问
ACG+二维码扫描认证
3天前提问
- 0关注
- 0收藏,71浏览
zhiliao_Gixe
五段
一、管理员踢下线后是否需再次认证(开启无感知)
若ACG已开启无感知认证(基于MAC/无感知COOKIE):
1. 仅踢下线未清除无感知缓存时,终端再次发起网络访问会自动触发无感知认证,无需重新扫码;
2. 若管理员同时清除该用户的无感知缓存(如删除MAC绑定记录),则需重新扫码认证。
二、超时下线与管理员踢下线的区别
1. 触发机制:
超时下线:ACG根据配置的「用户空闲超时/在线时长超时」阈值,自动检测到用户无流量/在线到期后触发下线;
管理员踢下线:通过WEB/命令行手动强制终止用户会话。
2. 无感知缓存影响:
超时下线:默认保留无感知缓存,用户再次上线可自动认证;
管理员踢下线:默认保留缓存(除非手动清除),仅踢下线时仍支持无感知上线。
3. 资源释放:
超时下线:按正常流程平缓释放资源;
管理员踢下线:强制中断会话,立即释放资源,适用于紧急场景。
关键命令
查看用户会话:display access-user
踢下线用户:cut access-user user-id <用户ID>
清除无感知缓存:reset access-user non-authen-cache mac
重要提醒:执行踢下线或清除缓存操作前,请确认业务影响,必要时备份ACG配置。
若ACG已开启无感知认证(基于MAC/无感知COOKIE):
1. 仅踢下线未清除无感知缓存时,终端再次发起网络访问会自动触发无感知认证,无需重新扫码;
2. 若管理员同时清除该用户的无感知缓存(如删除MAC绑定记录),则需重新扫码认证。
二、超时下线与管理员踢下线的区别
1. 触发机制:
超时下线:ACG根据配置的「用户空闲超时/在线时长超时」阈值,自动检测到用户无流量/在线到期后触发下线;
管理员踢下线:通过WEB/命令行手动强制终止用户会话。
2. 无感知缓存影响:
超时下线:默认保留无感知缓存,用户再次上线可自动认证;
管理员踢下线:默认保留缓存(除非手动清除),仅踢下线时仍支持无感知上线。
3. 资源释放:
超时下线:按正常流程平缓释放资源;
管理员踢下线:强制中断会话,立即释放资源,适用于紧急场景。
关键命令
查看用户会话:display access-user
踢下线用户:cut access-user user-id <用户ID>
清除无感知缓存:reset access-user non-authen-cache mac
重要提醒:执行踢下线或清除缓存操作前,请确认业务影响,必要时备份ACG配置。
针对你在 H3C ACG 设备上配置的二维码扫描认证(开启无感知)场景,关于“管理员踢线”与“超时下线”的区别,以及是否需要再次认证的问题,核心结论如下:
核心结论
- 管理员踢下线:通常需要再次认证。即使开启了无感知,管理员的强制踢线操作通常被视为一种“异常”或“惩罚”行为,系统会清除该用户的无感知信任状态,下次接入时必须重新扫码。
- 超时下线:在设定的无感知时间窗口内,不需要再次认证。用户设备会自动通过 MAC 地址匹配静默上线。
详细区别解析
为了让你更直观地理解,我为你整理了一个对比表格,并详细解释背后的逻辑:
| 比较维度 | 超时下线 (Idle Timeout) | 管理员踢下线 (Admin Kick) |
|---|---|---|
| 触发原因 | 用户长时间无流量(静默),设备为节省资源自动将其置为下线状态。 | 管理员在后台手动强制断开用户连接(通常用于安全管控或故障排查)。 |
| 无感知状态 | 保留。系统认为用户是“正常离开”,信任关系依然存在。 | 清除。系统认为该会话被“强制终止”,信任关系失效。 |
| 再次上线体验 | 无感知(免认证)。只要 MAC 地址没变且在有效期内,直接自动上线。 | 需重新认证。必须重新弹出二维码页面进行扫码。 |
| 底层逻辑 | 属于“软下线”,仅清除会话表项,保留认证缓存(MAC-trigger 表项)。 | 属于“硬下线”,清除会话表项及相关的认证缓存/信任标记。 |
深度技术原理解释
1. 为什么管理员踢线后不能无感知?
