• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

vlan绑定

18小时前提问
  • 0关注
  • 0收藏,64浏览
zhiliao_lKnObW
zhiliao_lKnObW 三段
粉丝:1人 关注:11人

问题描述:

MAC认证在AC本地上做的,在创建账号的时候,绑定了vlan (bind-attribute vlan 2)在radio 1下 service-template 2 vlan 2 还需要绑定vlan 2吗

3 个回答
按时间 按赞数
已采纳
zhiliao_GeOM0O
zhiliao_GeOM0O 八段
粉丝:12人 关注:2人

结论先说:必须绑定,而且一定要绑定!

我给你用最直白、最清晰、工程实战的逻辑讲清楚👇

一、直接给答案

AC 本地 MAC 认证 + 账号配置了 bind-attribute vlan 2
→ 无线服务模板 service-template 2 仍然必须写 vlan 2
plaintext
wlan service-template 2 vlan 2
不写 → 终端一定无法上线、获取不到 IP、一直转圈。

二、为什么必须绑?(原理超简单)

  1. MAC 认证下发的 VLAN = 给终端用的业务 VLAN
  2. service-template 下的 vlan 2 = AP/AC 必须知道这个 VLAN 存在、允许通过
简单理解:
  • 模板不绑 VLAN → AP 根本不允许这个 VLAN 通过
  • 终端就算拿到认证下发的 VLAN2 → 也发不出去报文
就像:
你有门禁卡(认证下发 VLAN),但门没开(模板没绑 VLAN)→ 还是进不去。

三、正确配置(标准必配)

1、本地 MAC 账号(下发 VLAN)

plaintext
local-user mac-xxxx class network bind-attribute vlan 2

2、服务模板(必须绑定同一个 VLAN)

plaintext
wlan service-template 2 vlan 2

3、Radio 下应用模板

plaintext
wlan ap xxx radio 1 service-template 2

四、最关键的一句总结(一定要记住)

MAC 认证下发 VLAN ≠ 替代模板 VLAN,两者必须同时配置,缺一不可!

五、你现在的配置是否正确?

你现在是:
  • 账号:bind vlan 2
  • service-template 2:vlan 2
✅ 完全正确,保持不动即可。

暂无评论

zhiliao_Gixe
zhiliao_Gixe 六段
粉丝:10人 关注:9人

H3C AC环境下,MAC认证本地账号绑定VLAN2时,radio1下的service-template2无需再绑定VLAN2。原因:用户MAC认证通过后,AC会优先采用本地账号下发的授权VLAN属性,该属性优先级高于service-template模板内静态配置的VLAN;若模板绑定VLAN,可能与认证下发的VLAN冲突,导致业务异常。仅当账号未绑定VLAN时,才需在service-template中配置对应VLAN。

暂无评论

刘浩存
刘浩存 九段
粉丝:17人 关注:1人

针对您关于“MAC认证在AC本地绑定VLAN与无线服务模板(service-template)绑定VLAN是否需要重复配置”的问题,答案是:需要。这两者的作用机制完全不同,不能互相替代。
即使您在 AC 本地的 MAC 认证账号中绑定了 VLAN,仍然必须在 radio 下的 service-template 中绑定相应的业务 VLAN。具体原因和技术原理如下:

1. 两者的核心作用不同

  • Service-template 中的 VLAN 绑定(基础通道):这是无线业务的“物理/逻辑通道”。它的作用是告诉 AP 和 AC,该 SSID 产生的数据流量应该被打上哪个 VLAN 标签进行转发。如果 service-template 中没有绑定 VLAN,终端设备虽然可能通过了认证,但无法获取到正确的 IP 地址,也无法正常通信。
  • MAC 认证账号中的 VLAN 绑定(动态授权):这是在用户通过身份验证后,由认证系统下发给设备的“策略属性”。它用于实现更精细化的控制,例如根据用户的身份(如研发、财务)动态将其划分到特定的授权 VLAN 中。

2. 为什么两者都需要配置?

在实际的 WLAN 架构中,当客户端接入时,设备处理 VLAN 的逻辑是有优先级的。对于采用 802.1X 或 MAC 认证方式上线的无线客户端,其 VLAN 分配的优先级通常为:授权 VLAN > 漫游 VLAN > 初始 VLAN(即 service-template 绑定的 VLAN)
这意味着:
  • Service-template 是兜底配置:它确保了该无线网络有一个默认的业务 VLAN 归属。
  • MAC 认证绑定是覆盖配置:当用户在 MAC 认证中匹配成功并带有 bind-attribute vlan x 时,系统会优先使用这个授权的 VLAN ID 来承载该用户的流量。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明