2024年10月17日发(作者:召璞玉)
AC无线控制器
第三步、认证参数设置
点击“认证管理>Portal认证>认证参数”,配置认证老化时间和认证模式,如下图:
90
AC无线控制器
说明:
认证老化时间:当已认证客户端断开连接后,对应认证条目的老化时间。客户端在老化
时间内重新连接,不需要重新认证,超过老化时间后接入的客户端需要重新认证。
Portal认证端口:用于Portal认证的服务端口,默认为8080端口,不能与其它的服务
端口重复。
认证模式:设置Portal认证的认证模式,支持基于SSID和基于VLAN两种模式,基于
SSID表示连接这个SSID的终端都需要认证才能上网,基于VLAN表示连接到这个
VLAN中的终端都需要认证才能上网。
第四步、配置跳转页面
(1)点击“认证管理>Portal认证>跳转页面”,根据实际需求设置跳转页面标题、欢迎
信息等,如下图:
91
AC无线控制器
(2)点击“认证管理>Portal认证>组合认证”,点击新增,启用一键上网,如下图:
以上内容配置完毕,AC控制器的Portal认证服务设置成功,连接商场的无线可以一键
上网。效果图如下:
92
AC无线控制器
6.7.4 配置注意事项
如果网关地址与AC管理IP地址不在同一网段,为了方便管理,建议修改AC的管理
IP地址与网关地址在一个网段
93
AC无线控制器
微信认证使用方法
6.8.1 应用介绍
在一些商场、酒店等开放场所,商家在提供免费的WiFi服务器的同时需要引导用户关注自
己公众号达到推广得目的。TP-LINK AC的微信认证功能可以满足此类需求,当移动终端无
线连接无线网络后,用户需要关注微信公众号并进行指定操作后即可免费上网,可以实现推
送广告页面或自动跳转到指定网站的效果。本文通过典型应用实例介绍AC控制器微信认证
功能的设置方法。 根据用户需求,AC、AP以及路由器连接参考拓扑如下:
6.8.2 需求介绍
某商场需要实现无线覆盖,为顾客提供无线网络接入,有以下需求:
某商场希望无线用户通过微信认证之后才能进行浏览网页等上网操作,并且在认证成功以后
推送广告页面或者跳转到指定的网站。
94
AC无线控制器
6.8.3 设置方法
第一步、AC控制器基本参数配置
点击“网络设置>接口设置”,在系统默认条目的后面点击编辑 ,填写网络中正确的网关(一
般是路由器的IP地址),如下图:
第二步、新增无线并进行射频绑定
点击“无线管理>无线服务”,设置免费SSID,如下图:
95
AC无线控制器
第三步、认证参数设置
点击“认证管理>Portal认证>认证参数”,配置认证老化时间和认证模式,如下图:
说明:
96
AC无线控制器
认证老化时间:当已认证客户端断开连接后,对应认证条目的老化时间。客户端在老化
时间内重新连接,不需要重新认证,超过老化时间后接入的客户端需要重新认证。
Portal认证端口:用于Portal认证的服务端口,默认为8080端口,不能与其它的服务
端口重复。
认证模式:设置Portal认证的认证模式,支持基于SSID和基于VLAN两种模式,基于
SSID表示连接这个SSID的终端都需要认证才能上网,基于VLAN表示连接到这个
VLAN中的终端都需要认证才能上网。
第四步、微信认证配置
(1)点击 认证管理 >> Portal认证 >> 跳转页面,点击“新增”,新增一个跳转页面,页面
内容根据实际需求进行填写,如下图:
97
AC无线控制器
(2)点击 认证管理 >> Portal认证 >> 组合认证,点击“新增”,跳转页面选择之前的所新
增的页面,生效SSID选择需要进行微信认证的SSID,认证成功、认证失败的跳转连接按
需填写也可不填。认证方式选择“微信认证”,状态选择启用。免费上网时长按需填写或保持
98
AC无线控制器
默认。填写认证token并按照页面提示将相应的链接添加到微信公众号后台即可。设置如
下:
(3) 将认证链接:8080/wechatv2/?auth_token=123456添加到微
信后台被添加自动回复信息中,具体格式为: 点击 href=":8080/wechatv2/?auth_token=123456">TP-LINK免费上网
99
AC无线控制器
(4) 也可以通过“关键字回复”功能让用户在微信后台回复关键字获取认证链接认证上网。首
先在“自动回复>关键词回复”中点击添加回复,如下图:
填写相应的规则名称和关键词,可以增加和删减来组合符合自己需要的关键词,在回复内容
中选择文字填写跳转链接,如下图:
100
AC无线控制器
将认证链接点击 href=":8080/wechatv2/?auth_token=123456">TP-LINK免费上网
填写完成点击确定即可。
101
AC无线控制器
第五步、手机连接无线上网
(1) 无线终端(手机)连接无线网络后,跳出认证提醒页面,如下:
102
AC无线控制器
(2) 使用手机关注对应的微信公众号,获取公众号返回的认证链接,如下:
103
AC无线控制器
(3) 点击“TP-LINK免费上网”后,终端通过认证,就可以免费上网了。
104
AC无线控制器
(4) 如果下次需要接入该无线网络上网,请在该微信公众号中输入包含“上网、wifi”的相关词
语(如“上网”“WiFi”等),收到免费上网消息后,点击后即可上网。具体相关词可以在微信后
台设置。
105
AC无线控制器
6.8.4 配置注意事项
如果网关地址与AC管理IP地址不在同一网段,为了方便管理,建议修改AC的管理IP地
址与网关地址在一个网段。
106
AC无线控制器
免认证策略的使用方法
6.9.1 应用介绍
目前越来越多的公共场所(如商场、酒店、景区等)需要提供免费网络供访客使用,访客连
接网络后需要通过认证才可以免费使用网络。免认证策略可以实现客户端不需要认证就能访
问指定的网站或者服务器。本文通过典型应用实例介绍AC控制器免认证策略的应用与配
置。根据用户需求,路由器和AC、AP连接参考拓扑如下:
6.9.2 需求介绍
某办公室需要实现无线覆盖,员工需要通过认证后才能上网,有以下需求:
1、 特定终端如打印机不需要认证即可上网;
