WX2580X-LI使用portal对接信锐的NAC

联系信锐方面提供对接文档或配置要求就行了

H3C AC完全可以做到让哑终端（如打印机）不弹出Portal认证页面，直接上网。

哑终端不支持交互操作，无法完成Portal认证。为这种设备实现“零干预”接入的常规做法，是在AC上直接启用MAC地址认证，或者使用Portal无感知认证。

下面提供两种解决方案，你可以根据网络环境和设备支持情况选择。

 核心原理：跳过Portal认证

要让哑终端不弹Portal页面，最根本的办法就是避免其HTTP流量被重定向到Portal页面。这主要通过以下方式实现：

• 方案一：直接进行MAC地址认证
  在服务模板上配置mac-authentication，并利用RADIUS服务器记录哑终端的MAC地址。该方案认证流程更直接，对Portal服务器依赖度低，但完全绕过Portal服务器，需要RADIUS服务器提前录入MAC地址。

• 方案二：Portal无感知认证（MAC-Trigger）
  配置portal mac-trigger-server，当哑终端初次关联后，由AC直接发起Portal认证，触发流程同样基于MAC地址进行。相比方案一，该方案支持通过Portal服务器管理MAC白名单，但认证流程依赖Portal服务器支持MAC-Trigger功能，需提前确认。

环境说明：以下配置步骤均基于H3C Comware V7平台的命令行（CLI）方式，可在AC的Web界面中寻找对应功能配置。请注意，两种方案只能选择其一，不能同时配置。

 方案一：直接进行MAC地址认证 (纯MAC认证)

此方案要求RADIUS服务器将哑终端的MAC地址作为用户名和密码，直接返回认证成功。

1. 在AC上配置MAC地址认证

1. 创建无线服务模板：

   system-view

   wlan service-template mac-auth ssid MAC-Auth-SSID vlan 100

2. 关键：配置MAC地址认证：

   ack-method mac

   mac-authentication domain ***.***

   • ack-method mac：设置链路层认证为MAC认证。

   • mac-authentication domain ***.***：指定MAC认证使用的ISP域。

3. 配置MAC认证使用的ISP域：

   domain ***.***

   authentication lan-access radius-scheme mac-radius authorization lan-access radius-scheme mac-radius accounting lan-access none 这里的radius-scheme mac-radius需要预先配置，指向你的RADIUS服务器（信锐NAC）。

4. 启用服务模板并绑定AP：

   service-template enable

   wlan ap ap1 model WAxxxx radio 1 service-template mac-auth vlan 100 radio enable

2. 在RADIUS服务器上录入MAC地址

在信锐NAC上，将哑终端的MAC地址录入，并设置其密码也为相同的MAC地址，服务类型为“LAN接入”。

 方案二：Portal无感知认证 (MAC-Trigger认证)

此方案下，哑终端仍可走Portal流程，但无需弹出页面。通过AC将MAC地址发送给Portal服务器查询，若已绑定则自动完成Portal认证。

1. 在AC上配置MAC-Trigger认证

1. 指定MAC绑定服务器：

   portal mac-trigger-server mac-server

   ip 192.168.1.100 # 信锐NAC的IP地址 如果NAC与Portal Server不是同一设备，需修改ip地址为MAC绑定服务器地址。

2. 在Portal Web服务器视图下引用：

   portal web-server portal-server

   url http://192.168.1.100/portal mac-trigger-server mac-server

3. 在无线服务模板中开启MAC-Trigger功能：

   wlan service-template portal-auth

   ssid Portal-SSID vlan 100 portal enable method direct portal apply web-server portal-server portal apply mac-trigger-server mac-server portal domain ***.*** service-template enable

4. 配置Portal使用的ISP域：

   domain ***.***

   authentication portal radius-scheme portal-radius authorization portal radius-scheme portal-radius accounting portal none

2. 在信锐NAC上配置MAC绑定

将哑终端的MAC地址录入NAC的MAC绑定表中，并关联一个Portal用户账号（可专门创建服务账号）。

 验证与故障排查

完成配置后，可通过以下命令验证结果：

• 查看在线用户：

  display wlan client 确认哑终端是否在线，Authentication Method（认证方法）栏应显示为MAC或MAC-TRIGGER。

• 查看MAC认证信息：

  display mac-authentication

  display mac-authentication connection

• 查看Portal用户：

  display portal user all

• 故障排查与注意事项：

  • MAC地址格式：确保AC和服务器上MAC地址格式一致（如xx:xx:xx:xx:xx:xx或xxxx-xxxx-xxxx）。

  • 信锐NAC配置：确认信锐NAC的Portal配置中是否开启“MAC认证”或“无感知认证”功能，不同版本界面可能有差异。

  • 日志与抓包：在AC上开启debugging mac-authentication、debugging portal等调试命令查看详细交互过程（需谨慎开启，避免影响性能）。或在AC与NAC之间抓包，分析RADIUS报文或Portal报文。

一、为什么你现在还会弹页面

• 你在信锐 NAC 上加了白名单，但信锐仍强制弹出 “点击上网” 页面（信锐侧无法关闭）。
• 华三 AC 上当前是 全局 Portal 认证：所有终端（含哑终端）先被重定向到 Portal，信锐再判断是否白名单H3C。

二、华三 AC 侧两种解决方法（推荐方案一）

方案一：配置 Portal 免认证规则（MAC 直通，最简单）

• 效果：哑终端接入即上网，完全不触发 Portal、不弹页面。
• 优点：不改动信锐、不影响普通用户 Portal。

方案二：哑终端单独 SSID + MAC 认证（分离组网）

• 新建一个 哑终端专用 SSID（如 Dumb-Terminal）。
• 该 SSID 不启用 Portal，只启用 MAC 地址认证，对接信锐 RADIUS。
• 普通用户仍用原 Portal SSID。

三、快速判断与建议

1. 优先用方案一（free-rule）：10 分钟搞定、不影响现有网络、完全不弹页面。
2. 配置后 重启哑终端 或在 AC 上 cut connection 哑终端MAC 重上线。
3. 确认信锐 NAC 上 已放行该 MAC（保持你原来的白名单）。

四、常见问题

• 配置 free-rule 后仍弹页：检查 rule 编号、MAC 格式、是否在服务模板下 enable。
• 仍不行：把哑终端 IP+MAC 都加入 free-rule，双重放行。