无线AP+IMC

是不是本地转发，做了portal认证，本地转发重定向是AP来做的

内网大量无线 AP 持续访问 IMC Portal 服务器的 8080 端口，通常不是 AP 自身发起的，其背后原因与无线网络的 Portal 认证机制强相关，核心是用户的认证和数据流程。

📡 核心原因：无线用户触发 Portal 认证

在 H3C iMC 的 Portal 认证场景下，AP 并不主动发起访问。大量访问请求主要源于以下两个环节：

1. 终端重定向：未认证用户连接 Wi-Fi 后，打开浏览器访问任何网页（例如 www.baidu.com）。AC（无线控制器）会将此 HTTP 请求拦截并重定向到 iMC Portal 服务器的 8080 端口。这个重定向的页面请求，在流量分析中就会表现为从用户终端 IP 发往 iMC 服务器的访问。这一步骤是 Portal 认证的核心，其 URL 格式通常是 http://<iMC_IP>:8080/portal。

2. 心跳保活：用户认证成功后，为防止在无流量时被踢下线，终端或网络设备会定期发送心跳包维持会话。若服务器无响应导致频繁重认证，会产生大量请求。

⚠️ 问题剖析与排查

高并发下持续访问 8080 端口可能引发性能瓶颈。建议按以下思路排查：

• 从数据源头分析：在核心交换机做端口镜像抓包，区分是特定终端频繁访问，还是大量不同终端的连接。

• 检查 iMC 服务器日志：iMC 的 PortalWeb.log 和 Portal.log 是定位问题的关键。PortalWeb.log 记录 8080 端口的 Web 请求，可查看是否为用户正常触发；Portal.log 记录认证协议交互，可检查有无认证失败或超时。

🔧 配置与优化建议

1. 调整会话超时和重认证频率：
   在 iMC 的“业务”>“接入策略管理”>“Portal服务管理”>“服务器配置”中，找到 “心跳间隔”或 “用户在线探测间隔”等参数，适当调大以降低心跳频率。同时，在AC无线服务模板或iMC接入策略中检查并调整 “会话超时时间” 。

2. 开启无感知认证 (MAC认证)：
   在 iMC 中为终端开启 MAC地址认证（无感知认证），允许已记录 MAC 的设备自动认证，避免重复弹出页面，从而大幅减少重定向请求。

3. 调整 Portal 认证网络参数：

   • 检查网络连通性与防火墙：确保终端至 iMC 服务器的 8080 端口路由可达且防火墙已放通。

   • 调整 AC 的 Portal 相关定时器：在 AC 上检查并调整 portal server 视图下的 user-sync（用户同步）和 user-detect（用户探测）定时器，避免因同步或探测过于频繁而产生大量无效流量。

一、核心原因：AP 主动访问 Portal 服务器 8080 端口，是认证流程的正常机制

1. Portal 认证的心跳 / 状态同步
   • AP/AC 会定时向 Portal 服务器发送 用户在线状态、会话同步请求，默认端口就是 HTTP_and_HTTPS_proxy(TCP/8080)
   • 目的：同步用户在线状态、下发认证结果、踢线通知
   • 只要有用户在线，就会持续有这类请求
2. 用户认证 / 重定向交互
   • 终端连接 WiFi 后，会被 AP 重定向到 IMC Portal 页面，这部分交互是通过 AP 代理完成的
   • AP 会把终端的认证请求转发给 Portal 服务器（8080 端口）
   • 认证通过后，AP 也会通过这个端口接收放行指令
3. AP 向 IMC 上报自身状态 / 注册
   • 部分 AP/AC 版本，会通过 8080 端口向 IMC 上报设备状态、版本信息
   • 尤其在使用 IMC 做无线管理时，会有周期性的设备心跳

二、为什么会 “一直大量访问”？（常见场景）

1. 用户量多 + 认证频繁
   • 内网大量终端连接 WiFi、认证、掉线重连，会触发大量认证请求
   • 每个用户的会话心跳也会持续产生请求
2. 认证会话异常 / 老化不及时
   • 部分终端异常下线（直接关 WiFi、休眠），但 AP/Portal 的会话没有正常老化
   • 服务器和 AP 会持续同步无效会话，导致请求量居高不下
3. AP/AC 版本或配置问题
   • 老版本 AC/AP 的 Portal 心跳间隔过短（比如 10 秒一次）
   • 或配置了错误的 Portal 服务器地址，导致 AP 反复重连、重试

三、关键验证点（判断是否正常）

1. 看访问结果：日志里的796是 H3C 防火墙默认的允许动作，说明这些请求都被正常放行，没有被阻断。
2. 看时间间隔：如果是每隔固定时间（比如 30 秒 / 60 秒）的周期性请求，就是正常的心跳。
3. 看用户在线情况：如果内网有大量用户在线，这些请求是匹配用户量的；如果没有用户还一直狂刷，就是异常。

四、优化 / 排查建议

1. 调整 Portal 心跳间隔（在 AC/IMC 上配置）
   • 把 AP 向 Portal 服务器的心跳间隔从默认缩短值改长（比如从 10 秒改为 60 秒），减少无效请求
2. 清理无效会话
   • 在 IMC 上执行reset portal session，清理异常在线用户
3. 检查 AP/AC 的 Portal 配置
   • 确认 Portal 服务器地址、端口配置正确，没有重复配置多个 Portal 实例
4. 升级 AC/AP 版本
   • 老版本存在会话泄漏、心跳异常的 BUG，升级到稳定版本（如 WX 系列 R54xx+）可解决

一句话总结