BSSID问题

支持对接AD域服务器进行认证接入，但基于BSSID的对接需结合特定配置实现：

1. AD域认证支持
   信息中多次提及通过RADIUS协议对接第三方认证服务器（包括Windows AD域环境）。例如文档详细描述了WX系列控制器与Windows IAS（AD域组件）配合实现802.1X认证的完整配置流程，包括AC的RADIUS参数配置、域策略绑定及客户端设置。这表明设备具备与AD域集成的能力。

2. BSSID关联认证的可行性
   虽然未明确出现“基于BSSID对接AD域”的表述，但以下机制支持该需求：

   • 差异化认证策略：如所示，可通过配置不同的AP组或Radio视图绑定不同的服务模板，每个服务模板可独立配置认证域（参考中portal domain dm1的配置）。不同BSSID实际对应不同的AP射频接口或SSID，通过为不同BSSID绑定不同的服务模板，即可实现基于BSSID的独立认证域指向。
   • NAS标识扩展：文档的nas-vlan命令支持向RADIUS服务器传递VLAN标识信息。结合AD域策略，可扩展利用类似属性（如BSSID）作为认证决策依据，但需服务器端配合解析。

3. 配置建议
   需结合两项关键操作：

   • 认证域绑定：在无线服务模板视图下使用portal domain或dot1x domain命令绑定AD域对应的ISP域（参考）。
   • 策略差异化部署：将不同BSSID关联的无线服务模板配置不同的认证域参数（如中portal domain dm1），并在AD服务器端基于接收到的BSSID信息（可能需通过RADIUS属性如Called-Station-ID传递）设置访问策略。

结论：WX2580X+WA6520可通过差异化服务模板绑定认证域实现基于BSSID的AD域认证接入。具体需在AC配置中为不同BSSID分配独立服务模板并指定AD域参数，同时确保AD服务器支持按BSSID属性授权。

这套组合（WX2580X + WA6520）支持，但需要先明确一个概念："基于BSSID" 的实际应用场景，通常是指基于 SSID 进行认证。

 澄清概念：BSSID vs. SSID

通常所说的无线网络身份，指的是 SSID（比如 "Office-WiFi"），而 BSSID 是每个AP射频口的MAC地址。

所以，常见的部署方式是根据不同的SSID来区分业务，并应用不同的认证策略。例如，一个SSID "Staff" 做802.1X认证，或两个SSID "Staff" 和 "Guest" 分别对接AD域和做其他认证，这类场景在实际中比较多见。

 硬件支持确认

• WX2580X AC控制器：厂商参数明确支持作为认证接入设备，配合RADIUS服务器（如微软NPS）对接AD域环境。

• WA6520 AP：支持作为瘦AP (Fit AP) 透传802.1X认证报文。

 配置步骤详解

1. AC侧配置 (核心部分)

• 配置RADIUS方案关联AD服务器：创建RADIUS方案，并指定NPS (Network Policy Server) 服务器的IP地址和端口（认证：1812，计费：1813），并设置共享密钥。

  radius scheme ad_radius

  primary authentication 192.168.1.100 key simple YourSharedSecret primary accounting 192.168.1.100 key simple YourSharedSecret user-name-format without-domain

• 创建ISP认证域并引用RADIUS方案：

  domain ad_domain

  authentication lan-access radius-scheme ad_radius authorization lan-access radius-scheme ad_radius accounting lan-access radius-scheme ad_radius

• 创建无线服务模板（SSID）绑定认证：创建服务模板，设置SSID（例如 "Staff"）并将802.1X认证方式与上面创建的 ad_domain 域进行绑定。

  wlan service-template staff

  ssid Staff vlan 100 // 业务VLAN client security authentication-mode dot1x dot1x domain ad_domain service-template enable如果需要更细粒度的授权（如不同用户分配不同VLAN），可在RADIUS方案中启用 vlan-assignment-mode。

• 免除认证的准备工作 (可选)：为确保AD域信息能下发，若使用LDAP方式，可能需要先在设备上导入AD域的根证书。

2. AD域（RADIUS服务器）侧配置

• 安装并配置网络策略服务器（NPS）角色：在Windows Server上添加 网络策略和访问服务 (NPAS) 角色。

• NPS连接与策略配置：在 RADIUS客户端中，将AC控制器添加为客户端。随后在 网络策略 中创建规则，指定条件（如AD用户组）和约束（EAP类型为Microsoft: Secured password (EAP-MSCHAP v2)），并配置标准属性（如动态下发VLAN的Tunnel参数）。

3. 绑定到SSID

• 在WX2580X上，将此服务模板绑定到指定的AP或AP组，并对射频启用服务。

  wlan ap-group default-group

  ap-model WA6520 radio 1 service-template staff radio enable

4. 客户端与验证

• 客户端注意项：如果终端已连接过该SSID，由于认证方式已变，需要先“忘记”该网络，然后重新连接。

• 功能验证：可以尝试用AD中的用户和密码连接 "Staff" WiFi。若失败，可执行 display wlan client 查看客户端状态。同时在NPS服务器的事件查看器中，查看“安全”日志，检查认证请求与响应详情

参考这个案例 试试。H3C无线控制器与LDAP服务器配合进行本地Portal认证典型配置举例（V7）

一、关于 “基于 BSSID 对接 AD” 的结论

• 不支持：H3C Comware 无线 AC（包括 WX2580X）的认证策略最小粒度是 SSID/WLAN 服务模板，不是 BSSID。
• 一个 SSID 下的所有 AP 射频（每个射频一个 BSSID）共用同一套认证配置，无法给同一个 SSID 下不同 BSSID 绑定不同认证 / AD 域。
• 可行替代：
  • 不同 BSSID → 拆成不同 SSID → 每个 SSID 独立开启 802.1X/Portal → 分别对接 AD（或不同 AD 组）。
  • 或：同一 SSID，所有 BSSID 共用一套 AD 认证，按用户 / 组授权，不按 BSSID 区分。

二、WX2580X+WA6520 对接 AD 的两种标准方案

方案 A：802.1X（企业常用，域账号登录）

• AC 侧：配置 RADIUS 方案，指向 Windows NPS（RADIUS 服务器）。
• NPS 侧：注册到 AD，将认证请求转发给 AD 校验账号密码。
• SSID 侧：绑定 WPA2-Enterprise + 802.1X，所有该 SSID 的 BSSID 都走这套认证。

方案 B：Portal（浏览器弹页输域账号）

• AC 侧：配置 LDAP 方案，直接对接 AD 域控（389 端口，或 636 LDAPS）。
• SSID 侧：绑定 Portal 认证模板，用户连 Wi-Fi 后强制跳转 Portal 页，输入 AD 账号密码。

三、能不能 “按 BSSID 区分 AD 认证”？

• 不能直接绑定 BSSID 到 AD，但可以间接实现：
  1. 给每个需要独立认证的 BSSID 建独立 SSID（如：Office-1F、Office-2F）。
  2. 每个 SSID 单独配置 802.1X/Portal，分别指向不同 NPS 策略或不同 AD 组。
  3. 每个 AP 射频只广播一个 SSID，实现 “一个 BSSID = 一个 SSID = 一套 AD 认证”。

四、关键配置要点（最简版）

1）802.1X + RADIUS（NPS+AD）

2）Portal + LDAP（直接对接 AD）

五、总结

• 不能直接按 BSSID 绑定 AD，但可通过多 SSID 间接实现。
• 推荐用 802.1X+NPS+AD（企业员工）或 Portal+LDAP+AD（访客 / 临时）。
• WX2580X+WA6520 完全支持以上两种对接 AD 的认证方式。