• MAC地址认证用户缺省使用缺省ISP域（system域）。修改domain default enable命令会影响新认证用户，但在线用户的认证状态基于原有域维护。
• 若在修改默认域时，在线用户原认证域被删除或变更，且未配置domain if-unknown为未知域名用户指定替代域，则在线用户会因无法匹配有效域而掉线。

请注意，您的操作请在业务空窗期操作，请不要在有业务、有用户在线的时间段进行操作！！！

简单来说，你的理解是对的：如果新域的各项认证配置与旧域完全一致，直接修改 domain default enable 命令不会导致任何在线MAC认证用户掉线。

这个结论的关键依据，是新华三官方文档里的一句明确规定：

修改设备上配置的认证域、MAC地址认证的认证方法或MAC地址认证用户的账号格式，都不会影响在线用户的重认证，只对配置之后新线上线的用户生效。

📜 1. MAC认证在线用户不受影响的原理

这句官方说明揭示了华三设备的核心处理逻辑：用户认证时所使用的域信息，在成功上线时就已确定，并保存在了设备的会话表中。

• 在线会话与域绑定：每个在线MAC认证用户都与上线时使用的认证域（无论是默认域还是指定域）绑定-。因此，你修改 domain default enable 命令，改变的是“默认域”这个标签，属于设备全局层面的设置。

• 在线用户不受影响：已经上线的会话并不会因为默认域标签的改变而主动刷新或中断。只有当用户下线后再次接入，新用户才会使用新的默认域进行认证。

🛡️ 2. 关于TACACS+设备管理员的在线会话

你提到的TACACS+认证，影响的是尝试登录设备进行管理的“管理员用户”，这与一般的MAC“网络接入用户”（如终端设备）是完全隔离的。

这条 domain default enable 命令与TACACS+认证的关系是：

• 限管理员登录：如果管理员没有在用户名后明确指定域（例如使用 admin@newdomain）登录，系统也会将其划入新的默认域，并按照该域关联的AAA方案进行认证。如果管理员恰好在配置保存前在线，其会话也不会受影响。

• 配置时的影响：在命令行配置 default domain 时，可能会遇到系统提示 There are user(s) online ,can not be configured.。这是一个重要提醒：最好的做法是在网络维护窗口、确实没有管理员登录设备时，再进行该项配置操作，以避免出现意外。

👍 3. 操作前，务必备份和思考

尽管官方表述很明确，但为了确保万无一失，操作前还是建议做到以下几点：

1. 备份配置：display current-configuration 备份当前配置，这是最稳妥的习惯。

2. 配置零切换理论：务必通过细致对比（display current-configuration | include domain）确保新旧两个域在认证、授权、计费等方面的配置完全一致。

3. 模拟先演练，再推广：如果这是重要的生产环境，建议先用一两个非核心端口开启MAC认证进行测试，或等待网络低峰期再进行操作。

4. 检查域认证失败的紧急通道：如果新域配置有误，可以考虑配置一个逃生方案。例如预先配置端口 mac-authentication critical vlan 和 critical recovery-action reauth，确保在认证服务器不可达时，用户仍能自动重认证。

在线的不受影响，但是他也无法参与认证。重启后就会采用新的域