1.首先确定流量要经过上网行为管理这是没问题的，拓扑没问题

感谢专业的某公司，看这边问题没有解决都从湖南打电话来询问，现在基本上已经了解了，不过当时没有想太清楚，现在又有一些小问题，希望不吝赐教
1：我上面的拓扑上网行为管理是接在核心交换机和防火墙之间的，除了我需要认证的网段（192.168.2.0和3.0）以外，还有很多网段都是从这里走的，这些网段不需要进行微信认证，那么如何配置？是不是在认证策略里的认证范围添加我需要认证的网段就好了，其他的都不用管？然后添加的网段要指明回程路由，192.168.2.0和3.0指向核心交换机，然后其他的网段的都不用管，他们也没有认证，也不需要这些配置的是吧？
2：在配置微信认证的时候如果配置失败了，造成不能上网，影响的范围应该只是需要认证的那部分网段吧，不会出现全网中断的情况吧？
3：上网行为管理设备上配置了一个IP，是管理使用的，然后业务数据是会从上网行为管理设备通过的，但是管理IP是不能和外网互通的，那么这个时候我配置的微信认证公众号，能否与外网互通？还是说这个公众号根本不需要和外网互通的？请知道的告诉下，谢谢了

看完真的想睡觉  这个简单的拓扑 应该没有太多问题的吧。核心分配无线网段的地址  然后控制器做ssid和相关的策略权限配置，然后ac上可以做一部分认证策略即可。不过我还是没太懂你的需求是什么  可以简单说一下吗

这个跟你Dhcp 放在哪其实没关系，你上来虽然是走的vlan 1.但是上网行为看到的源地址都是终端用户的地址，上网的时候包被重定向实现认证

您好 请问下这个问题解决了吗？如果没有解决，可以跟帖说明；如果已经解决，希望分享下处理结果
谢谢

第一个链接看不到呢

1.首先确定流量要经过上网行为管理这是没问题的，拓扑没问题
2.微信认证只需要在上网行为管理上面配置，不需要在交换机上面配置。华三有自己的微信认证，或者用华三的，或者用上网行为管理
3.针对业务VLAN只要上网行为管理是透明模式部署就没问题，如果上网行为管理的两联和下联都是trunk口，需要在上网行为管理上面设置桥IP的时候加上管理vlan的标签，格式：1.192.168.1.2/24   1为管理vlan的vlanid

楼主你好 我来慢慢那解答你  希望对你帮助
1、如果不想2.0 3.0网段外的网段进行微信认证，在配置微信认证的策略时适用范围就添上192.168.2.0和192.168.3.0这两个段，其他不要填写，自然也不收认证策略的管控。是，认证适用范围默认是全部的，你只写上这两个段就可以。回包路由这些东西的话，ac是网桥部署啊，相当于一根网线啊不需要配置，之前网络规划应该已经写好路由，局域网互联互通。

2、你说的配置失败是指弹不出认证界面还是？受影响的只有这两个网段，如果认证失败肯定是无法上网的，只有通过才能进行上网。如果没有出现认证界面可以按照以下排除步骤处理
11.x以后的版本：
先确认网络环境,手动打开是否可以打开
a、网桥部署虚拟地址是否跟内网冲突
【系统管理】-【系统配置】-【高级配置】-【使用重定向和代理高级配置】
b、AC下接的设备是否有做限制
c、需要启用未通过认证的用户允许访问dns服务
【用户认证与管理】-【认证高级选项】-【认证选项】
d、访问的如果是https的网站需要启用HTTPS请求未通过认证时,重定向到认证页面（代理时除外）
【用户认证与管理】-【认证高级选项】-【认证选项】
e、根据关联的上网策略不能拒绝http应用和dns应用
【策略管理】-【上网策略】-【上网权限策略】
f、防火墙规则不能拒绝80和53端口
【系统管理】-【防火墙】-【LAN-WAN】
g、dns是否能解析域名,需要保证dns能正常解析域名
h、更多排查步骤，参考连接http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=27646

3、设备需要有网才能跟微信公众平台作对接，才能配置微信连一连WIFI，设备要去认证查询这个参数的公众号是谁才可以。微信连一连WIFI的配置步骤
a、 配置微信公众号中的微信连WIFI
b、 客户配置（有Portal设备情况下配置）
c、 AC设备配置相关微信服务器的配置和二维码服务器的配置以及微信连WIFI参数
d、 配置认证策略
e、如果还没不理解可以参考配置指导书http://bbs.sangfor.com/plugin.ph ... wdatabase&tid=22201