ACG本地portal认证无感知没生效

一、最核心：ACG没拿到终端真实 MAC（跨三层 90% 都是这个）
你的组网是：ACG 下行连核心三层，网关在核心 → ACG 看到的是核心的 MAC，不是终端 MAC，无感知（靠 MAC 绑定）自然不生效。
必须同时满足 3 点（SNMP 同步才算真有效）
核心交换机开启 SNMP，团体字（如public）和 ACG 一致。
ACG 配置 SNMP 同步（用户管理→用户同步→SNMP 同步）：
填核心交换机 IP
团体字一致
OID 默认（华三核心用默认即可）
启用、保存


ACG 全局开启 “跨三层 MAC 识别”（很多人漏这个）：
用户管理→认证管理→高级选项→启用跨三层 MAC 识别
否则 SNMP 同步了也不用
验证命令（ACG 诊断）
plaintext
display user mac-binding
能看到终端真实 MAC → 正常
全是核心 MAC → 跨三层没开 / 没生效
二、Portal 无感知配置本身漏项（常见）
本地 Portal 必须开启 “MAC 自动绑定 / 无感知”
用户→Portal→本地 Portal→启用 MAC 无感知
绑定时长设为 “永久” 或你说的最长时间
认证策略里必须勾选 “认证后自动绑定 MAC”
用户→认证策略→高级→自动录入用户 - MAC 绑定
不勾：首次认证后不记录 MAC，下次还要弹页
Portal 免认证规则没放 DNS/DHCP
没放行：终端 DNS 解析失败，连 Portal 都弹不出来，更别说无感知
必须放行：UDP 53（DNS）、DHCP（67/68）
三、流量 / 路由不对称（跨三层常见坑）
认证流量必须双向过 ACG
单向过：能弹 Portal，但无法记录 MAC / 绑定，无感知失效
ACG 回程路由必须指向核心
终端→核心→ACG→外网；ACG 回终端必须走核心
路由不对称：Portal 重定向失败、无感知不生效
四、HTTPS 重定向没开（现在大多是 HTTPS）
ACG 默认只对HTTP弹 Portal
手机 / 电脑默认 HTTPS，不弹页，直接断网，无感知无从谈起
必须开启：
plaintext
user-policy https-portal enable
或 Web 界面：用户→Portal→高级→HTTPS 重定向启用
五、SNMP 同步常见配置错误
团体字不一致（ACG 是 private，核心是 public）
填错设备 IP（填成接入交换机，不是核心）
核心没开 SNMP 只读
ACG 和核心路由不通（ping 不通）
六、快速排查顺序（直接照着做）
ACG 开启跨三层 MAC 识别
核心配置 SNMP，ACG 配置 SNMP 同步（IP + 团体字）
本地 Portal 开启MAC 无感知 + 自动绑定
认证策略勾选自动录入用户 - MAC 绑定
放行 DNS/DHCP 免认证
开启HTTPS 重定向
检查双向流量过 ACG + 回程路由正确
七、一句话总结（你场景）
跨三层环境下，90% 无感知不生效 = 没开跨三层 MAC 识别 / SNMP 同步没拿到真实终端 MAC / 认证策略没勾自动绑定 MAC。