WX2540X无线AC如何配置认证成功后动态下发业务部本VLAN上网？

未认证 → 分配隔离 VLAN（外部地址段）
哑终端（MAC 白名单）→ 直接放行，不弹 Portal
普通终端 → 弹 Portal → LDAP 认证 → 动态切换到部门业务 VLAN
用 Portal+MAC 认证 + RADIUS/LDAP 授权 VLAN 组合实现
一、组网与规划（先定好）
隔离 VLAN：VLAN 10（10.0.0.0/24） → 认证前用
业务 VLAN：VLAN 20、30、40… → 认证后按部门下发
管理 VLAN：VLAN 100（AC/AP 管理）
LDAP/RADIUS 服务器：192.168.100.10（与 AC 同管理网段）
哑终端 MAC：手工在 AC 配置MAC 地址认证白名单
二、AC 基础配置（WX2540X）
bash
运行
# 1. 全局
system-view
sysname WX2540X
vlan 10,20,30,40,100

# 2. 隔离VLAN接口（认证前地址）
interface Vlan-interface 10
ip address 10.0.0.1 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5

# 3. 业务VLAN接口（示例VLAN20）
interface Vlan-interface 20
ip address 192.168.20.1 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5

# 4. 管理VLAN
interface Vlan-interface 100
ip address 192.168.100.1 255.255.255.0

# 5. 默认路由（指向核心/网关）
ip route-static 0.0.0.0 0 192.168.100.2
三、AAA + LDAP/RADIUS 配置（关键）
你要 LDAP 做认证、RADIUS 下发 VLAN（H3C Portal+LDAP 一般借 RADIUS 做授权）
bash
运行
# 1. RADIUS模板（对接LDAP/RADIUS服务器）
radius scheme LDAP-RAD
primary authentication 192.168.100.10
primary accounting 192.168.100.10
key simple 123456 # 和服务器一致
user-name-format without-domain

# 2. 认证方案（先MAC，再Portal）
authentication-scheme AUTH-MAC-PORTAL
authentication-method mac portal # 先MAC白名单，再Portal

# 3. 授权方案（动态VLAN）
authorization-scheme AUTHZ-DYN-VLAN
authorization-method radius # 由RADIUS下发VLAN

# 4. 域绑定
domain default enable portal-domain
domain portal-domain
authentication-scheme AUTH-MAC-PORTAL
authorization-scheme AUTHZ-DYN-VLAN
radius-scheme LDAP-RAD
四、MAC 白名单（哑终端直接放行）
bash
运行
# 开启MAC认证
mac-authentication

# 哑终端MAC（打印机/机器人/登记PC）
mac-authentication mac 0011-2233-4455
mac-authentication mac 00aa-bbcc-ddee
# 这些MAC上线 → 直接认证通过 → 进入业务VLAN（或默认VLAN）
五、Portal 配置（内置 Portal，弹页 + 重定向）
bash
运行
# 1. 全局开启Portal
portal enable

# 2. 配置Portal Web（内置）
portal web-server LOCAL-PORTAL
url http://10.0.0.1/portal # 隔离VLAN地址，用于重定向
server-type local

# 3. 认证前ACL（仅放行DHCP/DNS/Portal）
acl advanced 3000
rule permit udp destination-port eq 67 # DHCP
rule permit udp destination-port eq 53 # DNS
rule permit tcp destination-port eq 80 # Portal
rule deny ip # 其他阻断

# 4. 在隔离VLAN接口下绑定Portal+ACL
interface Vlan-interface 10
portal enable method direct
portal web-server LOCAL-PORTAL
portal acl 3000 # 认证前只能访问Portal/DHCP/DNS
六、无线服务模板（SSID）
bash
运行
# 服务模板：认证前在VLAN10，认证后动态切换
wlan service-template WIFI-EMP
ssid EMP-WIFI
vlan 10 # 初始隔离VLAN
portal enable # 开启Portal
mac-authentication enable # 开启MAC认证
service-template enable

# 绑定到AP Radio
wlan ap ap1 model WA6638
radio 1
service-template WIFI-EMP
radio enable
七、LDAP/RADIUS 服务器侧配置（你要做的）
在 LDAP/RADIUS 服务器上（如 AD+NPS、或专用 LDAP）：
建立用户组（对应部门 VLAN：如组 “Dev”→VLAN20，组 “HR”→VLAN30）
网络策略里下发 RADIUS 属性：Tunnel-Pvt-Group-ID = VLAN 号
例如：Dev 用户 → 下发 20
共享密钥和 AC 上一致（123456）
八、效果验证（完全符合你要求）
哑终端（白名单 MAC）
连 WiFi → MAC 命中 → 直接认证通过 → 获得业务 VLAN 地址 → 不弹 Portal
普通终端（手机 / 访客）
连 WiFi → 进入VLAN10（10.0.0.x）
访问任意 HTTP → 自动重定向到 Portal 页面
输入 LDAP 账号密码 → 认证成功 → AC 动态把终端从 VLAN10 切到授权 VLAN（如 VLAN20） → 重新获取业务 IP → 上网
九、常见坑
❌ 不能 “纯 LDAP 下发 VLAN”：H3C Portal 必须借RADIUS 做授权 VLAN
❌ 初始 VLAN 必须是隔离 / 非业务网段，否则认证前就能访问内网
❌ 必须在VLAN 接口下绑定 Portal+ACL，不能在无线模板直接绑定 ACL

你这也需求有点麻烦了，联系办事处无线专家沟通下吧