2、 员工无需认证也可以访问公司外网服务器;
3、 员工无需认证也可以访问公司网站;
107
AC无线控制器
6.9.3 设置方法
第一步、特定终端无需认证即可上网
进入AC界面,点击“认证管理>Portal认证>免认证策略”,添加免认证策略,如下图:
以上设置可以实现固定设备无需认证就可以上网。
第二步、无需认证即可访问到指定的外网服务器
进入AC界面,点击“认证管理> Portal认证>免认证策略”,添加免认证策略,如下图:
108
AC无线控制器
以上设置可以实现局域网的所有电脑,无需认证即可访问121.202.33.100的外网服务器。
第三步、无需认证即可访问到指定的网站
进入AC界面,点击“认证管理> Portal认证>免认证策略”,添加免认证策略,如下图:
以上设置可以实现局域网的所有电脑,无需认证即可访问公司网站。
109
AC无线控制器
6.9.4 配置注意事项
由于终端上网可能即需要使用UDP协议又需要使用TCP协议,所以一个终端设备需要
建立两条免认证策略服务协议分别选择UDP和TCP。
110
AC无线控制器
Portal认证中外部WEB服务器建立规范
6.10.1 应用介绍
在商场、酒店等环境,为了对终端进行广告推送,短信认证等,客户可以使用TL-AC10000
等AC控制器的的Portal认证功能配合第三方认证系统,包括提供Portal认证页面的WEB
服务器、认证服务器、短信猫等系列设备。TL-AC10000等部分AC控制器提供与WEB服
务器、认证服务器的通信接口,对WEB服务器的建立提出了一定的规范要求。
本文介绍AC控制器Portal认证流程以及Portal服务器搭建规范。
适用范围:TL-AC10000 V4.0/TL-AC1000 V4.0/TL-AC500 V4.0/TL-AC300 V3.0/TL-
AC200 V5.0/TL-AC100 V4.0
6.10.2 认证流程
111
AC无线控制器
Portal认证流程图
6.10.3 流程及规范要求
第一步、无线终端连接Wi-Fi,访问任意外网
无线客户端连接上AP发出的Wi-Fi信号后,打开浏览器访问任意外网,触发portal认证。
第二步、AP拦截无线客户端访问外网的GET数据包,并重定向到WEB服务器
没有通过认证的无线客户端发往外网的GET数据包会被AP拦截,并且AP会向客户端返
回一条重定向条目(假设WEB服务器域名为),重定向条目为
/?pagetype=xxx&vlan=xxx&staMac=xxx&staIp=xxx&apMac=
xxx&apIp=xxx。
该条目主要携带以下有效信息:
参数
说明
WEB服务器域名
pagetype
标志不同的认证方式
ssid_mode
认证模式为SSID模式(VLAN模式下无此参
数)
vlan
客户端所属的VLAN
staMac
客户端的MAC地址
staIp
客户端的IP地址
112
AC无线控制器
apMac
客户端关联AP的MAC地址
apIp
客户端关联AP的IP地址
第三步、无线终端访问WEB服务器
无线终端根据第二步返回的重定向条目与WEB服务器建立连接。
第四步、WEB服务器向无线终端返回认证页面
WEB服务器向无线终端返回认证登录页面,针对该认证登录页面,需要符合以下规范:
认证页面需要包含以下4个控件,且必须包含id属性:
名称
控件类型
说明
username
text
用户名输入控件
password
password
密码输入控件
log-button
button
登陆按钮
login-tips
/
登陆提示信息
例如:
type="text" fieldtype="username"/>
type="password"fieldtype="password"/>
113
AC无线控制器
需要在认证页面直接嵌入附件中的JavaScript代码,并修改以下变量:
ac_addr代表需要访问的AC地址和认证端口,需要修改为实际的AC IP和Portal端口,
如下所示:
var ac_addr = "192.168.1.253:8080";
$user、$pwd、$tips、$button分别代表步骤1中的四个控件,其取值为$id('ID-VALUE'),
其中ID-VALUE与该控件的id属性值相同,例如:
var $tips = $id('login-tips'),
$user = $id('txt_user_name'),
$pwd = $id('txt_password'),
$button = $id('log-button');
红色字体的id属性值必须与第1点示例说明中的控件id属性
值相同(红色字体标注)。
第五步、无线终端向AC提交用户名和密码
无线终端在认证登录页面填写用户名和密码后点击“登录”按钮,将username、password、
vlan、staMac、staIp、apMac、apIp、authtype(远程portal对应的值为5)、ssid_mode
(仅ssid模式下有该参数,值为true)等参数提交给AC控制器 。
第六步、AC向认证服务器提交认证信息
114
AC无线控制器
AC在获取客户端提交的信息之后,从vlan、staMac、staIp、apMac、apIp参数中确定需
要进行认证的设备,然后把指定的参数提交给认证服务器进行认证,目前认证协议支持
Radius认证和本地认证。
第七步、无线终端向AC提交用户名和密码
认证服务器根据AC提交的信息判断用户是否通过认证,并且向AC返回认证结果。
第八步、无线终端向AC提交用户名和密码
AC根据认证服务器返回来的结果向无线终端返回相应的认证结果,若认证成功,AC则根
据之前的vlan、staMac、staIp、APMac、apIp参数信息对相应设备的上网数据给予放行。
如果对页面制作存在疑问可以参考附件中的html示例文件。
Demo页面下载请点击此处:JS脚本及网页Demo
115
AC无线控制器
第7章 安全管理
广播风暴抑制配置指南
7.1.1 应用介绍
广播风暴抑制功能可以抑制从有线到无线的广播数据,一定程度降低广播风暴对无线网络的
影响,需要用户根据实际应用场景配置合适的抑制速率。
