弘浩明传AC培训之配置篇V.ppt

AC培训之配置篇,Date /2011.07,技术支持部,Title,学习目标 DHCP+WEB配置 VRRP配置 中移动业务配置 SNMP配置 隧道配置 NAT配置 AP升级配置 AC升级配置,1、学习目标1中移动典型应用,1、学习目标2联通&电信典型应用,1、配置环境搭建,AC的控制台提供3种配置方式： 串口配置方式本地维护。可以用于配置管理模块的接口路由配置，接入模块的所有配置；管理与接入的debug调试等。 Telnet配置方式本地、远程维护。可以用于配置接入模块的所有配置；管理与接入的debug调试等。 Web（https）配置方式本地、远程维护。可以用于配置管理模块的业务配置（ac部分，snmp部分） 注：接入模块只有CLI命令行形式；管理模块有CLI命令行形式，同时也有web形式。,1.1、串口配置方式,将微机串口通过标准的RS232串口线与AC的配置串口连接，使用Windows等操作系统下的超级终端工具软件进行配置 打开超级终端 开始-程序-附件-通讯-超级终端 设置超级终端参数 键入名称：AC（名字可自定） 连接使用：直接连接到串口1（根据实际情况而定） 端口设置：115200bit/s、8位数据位、无校验、 1位停止位、无流控 终端类型：VT100或自动检测 注意：每单板上有两个COM（串口），分别用于管理 管理模块与接入模块。,PC,RS232串口线,1.2、telnet配置方式,由于管理模块与接入模块使用同样的公网地址，所以telnet到管理模块与接入模块是使用不同的tcp端口来区分的，即： telnet x.x.x.x接入模块 telnet x.x.x.x 87管理模块 说明：上面情况是对于新硬件平台而说的，对于旧硬件平台，则是分别telnet对应的地址，端口号均为默认的23。,1.3、系统的缺省登录口令,接入模块 串口/telnet登录的口令： Login:bnas Password:bnas ACenable Password:super 管理模块 串口/telnet登录的口令： web登录的口令： cwcos login: root 用户名：icac Password:fitap_ 密码:icaclogin,2、系统的名称修改,1）接入模块的名称配置 AC(config)# hostname hostname 经验：一方面根据运营商要求配置，另外一方最好取一个表明设备所在位置以及设备型号的名称，便于工程维护。 2）管理模块的名称配置 注意：上述管理模块的名称是给网管采集使用的，即网管采集到的AC名称由上述提供。,3、接口/路由相关配置（接入模块）, 创建子接口（必须） AC(config)# interface GigabitEthernet 1/0.0 说明：模块号为1-3（依据单板不定）；接口编号为0-7（依据单板不定）；子接口号的编号规定为0-255 ，最好与vlan保持一致； 配置vlan（封装vlan的情况下必须） AC(config-interface)# vlan id 10 配置IP地址（必须） AC(config-interface)# ip address 端口描述（可选） AC(config-interface)# description 路由配置（必须） AC(config)# ip route ipAddress ipMask ipNextHop 保存配置（必须） AC# copy running-config startup-config,3、接口/路由相关配置（管理模块）, 接口（必须） #vi /etc/network.d/ifcfg-eth0 (综合接入板) 6004与6006请使eth7 DEVICE=eth0 ONBOOT=yes BOOTPROTO=none NETMASK= IPADDR= TYPE=Ethernet USERCTL=no IPV6INIT=no PEERDNS=yes 修改网络参数使之马上生效请使用 路由（必须 ） /etc/init.d/network restart #vi /etc/network.d/static_route 保存配置请使用： default gw copy_run_to_startup 注：vi编辑之后，使用 wq！保存退出。,4、Radius相关配置,RADIUS是基于server/client体系结构的协议，在体系中，BGATE1030W是作为radius client的，支持的协议标准有RFC2865、RFC2866、RFC2869等。AC作为Radius Client必须要和Radius Server的配置相匹配。,4.1、radius-client, 进入radius-client配置模式（必须） AC(config)#radius-client */注意中间是横杠，并且要连写 配置一个IP地址（必须） */IP地址为VRRP地址，即注册AC-Name的地址 AC(radius-client)#ipaddress A.B.C.D */注意ipaddress连写 关闭cache AC(radius-client)#cache-interval 0 */0表示关闭，即不缓存radius信息 指定厂家码 AC(radius-client) vendor-id 8458 */根据厂家自定义 配置认证UDP端口（可选） AC(radius-client)# auth-port 1645 */默认为1645 配置计费UDP端口（可选） AC(radius-client)# account-port 1646 */默认为1646 可以使用show命令确认配置成功与否 AC# show radius client */注意中间无横杠，中间要空格,4.1、radius-client（配置样本）,radius-client */radius客户端 ipaddress 32 cache-interval 0 vendor-id 8458,4.2、radius-server, 建立一个Radius-Server子模式，包含IP地址及server类型（必须） AC(config) #radius-server A.B.C.D authentication | accounting */注意中间是横杠，并且要连写 配置共享密码（必须） AC(radius-server)#key string 配置UDP端口号（可选） AC(radius- server)# udp-port port */认证默认为1645，计费默认为1646 经验：radius的ip，密钥，端口号均由运营商提供，需要提前得知。 