wifi学习资料 四川电信WIFI平台说明和操作手册(第二版).doc

1、四川电信 WIFI 平台说明和操作手册（第二版）第 1 页 共 28 页四川 电信 WIFI 平台说明和操作手册（2007-3-5 第二版）四川电信 WIFI 平台说明和操作手册（第二版）第 2 页 共 28 页目 录一、WLAN 系统原理 3通过 Juniper SDX 接入 3基于华为 BAS 接入 .6二、端到端流程： .7三、Portal 平台相关参数 .11四、Juniper BAS 配置方法 .12五、华为 BAS 配置方法 .18六、其他 .27四川电信 WIFI 平台说明和操作手册（第二版）第 3 页 共 28 页一、WLAN 系统原理目前的 WLAN 系统支持 Juniper

2、 和华为的接入设备。不管是通过 Juniper 或华为的设备接入，都会面对相同的 Portal，用 户不会觉察到这之间的差异。WLAN 平台基本 逻辑架构：在实际网络数据配置上，通过 Juniper 和华为接入 WLAN 平台，在接入方式上存在着 较大的差异。Juniper 设备需要经过 ATM 一跳可达重定向服务器（见下文 详细说明），华为设备只需要 IP 可达即可。通过 Juniper SDX 接入通过 Juniper SDX 接入时，网络的拓扑结构如下图所示：四川电信 WIFI 平台说明和操作手册（第二版）第 4 页 共 28 页图一 四川 电信 WLAN 平台建设网络拓扑图，红色圆圈内

3、为 WLAN 系统平台目前，WLAN 中用到的多个 Juniper ERX 连接到同一个 Juniper SAE。实际上，在基于Juniper SDX 的系统中，Juniper ERX 会把用户的登录和下线等请求交给 Juniper SAE 处理。基于 Juniper SDX 接入的情况下，各个设备之间的连接方式如下：四川电信 WIFI 平台说明和操作手册（第二版）第 5 页 共 28 页图二 Juniper SDX 网络结构在基于 Juniper SDX 的系统中，用户上网的大致过程如下图所示：四川电信 WIFI 平台说明和操作手册（第二版）第 6 页 共 28 页J u n i p e r

4、 E R XI n t e r n e tP o r t a lD BC O P S计费数据接口1 2 . 返回登录成功0 3 . 用户登录请求R a d i u s0 8 . 认证信息返回 s e s s i o n t i m e o u t0 7 . 认证包交换机0 5 . 通知用户请求认证0 4 . 通知用户请求认证2 . 用户未登录的情况下通过 I n t e r n e t 只能访问 P o r t a l !0 6 . 认证包上网明细接口0 9 . R a d i u s 认证信息返回1 0 . 通知用户认证成功1 1 . 通知用户认证成功J u n i p e r S A E上

5、网用户 P C1 . 用户上网请求图三 通过 Juniper SDX 接入基于 Juniper SDX 接入的情况下，上网用户的 PC 通过 DHCP 的方式接入到网络。Juniper ERX 从 Juniper SAE 得知用户尚未通过认证，会分配一个受限的 IP 给上网用户的PC 使用。使用这个 IP 地址，用户通过浏览器访问任何网址，都会被强制重定向到 Portal。只有通过 Portal 登录成功之后，用户才能够访问其他的网址。用户在 Portal 上的某些行为（如：登录、下 线、 选择带宽、），Portal 会通过 CORBA的方式通知给 Juniper SAE，而 Juniper

6、SAE 和 Juniper ERX 之间是通过基于 COPS 的方式交互的。用户在 Portal 上另外一些行为（如：申请 WLAN 账户、选择不同计费策略的服务、），Portal 可以通过改变计费数据的方式实现。注意，由于用户上网要由重定向服 务器推送 Portal，因此要求用户上行的所有 BAS 服务器与重定向服务器必须要二层互联，即通 过 ATM 一跳可达。基于华为 BAS 接入基于华为 BAS 的接入方式与基于 Juniper SDX 接入的很大一个不同是：Portal 会通过私有协议直接和华为的 BAS 通信，通知用户登录、下 线等行 为，在 Portal 和华为 BAS 之间没四川

