解答一：

它叫做 Captive portal，请自行wiki

算了，还是简单说一下吧
实现方法不止一种

方案一
DNS跳转，把客户端所有的dns请求都解析为认证服务器的ip，然后认证服务器上有404跳转
或者用dns url跳转，直接把dns解析为认证页面的地址

方案二
http跳转，对所有的http请求返回302或者301跳转，目标是认证页面。在网关上就可以实现

方案三
ip跳转，既把所有的ip包里的目标地址改为认证服务器，然后在认证服务器上做404跳转（因为用户有可能访问http://example.com/notexist这样在认证服务器上不存在的地址，所以需要404跳转），目标同样是认证页面，在网关上也可以实现
（参考自 知乎）

解答二：

有个东西叫做bas（broadband access sever）做控制，ac一般透传vlan到bas，由bas控制用户。用户需要在bas通过aaa，否则是不能上网的，即使你有貌似合法的ip。

WLAN用户接入流程
流程描述：
1）        用户通过标准的DHCP协议，通过AC获取到规划的IP地址。
2）        用户打开IE，访问某个网站，发起HTTP请求。
3）        AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体请参见《中国移动WLAN业务PORTAL协议规范》。
4）        Portal服务器向WLAN用户终端推送WEB认证页面。
5）        用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。
6）        Portal服务器接收到用户信息，向Radius发出用户信息查询请求。
7）        Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。
8）        如查询成功，Portal服务器按照CHAP流程向AC请求Challenge。如果查询失败，Portal直接返回提示信息给用户，流程至此结束。
9）        AC返回Challenge，包括Challenge ID和Challenge。
10）        Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。
11）        AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证。
12）        中央RADIUS服务器根据用户信息判断用户是否合法（对于省内预付费卡用户，还需要判断用户接入地和归属地是否一致）。RADIUS对用户密码分别进行 静态密码和动态密码两次密码认证。如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。如果两次 都失败，RADIUS向AC返回认证失败报文。
13）        AC返回认证结果给Portal服务器。（以及相关业务属性。）
14）        Portal服务器根据认证结果，推送认证结果页面。如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单 次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。如果失败，页面提示用户失败原因。
15）        Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。
16）        认证如果成功，AC发起计费开始请求给中央RADIUS用户认证服务器。
17）        中央RADIUS回应计费开始响应报文，并将响应信息返回给AC。用户上线完毕，开始上网。
18）        在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。
19）        中央RADIUS计费服务器回应实时计费确认报文给AC。
20）        当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。
21）        中央RADIUS计费服务器回应AC的计费结束报文。

（ 参考文章）

解答三：
wifidog

一. 用户上线

1. 用户访问网络，通过iptables将未认证的用户dnat到wifidog进程，wifidog通过307报文将用户重定向到认证服务器

2. 用户打开认证服务器登录页面，输入用户名密码，发送认证请求

3. 认证成功的话服务器会发送302报文，携带token信息重定向到wifidog页面。认证失败的话会返回失败页面

4. 用户携带token信息向wifidog发起认证请求，wifidog再向认证服务器发起请求，认证成功后授权，并将用户重定向到成功页面

二. 保活和下线

1. wifidog会定时向认证服务器发送保活消息

2. 当用户主动请求下线后，wifidog此时并没有下线

3. 当wifidog再次发起保活请求时，认证服务器会告诉它用户已下线，此时wifidog会将用户下线

参考 a， b