根据 H3C ACG 及相关认证网关的机制,无感知认证(MAC-trigger)主要依赖于设备维护的一张“受信任 MAC 地址表”。
- 正常超时:当用户因无流量超时下线时,设备会保留该 MAC 地址在“无感知列表”中。当该 MAC 再次产生流量时,设备检测到它在白名单内,就会自动放行,无需跳转认证页。
- 管理员踢线:这被定义为异常用户行为。为了防止管理员在封禁或处理违规用户后,用户又能自动连上,设备逻辑会强制删除该 MAC 的无感知记录。因此,用户再次接入时,设备不认识这个 MAC,会将其视为新用户,强制重定向到二维码认证页面。
2. 影响无感知认证的另一个关键因素:MAC 地址轮换
除了上述区别,你在实际运维中如果遇到“明明没踢线,用户却频繁要认证”的情况,很可能是终端设备(手机/电脑)的隐私设置导致的。
- 现象:现在的 iOS (14+) 和 Android (10+) 系统默认开启“私有 Wi-Fi 地址”或“随机 MAC 地址”功能。
- 后果:手机会定期更换发送给 Wi-Fi 的 MAC 地址。对于 ACG 来说,MAC 变了就是一台“新设备”,自然无法匹配到之前的无感知记录,导致用户被迫反复扫码。
- 建议:如果遇到此类问题,建议指导用户在 Wi-Fi 设置中关闭“私有地址”或将其设为“固定”,即可恢复无感知体验。
暂无评论
一、管理员踢掉用户后,还要不要再扫码?
结论:要重新扫码认证。
原因(ACG1000 机制):
- “无感知”= 认证通过后,同终端 / 同 IP 在会话有效期内不再弹二维码,不是 “一次认证永久免密”。
- 管理员在「用户管理 / 在线用户」里手动踢下线 → 该用户的在线认证会话直接删除,状态变为 “未认证”。
- 终端再次上网时:
- 无感知不会自动恢复会话;
- 必须重新扫码才能过流量。
一句话:踢下线 = 强制重新认证。
二、超时下线 vs 管理员踢下线,区别是什么?
1)超时下线(系统自动)
- 触发:会话老化时间到、长时间无流量、或配置的闲置超时。
- 状态:
- 认证记录保留(账号 / IP / 终端绑定还在);
- 只是当前在线会话过期。
- 再次上网:
- 因为开启了无感知认证,终端再次发起流量时,ACG 会自动识别并恢复会话,不需要重新扫码。
- 目的:释放空闲会话资源,不惩罚用户。
2)管理员踢下线(人工强制)
- 触发:管理员在页面上手动删除在线用户。
- 状态:
- 直接清除该用户的在线认证状态 + 会话 + 无感知缓存;
- 相当于 “强制注销”。
- 再次上网:
- 必须重新扫码,无感知不生效。
- 目的:强制用户下线、拉黑、整改,安全管控。
对比表(一眼看懂)
表格
| 项目 | 超时下线(自动) | 管理员踢下线(手动) |
|---|---|---|
| 触发方式 | 系统老化 / 闲置超时 | 管理员手动操作 |
| 认证记录 | 保留 | 清除在线认证与缓存 |
| 无感知是否恢复 | 是,自动免扫码 | 否,必须重新扫码 |
| 用户体验 | 无感恢复,不打扰 | 强制重新认证,体验差 |
| 适用场景 | 空闲释放资源 | 违规下线、账号回收、排查问题 |
三、补充(透明部署 + 二维码 + 无感知)
- 透明模式不影响认证逻辑:只看 IP / 终端,不看路由。
- 无感知依赖:ACG 缓存了 “IP - 账号 - 终端” 绑定关系。
- 超时:绑定还在 → 恢复;
- 踢掉:绑定清除 → 重扫。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论