无线一个ssid 对应的ap绑定不同的业务vlan ，对接portal无感是否支持 怎么配置

正常对接就可以

一、 核心配置思路

1. AC 侧（SSID 与 VLAN 映射）：通过创建 vlan-pool，将多个业务 VLAN 加入同一个池中，并将该池绑定到指定的无线服务模板（Service-Template）上。这样，无论用户连接到哪个 AP，都会从该 VLAN 池中动态获取对应的业务 VLAN。
2. Portal 无感认证侧：由于终端在不同 AP 间漫游时会分配到不同的 VLAN，必须开启 MAC 快速认证（MAC-trigger / mac-binding） 功能，使得设备记住用户的 MAC 地址，后续跨 VLAN 移动时自动免密放行。

二、 AC 侧配置步骤（以 H3C Comware V7 为例）

三、 Portal 无感认证配置要点

1. 开启 MAC 触发/绑定功能：在 Portal 认证域或接口下开启 mac-binding enable 或创建 portal mac-trigger-server。这是无感认证的核心机制，首次认证后系统会将用户名/密码与终端 MAC 绑定。
2. 合理设置老化时间：配置 MAC 绑定的老化时间（如 aging-time 24 小时或更长），确保用户在一天内多次切换 AP 和 VLAN 时无需重新输入密码。
3. 开启 Portal 漫游功能：为了保证用户在同一个 VLAN 或不同 VLAN 的不同 AP 之间移动时无须重复认证，必须在无线侧开启 Portal 用户漫游功能。

四、  关键注意事项与排错

• 交换机 Trunk 放行：务必检查所有 AP 接入交换机的上行端口及 AC 互联端口，确保其 Trunk 链路允许所有的业务 VLAN（如 10, 20, 30）通过，否则会导致部分 AP 下的用户无法获取 IP 或无法弹出 Portal 页面。
• 跨三层 MAC 学习：如果您的 Portal 网关与无线终端不在同一个二层网段（跨三层组网），默认情况下设备只能学到下一跳路由器的 MAC。必须开启 SNMP 跨三层 MAC 学习功能，否则系统无法获取终端的真实 MAC，会导致所有用户都无法实现无感认证，或者所有人共用一个无感状态。
• 验证命令：配置完成后，可以通过 display portal mac-binding 查看 MAC 绑定表是否成功生成，以及通过 display portal user all 确认用户上线时的 VLAN 是否正确分配到了 VLAN Pool 中的对应值。

同一 SSID、不同 AP 下发不同业务 VLAN + Portal 无感知认证 完整方案
一、核心结论：完全支持
同一 SSID 多 VLAN 实现原理
采用AP 分组 + 射频绑定服务模板时覆盖 VLAN：全局服务模板只定义 SSID、Portal 认证基础配置，不写固定 vlan；不同 AP/AP 组 radio 绑定该服务模板时，单独指定专属业务 VLAN，实现同 SSID 跨 AP 不同网段。
Portal 无感（MAC-trigger 无感知）兼容性
MAC 无感知基于终端 MAC 地址校验，和接入 VLAN 无关：终端首次认证后，MAC 白名单存入 iMC/AC 本地，后续无论从哪个 AP、哪个业务 VLAN 接入，都会自动免弹页面放行，跨 VLAN 漫游无感持续生效。
适配组网：集中转发 / 本地转发均支持，Comware V7（WX25/35/55 系列 AC、Fit 胖 AP 通用）。
二、整体配置思路
规划：隔离预认证 VLAN（统一，所有 AP 共用）、多组业务 VLAN（每个 AP/AP 组独立）、AC 三层 VLANIF 网关、Portal 免放通规则；
无线侧：单服务模板配置 SSID+Portal 基础，不在模板内写 vlan；AP 分组绑定射频时，service-template X vlan XX 单独覆盖业务 VLAN；
Portal 无感知：开启mac-trigger云端 / 本地无感知，iMC 终端管理启用无感知认证；
配套：开启 Portal 漫游、跨 VLAN MAC-VLAN 表项固化，保障跨 AP 免认证不掉线。
三、完整可复制配置（V7 AC 命令行）
步骤 1：基础 VLAN、三层网关、Portal 服务器基础
shell
system-view
# 1. 预认证隔离VLAN（所有AP统一，未认证终端先划入）
vlan 10
interface Vlan-interface 10
ip address 10.0.10.1 255.255.255.0
quit
# 各AP独立业务VLAN示例
vlan 100 # A区AP业务VLAN
interface Vlan-interface 100
ip address 10.0.100.1 255.255.255.0
quit
vlan 200 # B区AP业务VLAN
interface Vlan-interface 200
ip address 10.0.200.1 255.255.255.0
quit

