使用深信服上网行为管理做微信认证 50

不好意思我又来问问题了，之前问的问题一直没有时间来实践，现在终于要准备开始操作了（估计还是要等一个月）不过还是提前来问问，希望之前回答的大神们不要厌烦菜鸟，谢谢了，这次我把问题说简单点，再次谢谢

图片还是这个图片，我这里说下

首先，VLAN1是设备相连的管理vlan，IP地址段是192.168.1.0/24这个段，vlan2和vlan3是用户上网的业务vlan，10.1.1.0/30这个是出局的IP，然后vlan1，2，3的地址池都是做在核心交换机上的，AC采用集中转发的方式进行数据流量的转发，比如用户的流量，通过capwap隧道到了AC后，再从AC传送到核心交换机，再由核心交换机出局，有点类似单臂路由的情况

然后这里说下，用户上网的地址池(VLAN2和vlan3)是做在核心交换机上的，这是一台H3C的交换机，支持portal认证

它对应的命令是

全局模式下：portal server wenxinrz ip 192.168.1.10 port 50100 key 123456 url http://192.168.1.10:8080/portal

进入业务网关接口下：portal server wenxinrz method layer3

然后这里上网管理行为是部署在核心交换机和防火墙之间的，防火墙和核心交换机之间互联的IP是30位的IP，这里肯定是用的是网桥模式部署的，然后又从核心交换机上单独接了一根网线到上网行为管理设备上，这个接口没有什么配置，就是使用的默认vlan1来连接上网行为管理设备的

具体的情况就是这样了，我想问下按照之前给我的配置手册，这样的环境我只需要按照配置手册进行配置是吧？http://bbs.sangfor.com.cn/plugin ... abase&tid=22201（就是按照链接里面的微信连wifi通用场景和有portal控制器场景进行配置）

请知道的告诉下，主要我想确认下我现在的拓扑是不是可以不用改动，然后只在上网行为管理上进行一些微信认证的配置就好了，还有，假如我业务vlan网段是192.168.2.0和192.168.3.0/24的，需要在上网行为管理上有什么配置吗？请知道的告诉下，谢谢了

1.首先确定流量要经过上网行为管理这是没问题的，拓扑没问题

感谢专业的某公司，看这边问题没有解决都从湖南打电话来询问，现在基本上已经了解了，不过当时没有想太清楚，现在又有一些小问题，希望不吝赐教
1：我上面的拓扑上网行为管理是接在核心交换机和防火墙之间的，除了我需要认证的网段（192.168.2.0和3.0）以外，还有很多网段都是从这里走的，这些网段不需要进行微信认证，那么如何配置？是不是在认证策略里的认证范围添加我需要认证的网段就好了，其他的都不用管？然后添加的网段要指明回程路由，192.168.2.0和3.0指向核心交换机，然后其他的网段的都不用管，他们也没有认证，也不需要这些配置的是吧？
2：在配置微信认证的时候如果配置失败了，造成不能上网，影响的范围应该只是需要认证的那部分网段吧，不会出现全网中断的情况吧？
3：上网行为管理设备上配置了一个IP，是管理使用的，然后业务数据是会从上网行为管理设备通过的，但是管理IP是不能和外网互通的，那么这个时候我配置的微信认证公众号，能否与外网互通？还是说这个公众号根本不需要和外网互通的？请知道的告诉下，谢谢了

看完真的想睡觉  这个简单的拓扑 应该没有太多问题的吧。核心分配无线网段的地址  然后控制器做ssid和相关的策略权限配置，然后ac上可以做一部分认证策略即可。不过我还是没太懂你的需求是什么  可以简单说一下吗

这个跟你Dhcp 放在哪其实没关系，你上来虽然是走的vlan 1.但是上网行为看到的源地址都是终端用户的地址，上网的时候包被重定向实现认证

您好 请问下这个问题解决了吗？如果没有解决，可以跟帖说明；如果已经解决，希望分享下处理结果
谢谢

第一个链接看不到呢

1.首先确定流量要经过上网行为管理这是没问题的，拓扑没问题
2.微信认证只需要在上网行为管理上面配置，不需要在交换机上面配置。华三有自己的微信认证，或者用华三的，或者用上网行为管理
3.针对业务VLAN只要上网行为管理是透明模式部署就没问题，如果上网行为管理的两联和下联都是trunk口，需要在上网行为管理上面设置桥IP的时候加上管理vlan的标签，格式：1.192.168.1.2/24   1为管理vlan的vlanid