WX3520X IMC V7

检查下配置

https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Public/00-Public/Configure/Typical_Configuration_Example/EIA_9.0_CE/02/

1. IP与MAC绑定表项不一致
   Portal无感知认证依赖MAC绑定机制。当终端获取新IP后，若设备未及时更新Portal表项中的IP信息，会导致：

   • 设备仍使用旧IP匹配流量，触发无感知流程时检测到IP与在线用户表项不一致。
   • 设备强制踢掉旧IP的在线用户，但新IP的认证流程因表项冲突而失败（如资料中案例所示）。

2. DHCP或网络切换问题

   • 终端切换SSID/VLAN时，若未及时释放旧IP或DHCP续约异常，可能残留旧IP表项。
   • 多DHCP服务器热备未同步（如资料案例），导致终端分配到重复IP，触发认证冲突。

终端获取新IP后，AC上的Portal用户表项没有同步更新，导致认证信息仍与旧IP绑定，新IP的流量因匹配不到认证表项而被丢弃，无法上网。

这是一个AC与Portal服务器（通常是iMC）之间IP地址同步机制的问题。无感知认证依赖“MAC+IP”绑定表项，当终端IP变化时，AC需要主动将新IP通知给Portal服务器，否则服务器下发的授权规则仍是旧IP，导致业务中断。

 问题根因分析

核心原因：终端IP变化后，AC没有主动通过计费更新报文或Portal协议报文将新IP同步给iMC。这与无线转发模式（本地转发/集中转发）和AC配置强相关。

 排查步骤（按优先级）

第一步：检查AC上的Portal用户表项

登录AC，执行以下命令：

• 找到问题终端的MAC地址，查看其对应的IP地址

• 确认该IP是否与终端当前获取的IP一致

• 如果显示的是旧IP，说明表项未更新

预期结果：如果IP不对，继续往下排查。

第二步：检查无线转发模式（关键）

你的问题描述中，AC上的Portal用户IP未更新，很可能是因为使用了本地转发模式。

在本地转发模式下，终端数据流量直接由AP转发至网关，不经过AC。AC仅管理控制报文，无法感知终端IP变化。只有当终端重新关联或DHCP续约时，AC才可能通过ARP或DHCP Snooping捕获IP变化，但这个机制需要额外配置开启。

解决方案：

第三步：检查MAC-Trigger配置

无感知认证依赖MAC-Trigger机制。终端首次认证通过后，AC会记录“MAC+IP”绑定表项。当终端IP变化时，需要重新触发MAC-Trigger认证来更新表项。

检查AC上的MAC-Trigger配置：

第四步：检查DHCP地址租期

DHCP租期过短是导致IP变化后无感知认证失效的常见原因。

无感知认证表项以“MAC+IP”作为联合关键字建立。当DHCP租期到期，终端获取新IP后，旧表项匹配失败，设备会将其视为“新用户”，触发完整Portal认证而非无感知流程。

检查DHCP地址池配置：

• 将租期设置为8小时或更长（如expired day 0 hour 8）

• 确保租期时间与MAC-Trigger表项老化时间匹配

第五步：检查iMC侧无感知认证配置

如果AC侧配置正确，问题可能在iMC侧。

确认以下配置项：

1. 端口组配置：进入“接入策略管理 → Portal服务管理 → 设备配置 → 端口组信息管理”，确认端口组已开启“无感知认证”功能

2. 服务配置：确认用户引用的服务中已勾选“Portal无感知认证”

3. 用户绑定数限制：确认“Portal无感知认证最大绑定终端数”不为0，且当前绑定数未超限

4. HTTP特征库：如果是PC终端无法无感知（手机可以），需要在EIA的HTTP特征库中添加PC的User-Agent特征值

第六步：抓包分析

如果以上都正常，需要进行抓包确认AC与iMC之间的报文交互。

在AC侧抓包：