配置超时时间（可选） AC(radius- server)# timeout time */默认3秒钟，建议配置30秒钟 可以使用show命令确认配置成功与否 AC# show radius server A.B.C.D authentication | accounting */注意中间无横杠，中间要空格。此命令在判断认证的时候相当有用，是常用的调试命令之一。,4.2、radius-server（配置样本）,radius-server authentication */湖南省radius认证服务器 key 8889 udp-port 1645 timeout 30 radius-server accounting */湖南省radius计费服务器 key 8889 udp-port 1646 timeout 30 radius-server 38 authentication */集团radius认证服务器 key 88-89 udp-port 1645 timeout 30 radius-server 38 accounting */集团radius计费服务器 key 88-89 udp-port 1646 timeout 30,5、服务策略配置,AC的服务策略有三种：带宽策略、路由策略和过滤策略。 带宽策略对用户进行了流控，满足不同的用户需求，也防止了流量攻击； 路由策略为用户虚拟了一个路由器，使不同的用户访问不同的网络，增强了安全性； 过滤策略可以控制用户访问哪些IP网段及端口，为用户提供多样化的业务服务。 机制：服务策略可以引用在ip-pool中，也可以引用在domain域中。当引用在ip-pool中的时候，是作为白名单出现的，触发强制portal；当引用在domain域中的时候，是作为ACL出现的，即用户访问控制。 AC配置服务策略前，必须先配置带宽、路由和过滤三种策略，然后才能将服务策略指定给用户，步骤如下： 配置带宽策略库、路由策略库和过滤策略 在配置服务策略库中指定带宽、路由策略和过滤策略 针对不同类型的接入用户，从服务策略库中选择服务策略来配置,5、服务策略配置（续）,5、服务策略配置（带宽策略）,第一步：配置带宽策略名称 AC(config)# rate-policy bandname 第二步：配置策略所使用的带宽 AC(rate-policy)# downstream number1 number2 AC(rate-policy)# upstream number3 number4 其中downstream和upstream参数的单位是：字节/秒，分别代表： number1：用户每秒平均下行的字节数 number2：用户每秒爆发下行的字节数 number3：用户每秒平均上行的字节数 number4：用户每秒爆发上行的字节数 说明：带宽控制有两个方式，一种是如上述在AC上配置，一种是radius下发，前者一般称作根据域的带宽控制，后者称作根据用户的带宽控制。 思考：大家通常说的1M，单位是1Mbit/s，如何换算。,5、服务策略配置（过滤策略）,第一步：定义过滤规则 rule rule-name permit | deny ip | tcp | udp src-ip src-mask src-port dest-ip dest-mask dest-port 如果此规则对所有IP地址都适用，则可将IP地址和掩码都设为 如果此规则对某一指定IP适用，可将掩码设为55 若将tcp或udp的端口设为0，则此规则对所有tcp或udp端口都适用。 第二步：配置过滤策略的名称 AC(config)# filter-policy filter-name 第三步：引用前面配置好的过滤规则 AC(filter-policy)# filter-rule rule-name,5、服务策略配置（路由策略）,第一步：配置虚拟路由器 虚拟路由器的配置建立AC下一跳路由器的IP地址和名字的映射，一个名字只能对应一个下一跳IP地址，而同一个下一跳IP地址可以对应多个名字。 AC(config)# virtual-router-map router-name A.B.C.D 第二步：配置路由策略名称 AC(config)# route-policy policyname 第三步：配置路由策略的下一跳 指定本策略的下一跳是上面配置好的虚拟路由器。 AC(route-policy)# next-hop router-name,5、服务策略配置（封装服务策略）,第一步：配置服务策略的名称 AC(config)# service-policy servicename 第二步：引用前面已经配置好的带宽策略或过滤策略或路由策略 AC(service-policy)# rate-policy bandname AC(service-policy)# route-policy routepolicyname AC(service-policy)# filter -policy filterpolicyname 服务策略是带宽策略、路由策略和过滤策略的集合，一条服务策略可以 既包含带宽策略、路由策略和过滤策略，也可以只包含三者中的某一组 合，但是最多只能包含一条带宽策略、一条路由策略和一条过滤策略,5、服务策略配置（配置样本1）,rule internet permit ip rule dns permit udp 211.142.210100 55 53 */dns地址 rule dns2 permit udp 07 55 53 */dns2地址 rule portal permit ip 0 55 */省portal地址 rule portal2 permit