WX3510H 禁止手机扫码查看 WiFi 明文密码完整方案

一、先说明原理：手机扫码显示密码的根源

1. WPA2-PSK/WPA3 个人模式：手机连接保存 WiFi 后，系统生成的二维码标准协议（WiFi:T:WPA;S:SSID;P: 密码；；）会明文携带预共享密钥，这个逻辑是手机操作系统原生行为，AC/AP 无法拦截手机本地生成二维码；
2. AC 侧可管控的两类场景：
   • 场景 1：WID 无线门户 / 访客二维码页面（网页门户展示的连接二维码，AC 可控隐藏密码）；
   • 场景 2：终端本地系统分享二维码（安卓 / 苹果手机自带分享，AC 无法彻底屏蔽，只能通过认证方式规避）。

二、方案 1：管控 WID 门户二维码（网页访客二维码，AC 可直接关闭密码展示）

Web 界面配置路径

1. 进入【无线】→【WID 门户】→【门户模板】，编辑当前使用的模板；
2. 找到「WiFi 连接二维码」选项，勾选隐藏预共享密钥（密码）；
3. 保存模板，AP 下发配置后，网页二维码不再包含明文密码，扫码仅跳转认证页，不泄露密钥。

CLI 配置命令

三、方案 2：彻底杜绝手机本地扫码泄露（最有效，分 2 种认证改造）

方式 A：切换企业 802.1X 认证（推荐，完全消除 PSK 明文）

1. AC 配置 AAA（本地用户 / AD/LDAP）；
2. WLAN 服务模板绑定 802.1X 认证，安全模式 WPA2-Enterprise/WPA3-Enterprise；
3. 终端连接时输入个人账号密码，无线无全局共享密码，手机生成二维码不会携带永久密钥；
   优势：从根源杜绝二维码泄露，还可实现账号权限、在线用户管控。

方式 B：保留 PSK，搭配终端安全管控（WIPS / 终端准入）

1. 开启 EAD 终端准入，仅企业授权终端允许接入 WiFi，私人手机无法连接；
2. 开启 WIPS 无线入侵检测，拦截私设热点、WiFi 分享类工具；
3. 流策略拦截手机端 WiFi 分享类 APP，限制二维码分享传播。

四、方案 3：纯 PSK 模式下的兜底限制（无法彻底屏蔽，仅降低泄露风险）

1. 定期轮换 WiFi 预共享密钥
   缩短密码更新周期，即使泄露也会快速失效；
2. 隐藏 SSID 广播
   陌生设备无法搜到 WiFi，减少扫码分享场景；
3. 终端权限管控
   通过域策略 / MDM 管控员工手机，关闭系统 WiFi 分享、二维码导出功能（需手机端管控，网络设备无法单独实现）。

五、关键问题解答

1. AC 能不能直接禁用手机本地生成 WiFi 二维码？
   不能。手机系统生成二维码是终端本地行为，报文不经过 AC 转发，无线控制器无权限拦截手机本地功能；仅能管控 AC 网页门户输出的二维码。
2. WPA3 模式会不会阻止二维码显示密码？
   不会。WPA3 个人模式依然存储 PSK 密钥在手机本地，扫码仍可提取密码，只有 802.1X 企业认证能彻底解决。
3. WX3510H 配套 WID 门户改造后效果
   网页访客二维码不再携带明文密码；但员工已保存 WiFi 的手机，本地分享二维码依旧能看到密码，必须搭配 802.1X 认证根治。

六、落地实施优先级

1. 最优方案：改造 WLAN 为 802.1X 企业认证，无共享 PSK，彻底杜绝二维码泄露；
2. 次优方案：WID 门户关闭二维码密码展示，管控网页访客渠道；
3. 兜底方案：定期轮换 WiFi 密码 + 隐藏 SSID + 终端准入管控。