以某星级酒店为例，图文并茂详解WIFI营销旁路认证方案教程。首先解释一下旁路模式：与网关模式和网桥模式不同，旁路模式并不替换用户的路由器，也不提供任何NAT，DHCP或者DNS服务。他通常放在交换机旁边，通过镜像的方式，仅仅提供认证的功能。旁路模式不修改网络结构，甚至不关心网络细节，关机也不掉线。用户环境：某分店有10层楼，每层楼有30个房间，共300个房间。网络核心采用H3CS3600三层交换机，每一层楼分一个TRUNK口，级联一个二层的VLAN交换机，每个房间对应一个VLAN和一个子网。工具/原料more集客网关BP6500一台H3C S3600电脑、网线、AP、交换……方法/步骤1/17分步阅读

某星级酒店原有网络拓扑，甲方要求不改变现有网络结构，并且实施过程中不能影响顾客上网。

2/17

旁路认证需要在三层交换机上设置一个观察口和一个ACCESS口，都接在集客旁路认证网关上。

1)在三层交换机上指定8号为观察口，把11~20号口的数据镜像给8号口。

2)8号观察口连接集客网关内网口NET1，NET1将作为旁路模式的监听口。

3)在三层交换机上指定7号口为ACCESS口，并划到三层交换机原有的上联VLAN100。

4)7号口接集客网关的外网口NET2，NET2将作为旁路模式的回传口。

5)给集客网关NET2分配IP地址192.168.100.3/24，网关为防火墙的IP地址192.168.100.2。

注：

ü本案例中，11~20号口都为TRUNK模式，下面级联VLAN交换机。

ü楼层交换机也可以采用楼道端口隔离交换机，11~20号口则为ACCESS模式，本案例同样适用。

ü本案例中，服务器与办公电脑等不需要认证，不镜像数据即可。

根据甲方要求，设计的WIFI营销旁路方案拓扑：

3/17

配置镜像口

本案例中，需要配置11~20号口做数据镜像，镜像方式是上下行都镜像。在华三S3600三层交换机上设置镜像11号口的命令如下：

－－－－－－－－－－－－－－－－－－－－－－－－－－－

H3Csystem-view

interfaceEthernet1/0/11

mirroring-portboth

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注：有的交换机需要配置镜像组，请查相关手册

其中命令mirroring-portboth，表示同时镜像上行和下行的数据。配置完成以后，执行disthis可以看到11号口的配置大致如下：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

disthis

#

interfaceEthernet1/0/11

portlink-typetrunk

undoporttrunkpermitvlan1

porttrunkpermitvlan1601to1630

mirroring-portboth

#

return

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注：disthis命令仅仅是察看当前的配置信息。

重复在12~20号口上做mirroring-portboth操作，即完成了镜像口配置。

4/17

配置观察口

如上图，我们选择8号口做观察口，同样的华三S3600三层交换机上配置如下：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

H3Csystem-view

interfaceEthernet1/0/8

monitor-port

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

命令monitor-port设置了8号口为观察口，同样通过disthis命令可以看到本口的配置信息和状态：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

disthis

#

interfaceEthernet1/0/8

monitor-port

#

return

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

5/17

设置回传口

案例中用户原网络分了一个编号为100的VLAN用作上联口，配置了IP地址192.168.100.1/255.255.255.0，并将1号口划给了这个VLAN100。

我们将使用7号口作为通讯回传口，在这里，我们仅需要把这个口设置为ACCESS模式，并加入VLAN100即可，命令如下：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

H3Csystem-view

interfaceEthernet1/0/7

portaccessvlan100

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注：

ü请根据实际情况配置7号口的VLAN号。

ü也可以再创建一个VLAN，并指定IP地址和掩码，并将7号口加入到这个VLAN口，要求是集客网关接这个口可以同时访问内网和因特网。

同样使用disthis命令可以查看本接口的状态，如下：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

displaythis

#

interfaceEthernet1/0/7

portaccessvlan100

#

return

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

6/17

登录集客网关设备

将集客网关的NET1口与PC电脑连接，设置PC电脑的IP地址为192.168.8.2，子网掩码为255.255.255.0。打开浏览器，输入http://192.168.8.1，登录集客网关，如下图：

7/17

设置外网口

进入网口管理::网口绑定，设置NET2为外网（固定IP），其它网口保持不变，然后点保存设置，如下图：

8/17

保存以后，系统上部有红色的警告导航，告之DNS和NET2的配置需要进一步完善，如下图：

9/17

进入网口管理::DNS参数，在获取方式中选【手动设置】，并点【进入编辑模式】，输入DNS服务器地址并保存设置，如下图：

10/17

进入网口管理::NET2外网固定IP，输入前面规则的IP地址192.168.100.3，掩码选24(255.255.255.0)，网关填防火墙的地址192.168.100.2，运营商和带宽可以随意设置，不影响旁路模式，然后点保存，如下图：

11/17

保存完后，页头上面的红色警告提示消失，如下图：

12/17

设置内网口

NET1监听口的缺省IP地址如果与内网的网段没有冲突或者重叠，则可以不管。否则，请修改NET1的IP地址为一个不冲突的IP地址，比如1.2.3.4/255.255.255.0。

进入应用服务::DHCP服务，选中的NET1口上的DHCP服务，点删除按钮关闭DHCP服务，如下图：

13/17

联网测试

上面的步骤完成以后，将集客网关的NET2口连接三层交换机的7号口，然后进入系统工具::PING测试，应该可以ping通www.baidu.com，192.168.100.2和192.168.100.1，如下图：

14/17

连接观察口

上面的步骤完成以后，可以将网管电脑接入到酒店内网中，通过在浏览器中输入http://192.168.100.3地址进入集客网关的管理界面。

现在不需要通过NET1进行管理了，用网线连接NET1与交换机的观察口8。

15/17

设置热点运营

进入应用服务::热点运营，开启热点运营服务，并启用旁路设置，如下图：

ü监听网口选内网口NET1。

ü回传网口选外网口NET2。

ü三层交换机的MAC如实填写，也可以用旁边的小工具探测。

ü认证子网里将所有客房的网段都加到列表里，本文本采用172.16.0.0/255.240.0.0包含这300个小子网。

ü其它采用默认配置即可。

16/17

然后点保存，热点运营的状态变为绿色的运行中，如下图：

WIFI营销旁路认证设置完成。

17/17

WIFI营销效果测试

拿出手机，连接内网AP，上网测试如下图：

交换机