ip 40 55 */集团portal地址 rule apple1 permit ip 5 55 */苹果白名单 rule apple2 permit ip 5 55 */苹果白名单 rule apple3 permit ip 5 55 */苹果白名单 rule apple4 permit ip 5 55 */苹果白名单 rule apple5 permit ip 5 55 */苹果白名单 rule apple6 permit ip 5 55 */苹果白名单 rule guoman permit ip 33 55 */苹果白名单&国际漫游portal地址 rule geotrust permit ip 4 55 */国漫客户端证书服务器地址,5、服务策略配置（配置样本2）,filter-policy internet filter-rule internet filter-policy portal filter-rule dns filter-rule dns2 filter-rule portal filter-rule portal2 filter-rule apple1 filter-rule apple2 filter-rule apple3 filter-rule apple4 filter-rule apple5 filter-rule apple6 filter-rule guoman filter-rule geotrust,rate-policy 2m */根据域的带宽控制 downstream 262144 262144 upstream 262144 262144 service-policy internet filter-policy internet rate-policy 2m service-policy portal filter-policy portal,6、SSID域配置,配置域名（必须） AC(config)# domain domainname AC(config)# domain default 说明：1、当用户关联的SSID找不到对应的域名时，用户将转到缺省域中认证、计费。工程经验：一般把default配置为集团的portal。2、default必须要正确，否则不代表默认域。 配置关联SSID的强制portal的URL（必须） AC(domain)# portal-url URL 配置域使用的Radius Server （必须） AC(domain)# radius server A.B.C.D authentication AC(domain)# radius server E.F.G.H accounting 配置域使用的备份Radius Server （可选） AC(domain)# radius server I.J.K.L authentication AC(domain)# radius server M.N.O.P accounting 说明：先配置的服务器就是主服务器，后配置的就是备份服务器。,6、SSID域配置（续）,配置实时计费（可选） BGATE1030W(domain)# interim-time timenum 单位秒 说明：实时计费有两种方式，一种方式是如上面在AC中配置，另外一种方式是用户在认证中radius返回给AC，后者是目前移动采用的。如果两个方式共存的情况，AC以radius返回的属性优先。 在域中配置服务策略（可选） AC(domain)#service-policy spname 说明：spname必须是已经定义好的服务策略 。 在域中配置认证成功之后推送广告页面（可选） AC(domain)# push adurl 配置DNS Server地址（只对PPPoE有效） AC(domain)# dns A.B.C.D E.F.G.H,6、SSID域配置（配置样本）,domain CMCC-EDU */省公司域，域推portal，域认证 portal-url 0 radius server authentication radius server accounting service-policy internet domain CMCC */集团域，域推portal，域认证 portal-url 40/wlan/index.php radius server 38 authentication radius server 38 accounting service-policy internet domain CMCC-Starbucks */星巴克域，域推portal，域认证 portal-url 40/wlan/index.php radius server 38 authentication radius server 38 accounting service-policy internet domain default */默认域 radius server 38 authentication radius server 38 accounting service-policy internet,7、AP的地址池配置（二层）,AC(config)# ip dhcp server x.x.x.x */必须，如果没有配置，AC将无法提供dhcp server功能。运维中有请注意这点。 说明：1）该地址必须要是AC上的某个接口ip；2）如果是有主备组网，主备机需要保证一致。 配置ip-pool AC(config)# ip-pool pool-name AC(ip-pool)# ipaddress ip-net ip-mask AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池网关地址 AC(ip-pool)# dns-server prime-dns second-dns */如果不进行dns发现，不需配置 AC(ip-pool)# max-lease 时间 AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip为管理模块的ip地址，作用是通过option60属性告知AP，AC的地址是什么 AC(ip-pool)# option-43 ip-list x.x.x.x */此ip为管理模块的ip地址，作用是通过option43属性告知AP，AC的地址是什么 AC(ip-pool)# option-60 enterprise-code 厂家企业码 */必须，这条配置表明此ip-pool是给AP使用。