7.1.2 需求介绍
如果在无线环境中有大量的广播数据传输,由于广播包需要发送给每个STA采用所以采取
低速率传输的方式,大量广播包将会长时间的占用无线信道,大幅度降低无线性能,严重影
响无线体验。大量广播包可能导致无线延迟高、丢包甚至无线连接不上等问题。
116
AC无线控制器
7.1.3 设置方法
登录AC界面,在“安全管理>广播风暴抑制”中启用广播风暴抑制功能,并选取预定义速率
或自定义抑制速率,如下图:
至此,AC控制器的广播风暴抑制功能就已经配置完成。
117
AC无线控制器
DHCP防护配置指南
7.2.1 应用介绍
AC控制器的DHCP防护功能,可以防止连接在AP上面的无线终端和有线终端,从非法
DHCP服务器获取IP地址,避免因为终端获取到错误的网关而影响到上网。
目前仅TL-AC300、TL-AC500、TL-AC1000 V2.0、TL-AC10000支持DHCP防护功能。
7.2.2 需求介绍
公共场所如酒店、宿舍、企业,其Wi-Fi信号较为开放,为了避免私接路由器、接入其他
DHCP服务器,导致破坏网络结构、终端出现获取不到正确IP、IP地址混乱等情况,就需
要用到AC的DHCP防护功能。
118
AC无线控制器
7.2.3 设置方法
第一步、添加DHCP服务器
登录到AC控制器的界面,点击“安全管理>DHCP防护>DHCP服务器列表”,点击“新增”,
添加DHCP服务器。
地址类型可以选择IP或者MAC,并填写对应的地址。
第二步、将DHCP服务器绑定到AP
点击“安全管理>DHCP防护>DHCP防护”,选择AP分组,勾选要绑定的AP,并点击
,如下图:
如果不需要批量绑定,也可以点击要绑定AP条目的“DHCP绑定”进行绑定。
勾选要绑定的DHCP服务器,并点击 ,如下图:
119
AC无线控制器
提示“确认提交?”,点击“是”。
第三步、启用DHCP防护
点击 ,此时DHCP防护仍是已禁用的状态,需要启用。勾选所有已绑定
DHCP服务器的AP,并点击“启用”,如下图:
设置完毕,DHCP防护列表如下:
至此,AC控制器的DHCP防护功能设置完成。
120
AC无线控制器
ARP防护配置指南
7.3.1 应用介绍
AC控制器的ARP防护功能,可以对AP有线口收到的ARP报文进行检测,防止ARP攻
击,确保无线网络的稳定性。本文介绍AC控制器ARP防护的配置步骤。
7.3.2 需求介绍
ARP是IP与MAC地址的解析协议,对网络通信至关重要。但是,由于ARP没有保护机
制,所以伪造的ARP数据包会欺骗通信终端或设备,导致出现通信异常。一般情况下,上
网数据直接在主机和网关之间进行交互,ARP欺骗主要针对网关和主机的ARP列表进行欺
骗,导致通信异常。那么ARP防护就需要从两个方面着手,在网关上绑定主机的ARP信
息,在主机上绑定网关的ARP信息,从而实现双向绑定,确保网络安全。
7.3.3 设置方法
第一步、添加ARP防护条目
登录到AC控制器界面,点击“安全管理>ARP/ND防护>ARP/ND防护条目”,点击“新增”,
添加要绑定设备的IP及MAC地址。
若需要绑定局域网中的服务器等设备,也按照同样的方法添加ARP防护条目。
121
AC无线控制器
第二步、将ARP防护条目绑定到AP
点击“安全管理>ARP/ND防护>ARP/ND防护绑定”,选择AP分组,勾选要绑定的AP,并
点击 ,如下图:
勾选要绑定的ARP条目,并点击 ,如下图:
提示“确认提交?”,点击“是”。
第三步、启用ARP防护
点击 ,确定每个AP绑定ARP的防护状态,如下图:
至此,AC控制器的ARP防护绑定功能设置完成。
122
AC无线控制器
123
AC无线控制器
第8章 双链路备份
双链路备份设置方法
8.1.1 应用介绍
双链路备份功能可以实现AC管理AP的冗余备份,网络中当主AC异常时备AC可以及时
顶上替换,保证AP管理的有效性和稳定性,防止出现无线网络配置丢失造成使用异常。
8.1.2 需求介绍
大部分的网络环境使用的是树形网络拓扑结构组网。这种拓扑结构具备组网成本低、网络管
理和维护简单的特点。但是,这种网络结构缺乏冗余备份能力,无法满足对网络稳定性要求
比较高的场所需求,如医院、企业等。 设计一个高稳定性的大型无线网络解决方案,核心
交换网络中的骨干节点都必须进行冗余备份设计,最常见的是无线控制器AC和核心交换机
的冗余及备份,以及汇聚交换机的端口汇聚,无线保证核心网络单点线路故障对整个网络的
运行无影响。本文主要介绍如何通过AC进行双链路备份。
124
AC无线控制器
8.1.3 设置方法
第一步、配置主备AC的管理IP
登录到主AC界面,点击“网络设置>接口设置”,配置主AC的管理IP,如下图:
登录到备AC界面,点击“网络设置>接口设置”,配置主AC的管理IP,如下图:
125
AC无线控制器
第二步、配置主备AC的DHCP服务
在AC界面,点击“网络设置>IP地址分配>DHCP服务”,配置主备AC的DHCP服务器,
如下图:
第三步、主备AC的其他配置
主AC中关于AP的配置项如AP管理,射频管理,无线管理,认证管理,安全管理等,在
备用AC中也做同样的配置,确保AP切换到备用AC后网络功能不改变。
126
AC无线控制器
第四步、配置主备AC的双链路备份功能
主AC界面点击”链路备份>双链路备份 “,启用双链路备份功能,如下图:
备AC界面点击”链路备份>双链路备份 “,启用双链路备份功能,如下图:
127
AC无线控制器
至此,AC双链路备份设置完成。
说明:
链路优先级:AP选择本AC作为主用AC的优先级,数字越大优先级越高。
对端IPv4地址:对端AC的地址,通过本机配置的DHCPv4服务器的报文下发,让AP
在通过本机提供的DHCPv4服务获取IP时获得对端AC的地址。需要开启本机的
DHCPv4服务才能生效。
对端IPv6地址:对端AC的地址,通过本机配置的DHCPv6服务器的报文下发,让AP
在通过本机提供的DHCPv6服务获取IP时获得对端AC的地址。需要开启本机的
DHCPv6服务才能生效。
128
AC无线控制器
8.1.4 配置注意事项