7、电信 WIFI 平台说明和操作手册（第二版）第 7 页 共 28 页有一个集中的节点。同样，用户在 Portal 上申请 WLAN 账户、 选择不同计费策略的服务等行为，Portal 可以通过改变计费数据的方式实现。华为 B A SI n t e r n e t上网用户 P CP o r t a lD B1 . 用户上网请求计费数据接口1 2 . 返回登录成功0 3 . 用户登录请求R a d i u s0 8 . 认证信息返回 s e s s i o n t i m e o u t0 7 . 认证包中兴 T 6 4 G0 5 . 通知用户请求认证位于新华十楼的二层交换机0 4 . 通知用户请

8、求认证2 . 用户未登录的情况下通过 I n t e r n e t 只能访问 P o r t a l !0 6 . 认证包上网明细接口0 9 . R a d i u s 认证信息返回1 0 . 通知用户认证成功1 1 . 通知用户认证成功由于华为重定向功能是集成在 BAS 服务器上的，因此只需要 BAS 与 Portal 服务器不需要二层互联，IP 可达即可。二、端到端流程：1 热点场所布点：四川电信 WIFI 平台说明和操作手册（第二版）第 8 页 共 28 页场所申请热点按照宽带新装流程为场所安装 A D S L线路场所是否有宽带线路尚未安装宽带在 W L A N 管理系统上录入场所信息

9、为场所安装 A P已有宽带数据机房做数据注意：热点场所宽带带宽不能低于 2M，各分公司根据实际情况可选用光纤、以太网和ADSL 方式。2 WIFI 上网卡模式：1 开卡流程：普通卡：省公司或地市分公司在W L A N 管理系统上批量生成上网卡资料用上网卡资料去制卡 出售上网卡给用户酒店卡：客户到酒店申请W I F I 账号酒店前台在 W L A N管理系统上生成酒店上网卡酒店将生成的上网卡账号 、 密码 、 时长等信息告知用户2 卡用户上网流程：用户使用带有 W I F I模块的移动终端在热点场所上网 ， 访问任意网页用户访问网页申请被重定向到 P o r t a l登陆门户用户在 P o r

10、 t a l 上输入上网卡卡号 、 密码判断卡号 、 密码是否正确P o r t a l 显示用户登陆成功 ， 显示上网卡剩余时长 ， 同时开始计时 ， 用户此时可以上网P o r t a l 显示用户卡号 、 密码错误卡号 、 密码不正确判断卡上是否还有剩余时长P o r t a l 提示用户卡上时长已用完卡上时长已用完是否属于酒店卡判断上网场所是否与开卡酒店场所一致提示场所错误W I F I 计费采集平台记录用户在线用户离线系统记录用户本次在线时长 、 流量等信息系统从用户剩余时长中扣减本次在线时长否是3 宽带用户上网模式：1 宽带用户注册：四川电信 WIFI 平台说明和操作手册（第二版）

11、第 9 页 共 28 页用户使用带有 W I F I模块的移动终端在热点场所上网 ， 访问任意网页用户访问网页申请被重定向到 P o r t a l登陆门户用户选择注册用户输入 A D S L 账号 、 密码和验证码系统验证用户A D S L 账号 、 密码和验证码提示用户账号 、 密码错误用户输入身份证号码验证用户身份证号码提示用户证件号码错误注册成功正确正确验证不成功证件号码错误用户选择A D S L 注册用户拨打 1 0 0 0 0号或者到营业厅修改或重置证件号码注意：身份证无法通过的需要打 10000 号或到营业厅修改用户资料2 宽带用户登陆：用户使用带有 W I F I模块的移动终端

12、在热点场所上网 ， 访问任意网页用户访问网页申请被重定向到 P o r t a l登陆门户用户输入宽带账号和密码系统判断用户是否已经注册提示用户名 、 密码错误判断用户输入账号 、 密码是否正确提示用户状态不正常判断用户状态是否正常提示用户名 、 密码错误P o r t a l 显示用户登陆成功 ， 用户此时可以上网 ， 同时开始计时是未注册是 正常输入错误状态不正常W I F I 计费采集平台记录用户在线用户离线系统记录用户本次在线时长 、 流量等信息将用户上网明细传送到综合营帐系统3 宽带用户证件同步：用户通过综合营帐修改或新增证件信息B I M S 系统通过与综合营帐接口自动获取用户证件