# 2. 外置Portal服务器（iMC EIA）配置
portal web-server IMCPortal
url http://192.168.1.100/portal
server-type imc
quit

# 3. Portal全局基础+无感知MAC-trigger
portal roaming enable # 无线跨AP漫游免重复认证
portal mac-trigger-server imc
cloud-binding enable # 联动iMC云端MAC白名单
cloud-server url http://192.168.1.100
quit
# 免认证放行规则（DNS、Portal页面、DHCP）
portal free-rule 0 destination ip 192.168.1.100 255.255.255.255
portal free-rule 1 destination ip any udp 53
portal free-rule 2 destination ip any tcp 53
portal free-rule 3 destination ip any udp 67 68
# 开启跨VLAN MAC-VLAN固化，漫游不丢业务VLAN
portal refresh arp enable
portal host-check enable
步骤 2：无线服务模板（关键：不配置 vlan，统一 SSID+Portal）
shell
wlan service-template portal-wifi crypto
ssid Office-WiFi # 全网统一SSID
# 认证基础
portal enable method direct
portal apply web-server IMCPortal
portal domain dm-portal # Portal认证域
# 加密配置（WPA2-AES）
security wpa2 psk pass-phrase Wifi@123456 aes
# 预认证默认隔离VLAN10（未认证统一进隔离段）
vlan 10
service-template enable
quit

# 认证域（对接iMC RADIUS）
domain dm-portal
authentication portal radius-scheme imc-radius
authorization portal radius-scheme imc-radius
accounting portal radius-scheme imc-radius
quit
步骤 3：AP 分组，同模板绑定不同业务 VLAN（核心差异化配置）
示例 1：A 区 AP 组，射频绑定模板并覆盖业务 VLAN100
shell
wlan ap-group Group_A
model WA6628X
radio 1
# 绑定统一SSID模板，单独指定本AP组业务VLAN100
service-template portal-wifi vlan 100
radio enable
quit
# 把A区所有AP加入该分组
wlan ap AP-A01 serial-id 210235AXXXXXX
ap-group Group_A
quit
wlan ap AP-A02 serial-id 210235AXXXXXX
ap-group Group_A
quit
示例 2：B 区 AP 组，同 SSID 模板，覆盖业务 VLAN200
shell
wlan ap-group Group_B
model WA6628X
radio 1
service-template portal-wifi vlan 200
radio enable
quit
# B区AP加入分组
wlan ap AP-B01 serial-id 210235AXXXXXX
ap-group Group_B
quit
原理：射频视图service-template X vlan XX会覆盖服务模板默认 vlan，同一 SSID 模板，不同 AP 组射频绑定不同业务网段，实现需求。
步骤 4：iMC EIA 配套无感知认证配置（网页操作）
接入策略管理 → 业务参数配置 → 终端管理参数配置
【无感知认证】勾选启用，同时开启【非智能终端 Portal 无感知认证】；
终端老化时长按需设置（7 天 / 30 天），保存并手工生效；
无线服务模板认证域绑定 iMC，RADIUS 下发 MAC 白名单权限。
四、本地转发场景补充（AP 本地转发多 VLAN）
若流量在 AP 本地转发，交换机上联 AP 端口配置 trunk 放行隔离 VLAN10 + 所有业务 VLAN（100/200）：
shell
# 接入交换机连接AP端口配置
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 10 100 200
port trunk pvid vlan 10
五、关键注意事项 & 排错点
不能在 service-template 内写全局 vlan，否则所有 AP 强制同网段，无法差异化；
跨 AP 漫游无感知失效：检查portal roaming enable、portal refresh arp enable是否开启；iMC 无感知功能是否勾选；
终端认证后无法获取业务网段 IP：交换机 trunk 放行对应业务 VLAN、AC Vlan-interface 业务网段网关配置完整；
新增 AP 只需加入对应 AP 组，自动继承 SSID + 专属业务 VLAN，无需修改服务模板；
MAC 无感知仅识别终端 MAC，不受 VLAN 变更影响，首次弹页认证后，任意 AP 接入直接放行。
六、极简总结
支持方案：统一服务模板（仅 SSID/Portal，无固定 VLAN）+ AP 分组射频绑定时指定独立业务 VLAN；
Portal 无感完全兼容，MAC-trigger 白名单跨 VLAN 免弹窗；
核心命令：wlan ap-group分组 + service-template XX vlan X射频覆盖 VLAN；
配套必开：portal roaming enable、portal mac-trigger-server、iMC 终端无感知开关。