防火墙本地portal+mac免认证

检查下跨三层获取的mac是否正确吧

1. 跨三层环境MAC地址不可达
   在跨三层组网中，防火墙通过SNMP获取的是核心交换机学习到的终端MAC地址，但实际经过三层转发后，防火墙收到的报文源MAC为核心交换机的接口MAC（非终端真实MAC）。因此基于源MAC的免认证规则无法匹配到终端真实MAC，导致规则失效。

2. Portal认证模式限制
   若Portal认证配置为三层认证（portal enable method layer3），此时认证流程基于IP层，MAC地址信息不会跨三层传递到防火墙。免认证规则中的MAC匹配仅适用于二层直接接入场景，无法在三层环境中生效。

3. 免认证规则配置要求
   根据手册说明，基于MAC的免认证规则需满足以下条件：

   • 规则需在用户实际接入的接口/VLAN上生效。
   • 若同时指定源VLAN和接口，接口必须属于对应VLAN。
   • 跨三层场景下需通过portal layer3 source明确认证源IP段，但MAC地址无法跨三层匹配。

解决方案

1. 优先使用基于IP的免认证规则
   在跨三层环境中，直接配置源IP地址免认证（如portal free-rule 2 source ip 10.1.1.0 24），此方式更可靠。

2. 若需基于MAC认证，需调整组网
   将服务器部署在防火墙二层接口下（如接入层直连防火墙），使防火墙能直接获取终端MAC，此时MAC地址规则可生效。

3. 验证跨三层MAC获取配置
   确认SNMP同步MAC地址的配置正确，但需注意：

   • 跨三层获取的MAC地址可能仅用于用户识别，无法用于Portal免规则匹配。
   • 避免在SNMP同步中勾选"自动录入用户"，防止静态用户跳过认证。

总结
跨三层组网中，基于MAC的Portal免认证规则因报文源MAC被核心交换机替换而失效。建议改用基于IP的免认证规则，或调整服务器部署至防火墙二层接口下以支持MAC匹配。若需保留三层架构，需结合DHCP Option或特定SNMP配置实现终端MAC透传，但此类方案复杂度较高，建议优先使用IP规则。