13、信息W L A N 系统通过与 B I M S 系统用户资料同步接口同步用户证件信息4 金蓉卡扣费使用模式：四川电信 WIFI 平台说明和操作手册（第二版）第 10 页 共 28 页1 金蓉卡用户注册：用户使用带有 W I F I模块的移动终端在热点场所上网 ， 访问任意网页用户访问网页申请被重定向到 P o r t a l登陆门户用户选择注册用户输入金蓉卡卡号 、 密码和验证码系统验证用户金蓉卡卡号 、密码和验证码提示用户金蓉卡卡号 、 密码错误从智能网获取用户金蓉卡余额正确验证不成功用户选择金蓉卡注册提示用户选择基本资费或者套餐用户余额是否满足选择的资费或者套餐系统通过付费通平台到智能网进

14、行扣费提示用户余额不够不满足满足 扣费是否成功提示用户扣费失败失败P o r t a l 显示为用户临时生成的账号 、密码成功2 金蓉卡用户登陆：用户使用带有 W I F I模块的移动终端在热点场所上网 ， 访问任意网页用户访问网页申请被重定向到 P o r t a l登陆门户用户输入金蓉卡生成的账号和密码判断用户输入账号 、 密码是否正确提示用户状态不正常判断用户状态是否正常提示用户名 、 密码错误P o r t a l 显示用户登陆成功 ， 用户此时可以上网 ， 同时开始计时是 正常输入错误状态不正常W I F I 计费采集平台记录用户在线用户离线系统记录用户本次在线时长 、 流量等信息系

15、统从用户剩余时长中扣减本次在线时长5 帐务流程：四川电信 WIFI 平台说明和操作手册（第二版）第 11 页 共 28 页W I F I 系统月底结算A D S L 用户使用W I F I 费用是否是成都电信用户通过 B I M S 合帐程序将 A D S L 用户的W I F I 费用合计到月费用中 ， 在下发文件中单独增加一类W I F I 费用通过 B I M S 与成电帐务系统接口将A D S L 用户 W I F I 费用以文件 F T P 方式送给帐务中心是否本地帐务中心在B I M S 月费用查询中下载用户月费用文件本地帐务中心处理W I F I 费用三、Portal 平台相关参

16、数产品描述 数量 IP 地址 备注 访问端口 处理能力 放置位置Sun Fire V440 服务器，2 个 1.5GHz UltraSPARC 处理器，4GB 内存，2 个千兆/百兆/十兆网口，4*73G 硬盘,Solaris102浮动 IP:192.168.23.133192.168.23.134无公网 IP数据库服务器 1521 与磁盘阵列相关新华机房11 楼Sun V240 2CPU/2G 内存/73G * 2 硬盘/双网卡(1000M 网卡）,Saloris102浮动 IP:192.168.23.135192.168.23.136对应公网 IP:61.139.61.21661.139.

17、61.217Portal服务器 8080并发估计为 1 万用户新华机房11 楼HP DL380 3.0G 双CPU/1G 内存/36G * 2 硬盘/双网卡（不含操作系统）2浮动 IP:192.168.23.137192.168.23.138对应公网 IP:61.139.61.21861.139.61.219Radius服务器UDP1645、UDP1646、UDP1812、UDP1813最大并发：5 万8 万用户新华机房11 楼Sun Fire V440 2 个 1.5G UltraSPARC III 处理器，4G 内存，4*73G 硬盘， DVD，2 个千兆/百兆/十兆网口,Solaris

18、102浮动 IP:192.168.23.131192.168.23.132对应公网 IP:61.139.61.22061.139.61.221SAE 服务器TCP8443,TCP8080,TCP7001,TCP80最大并发：4000用户新华机房14 楼四川电信 WIFI 平台说明和操作手册（第二版）第 12 页 共 28 页四、Juniper BAS 配置方法（注：以下介绍的配置方法是在网络中的基本配置案例，各分公司可根据 实际情况进行调整或咨询 Juniper 公司支持人员梁松：13708007480）1网络拓扑：R A D I U SW i F i S D X S E R V E Ru s

