问题描述:
现网要增加无线网络,想采购小贝优选无线设备,想用UR7208旁挂核心当AC。网络中开通两个SSID,SSID一个内部员工用MAC认证,另一个SSID为访客的用密码认证,访客的再通过上网行为管理进行认证审批上网。
1、听售后说UR7208路由不支持当旁挂AC,真的吗?
2、贝优选UR7208路由不上云不支持认证?也不支持旁挂当AC模式吗?如果支持旁挂当AC模式(不上云)的话本地AC模式支持什么认证?支持旁挂当AC模式(不上云)无线管理和业务网关能设置原来的核心交换机上吗?
组网及组网描述:
1、现网中防火墙作为出口设备,下面透明接入一台ACG1000-AK上网行为管理设备。
2、上网行为管理设备下接核心交换机,要求所有网段的网关都要在核心交换机上。 核心交换机接入交换机直连。
你提到的这款UR7208可以部署为旁挂AC模式,来管理你的无线网络。下面我针对你的几个疑问,逐一做出解答。
疑问一:UR7208支持旁挂当AC吗?
答案是肯定的,支持。
UR7208系列路由器内置AC功能,可以集中管理H3C小贝优选系列的无线AP。它既可以作为网络的出口网关,也可以旁挂在核心交换机旁,专门负责无线网络的管理。
疑问二:UR7208不上云支持认证吗?
答案是支持。不上云,本地也支持认证。
UR7208不上云平台也完全可以实现本地认证。设备本身就具备MAC地址过滤(黑白名单)功能,也可以配置基本的Portal认证,直接在本地完成用户名密码的校验。不过需要说明的是,部分高级的认证方式,如短信、微信认证等,就必须通过“简优云”网络管理平台来实现。
针对你提到的两种SSID认证需求,在本地AC模式下完全可以实现:
| SSID 类型 | 认证方式 | 是否支持 | 实现方法 |
|---|---|---|---|
| 内部员工 | MAC认证 | 支持 | 1. 在UR7208上配置“MAC地址过滤”白名单; 2. 或配置本地Portal认证,创建用户名为员工MAC地址的本地账号。 |
| 访客 | 密码认证 | 支持 | 在UR7208上配置一个SSID,并为其设置一个固定的PSK预共享密钥(Wi-Fi密码),供访客连接。 |
疑问三:无线管理和业务网关能设置在核心交换机上吗?
答案是完全可以,这正是旁挂AC的组网优势。
你想把所有用户网关都放在核心交换机上的要求,UR7208作为旁挂AC完全可以满足。这样的好处是保持现有网络结构和网关不变,UR7208只负责无线管理,网络瓶颈风险低。具体部署思路如下:
业务网关:所有无线终端的IP地址网关,仍然配置在你的核心交换机上,符合你的组网要求。
无线管理:UR7208作为AC,管理AP的控制隧道(管理AP的配置下发和状态监控),不影响业务网关。
数据转发:通常采用本地转发模式,AP和终端之间的数据流量不经过AC,直接由接入交换机和核心交换机处理,这样转发效率最高。
一个小提醒:在这种旁挂模式下,你需要确保网络中存在DHCP服务器(可以配置在核心交换机上),并且配置Option 43字段,这样新接入的AP才能自动发现UR7208这个AC。
如何实现“访客上网行为管理认证审批”?
你提到的“访客的再通过上网行为管理进行认证审批上网”,这个需求可以通过你网络中已有的那台ACG1000-AK上网行为管理设备来实现。
UR7208负责让访客连上Wi-Fi(第一层认证),而ACG1000-AK则负责更精细的管控(第二层认证和审批):
认证审批:访客连接SSID后,ACG设备可以配置为强制其进行身份认证。例如,访客打开浏览器时,ACG会弹出一个Portal页面,要求输入手机号并获取验证码,或由内部员工担保审批,审批通过后才允许访问网络。
行为管理:认证通过后,ACG设备可以继续对访客的网络访问进行管理,如应用控制、URL过滤和流量限速等,确保网络安全。
1)UR7208 能不能旁挂当 AC?售后说 “不支持旁挂” 是真的吗?
- 官方参数:内置 AC,支持管理小贝优选系列 AP,支持旁挂部署(AP 管理流量走核心转发,UR7208 只做控制)。
- 售后说 “不支持旁挂”,大概率是指:
- 不支持纯二层 AC 模式(必须有三层接口 / 路由功能);
- 本地 Portal / 微信 / 短信认证强依赖云简平台,本地弱。
2)不上云:支持旁挂 AC 吗?本地能做哪些认证?
2.1 不上云,可以旁挂当 AC 管理 AP(纯管理,无线网关在核心)
- AP 管理 VLAN:在 UR7208 上配置,UR7208 做 AP 管理段网关 / DHCP;
- 无线用户 VLAN:网关在核心交换机,UR7208 只下发 SSID+VLAN,用户流量不经过 UR7208(本地转发)。
2.2 不上云,本地支持的认证(关键)
- 员工 SSID:MAC 地址认证 → 本地支持,不上云也能做(在 UR7208 本地白名单)。
- 访客 SSID:WPA2-PSK 密码认证 → 本地支持,不上云。
- 访客要 Portal / 微信 / 短信 / 账号认证 → 不上云做不了,必须上云简平台。
3)能否做到 “无线管理在 UR7208,业务网关在核心”?
- 核心交换机:
- 无线用户 VLAN(员工 / 访客)三层接口 + DHCP;
- 与 UR7208 互联口 Trunk,放通 “AP 管理 VLAN + 无线用户 VLAN”;
- 静态路由:AP 管理段 → 下一跳 UR7208。
- UR7208(旁挂):
- 配置 AP 管理 VLAN 三层接口 + DHCP(给 AP 用);
- 开启 AC,注册所有小贝 AP;
- 员工 SSID:绑定员工 VLAN + 本地 MAC 认证;
- 访客 SSID:绑定访客 VLAN+WPA2-PSK;
- 默认路由:所有非 AP 管理段 → 下一跳核心交换机。
- AP:
- 注册到 UR7208;
- 本地转发,用户流量直接进核心,不经过 UR7208。
4)结合你的现网(防火墙→ACG→核心→接入)
- 无线用户网关在核心,符合你的要求;
- 访客要 “上网行为管理审批认证”:
- 方案 A(推荐):访客 SSID 用本地密码认证,流量到核心后被 ACG 做上网实名 / 审批认证;
- 方案 B:必须微信 / 短信,则 UR7208上云简平台,访客 Portal 由云简推送,认证后流量到 ACG 再审计。
结论
- UR7208 支持旁挂当 AC(不上云),无线管理在 UR7208,业务网关可以放在核心。
- 不上云本地认证:支持MAC 认证(员工)+WPA2-PSK(访客);不支持本地 Portal / 微信 / 短信,必须上云。
- 售后说 “不支持旁挂” 不准确:它不是纯二层 AC,但三层旁挂 + 本地转发完全可行。
建议
- 员工 SSID:本地 MAC 白名单,不上云;
- 访客 SSID:本地密码,上网审批由ACG1000-AK做,不依赖云;
- 若访客必须微信 / 短信:UR7208 注册云简平台,访客 Portal 走云,其余本地。
建议采用售后的答复,我在官网确实没找到旁挂的案例。
现网只有一台小贝的设备的话,可以另外采购一套无线设备,主网系列的就能满足你的认证需求,也方便切割网络时出现问题即使回退。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
建议咨询下小贝优选的售前或者代理商确认下是否支持mac认证 目前没有查询到是否支持