AC将优先匹配，运维中有请注意这点。 AC(ip-pool)# available-interface port id vlan id */必须配置这一对应关系，否则用户不能获得地址，运维中有请注意这点。,7、AP的地址池配置（二层配置样本）,ip-pool fitap ipaddress alloc-mode localdhcp default-router option-60 ac-manage-ip option-43 ip-list option-60 enterprise-code 8458 max-lease 3600 available-interface port 1 vlan 3655 available-interface port 1 vlan 3651 available-interface port 1 vlan 3662 available-interface port 2 vlan 3660 available-interface port 2 vlan 3661 available-interface port 2 vlan 3657,7、AP的地址池配置（三层）,AC(config)# ip dhcp server x.x.x.x */必须，如果没有配置，AC将无法提供dhcp server功能。运维中，有请注意这点。 说明：1）该地址必须要是AC上的某个接口ip；2）如果是有主备组网，主备机需要保证一致。 配置ip-pool AC(config)# ip-pool pool-name l3 AC(ip-pool)# ipnetwork ipnet ipmask nexthop */因为是下一跳，所以AC上必须先配置同一个网段的接口地址 AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池网关地址 AC(ip-pool)# reservedip A.B.C.D */网关地址必须要保留，不分配。 AC(ip-pool)# dns-server prime-dns second-dns */如果不进行dns发现，不需配置 AC(ip-pool)# max-lease 时间 AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip为管理模块的ip地址，作用是通过option60属性告知AP，AC的地址是什么,7、AP的地址池配置（三层续）,AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip为管理模块的ip地址，作用是通过option60属性告知AP，AC的地址是什么 AC(ip-pool)# option-43 ip-list x.x.x.x */此ip为管理模块的ip地址，作用是通过option43属性告知AP，AC的地址是什么 AC(ip-pool)# option-60 enterprise-code 厂家企业码 */必须，这条配置表明此ip-pool是给AP使用。AC将优先匹配，运维中有请注意这点。 AC(config)# ip pool pool-name available-interface port | port-port */必须配置这一对应关系，否则用户不能获得地址，运维中有请注意这点。同时，在进行no地址的时候，必须先no此绑定关系，然后再no地址池，否则此配置no不干净。 二层与三层地址池在配置上的区别： 1）地址池名称配置上，三层有关键字l3； 2）地址范围配置上，三层必须要指下一跳； 3）三层必须保留网关地址； 思考：此保留的地址一般是什么设备的地址？ 4）地址池与接口的绑定关系上，二层必须配置地址池中，而三层必须配置在全局模式下。,7、AP的地址池配置（三层配置样本）,ip-pool fitap3 l3 ipaddress alloc-mode localdhcp default-router reservedip option-60 ac-manage-ip option-43 ip-list option-60 enterprise-code 32870 max-lease 3600 ip pool fitap3 available-interface 1,8、STA的地址池配置,AC(config)# ip dhcp server x.x.x.x */必须，如果没有配置，AC将无法提供dhcp server功能。运维中有请注意这点。 说明：1）该地址必须要是AC上的某个接口ip；2）如果是有主备组网，主备机需要保证一致。 配置ip-pool AC(config)# ip-pool pool-name AC(ip-pool)# ipaddress ip-net ip-mask AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池网关地址 AC(ip-pool)# dns-server prime-dns second-dns */必须配置，并且必须在白名单中定义。 AC(ip-pool)# max-lease 时间 AC(ip-pool)# service-policy servicename */必须配置，并且是已经定义好的服务策略 AC(ip-pool)# available-interface port id vlan id */必须配置这一对应关系，否则用户不能获得地址，运维中有请注意这点。 思考：同样是二层地址池，AC是如何判断哪个dhcp请求是AP的，哪个是STA的，同时AC的处理原理如何？