portal无感知认证问题求助

这个日志是 H3C 设备（MSR 路由器）上 MAC-trigger 认证（常与 Portal 认证配合）的典型保护机制触发的。

一、日志含义

日志 Logged out the user when a new user with the same MAC address performed MAC-trigger authentication 直接翻译是：当同一个 MAC 地址发起 MAC-trigger 认证时，将已在线用户强制下线。

它背后的机制是：

• 设备默认要求 同一个 MAC 地址只能有一个在线用户会话（无论是 Portal 认证、MAC-trigger 认证还是其他认证方式）。

• 当该 MAC 地址已经在线（例如通过 Portal 认证、MAC-trigger 认证上线），此时设备又收到来自该 MAC 地址的 MAC-trigger 认证请求。

• 设备为了遵守“单 MAC 单会话”原则，会先踢掉旧会话，再尝试让新认证请求建立新会话。

• 这就是你看到的“用户被踢下线”的原因。

二、为什么会出现“已在线 MAC 又发起 MAC-trigger 认证”

这种情况通常不是配置错误，而是终端或网络行为触发了二次认证请求，常见原因包括：

1. 终端主动重认证

   • 某些终端（尤其是移动终端）在 Wi-Fi 漫游、网卡电源管理、休眠唤醒、IP 地址变化时，会重新发起 802.1X 或 MAC 地址触发的认证。

2. 无线漫游导致

   • 如果 MSR 路由器下接的是 AP（瘦 AP + AC），终端在 AP 间漫游时，某些场景下 AC 或 AP 会向路由器重新发起 MAC 地址认证请求。

3. 中间设备 NAT / MAC 转换

   • 如果终端下挂有家用路由器、小交换机，这些设备可能把内网多个终端的 MAC 都转换成自己的 MAC 地址去访问网络，导致同一个 MAC 地址对应多个真实用户。

4. MAC-trigger 表项老化时间过短

   • MAC-trigger 认证表项如果老化时间很短，用户还在线但表项已老化，终端后续流量触发重新认证。

5. 认证服务器侧主动发起的 re-authentication

   • RADIUS 服务器可能因为计费报文超时、会话时长限制等，要求设备重新认证。

三、这种现象的影响

• 用户体验差：用户正在使用网络时突然被踢下线，可能需要重新打开 Portal 页面或等待自动重新认证。

• 日志大量出现：如果终端频繁触发重认证，设备会频繁踢掉用户，日志刷屏，甚至影响设备性能。

• 可能误判：如果有 NAT 设备导致多用户共用一个 MAC，会误判为同一个用户，导致内网其他用户无法上网。

四、如何优化 / 解决

根据你的网络场景，可以按以下顺序排查和调整：

1. 确认是否为无线漫游场景

• 若 AP 由 MSR 路由器管理（集成 AC 功能），检查 AC 配置中是否开启了快速漫游（FT，Fast Transition），以及终端驱动是否支持。

• 调整 MAC-trigger 表项的老化时间，避免表项过早老化。

• 如果确认存在家用路由器下挂多台终端，建议将该场景改为不开启 MAC-trigger 认证，或使用 Portal 认证 + 账号/密码方式。

• 如果必须保留，可尝试在 NAT 设备上禁用 MAC 地址克隆功能。

3. 调整单 MAC 多会话限制（按需，非标准）

• H3C 默认强制一个 MAC 一个会话。若你的场景确实需要同一 MAC 允许多个会话（例如多个终端经过同一个 NAT 网关），可以通过以下方式放松限制（需确认版本支持）：

4. 排查终端行为

• 对频繁出现问题的 MAC，抓取终端侧的网络包，观察在踢线前后终端是否主动发送了 EAPOL-Start 或 DHCP 行为。

• 在无线场景中，可尝试将终端的 省电模式、随机 MAC 地址（私有地址）关闭。

五、常见误区澄清

• 这不是设备 bug，是 H3C 认证模块设计的“防止 MAC 地址复用攻击”的默认保护机制。

• MAC-trigger 认证与 Portal 认证并非互斥：Portal 认证后，如果开启 MAC-trigger 快速认证，终端在表项老化前再次接入时会免认证。但如果 Portal 会话还在，MAC-trigger 又触发，就会出现日志中的踢线。