19、 e r 1 W i F i o r u s e r 1u s e r 2 W i F i o r u s e r 2L 2 S w i t c hD S L A M / I P D S L A ME R X 7 1 0 / 1 4 1 0 / 1 4 4 0G S R / M 3 2 0D e f a u l t V R G E V L A NW L A N V R G E V L A NM A N如上图所示，用户端如果是普通上网用户，就以 xxx163 或无后缀名发起拨号，WiFi 用户以 DHCP 方式，进入到 ERX 设备的不同 Virtual Router（VR），通过不同的上行 G

20、E VLAN 链路进入城域网， 访问不同的目的地址（ WIFI 用户只能访问 portal 网站）。两种流量互相不干扰。2用户端：用户可以配置成 PPPoE 和 DHCP 共存的方式，DHCP 的线路是桥接模式。不同的 VR 会区分开 PPPoE 和 DHCP。四川电信 WIFI 平台说明和操作手册（第二版）第 13 页 共 28 页3 DSLAM / IPDSLAM / 汇聚交换机端：用户是通过一条链路共享各种业务，汇聚设备需要将用户带宽放开到各种业务带宽之和或者不限速。4 ERX 端配置：4.1、增加新的 VR 和 Domain-map 域名映射；4.2、在新的 VR 中，增加上行链路和路

21、由配置（建议使用缺省路由）；如果原有上行接口是三层接口，则需要改成 VLAN 方式封装；4.3、在新的 VR 中，针对 WIFI 用户创建 DHCP 接口；4.4、在新的 VR 中，配置 WiFi 服务器地址、端口号、连接参数等，及 DHCP 地址池、Radius 服务器地址等等常 规配置；5 GSR / M320 端：配置到 ERX WIFI VR 的接口地址、路由，WIFI 用户的路由；到 WIFI SDX Server 的路由；6 Radius 服务器端：增加新的 WIFI 用户账号。7 ERX 具体配置：1 增加新的 VR 和 Domain-map 域名映射：virtual-route

22、r WLANaaa domain-map WLAN WLAN2 在新的 VR 中，增加上行链路和路由配置：vir WLANinterface gi 11/0.10ip add xxx.xxx.xxx.xxx 255.255.255.252ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.yyy四川电信 WIFI 平台说明和操作手册（第二版）第 14 页 共 28 页如果原有上行接口是三层接口，则需要改成 VLAN 方式封装（所有上行流量会在此过程中中断，ERX 如果是单上行，必 须在现场 以 Console 口登陆执行）：vir defaultinterface gi

23、11/0no ip addno其它原有该接口下参数请删除干净encap vlanmtu 1522duplex fullspeed 1000interface gi 11/0.1（default VR 中的上行 VLAN）ip add xxx.xxx.xxx.xxx 255.255.255.252vir WLANinterface gi 11/0.10（WIFI VR 中的上行 VLAN）ip add xxx.xxx.xxx.xxx 255.255.255.252ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.yyy注意：上行 GE 接口下的安全策略 请一定记住加载。如

24、果是 VLAN，那么在 VLAN 子接口下加载。WLANI VR 中上行 VLAN 的安全策略参数与 Default VR 不尽一致，写法一样，屏蔽的地址有不同，具体请到 时询问。3 在新的 VR 中，针对 WIFI 用户创建 DHCP 接口：针对 DHCP 用户，创建 loopback0，一般为 DHCP 地址池的头个地址interface loopback 0ip address 125.65.37.1 255.255.255.0用户接口：interface atm 8/0.81380190ip description port8/081380190ip unnumbered loopba

25、ck 0ip auto-configure ip-subscriber又一个用户接口：interface fastEthernet 3/7.1000vlan id 1000ip description port3/7.1000ip auto-configure ip-subscriberip unnumbered loopback 0四川电信 WIFI 平台说明和操作手册（第二版）第 15 页 共 28 页4 在新的 VR 中，创建到重定向服务器的 PVC 连接interface atm 5/0.10020101 point-to-pointatm pvc 10020101 2 101 aal