修改双链路配置将使所有处于主链路状态的AP重启,处于备链路状态下的 AP断开与
本机的连接。当AP与 AC 重新建立连接之后,会按照新的链路优先级重新选择主用
AC和备份AC。假设备份AC作为DHCP服务器,且AP的地址是由备份AC下发,
则修改备份AC的对端地址时,需要使备份AC下发地址的AP重启,如果不重启,AP
将无法识别新地址的AC
使用双链路备份时,用户需自行确保主、备AC之间配置的一致性
当AP从主AC切换至备份AC时,已认证的无线客户端需要重新认证
129
AC无线控制器
第9章 其他功能
连云配置指南
9.1.1 应用介绍
TP-LINK商云平台能将路由器、交换机、无线控制器、AP、网桥设备统一添加上云,提供
多种将设备连云的方式供用户选择,实现有效的远程管理。本文将介绍如何配置AC控制器
上云。
130
AC无线控制器
9.1.2 需求介绍
通过互联网远程管理和运维TP-LINK设备的方式高效、快捷、便利,越来越受用户的青睐
和成为首选。只要将设备上云,无论何时何地,只要管理者能连入互联网即可在商云上对设
备进行有效便利的远程管理和运维。
9.1.3 设置方法
方法一:扫码添加设备上云
第一步、将AC控制器配置联网
首先需要将AC控制器设备配置联网,设置方法见链接:【AC控制器】如何配置连接互联网
第二步、下载手机商云APP
安卓/苹果手机可以通过应用市场/APP Store下载TP-LINK商云APP;也可以直接扫描下
面二维码,或者长按关注“TP-LINK商用网络”公众号:
在下方菜单栏中打开“常用工具”——“商云APP”,即可打开下载界面下载TP-LINK商云APP:
131
AC无线控制器
第三步、扫描二维码添加上云
打开TP-LINK商云APP,在项目中“添加设备>扫码添加”,扫描设备机身标签上的二维码,
设置账号密码将设备添加上云:
132
AC无线控制器
方法二:APP通过设备的ID/MAC添加设备上云
第一步、将AC控制器配置联网
首先需要将FAT模式的AP设备配置联网,设置方法见链接:【AC控制器】如何配置连接互
联网
第二步、下载手机商云APP
安卓/苹果手机可以通过应用市场/APP Store下载TP-LINK商云APP;也可以直接扫描下
面二维码,或者长按关注“TP-LINK商用网络”公众号:
133
AC无线控制器
在下方菜单栏中打开“常用工具”——“商云APP”,即可打开下载界面下载TP-LINK商云APP:
134
AC无线控制器
第三步、通过设备ID/MAC手动添加设备上云
打开TP-LINK商云APP,在项目中“添加设备>扫码添加>手动输入”,通过设备机身标贴上
的ID或MAC地址添加上云:
135
AC无线控制器
方法三:商云通过设备的ID/MAC添加设备上云
第一步、将AC控制器配置联网
首先需要将AC控制器设备配置联网,设置方法见链接:【AC控制器】连云配置指南。
第二步、商云通过设备ID/MAC手动添加设备上云
登录TP-LINK商用网络云平台,在项目中“设备列表>添加设备>扫码添加”,通过设备机身
标贴上的ID或MAC地址添加上云:
136
AC无线控制器
至此,就能保证AC控制器设备能正常上云。
137
AC无线控制器
远程管理配置指导
9.2.1 应用介绍
AC控制器可以通过浏览器的方式进行WEB管理,部分支持云管理的可以在云平台进行管
理。本文介绍如何在外网管理AC控制器。
9.2.2 需求介绍
通过互联网远程管理和运维TP-LINK设备的方式高效、快捷、便利,越来越受用户的青睐
和成为首选。我司设备支持多种远程管理的方法,将设备连入互联网并做好相应配置,无论
何时何地,只要管理者能连入互联网即可对设备进行有效便利的远程管理和运维。
9.2.3 设置方法
方法一:浏览器管理
第一步、配置AC的IP地址及网关
138
AC无线控制器
登录到AC控制器的管理界面,在“基本设置(或网络设置)>接口设置”,编辑VLAN ID为
1的接口条目,如下图:
第二步、查看AC的HTTP服务端口
在“系统工具>管理账号>系统管理设置”,查看HTTP服务端口,如下图:
139
AC无线控制器
第三步、在前端路由器上映射AC的HTTP端口
登录到前端路由器的管理界面,在虚拟服务器的设置中映射AC的HTTP端口。
访问方法
在前端路由器运行状态查看WAN口IP地址,在外网电脑的浏览器地址栏输入WAN
口IP:外部端口来远程访问。如下图:
140
AC无线控制器
121.201.33.100仅为举例,实际访问时请以实际查看到的IP地址为准。至此,在外网电脑
上远程访问AC控制器设置完成。
方法二:商云管理
第一步、配置AC的IP地址及网关
登录到AC控制器的管理界面,在“基本设置(或网络设置)>接口设置”,编辑VLAN ID为
1的接口条目,如下图:
141
AC无线控制器
第二步、开启云管理功能
登录本地Web管理界面,进入系统工具——云管理页面,点击开启云管理功能,如下图:
142
AC无线控制器
第三步、登录云平台
打开浏览器,访问TP-LINK商用网络云平台,如下图:
143
AC无线控制器
输入TP-LINK ID和密码,点击“登录”。如果还没有TP-LINK ID,请点击“创建TP-LINK ID”,
根据提示创建TP-LINK ID,创建完成后可自动登录。
第四步、通过设置向导创建项目
登录成功后,请输入一个项目名称,该项目名称可根据实际情况自定义,如:XX酒店、XX
商场。
输入完成后,点击“添加设备”,添加成功后设备的相关信息会在商云显示,如下图:
至此,便可以在外网通过商云平台管理AC以及AC管理的AP。另外,支持商云远程管理
的设备也可以在商云平台直接远程管理,如下图所示:
144
AC无线控制器
9.2.4 配置注意事项
80、8080等常用端口容易被宽带服务商屏蔽,建议将外部端口设置为不常用端口,如
9000以上的端口
设置后,同一局域网的电脑依然使用AC的IP地址直接访问AC;外网电脑需要使用
WAN口IP:外部端口来访问AC控制器
如果路由器上登录了动态域名,外网电脑还可以使用域名:外部端口来访问AC
控制器
在开启云管理之前,先备份配置文件
145
