WX3520H-F无线对接深信服上网行为管理，ap漫游后总的重新认证

漫游后换网段了 ？

一、根本原因分析

1. 深信服免认证机制的局限性

• 深信服AC的免认证功能仅对同一IP地址生效（基于IP/MAC绑定表），当终端漫游后IP变化：
  • 华三AC未向深信服发送会话迁移通知，深信服无法将新IP关联到原有认证会话。
  • 深信服检测到新IP未在免认证列表中，强制触发Portal重认证3。

2. 华三AC缺少漫游会话同步配置

• 默认情况下，华三AC在终端跨AP漫游时：
  • 若漫游前后VLAN不同（IP地址段变化），AC会清除原有client表项，导致深信服认为终端是新会话。
  • 未启用WLAN漫游中心功能，无法向深信服同步用户漫游前的认证状态1。

3. 关键参数配置缺失

• client cache-aging time 参数控制AC对终端VLAN信息的缓存时长：
  • 默认值180秒，若终端漫游速度快于缓存老化时间，AC仍可能误判为新会话。
  • 若配置为0，则终端切换AP时直接丢弃原有VLAN信息，必然触发重新认证1。

二、针对性解决方案

1. 启用WLAN漫游中心功能（关键步骤）

注意：深信服AC需在【接入管理】→【接入认证】→【联动对接设置】中开启Portal漫游支持，并确认华三AC IP在允许列表中9。

2. 调整AC会话缓存参数

关键逻辑：client idle-timeout + cache-aging time 必须大于终端跨区域漫游所需时间，否则AC仍会清除会话1。

3. 深信服侧免认证范围扩展

• 路径：【接入管理】→【接入认证】→【Portal认证】→【认证策略】→【高级选项】
• 勾选 √ 允许MAC快速认证（无感知认证）
• 设置 免认证绑定对象：MAC地址（而非IP地址）
• 调整 免认证有效期 ≥ 终端漫游周期（例如7天）

  此配置使深信服仅校验终端MAC是否已认证，忽略IP地址变化3。

三、验证与故障排查

1. 检查漫游会话同步状态

• 在华三AC执行：
  display wlan client roaming # 查看漫游终端是否标记为"Roaming" display wlan client verbose # 确认"Roaming State"为Active
• 在深信服AC查看在线用户列表，同一MAC地址应持续在线，即使IP变化。

2. 典型故障场景处理

• 现象：漫游后新IP仍需认证，但旧IP未下线
  原因：深信服未收到华三AC的会话迁移通知。
  解决：检查华三AC与深信服AC的50100端口通信是否被防火墙拦截12。
• 现象：终端频繁触发重认证（间隔固定）
  原因：client cache-aging time 设置过短。
  解决：将缓存时间调整为 终端最大漫游时间 + 60秒（例如跨楼漫游需300秒，则设360秒）。

四、补充建议

1. 避免跨VLAN漫游触发重认证
   若业务允许，将所有区域AP划入同一业务VLAN，确保终端漫游时IP不变。此时无需额外配置漫游参数，深信服免认证可直接生效1。
2. 关闭华三AC的IP地址冲突检测
   防止因新旧IP冲突导致会话中断：
   
   

   wlan client ip-conflict-detection disable # 仅适用于单AC组网
3. 深信服侧关闭"认证后强制绑定IP"
   路径：【认证高级选项】→ 取消勾选 √ 用户绑定IP和MAC的绑定关系，确保IP变化不影响认证状态