防火牆本地portal+mac免認證

檢查下跨三層獲取的mac是否正確吧

1. 跨三層環境MAC地址不可達
   在跨三層組網中，防火牆通過SNMP獲取的是核心交換機學習到的終端MAC地址，但實際經過三層轉發後，防火牆收到的報文源MAC為核心交換機的接口MAC（非終端真實MAC）。因此基於源MAC的免認證規則無法匹配到終端真實MAC，導致規則失效。

2. Portal認證模式限製
   若Portal認證配置為三層認證（portal enable method layer3），此時認證流程基於IP層，MAC地址信息不會跨三層傳遞到防火牆。免認證規則中的MAC匹配僅適用於二層直接接入場景，無法在三層環境中生效。

3. 免認證規則配置要求
   根據手冊說明，基於MAC的免認證規則需滿足以下條件：

   • 規則需在用戶實際接入的接口/VLAN上生效。
   • 若同時指定源VLAN和接口，接口必須屬於對應VLAN。
   • 跨三層場景下需通過portal layer3 source明確認證源IP段，但MAC地址無法跨三層匹配。

解決方案

1. 優先使用基於IP的免認證規則
   在跨三層環境中，直接配置源IP地址免認證（如portal free-rule 2 source ip 10.1.1.0 24），此方式更可靠。

2. 若需基於MAC認證，需調整組網
   將服務器部署在防火牆二層接口下（如接入層直連防火牆），使防火牆能直接獲取終端MAC，此時MAC地址規則可生效。

3. 驗證跨三層MAC獲取配置
   確認SNMP同步MAC地址的配置正確，但需注意：

   • 跨三層獲取的MAC地址可能僅用於用戶識別，無法用於Portal免規則匹配。
   • 避免在SNMP同步中勾選"自動錄入用戶"，防止靜態用戶跳過認證。

總結
跨三層組網中，基於MAC的Portal免認證規則因報文源MAC被核心交換機替換而失效。建議改用基於IP的免認證規則，或調整服務器部署至防火牆二層接口下以支持MAC匹配。若需保留三層架構，需結合DHCP Option或特定SNMP配置實現終端MAC透傳，但此類方案複雜度較高，建議優先使用IP規則。