portal认证是如何限制终端的

Portal认证通过与AAA服务器的交互，实现对终端的身份认证，并根据认证结果下发ACL（Access Control List，访问控制列表）来限制或允许终端访问特定的网络资源。具体而言，当终端尝试访问网络时，会被重定向到Portal认证页面，输入用户名和密码后，Portal服务器会将这些信息发送给AAA服务器进行验证。如果验证通过，AAA服务器会根据预设的策略下发ACL规则到交换机（或路由器等网络设备），这些规则定义了终端可以访问的网络范围。例如，在您提到的场景中，通过身份认证但未通过安全认证的终端只能访问匹配ACL 3000的网络资源；而通过身份认证以及安全认证的终端可以访问匹配ACL 3001的互联网资源。至于下发ACL的协议，通常使用RADIUS（Remote Authentication Dial In User Service，远程认证拨号用户服务）协议，它是一种广泛用于网络设备与AAA服务器之间进行认证、授权和计费（AAA）交互的标准协议。

认证服务器（比如H3C的iMC-EIA）下发授权acl即可，交换机上会动态将ac和用户绑定，达到用户访问控制的效果。

如果有防火墙等安全设备，也可以针对用户网段设置访问策略