Mac or Portal无感知认证个别终端偶尔会弹出Portal页面经验案例

问题现象：

某局点了实施了Mac or Portal的无感知认证方式，当客户端第一次认证通过之后，偶尔还会有个别终端出现弹出Portal页面的情况。

原因分析：

由于AC上配置的Mac or Portal的认证方式，也就是bypass portal的认证方式，这种方式有别于其他的无感知认证流程，具体流程如下：

（1）仍然借助guest-vlan，但guest-vlan跟业务VLAN是相同的。也就是说相同VLAN中MAC认证和Portal认证二选一即可，不存在VLAN切换的事情了；

（2）用户首次上线，MAC认证失败会弹出portal页面，进行portal认证，portal认证通过后可以直接上网；

（3）用户再次上线，如果对应portal用户存在（此时查portal用户存在的时候查询的是客户端的MAC地址，并不包含客户端的IP地址），不会发起MAC认证，可以直接上网；

（4）用户再次上线，如果对应portal用户不存在，则发起MAC认证。MAC认证成功后不会再弹出Portal页面，可以直接上网；

（5）display connection中只会看到一个连接，Portal的或者MAC认证的；

而现场由于没有配置idle-cut的命令，并且客户端的地址租约较短，当客户端第一天认证成功之后，portal表项会一直存在AC上，当第二天来到公司时，连上无线时，会首先查看portal用户表项存在，由于AC上存在此MAC的portal用户表项，所有不进行MAC认证，当客户端获取到IP地址之后，这是查询的portal用户为客户端的IP和MAC表项，如果IP和MAC表项不一致的话，那么就会弹出portal页面，所有只有没有配置idle-cut的情况下，并且客户端IP地址变了的时候才会出现。

解决办法：

在domain域下面配置idle-cut的命令，并且idle-cut的时间要小于客户端获取到地址的租约时间的一半。

建议：

强烈建议idle-cut的时间配置小于客户端的IP地址租约的一半。