用户接入portal认证

一、核心问题定位

1. VLAN 上报方向搞反：TSG 业务 VLAN 是 20，你在 IMC 账号里绑定了 VLAN 20，但 AC / 核心上报给 IMC 的可能是外层管理 VLAN或错误的 VLAN ID，而非用户实际业务 VLAN 20。
2. SSID 与 VLAN 的映射未在 IMC 侧做关联：仅靠账号绑定 VLAN，无法区分 “TEST（VLAN10）/TSG（VLAN20）” 两个 SSID 的认证场景，导致跨 SSID 认证时 VLAN 校验失败。
3. Portal 认证的 VLAN 上报机制：无线 Portal 认证时，AC 会将用户所属业务 VLAN（即 SSID 绑定的 VLAN）上报给 IMC，若上报值和 IMC 账号绑定值不一致，就会报错 “设备 VLAN 绑定检查失败”。

二、分步排查与修复

1. 确认 AC 侧用户 VLAN 上报配置

若未配置 user-vlan inner，AC 可能上报 AP 管理 VLAN（默认 VLAN1），导致 IMC 校验 VLAN 20 时 mismatch。

2. IMC 侧接入策略 / 服务的 VLAN 绑定逻辑修正

• TSG（VLAN20）场景：接入策略 必须绑定 VLAN 20，且账号也绑定 VLAN 20
• TEST（VLAN10）场景：接入策略 绑定 VLAN 10，账号不绑定 VLAN（或绑定 VLAN10）

正确配置步骤：

1. 新建 2 个接入服务：
   • Service-TEST：关联接入策略 Policy-TEST（绑定 VLAN 10）
   • Service-TSG：关联接入策略 Policy-TSG（绑定 VLAN 20）
2. SSID 与接入服务绑定：
   在 AC 上配置不同 SSID 对应不同 Portal 服务：
   bash

   运行

   wlan service-template TEST portal apply service-template Service-TEST wlan service-template TSG portal apply service-template Service-TSG
3. 账号授权：
   • TSG 账号：仅授权 Service-TSG，并绑定 VLAN 20
   • TEST 账号：仅授权 Service-TEST，并绑定 VLAN 10（或不绑定，由策略控制）

3. 修复账号 VLAN 绑定的匹配问题

• 账号绑定 VLAN 20 后，连 TSG（业务 VLAN20）也报 “VLAN 绑定检查失败” → 说明 AC 上报给 IMC 的 VLAN 不是 20
• 账号解绑 VLAN 后，连 TEST/TSG 都能认证 → 说明无 VLAN 校验时，认证流程正常

1. 先在 AC 上配置 portal server imc user-vlan inner，强制上报业务 VLAN
2. 在 IMC 上查看接入日志：系统 → 接入业务 → 接入日志，看日志里 “用户 VLAN” 字段实际值
   • 若日志里 VLAN=1 → 说明 AC 仍在上报管理 VLAN，需检查 user-vlan inner 配置
   • 若日志里 VLAN=20 → 再绑定账号 VLAN 20，TSG 认证就会通过
3. 若要实现 “TEST 账号只能连 TEST”，需：
   • 给 TEST 账号绑定 VLAN 10
   • 给 TSG 账号绑定 VLAN 20
   • 两个接入策略分别绑定 VLAN 10/20

三、验证步骤

1. TSG 账号绑定 VLAN 20 → 连 TSG SSID（业务 VLAN20）：认证成功
2. TSG 账号绑定 VLAN 20 → 连 TEST SSID（业务 VLAN10）：提示 “设备 VLAN 绑定检查失败”（符合预期）
3. TEST 账号绑定 VLAN 10 → 连 TEST SSID：认证成功
4. TEST 账号绑定 VLAN 10 → 连 TSG SSID：提示 “设备 VLAN 绑定检查失败”（符合预期）

四、常见坑点补充

1. 内层 / 外层 VLAN 混淆：无线用户的 VLAN 是内层业务 VLAN，必须在 AC 上配置 user-vlan inner 让 IMC 识别
2. 接入策略优先级：IMC 接入策略匹配顺序是 “先匹配精确策略（绑定 VLAN），再匹配宽泛策略”，需确保策略优先级正确
3. 账号多服务授权：避免给账号同时授权 Service-TEST 和 Service-TSG，否则会导致 VLAN 校验混乱

最终结论