您好，可以做的，需要外置AD域

这是一个非常经典且可行的安全加固需求。您设想的方案完全正确，并且在H3C AC 2510H上可以直接实现。这种组合认证模式通常称为 “MAC优先，Portal主认证”​ 或 “混合认证”。
核心方案：在AC 2510H上实现MAC+Portal双层认证
认证流程如下：
第一阶段（设备认证）：终端连接Wi-Fi，AC通过MAC地址认证识别设备。认证成功后，终端获取IP地址，但AC会为其应用一个仅允许访问Portal服务器和必要服务（如DNS）的严格ACL。
第二阶段（人员认证）：终端浏览器自动弹出或手动打开任意网页，被重定向到Portal认证页面。用户在此输入AD域账号和密码。
认证通过：Portal服务器将用户凭证提交给AD域进行验证。验证成功后，AC更新该用户的访问权限，移除限制ACL，允许其正常访问内网及互联网。
此方案的优点：
高安全性：同时满足“设备合法”和“人员合法”。
良好体验：员工只需在首次连接时输入一次AD账号密码。后续该设备连接时，因MAC已认证，可能直接通过（取决于配置策略）。
统一管理：认证在AC上集中完成，无需改动核心交换机配置。
配置要点与步骤（基于H3C V7 Comware）
以下是在AC 2510H上进行关键配置的逻辑框架：
1. 配置认证域（Domain）并指向AD
首先需要创建认证域，并指定其使用AD域服务器进行认证。
# 创建并进入ISP域（例如名为 `company_ad`）
domain company_ad
authentication portal radius-scheme radius_ad
authorization portal radius-scheme radius_ad
accounting portal radius-scheme radius_ad
quit

# 配置RADIUS方案（指向AD域服务器，AD需安装并配置NPS角色或类似RADIUS服务）
radius scheme radius_ad
primary authentication <AD服务器IP>
primary accounting <AD服务器IP>
key authentication simple <共享密钥>
key accounting simple <共享密钥>
user-name-format without-domain
quit
2. 配置MAC地址认证（用于第一阶段）
# 启用MAC认证全局功能
mac-authentication
mac-authentication domain company_ad

# 在无线服务模板或VLAN接口下启用MAC认证
interface Vlan-interface 100
mac-authentication
3. 配置Portal认证（用于第二阶段，对接AD域）
这是最关键的部分，需要配置Portal服务器并绑定到AD域。
# 配置Portal服务器（假设iMC或类似系统作为Portal服务器）
portal server imc
server-ip <Portal服务器IP> key simple <共享密钥>
quit

# 在用户接入的VLAN接口上启用Portal认证，并指定认证域
interface Vlan-interface 100
portal enable method layer3
portal apply server imc
portal bas-ip <AC的VLAN接口IP>
portal domain company_ad # 指定Portal认证使用AD域

# 配置Portal自由规则（允许访问DNS、Portal服务器等，这是MAC认证后、Portal认证前的放行规则）
portal free-rule 0 destination ip <Portal服务器IP> mask 255.255.255.255
portal free-rule 1 destination ip <DNS服务器IP> mask 255.255.255.255 udp 53
4. 配置ACL实现认证阶段控制
需要创建一个ACL，在MAC认证通过后、Portal认证成功前，限制用户只能访问必要资源。
# 创建高级ACL 3000（示例）
acl advanced 3000
rule 0 permit ip destination <Portal服务器IP> 0
rule 5 permit udp destination <DNS服务器IP> 0 destination-port eq 53
rule 10 deny ip
quit

# 在接口上应用该ACL作为Portal的认证前域（pre-auth）ACL
interface Vlan-interface 100
portal pre-auth acl 3000
流程解释：终端MAC认证成功后，即被portal pre-auth acl 3000限制，只能访问规则允许的内容。当用户完成Portal认证后，AC会自动取消此ACL的限制。
备选方案：在核心交换机上实施Portal认证
如果因某种原因无法在AC上实施，在核心交换机上对无线用户所在的VLAN进行Portal认证是标准且可行的备选方案。
网络流量路径：
无线终端 -> (MAC认证) -> AC -> 核心交换机 -> (Portal认证拦截) -> 内网/互联网
配置逻辑：
AC上仅保留MAC地址认证，认证后放行用户流量至核心。
在核心交换机的 Vlan-interface​ （即无线用户网关接口）上，配置与上述AC配置类似的Portal认证，对接AD域。
核心交换机同样需要配置portal pre-auth acl来限制未经验证的用户。
此方案优劣：
优点：统一了有线、无线的准入认证点，便于集中管理。
缺点：所有无线流量都需要到核心交换机进行认证策略匹配，增加了核心交换机的处理负担，且故障域集中在核心。

总结与建议

1. AD域服务器已配置好RADIUS服务（如Windows NPS）。
2. Portal认证系统（如H3C iMC）已安装，并能与AD域RADIUS服务正常通信。
3. 在测试环境中先行验证整个流程。

您好：支持的可以参考文档案例https://www.h3c.com/cn/d_202108/1436685_30005_0.htm

你要有portal服务器

功能是支持的，但是设备性能你需要根据终端数估测一下