防火墙本地portal认证如何配置无感知？

二、防火墙本地Portal无感知四段关键配置
1. 基础预配置：确保终端、AC、防火墙路由可达，全局开启Portal功能：
portal enable
portal local-server enable
2. 配置MAC无感知触发规则：
portal mac-trigger enable
导入免认证终端MAC组，匹配后自动用MAC作为账号密码认证
portal mac-trigger mac-group add name no-sense-group mac-address xxxx-xxxx-xxxx
3. 配置AAA域与本地账号：
domain portal-ns
authentication portal local
authorization portal local
accounting portal local
批量生成MAC格式的本地账号，账号密码均为终端MAC无分隔符
local-user xxxxxxxxxx class network
password simple xxxxxxxxxx
service-type portal
4. 认证绑定与免认证放通：
终端所属VLANIF接口下绑定认证
interface vlanif 10
portal enable
portal apply web-server local
portal authentication domain portal-ns

防火墙本地 Portal “无感知”= 首次弹页登录 → 记住 MAC → 后续同 MAC 设备自动放行，不再弹页。H3C 防火墙（F1000/F5000）本地 Portal 做无感知，核心就是开MAC 快速认证（MAC-binding）+ 配置免认证 / 自动放行。
下面给你一套可直接照抄的完整配置（V7 平台）。
一、组网与原理
用户在 Trust 域，网关 / 认证在防火墙
防火墙开启 本地 Portal + MAC 快速认证
流程：
新 MAC → 拦截 HTTP/HTTPS → 重定向到本地 Portal 页 → 账号密码登录
认证通过 → 生成 MAC - 用户绑定表
同 MAC 再次接入 → 自动匹配绑定表 → 直接放行，无感知
二、基础准备（接口、安全域、地址）
bash
运行
# 1. 接口加入Trust域
interface GigabitEthernet1/0/1
port link-mode route
ip address 10.1.1.1 24
security-zone trust

# 2. 开启域间策略：Trust → Local（放通Portal和HTTPS）
security-policy
rule name Portal_To_Local
source-zone trust
destination-zone local
service http
service https
service portal
action permit
三、本地 Portal + 认证域配置
bash
运行
# 1. 新建认证域（示例：portal）
domain portal
authentication web default local # Web认证用本地账号
authorization web default local
accounting web default local

# 2. 开启本地Portal服务
portal server local
port 8887 # Portal端口，可改
ssl enable # 建议开启HTTPS
domain portal # 绑定认证域
mac-binding enable # 关键：开启MAC快速认证（无感知核心）
mac-binding aging 720 # MAC绑定老化时间，单位分钟

# 3. 在用户侧接口/安全域下应用Portal
interface GigabitEthernet1/0/1
portal apply local

# 或者在安全域下全局应用（二选一）
security-zone trust
portal apply local
四、本地用户（用于首次登录）
bash
运行
# 新建本地用户，归属portal域
local-user user1 class manage
password simple Pass@123
service-type web
domain portal
五、免认证规则（可选，放行 DNS / 更新等）
bash
运行
portal free-rule
rule 10 permit destination any dns # 放行DNS
rule 20 permit source 10.1.1.0 24 # 也可按源网段放通
六、验证与查看
bash
运行
# 查看Portal配置
display portal server local

# 查看MAC绑定表（无感知是否生效关键）
display portal mac-binding

# 查看在线用户
display portal user
首次用浏览器访问外网 → 自动跳转到 https://10.1.1.1:8887 → 登录
第二次同设备 → 直接上网，不弹页，display portal mac-binding 能看到该 MAC 条目
七、常见坑
没开 mac-binding enable → 永远弹页，不会无感知
接口 / 域没 apply local → Portal 不生效
Trust→Local 策略 deny → 打不开认证页
老化时间太短 → 频繁重新登录，建议 1–3 天

“无感知认证”就是让用户在首次认证后，设备能记住其MAC地址，后续上网时自动放行，无需重复输入账号密码。这项功能极大提升了无线网络使用的便利性。根据你是直接在防火墙上做认证（本地Portal）的初步判断，具体的实现方法会因设备型号有所不同，请根据你的实际情况选择。

 核心实现原理

H3C设备实现本地Portal无感知认证的关键，是将用户认证信息（用户名/密码）与其设备MAC地址绑定。当同一个MAC地址再次上线时，系统通过查表直接放行。

除了MAC绑定，还有两个关键参数直接影响使用体验：

• 无感知老化时间：用户首次认证后会生成一个MAC绑定表。老化时间决定了用户下线后，这条记录能保留多久。在这段时间内再次上线可直接免认证；超时后MAC被删除，就需要重新输入密码了。

• Portal漫游：此功能允许用户在同一个VLAN或网络的不同接入点（AP）之间移动时，无需重新认证。要保证移动中的无感体验，需要开启此功能。

 关键配置步骤

对于防火墙或无线路由器，你可以在Web界面或命令行进行配置。

方法一：通过Web界面配置 (适用于F1000-AK系列等较新型号)

1. 登录设备Web管理界面。

2. 进入 “认证管理” → “Portal认证” 页面。

3. 找到 “无感知” 或 “免认证” 相关选项卡（通常在“认证策略”或“高级设置”中）。

4. 启用无感知功能，并根据需要设置 “无感知超时时间”（即老化时间，默认可达10080分钟）。

5. 确保无感知认证的端口组选择为 “支持”。

方法二：通过命令行配置 (通用方法，适用于大多数V7设备)
假设你已配好基础的本地Portal认证，以下是实现无感知的核心命令。

请注意：在接口下配置完成后，还需确保该接口已正确启用Portal认证，例如已配置 portal enable method direct 命令。

 注意事项与故障排查要点

• 设备形态兼容性：防火墙上的无感知功能名称可能不同。建议在你的设备手册中搜索“免认证”、“MAC快速认证”或“MAC-trigger”等关键词。

• 跨三层组网：如果用户和防火墙间跨了三层网络，设备默认学到的可能是网关的MAC。必须在设备上开启SNMP跨三层MAC学习功能，才能正确获取终端真实MAC，否则所有用户可能都会“无感知”上线。

• 与第三方服务器联动：若对接深澜等第三方认证服务器，在服务器侧配置无感知后，本地设备可能仍需配置 portal mac-trigger-server 命令协同工作。

• 配置验证：配置后可以 display portal user all 查看在线Portal用户，或 display portal mac-trigger-server 查看MAC绑定服务器状态及绑定表项，确认配置是否生效。

• 终端兼容性：部分苹果手机可能不会自动弹出认证页面，这是终端特性，不影响认证本身。