2024年10月17日发(作者:召璞玉)
AC无线控制器
第三步、认证参数设置
点击“认证管理>Portal认证>认证参数”,配置认证老化时间和认证模式,如下图:
90
AC无线控制器
说明:
认证老化时间:当已认证客户端断开连接后,对应认证条目的老化时间。客户端在老化
时间内重新连接,不需要重新认证,超过老化时间后接入的客户端需要重新认证。
Portal认证端口:用于Portal认证的服务端口,默认为8080端口,不能与其它的服务
端口重复。
认证模式:设置Portal认证的认证模式,支持基于SSID和基于VLAN两种模式,基于
SSID表示连接这个SSID的终端都需要认证才能上网,基于VLAN表示连接到这个
VLAN中的终端都需要认证才能上网。
第四步、配置跳转页面
(1)点击“认证管理>Portal认证>跳转页面”,根据实际需求设置跳转页面标题、欢迎
信息等,如下图:
91
AC无线控制器
(2)点击“认证管理>Portal认证>组合认证”,点击新增,启用一键上网,如下图:
以上内容配置完毕,AC控制器的Portal认证服务设置成功,连接商场的无线可以一键
上网。效果图如下:
92
AC无线控制器
6.7.4 配置注意事项
如果网关地址与AC管理IP地址不在同一网段,为了方便管理,建议修改AC的管理
IP地址与网关地址在一个网段
93
AC无线控制器
微信认证使用方法
6.8.1 应用介绍
在一些商场、酒店等开放场所,商家在提供免费的WiFi服务器的同时需要引导用户关注自
己公众号达到推广得目的。TP-LINK AC的微信认证功能可以满足此类需求,当移动终端无
线连接无线网络后,用户需要关注微信公众号并进行指定操作后即可免费上网,可以实现推
送广告页面或自动跳转到指定网站的效果。本文通过典型应用实例介绍AC控制器微信认证
功能的设置方法。 根据用户需求,AC、AP以及路由器连接参考拓扑如下:
6.8.2 需求介绍
某商场需要实现无线覆盖,为顾客提供无线网络接入,有以下需求:
某商场希望无线用户通过微信认证之后才能进行浏览网页等上网操作,并且在认证成功以后
推送广告页面或者跳转到指定的网站。
94
AC无线控制器
6.8.3 设置方法
第一步、AC控制器基本参数配置
点击“网络设置>接口设置”,在系统默认条目的后面点击编辑 ,填写网络中正确的网关(一
般是路由器的IP地址),如下图:
第二步、新增无线并进行射频绑定
点击“无线管理>无线服务”,设置免费SSID,如下图:
95
AC无线控制器
第三步、认证参数设置
点击“认证管理>Portal认证>认证参数”,配置认证老化时间和认证模式,如下图:
说明:
96
AC无线控制器
认证老化时间:当已认证客户端断开连接后,对应认证条目的老化时间。客户端在老化
时间内重新连接,不需要重新认证,超过老化时间后接入的客户端需要重新认证。
Portal认证端口:用于Portal认证的服务端口,默认为8080端口,不能与其它的服务
端口重复。
认证模式:设置Portal认证的认证模式,支持基于SSID和基于VLAN两种模式,基于
SSID表示连接这个SSID的终端都需要认证才能上网,基于VLAN表示连接到这个
VLAN中的终端都需要认证才能上网。
第四步、微信认证配置
(1)点击 认证管理 >> Portal认证 >> 跳转页面,点击“新增”,新增一个跳转页面,页面
内容根据实际需求进行填写,如下图:
97
AC无线控制器
(2)点击 认证管理 >> Portal认证 >> 组合认证,点击“新增”,跳转页面选择之前的所新
增的页面,生效SSID选择需要进行微信认证的SSID,认证成功、认证失败的跳转连接按
需填写也可不填。认证方式选择“微信认证”,状态选择启用。免费上网时长按需填写或保持
98
AC无线控制器
默认。填写认证token并按照页面提示将相应的链接添加到微信公众号后台即可。设置如
下:
(3) 将认证链接:8080/wechatv2/?auth_token=123456添加到微
信后台被添加自动回复信息中,具体格式为: 点击 href=":8080/wechatv2/?auth_token=123456">TP-LINK免费上网
99
AC无线控制器
(4) 也可以通过“关键字回复”功能让用户在微信后台回复关键字获取认证链接认证上网。首
先在“自动回复>关键词回复”中点击添加回复,如下图:
填写相应的规则名称和关键词,可以增加和删减来组合符合自己需要的关键词,在回复内容
中选择文字填写跳转链接,如下图:
100
AC无线控制器
将认证链接点击 href=":8080/wechatv2/?auth_token=123456">TP-LINK免费上网
填写完成点击确定即可。
101
AC无线控制器
第五步、手机连接无线上网
(1) 无线终端(手机)连接无线网络后,跳出认证提醒页面,如下:
102
AC无线控制器
(2) 使用手机关注对应的微信公众号,获取公众号返回的认证链接,如下:
103
AC无线控制器
(3) 点击“TP-LINK免费上网”后,终端通过认证,就可以免费上网了。
104
AC无线控制器
(4) 如果下次需要接入该无线网络上网,请在该微信公众号中输入包含“上网、wifi”的相关词
语(如“上网”“WiFi”等),收到免费上网消息后,点击后即可上网。具体相关词可以在微信后
台设置。
105
AC无线控制器
6.8.4 配置注意事项
如果网关地址与AC管理IP地址不在同一网段,为了方便管理,建议修改AC的管理IP地
址与网关地址在一个网段。
106
AC无线控制器
免认证策略的使用方法
6.9.1 应用介绍
目前越来越多的公共场所(如商场、酒店、景区等)需要提供免费网络供访客使用,访客连
接网络后需要通过认证才可以免费使用网络。免认证策略可以实现客户端不需要认证就能访
问指定的网站或者服务器。本文通过典型应用实例介绍AC控制器免认证策略的应用与配
置。根据用户需求,路由器和AC、AP连接参考拓扑如下:
6.9.2 需求介绍
某办公室需要实现无线覆盖,员工需要通过认证后才能上网,有以下需求:
1、 特定终端如打印机不需要认证即可上网;