,8、STA的地址池配置（配置样本）,ip-pool user-gaoxiao ipaddress alloc-mode localdhcp default-router max-lease 900 dns-server 00 07 service-policy portal available-interface port 1 vlan 3656 available-interface port 1 vlan 3658,9、VRRP配置,VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。,9、VRRP配置（原理）,内部实现： 使用了两种协议，分别用于维护主备设备的状态与用户信息； 1）维护主备状态使用的是改造的VRRP协议。 2）用户信息的备份通过私有协议，基于TCP协议。主设备会向备份设备发送所有用户数据，确保备份信息不丢失 。 热备份组网要求 在上行侧，主、备设备共占用三个处于同一网段的IP地址，和三个MAC地址： 在运维上，主、备设备各使用一个IP地址，各使用一个MAC地址； 在业务上，主备设备合用虚拟IP地址、虚拟MAC地址； 主备设备的上行端口均是打开的，因此这三个IP地址均可被telnet，方便运维； 在接入侧，AC使用虚拟MAC的机制，主备设备的相同端口使用相同的MAC地址（通过命令实现MAC地址一致），但只有主设备的接入端口打开；使用户不会从备设备上接入；,9、VRRP配置（1）,第一步：配置心跳端口，定义VRRP组号 AC(config-interface)# standby peerip x.x.x.x group_id */必须先配置心跳接口，然后才能配置VRRP接口，同时两者的group_id必须保持一致。 参数说明：x.x.x.x这个ip地址是对端设备对应心跳接口的ip地址； group_id的范围是116.。 第二步：配置VRRP接口 AC(config-interface)# standby vrip y.y.y.y group_id */必须与对应心跳端口的group_id必须保持一致。 参数说明：y.y.y.y这个ip地址是虚拟对外的地址，主备机一致，同时必须要与本接口的实际ip在同一网段；,9、VRRP配置（2）,第三步：配置检测端口 AC(config)# hotstandby track-port inter_id */AC只会检测配置了接口的状态情况（up变down），工程中一般把带有业务的接口配置上，如上行口，下行接入口。 说明：主备AC的切换条件 1）备用AC在规定的周期之内，没有收到主用AC的心跳； 2）配置了检测端口的端口状态由up变成down； 3）BFD检测机制 4）配置了强制模式，优先级高的设备加入抢占 5）手工命令强制切换 第四步：指定接入端口 AC(config)# hotstandby access-port inter_id */工程中，如果是通过VRRP接口做单臂的组网，不需要配置此。思考：原因？,9、VRRP配置（3）,第五步：ip-pool配置对应的VRRP组号 AC(ip-pool)vrrp-group-id group_id */在1+1的情况下，主备AC都可以不配置，系统可以自动寻找；但是在N+1（多个VRRP组）的情况下，在备用AC上必须要配置。 第六步：配置抢占模式 AC(config)# hotstandby preempt-mode enable */工程中，1+1的情况下，一般不建议配置，因为会多发生一次切换；在N+1的情况下，必须要配置； 第七步：配置VRRP优先级 AC(config)# hotstandby priority num */系统默认优先级100 查看命令： show hotstandby global,9、VRRP配置（1+1配置样本）,主用： hotstandby track-port 0 hotstandby track-port 1 hotstandby access-port 1 interface GigabitEthernet 1/3.0 ip address 52 standby peerip group-id 1 interface GigabitEthernet 1/0.11 vlan id 11 ip address 30 48 standby vrip 32 group-id 11,备用： hotstandby track-port 0 hotstandby track-port 1 hotstandby access-port 1 interface GigabitEthernet 1/3.0 ip address 52 standby peerip group-id 1 interface GigabitEthernet 1/0.11 vlan id 11 ip address 31 48 standby vrip 32 group-id 11,9、VRRP配置（N+1配置样本）,Master1： hotstandby preempt-mode enable hotstandby priority 150 hotstandby track-port 0 hotstandby track-port 1 interface GigabitEthernet 1/2.101 vlan id 101 ip address standby peerip group-id 1 description Heartbeat_Line_To_Backup_AC3 interface GigabitEthernet 1/0.0 vlan id 188 ip address 0 48 standby vrip 3 group-id 1 port-access description Downlink_To_S8512 ip-pool ap181 l3 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-43 ip-list 6 0 option-60 enterprise-code 32870 vrrp-group-id 1,Master2： hotstandby preempt-mode