26、5snap 0 0 0encapsulation bridge1483ip address 192.168.100.xxx 255.255.255.0该 ATM 子接口 5/0.10020101 是桥接接口，用于与成都新华马可尼 1100 接口再到中兴T16C 再到 WLAN 工程的重定向服 务器（两台 HP360：PCServer）实现一跳可达。ATM 省网络中的 VP 交换方法这里无法 给出。 请询问相关专业组。所有四川要加入到 WiFi 业务组中的 ERX 的该条 PVC 都请设成 192.168.100/24 网段中的IP，以保证与重定向服务器一跳可达，具体地址分配请到时询问 。5 在

27、新的 VR 中，配置与 WiFi SDX 服务器的连接：snmp-server community private view user rwsnmp-server community public view user rosscc enablesscc sourceInterface gi 11/0.10sscc primary address 61.139.61.220 port 3288sscc second address 61.139.61.221 port 3288sscc transportRouter WLANsscc retryTimer 106 在新的 VR 中，配置 DHC

28、P 参数：service dhcp-local equal-access!设定 dhcp 服务为 localip dhcp-local pool defaultlease 0 0 2!ip dhcp-local pool WLANnetwork 125.65.37.0 255.255.255.0dns-server 61.139.2.69default-router 125.65.37.1lease 0 0 2server-address 125.65.37.1!设定 dhcp-local pool 及租期时间，125.65.37.1 为 ERX WLAN-VR 的 loopbackip dh

29、cp-local excluded-address 125.65.37.17 检查命令： sh sscc info ：查看 sscc 的信息四川电信 WIFI 平台说明和操作手册（第二版）第 16 页 共 28 页正常时通常显示：The SSC Client is connected to: 61.139.61.220:3288The SSC Client configured servers are:Primary: 61.139.61.220:3288Secondary: 0.0.0.0:0Tertiary: 0.0.0.0:0Local Source: GigaEthernet 11/0

30、.10, Local Source Address: 125.65.37.1The configured transport router is: WLANThe configured retry timer is (seconds): 10The connection state is: OpenSSC Client Statistics:Policy Commands received 618Policy Commands(List) 0Policy Commands(Acct) 36Bad Policy Cmds received 0Error Policy Cmds received

31、0Policy Reports sent 618Connection attempts 11546Connection Open requests 11545Connection Open completed 8Connection Closed sent 11536Connection Closed remotely 8Create Interfaces sent 340Delete Interfaces sent 132Active IP Interfaces 7IP Interface Transitions 248Synchronizes received 8Synchronizes

32、rcvd & droped 0Synchronize Complete sent 8Internal Errors 0Communication Errors 0Discovers Seen 68Active Discovers 0Discover Transitions 68Discover Creates Sent 68Discover Deletes Sent 0Active Addresses 1Address Transitions 133Create Addresses Sent 68Delete Addresses Sent 132 sh utilization ：查看 CPU

33、等信息四川电信 WIFI 平台说明和操作手册（第二版）第 17 页 共 28 页正常时通常显示：System Resource Utilization - heap cpu bw slot type (%) (%) exceed- - - - -0 - - - - 1 SRP-10Ge 17 3 - 2 - - - - 3 FE-8 23 4 - 4 - - - - 5 OC3-4A 67 7 - 6 - - - - sh ip dhcp-local pool ：查看 DHCP 信息正常时通常显示：*Pool Name - defaultPool Id - 1Domain Name - Net

34、work - 0.0.0.0Mask - 0.0.0.0NETBIOS Node Type - 0Lease - Days:0 Hours:0 Minutes:2 Seconds:0DNS ServersNETBIOS Name ServersDefault RoutersServer Address - 0.0.0.0Linked Pool - High utilization threshold - 85%Abated utilization threshold - 75%Current utilization - 0%Utilization trap disabled.*Pool Nam

35、e - WLANPool Id - 2Domain Name - Network - 125.65.37.0Mask - 255.255.255.0NETBIOS Node Type - 0Lease - Days:0 Hours:0 Minutes:2 Seconds:0四川电信 WIFI 平台说明和操作手册（第二版）第 18 页 共 28 页DNS Servers61.139.2.69NETBIOS Name ServersDefault Routers125.65.37.1Server Address -125.65.37.1Linked Pool - High utilization