2、 员工无需认证也可以访问公司外网服务器;
3、 员工无需认证也可以访问公司网站;
107
AC无线控制器
6.9.3 设置方法
第一步、特定终端无需认证即可上网
进入AC界面,点击“认证管理>Portal认证>免认证策略”,添加免认证策略,如下图:
以上设置可以实现固定设备无需认证就可以上网。
第二步、无需认证即可访问到指定的外网服务器
进入AC界面,点击“认证管理> Portal认证>免认证策略”,添加免认证策略,如下图:
108
AC无线控制器
以上设置可以实现局域网的所有电脑,无需认证即可访问121.202.33.100的外网服务器。
第三步、无需认证即可访问到指定的网站
进入AC界面,点击“认证管理> Portal认证>免认证策略”,添加免认证策略,如下图:
以上设置可以实现局域网的所有电脑,无需认证即可访问公司网站。
109
AC无线控制器
6.9.4 配置注意事项
由于终端上网可能即需要使用UDP协议又需要使用TCP协议,所以一个终端设备需要
建立两条免认证策略服务协议分别选择UDP和TCP。
110
AC无线控制器
Portal认证中外部WEB服务器建立规范
6.10.1 应用介绍
在商场、酒店等环境,为了对终端进行广告推送,短信认证等,客户可以使用TL-AC10000
等AC控制器的的Portal认证功能配合第三方认证系统,包括提供Portal认证页面的WEB
服务器、认证服务器、短信猫等系列设备。TL-AC10000等部分AC控制器提供与WEB服
务器、认证服务器的通信接口,对WEB服务器的建立提出了一定的规范要求。
本文介绍AC控制器Portal认证流程以及Portal服务器搭建规范。
适用范围:TL-AC10000 V4.0/TL-AC1000 V4.0/TL-AC500 V4.0/TL-AC300 V3.0/TL-
AC200 V5.0/TL-AC100 V4.0
6.10.2 认证流程
111
AC无线控制器
Portal认证流程图
6.10.3 流程及规范要求
第一步、无线终端连接Wi-Fi,访问任意外网
无线客户端连接上AP发出的Wi-Fi信号后,打开浏览器访问任意外网,触发portal认证。
第二步、AP拦截无线客户端访问外网的GET数据包,并重定向到WEB服务器
没有通过认证的无线客户端发往外网的GET数据包会被AP拦截,并且AP会向客户端返
回一条重定向条目(假设WEB服务器域名为),重定向条目为
/?pagetype=xxx&vlan=xxx&staMac=xxx&staIp=xxx&apMac=
xxx&apIp=xxx。
该条目主要携带以下有效信息:
参数
说明
WEB服务器域名
pagetype
标志不同的认证方式
ssid_mode
认证模式为SSID模式(VLAN模式下无此参
数)
vlan
客户端所属的VLAN
staMac
客户端的MAC地址
staIp
客户端的IP地址
112
AC无线控制器
apMac
客户端关联AP的MAC地址
apIp
客户端关联AP的IP地址
第三步、无线终端访问WEB服务器
无线终端根据第二步返回的重定向条目与WEB服务器建立连接。
第四步、WEB服务器向无线终端返回认证页面
WEB服务器向无线终端返回认证登录页面,针对该认证登录页面,需要符合以下规范:
认证页面需要包含以下4个控件,且必须包含id属性:
名称
控件类型
说明
username
text
用户名输入控件
password
password
密码输入控件
log-button
button
登陆按钮
login-tips
/
登陆提示信息
例如:
type="text" fieldtype="username"/>
type="password"fieldtype="password"/>
113
AC无线控制器
需要在认证页面直接嵌入附件中的JavaScript代码,并修改以下变量:
ac_addr代表需要访问的AC地址和认证端口,需要修改为实际的AC IP和Portal端口,
如下所示:
var ac_addr = "192.168.1.253:8080";
$user、$pwd、$tips、$button分别代表步骤1中的四个控件,其取值为$id('ID-VALUE'),
其中ID-VALUE与该控件的id属性值相同,例如:
var $tips = $id('login-tips'),
$user = $id('txt_user_name'),
$pwd = $id('txt_password'),
$button = $id('log-button');
红色字体的id属性值必须与第1点示例说明中的控件id属性
值相同(红色字体标注)。
第五步、无线终端向AC提交用户名和密码
无线终端在认证登录页面填写用户名和密码后点击“登录”按钮,将username、password、
vlan、staMac、staIp、apMac、apIp、authtype(远程portal对应的值为5)、ssid_mode
(仅ssid模式下有该参数,值为true)等参数提交给AC控制器 。
第六步、AC向认证服务器提交认证信息
114
AC无线控制器
AC在获取客户端提交的信息之后,从vlan、staMac、staIp、apMac、apIp参数中确定需
要进行认证的设备,然后把指定的参数提交给认证服务器进行认证,目前认证协议支持
Radius认证和本地认证。
第七步、无线终端向AC提交用户名和密码
认证服务器根据AC提交的信息判断用户是否通过认证,并且向AC返回认证结果。
第八步、无线终端向AC提交用户名和密码
AC根据认证服务器返回来的结果向无线终端返回相应的认证结果,若认证成功,AC则根
据之前的vlan、staMac、staIp、APMac、apIp参数信息对相应设备的上网数据给予放行。
如果对页面制作存在疑问可以参考附件中的html示例文件。
Demo页面下载请点击此处:JS脚本及网页Demo
115
AC无线控制器
第7章 安全管理
广播风暴抑制配置指南
7.1.1 应用介绍
广播风暴抑制功能可以抑制从有线到无线的广播数据,一定程度降低广播风暴对无线网络的
影响,需要用户根据实际应用场景配置合适的抑制速率。