enable hotstandby priority 150 hotstandby track-port 0 hotstandby track-port 1 interface FastEthernet 0/0 ip address standby peerip group-id 2 description Heartbeat_Line_To_Backup_AC3 interface GigabitEthernet 1/0.0 vlan id 188 ip address 2 48 standby vrip 4 group-id 2 port-access description Downlink_To_S8512 ip-pool ap201 l3 description DG-QS-BAS-2.M.ME60 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-60 enterprise-code 32870 option-43 ip-list 4 0 vrrp-group-id 2,Backup： hotstandby preempt-mode enable hotstandby priority 100 hotstandby track-port 0 hotstandby track-port 1 interface GigabitEthernet 1/2.101 vlan id 101 ip address standby peerip group-id 1 interface FastEthernet 0/0 ip address standby peerip group-id 2 interface GigabitEthernet 1/0.0 vlan id 188 ip address 1 48 standby vrip 3 group-id 1 standby vrip 4 group-id 2 port-access ip-pool ap181 l3 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-43 ip-list 6 0 option-60 enterprise-code 32870 vrrp-group-id 1 ip-pool ap201 l3 description DG-QS-BAS-2.M.ME60 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-60 enterprise-code 32870 option-43 ip-list 4 0 vrrp-group-id 2,10、中移动业务配置（全局）,1） AC(config)# wapi enable */把radius报文中的NAS-Port-Type属性修改为802.11（19），如下图所示。这个集团portal会进行判断。系统默认为以太网类似。 2）指定外置Portal server的ip地址和URL AC(config)# portalserver 40 external url-head 40/wlan/index.php */配置全局portal为集团portal 3）配置AC-NAME AC(config)# ex-portal ac-name 1029.0731.731.00 wlanacip 32 */配置acname。工程中，请提前申请，此名称必须在集团注册，否则强制的URL页面将无法正常显示。 4） AC(config)# wireless star-bucks enable */两个作用，一个是打开星巴克功能，另外一个是在radius报文中上报Called-Staion-Id这个属性，即AP的BSSID：SSID，这个属性集团portal会进行判断。如下图所示： 5） AC(config)# web redirect-delay 0 6） AC(config)# portal-secure-off */关闭portal的源地址检测，系统缺省只对源地址为配置的portal地址的报文进行处理。但是在这种情况下需要配置，如portal服务器采用集群的形式，收包与发包用的地址不一样，就必须配置。,10、中移动业务配置（随e行客户端）,AC(config)# wapi portal-client anye */打开随E行客户端功能 AC(config)# wapi anye-url 40/index.php */配置随E行客户端的portal URL AC(config)# wapi set-anye-feature baidu */配置随E行客户端中的关键字 说明：随e行客户端与普通的WEB认证流程实际上完全一致，但是由于历史原因，目前AC是分两种业务进行处理的。AC版本将在后续的版本合二为一，到时此处不需要配置。,10、中移动业务配置（多portal&radius）,AC(config)# portal-bind-type domain */打开根据SSID使用域domain中配置的portal 说明：系统支持4种强制portal模式，如AC(config)# portal-bind-type gobal | start-bucks | vlan-nas-identifier | domain，即全局portal，星巴克，根据vlan推送portal，根据域推送portal。在目前瘦AP系统中，一般情况下配置根据域推送portal。 AC(config)# wireless ssid-match-domain enable */打开根据SSID使用对应的radius（domain）的功能开关 先决条件：1）接入模块必须打开与管理模块的数据同步功能开关；2）接入模块必须学习到STA的无线用户表，即wireless表，在接入模块上可以使用show wireless station查看。 上述两点在运维中是重要手段。,10、中移动业务配置（国际漫游）,配置要点： 1、国际漫游的两个白名单地址 AC(config)# rule guoman permit ip