36、threshold - 85%Abated utilization threshold - 75%Current utilization - 0%Utilization trap disabled.五、华为 BAS 配置方法（注：以下介绍的配置方法是在网络中的基本配置案例，并且是针对成电的版本，各分公司可根据实际情况进行调整或咨询华为公司支持人员吴玮：13350091778）1配置 Web 认证包括以下内容： 配置 Web 认证服务器 配置认证前域 配置认证域 配置 BAS 接口 配置 ACL 配置强制 Web 认证（可选）2配置A、23xx 版本配置Web 认证服务器在 MA5200G 中是

37、统一管理的，您可以配置多个 Web 认证服务器，并在不同的域下引用不同的 Web 认证服务器。A.1 配置 Web 认证服务器及相关属性创建 Web 认证服务器时必 须指定服务器的 IP 地址，另外可以 选择配置 Web四川电信 WIFI 平台说明和操作手册（第二版）第 19 页 共 28 页认证服务器的端口号、共享密钥以及 MA5200G 是否向 Web 认证服务器上报自己的 IP 地址。请在系统视图下进行下列配置。操作 命令配置 Web 认证服务器及相关属性 web-auth-server ip-address port port-num * | key key * | nas-ip-ad

38、dress | vpn-instance instance-name * 删除 Web 认证服务器或恢复相关属性的缺省值undo web-auth-server ip-address port port-num * | key key * | nas-ip-address | vpn-instance instance-name * 缺省情况下，MA5200G 中未配置 Web 认证服务器；配置 Web 认证服务器后，其端口号为 50100，共享密 钥为空， MA5200G 不向 Web 认证服务器上报 IP 地址。A.2 设置 MA5200G 侦听 Web 认证服务器的端口号MA5200G

39、侦听 Web 认证 服务器时使用的端口号是全局唯一的，即MA5200G 使用相同的端口号侦听所有的 Web 认证 服务器。请在系统视图下进行下列配置。操作 命令配置 MA5200G 侦听 Web 认证服务器的端口号 web-auth-server listening-port port恢复缺省值 undo web-auth-server listening-port缺省情况下，MA5200G 侦 听 Web 认证服务器的端口号为 2000。A.3 设置 Portal 版本号MA5200G 和 Web 认证服 务器之间通过 Portal 协议进行通讯，Portal 协议有 v1和 v2 两个版本

40、。MA5200G 可以选择只支持 v2 版本或者同时支持 V1、V2 版本。MA5200G 上 Portal 协议版本号也是全局统一的，针对所有的 Web 认证服务器使用同一设置，请注意在 Web 认证服务器上设置 Portal 版本号，保持和 MA5200G的设置一致。请在系统视图下进行下列配置。四川电信 WIFI 平台说明和操作手册（第二版）第 20 页 共 28 页操作 命令设置 Portal 版本号 web-auth-server version v2 v1 恢复缺省值 undo web-auth-server version缺省情况下，MA5200G 同 时支持 Portal 的 v

41、1 和 v2 版本。A.4 配置是否透传 RADIUS 消息透传 RADIUS 消息是在 RADIUS 服务器完成对用户的认证后，MA5200G不对 RADIUS 的认证结果消息做任何处理，直接 转发给 Web 认证服务器。本配置对于所有 Web 认证 服务器是全局统一的。请在系统视图下进行下列配置。操作 命令配置透传 RADIUS 消息 web-auth-server reply-message配置不透传 RADIUS 消息 undo web-auth-server reply-message缺省情况下，MA5200G 透 传 RADIUS 消息给 Web 认证服务器。A.5 配置 MA52

42、00G 源接口MA5200G 和 Web 认证服 务器进行通信时，需要设置相应的 IP 地址作为源地址。您可以指定某个接口作为源接口， 该接口上配置的 IP 地址即为 MA5200G和 Web 认证服务器通信用的源地址。本配置对于所有 Web 认证 服务器是全局统一的。请在系统视图下进行下列配置。操作 命令配置 MA5200G 源接口 web-auth-server source interface type interface-number取消 MA5200G 源接口 undo web-auth-server source缺省情况下，MA5200G 未配置源接口 。四川电信 WIFI 平台说

