WX5540H portal free-rule异常的经验案例

某局点购置了一台WX5540H做portal认证，现场的portal页面是客户自己定制的，页面大致如下：

现场目前测试，可以正常打开portal认证页面，也可以正常进行认证，但是在设备未认证前点击portal认证页面上的部分链接，发现无法正常打开（如上图中的“热门游戏”链接）。这些链接应该是无需认证，直接就可以访问的。

现场通过测试发现，只要将portal free-rule的相关配置修改之后，就可以正常打开portal页面上的相关链接，原配置如下：

portal free-rule 1 destination ip 114.114.114.114 255.255.255.255（放通到DNS服务器）

portal free-rule 53 destination ***.***

portal free-rule 55 destination www.baidu.com

将配置修改如下之后，portal认证页面上原本无法打开的链接可以正常打开了：

portal free-rule 1 destination ip ip 114.114.114.114 255.255.255.255

portal free-rule 53 destination 42.81.28.99（内网无线终端***.***解析的ip地址）

portal free-rule 55 destination 220.181.112.244（内网无线终端www.baidu.com解析出来的IP地址）

由上述测试，我们确认为portal free-rule方面的问题，了解到V7版本的AC上配置portal free-rule存在多种形式，如可以直接针对目的IP地址或者域名进行放通。另外，对于针对域名放通portal free-rule的这种形式，设备AC本身会先对配置的域名进行解析，在解析出来域名对应的IP地址之后，AC还是会针对这个解析出来的IP地址进行放通。

现场测试发现，尽管在AC上配置了DNS服务器，ping ***.***和www.baidu.com的时候也是可以正常解析IP地址和ping通的，但是由于这些域名对应多个不同的IP地址，AC通过DNS服务器解析出来的***.***的IP地址为122.228.237.158，解析www.baidu.com的IP地址为61.135.169.121，也就是说在设备上相当于配置了

portal free-rule 53 destination 122.228.237.158

portal free-rule 55 destination 61.135.169.121

但是我们在现场的无线终端上测试发现，无线终端通过DNS服务器解析出来的***.***的IP地址为42.81.28.99，解析www.baidu.com的IP地址为220.181.112.244，也就是说现场的终端访问的是A地址，而portal free-rule放通的是B地址，从而导致部分链接无法访问。

针对某些域名，其对应的IP地址不唯一，建议在配置portal free-rule时不要采用放通域名的形式，尽量采用放通目的IP地址的形式，将该域名对应的IP地址全部添加进去，从而确保访问某些链接会匹配上portal free-rule，可以不经过认证直接访问。