7.1.2 需求介绍
如果在无线环境中有大量的广播数据传输,由于广播包需要发送给每个STA采用所以采取
低速率传输的方式,大量广播包将会长时间的占用无线信道,大幅度降低无线性能,严重影
响无线体验。大量广播包可能导致无线延迟高、丢包甚至无线连接不上等问题。
116
AC无线控制器
7.1.3 设置方法
登录AC界面,在“安全管理>广播风暴抑制”中启用广播风暴抑制功能,并选取预定义速率
或自定义抑制速率,如下图:
至此,AC控制器的广播风暴抑制功能就已经配置完成。
117
AC无线控制器
DHCP防护配置指南
7.2.1 应用介绍
AC控制器的DHCP防护功能,可以防止连接在AP上面的无线终端和有线终端,从非法
DHCP服务器获取IP地址,避免因为终端获取到错误的网关而影响到上网。
目前仅TL-AC300、TL-AC500、TL-AC1000 V2.0、TL-AC10000支持DHCP防护功能。
7.2.2 需求介绍
公共场所如酒店、宿舍、企业,其Wi-Fi信号较为开放,为了避免私接路由器、接入其他
DHCP服务器,导致破坏网络结构、终端出现获取不到正确IP、IP地址混乱等情况,就需
要用到AC的DHCP防护功能。
118
AC无线控制器
7.2.3 设置方法
第一步、添加DHCP服务器
登录到AC控制器的界面,点击“安全管理>DHCP防护>DHCP服务器列表”,点击“新增”,
添加DHCP服务器。
地址类型可以选择IP或者MAC,并填写对应的地址。
第二步、将DHCP服务器绑定到AP
点击“安全管理>DHCP防护>DHCP防护”,选择AP分组,勾选要绑定的AP,并点击
,如下图:
如果不需要批量绑定,也可以点击要绑定AP条目的“DHCP绑定”进行绑定。
勾选要绑定的DHCP服务器,并点击 ,如下图:
119
AC无线控制器
提示“确认提交?”,点击“是”。
第三步、启用DHCP防护
点击 ,此时DHCP防护仍是已禁用的状态,需要启用。勾选所有已绑定
DHCP服务器的AP,并点击“启用”,如下图:
设置完毕,DHCP防护列表如下:
至此,AC控制器的DHCP防护功能设置完成。
120
AC无线控制器
ARP防护配置指南
7.3.1 应用介绍
AC控制器的ARP防护功能,可以对AP有线口收到的ARP报文进行检测,防止ARP攻
击,确保无线网络的稳定性。本文介绍AC控制器ARP防护的配置步骤。
7.3.2 需求介绍
ARP是IP与MAC地址的解析协议,对网络通信至关重要。但是,由于ARP没有保护机
制,所以伪造的ARP数据包会欺骗通信终端或设备,导致出现通信异常。一般情况下,上
网数据直接在主机和网关之间进行交互,ARP欺骗主要针对网关和主机的ARP列表进行欺
骗,导致通信异常。那么ARP防护就需要从两个方面着手,在网关上绑定主机的ARP信
息,在主机上绑定网关的ARP信息,从而实现双向绑定,确保网络安全。
7.3.3 设置方法
第一步、添加ARP防护条目
登录到AC控制器界面,点击“安全管理>ARP/ND防护>ARP/ND防护条目”,点击“新增”,
添加要绑定设备的IP及MAC地址。
若需要绑定局域网中的服务器等设备,也按照同样的方法添加ARP防护条目。
121
AC无线控制器
第二步、将ARP防护条目绑定到AP
点击“安全管理>ARP/ND防护>ARP/ND防护绑定”,选择AP分组,勾选要绑定的AP,并
点击 ,如下图:
勾选要绑定的ARP条目,并点击 ,如下图:
提示“确认提交?”,点击“是”。
第三步、启用ARP防护
点击 ,确定每个AP绑定ARP的防护状态,如下图:
至此,AC控制器的ARP防护绑定功能设置完成。
122
AC无线控制器
123
AC无线控制器
第8章 双链路备份
双链路备份设置方法
8.1.1 应用介绍
双链路备份功能可以实现AC管理AP的冗余备份,网络中当主AC异常时备AC可以及时
顶上替换,保证AP管理的有效性和稳定性,防止出现无线网络配置丢失造成使用异常。
8.1.2 需求介绍
大部分的网络环境使用的是树形网络拓扑结构组网。这种拓扑结构具备组网成本低、网络管
理和维护简单的特点。但是,这种网络结构缺乏冗余备份能力,无法满足对网络稳定性要求
比较高的场所需求,如医院、企业等。 设计一个高稳定性的大型无线网络解决方案,核心
交换网络中的骨干节点都必须进行冗余备份设计,最常见的是无线控制器AC和核心交换机
的冗余及备份,以及汇聚交换机的端口汇聚,无线保证核心网络单点线路故障对整个网络的
运行无影响。本文主要介绍如何通过AC进行双链路备份。
124
AC无线控制器
8.1.3 设置方法
第一步、配置主备AC的管理IP
登录到主AC界面,点击“网络设置>接口设置”,配置主AC的管理IP,如下图:
登录到备AC界面,点击“网络设置>接口设置”,配置主AC的管理IP,如下图:
125
AC无线控制器
第二步、配置主备AC的DHCP服务
在AC界面,点击“网络设置>IP地址分配>DHCP服务”,配置主备AC的DHCP服务器,
如下图:
第三步、主备AC的其他配置
主AC中关于AP的配置项如AP管理,射频管理,无线管理,认证管理,安全管理等,在
备用AC中也做同样的配置,确保AP切换到备用AC后网络功能不改变。
126
AC无线控制器
第四步、配置主备AC的双链路备份功能
主AC界面点击”链路备份>双链路备份 “,启用双链路备份功能,如下图:
备AC界面点击”链路备份>双链路备份 “,启用双链路备份功能,如下图:
127
AC无线控制器
至此,AC双链路备份设置完成。
说明:
链路优先级:AP选择本AC作为主用AC的优先级,数字越大优先级越高。
对端IPv4地址:对端AC的地址,通过本机配置的DHCPv4服务器的报文下发,让AP
在通过本机提供的DHCPv4服务获取IP时获得对端AC的地址。需要开启本机的
DHCPv4服务才能生效。
对端IPv6地址:对端AC的地址,通过本机配置的DHCPv6服务器的报文下发,让AP
在通过本机提供的DHCPv6服务获取IP时获得对端AC的地址。需要开启本机的
DHCPv6服务才能生效。
128
AC无线控制器
8.1.4 配置注意事项