43、明和操作手册（第二版）第 21 页 共 28 页A.6 配置认证前域由于 Web 认证用户在未认证 前属于非法用户，无法获取 IP 地址，也没有 权限访问 Web 认证服务器，因而也无法进行认证。为了解决这个矛盾，在 MA5200G 中，所有未认证的 Web 认证用户都被认为归属于某个缺省域（缺省域基于接口配置），也被称为认证前域。未认证用户可以从认证前域中获取 IP 地址，并通过认证前域赋予的权限访问 Web 服务器，从而完成认证。未认证用户从认证前域中获取的 IP 地址可以是正式使用的 IP 地址，也可以是只用于访问 Web 认证服 务器的临时 IP 地址，认证 通过以后，用 户获取正常上

44、网的权限。配置认证前域的过程和普通的域没有什么区别，有以下几项是必须配置的。 配置认证前域的地址池。 配置认证前域的 user-group。A.7 配置认证域认证域是指 Web 认证用户认证 后所归属的域，认证域的配置和普通域没有区别。A.8 配置 BAS 接口配置 Web 认证的 BAS 接口和普通的 BAS 接口没有区别，需要注意以下几点。 接入用户类型必须配置为二层用户。 BAS 接口的 认证方法中必须包含 Web 认证或者快速认证。A.9 配置 ACL为了控制未认证用户只能访问 Web 认证服务器，需要根据未认证用户的认证前域的 user-group，制定相应的 ACL，使其只有访问

45、Web 认证服务器的权限，而没有其他任何权限。(1) 配置以下规则： rule1：未认证 用户的 user-group 对所有目的地址的规则。四川电信 WIFI 平台说明和操作手册（第二版）第 22 页 共 28 页 rule2：未认证 用户的 user-group 对 Web 认证服务器的规则。 rulex：电信 认可的未认证用户的 user-group 可以访问的地址。说明：这里 ACL 的作用是定义未认证用户的权限，一般为可以访问 web 服务器，可以访问 DNS，可以访问 5200G 本机（认证前的交互报文需要访问本机），但是禁止 访问 其他地址。(2) 配置流分类器和流动作： cla

46、ssifier1：针对未认证用户 的 user-group 对所有目的地址的规则。 classifier2：针对未认证用户 的 user-group 对 Web 认证服务器的规则。 classifierx：针对电信认可的未 认证用户的 user-group 可以访问的地址的规则。 behavior1：动作为禁止。 behavior2：动作为允许。traffic-classifier 和 traffic-behavior 的详细配置请参见Quidway MA5200G 宽带接入服务器 操作手册-高级配置中 QoS 部分的描述。(3) 分类器和动作关联：classifier1 和 behavior

47、1 组成关联 1，classifier2 和 behavior2 组成关联 2。(4) 配置流策略：配置一条 traffic policy，policy 中先配置关联 2 再配置关联 1。这里按系统默认“config”匹配方式，将按照配置的先后 顺序进行规则 匹配，规则的关联顺序不能颠倒。若按“auto” 匹配方式，则不必注意配置顺序。traffic-policy 的详细配置请 参见Quidway MA5200G 宽带接入服务器 操作手册- 高 级配置 中 QoS 部分的描述。(5) 将策略应用到全局或者用户接入的 BAS 接口上。A.9 配置强制 Web 认证强制 Web 认证是指当需要 W

48、eb 认证或快速认证的用 户，在未 认证前试图访问其无权访问的地址时，MA5200G 将其访问请求强 制重定向到强制 Web 认证服务器， 让用户进行认证。如果需要配置强制 Web 认证 ，则需要在认证前域中配置强制 Web 认证服务器。如果未配置强制 Web 认证服务器，则用户必须自己输入 IP 地址或者网址来进行访问 Web 认证服务器。A.10 成电23xx版本测试脚本说明四川电信 WIFI 平台说明和操作手册（第二版）第 23 页 共 28 页acl number 10000rule id 5 ip source user-group test destination ip-address anyacl number 10001rule id 5 ip source user-group test destination ip-address 61.139.61.216 0.0.0.0