创建：在 RADIUS 本地新建普通账号（用户 4，独立密码，不走 AD）；
4. 配置认证 / 计费端口默认 UDP1812、1813。

4、UAP672 AP 配置（Fit AP / 胖 AP 两种场景）

场景 A：UAP672 为胖 AP（独立配置）

1. SSID 绑定 VLAN，无线开启802.1X 认证（WPA2-Enterprise）；
2. AP 网关指向 MSR 网段，二层报文透传上联交换机。

场景 B：UAP672 为 Fit 瘦 AP（AC 管理）

三、三类用户实现区分

1. 用户 1/2（AD 账号）：终端连接 SSID，输入 Windows AD 域账号密码→EAP 报文上送 MSR→RADIUS 查 AD→认证成功放行、获取 IP；
2. 用户 4（普通本地账号）：RADIUS 本地自建账号，输入 RADIUS 内配置密码即可认证，不查询 AD；
3. 用户 3（免认证）：MSR 配置 dot1x free-rule，基于 IP/MAC 放行，不用输密码直接联网。

四、关键注意事项

1. 二层交换机不用开启 802.1X，一旦在 US226-P 开启 dot1x 会变成交换机本地认证，破坏组网；
2. AD 对接依赖 RADIUS 的 LDAP 联动，MSR 只负责转发 RADIUS 报文，不直接和 AD 通讯；
3. WIFI 加密选择WPA2 - 企业版（802.1X），不能用 PSK 预共享密钥。