修改双链路配置将使所有处于主链路状态的AP重启,处于备链路状态下的 AP断开与
本机的连接。当AP与 AC 重新建立连接之后,会按照新的链路优先级重新选择主用
AC和备份AC。假设备份AC作为DHCP服务器,且AP的地址是由备份AC下发,
则修改备份AC的对端地址时,需要使备份AC下发地址的AP重启,如果不重启,AP
将无法识别新地址的AC
使用双链路备份时,用户需自行确保主、备AC之间配置的一致性
当AP从主AC切换至备份AC时,已认证的无线客户端需要重新认证
129
AC无线控制器
第9章 其他功能
连云配置指南
9.1.1 应用介绍
TP-LINK商云平台能将路由器、交换机、无线控制器、AP、网桥设备统一添加上云,提供
多种将设备连云的方式供用户选择,实现有效的远程管理。本文将介绍如何配置AC控制器
上云。
130
AC无线控制器
9.1.2 需求介绍
通过互联网远程管理和运维TP-LINK设备的方式高效、快捷、便利,越来越受用户的青睐
和成为首选。只要将设备上云,无论何时何地,只要管理者能连入互联网即可在商云上对设
备进行有效便利的远程管理和运维。
9.1.3 设置方法
方法一:扫码添加设备上云
第一步、将AC控制器配置联网
首先需要将AC控制器设备配置联网,设置方法见链接:【AC控制器】如何配置连接互联网
第二步、下载手机商云APP
安卓/苹果手机可以通过应用市场/APP Store下载TP-LINK商云APP;也可以直接扫描下
面二维码,或者长按关注“TP-LINK商用网络”公众号:
在下方菜单栏中打开“常用工具”——“商云APP”,即可打开下载界面下载TP-LINK商云APP:
131
AC无线控制器
第三步、扫描二维码添加上云
打开TP-LINK商云APP,在项目中“添加设备>扫码添加”,扫描设备机身标签上的二维码,
设置账号密码将设备添加上云:
132
AC无线控制器
方法二:APP通过设备的ID/MAC添加设备上云
第一步、将AC控制器配置联网
首先需要将FAT模式的AP设备配置联网,设置方法见链接:【AC控制器】如何配置连接互
联网
第二步、下载手机商云APP
安卓/苹果手机可以通过应用市场/APP Store下载TP-LINK商云APP;也可以直接扫描下
面二维码,或者长按关注“TP-LINK商用网络”公众号:
133
AC无线控制器
在下方菜单栏中打开“常用工具”——“商云APP”,即可打开下载界面下载TP-LINK商云APP:
134
AC无线控制器
第三步、通过设备ID/MAC手动添加设备上云
打开TP-LINK商云APP,在项目中“添加设备>扫码添加>手动输入”,通过设备机身标贴上
的ID或MAC地址添加上云:
135
AC无线控制器
方法三:商云通过设备的ID/MAC添加设备上云
第一步、将AC控制器配置联网
首先需要将AC控制器设备配置联网,设置方法见链接:【AC控制器】连云配置指南。
第二步、商云通过设备ID/MAC手动添加设备上云
登录TP-LINK商用网络云平台,在项目中“设备列表>添加设备>扫码添加”,通过设备机身
标贴上的ID或MAC地址添加上云:
136
AC无线控制器
至此,就能保证AC控制器设备能正常上云。
137
AC无线控制器
远程管理配置指导
9.2.1 应用介绍
AC控制器可以通过浏览器的方式进行WEB管理,部分支持云管理的可以在云平台进行管
理。本文介绍如何在外网管理AC控制器。
9.2.2 需求介绍
通过互联网远程管理和运维TP-LINK设备的方式高效、快捷、便利,越来越受用户的青睐
和成为首选。我司设备支持多种远程管理的方法,将设备连入互联网并做好相应配置,无论
何时何地,只要管理者能连入互联网即可对设备进行有效便利的远程管理和运维。
9.2.3 设置方法
方法一:浏览器管理
第一步、配置AC的IP地址及网关
138
AC无线控制器
登录到AC控制器的管理界面,在“基本设置(或网络设置)>接口设置”,编辑VLAN ID为
1的接口条目,如下图:
第二步、查看AC的HTTP服务端口
在“系统工具>管理账号>系统管理设置”,查看HTTP服务端口,如下图:
139
AC无线控制器
第三步、在前端路由器上映射AC的HTTP端口
登录到前端路由器的管理界面,在虚拟服务器的设置中映射AC的HTTP端口。
访问方法
在前端路由器运行状态查看WAN口IP地址,在外网电脑的浏览器地址栏输入WAN
口IP:外部端口来远程访问。如下图:
140
AC无线控制器
121.201.33.100仅为举例,实际访问时请以实际查看到的IP地址为准。至此,在外网电脑
上远程访问AC控制器设置完成。
方法二:商云管理
第一步、配置AC的IP地址及网关
登录到AC控制器的管理界面,在“基本设置(或网络设置)>接口设置”,编辑VLAN ID为
1的接口条目,如下图:
141
AC无线控制器
第二步、开启云管理功能
登录本地Web管理界面,进入系统工具——云管理页面,点击开启云管理功能,如下图:
142
AC无线控制器
第三步、登录云平台
打开浏览器,访问TP-LINK商用网络云平台,如下图:
143
AC无线控制器
输入TP-LINK ID和密码,点击“登录”。如果还没有TP-LINK ID,请点击“创建TP-LINK ID”,
根据提示创建TP-LINK ID,创建完成后可自动登录。
第四步、通过设置向导创建项目
登录成功后,请输入一个项目名称,该项目名称可根据实际情况自定义,如:XX酒店、XX
商场。
输入完成后,点击“添加设备”,添加成功后设备的相关信息会在商云显示,如下图:
至此,便可以在外网通过商云平台管理AC以及AC管理的AP。另外,支持商云远程管理
的设备也可以在商云平台直接远程管理,如下图所示:
144
AC无线控制器
9.2.4 配置注意事项
80、8080等常用端口容易被宽带服务商屏蔽,建议将外部端口设置为不常用端口,如
9000以上的端口
设置后,同一局域网的电脑依然使用AC的IP地址直接访问AC;外网电脑需要使用
WAN口IP:外部端口来访问AC控制器
如果路由器上登录了动态域名,外网电脑还可以使用域名:外部端口来访问AC
控制器
在开启云管理之前,先备份配置文件
145