ACG 1000-TE 使用遠端ldap認證，能配合本地無感知使用嗎？

1. 檢查認證策略順序與配置
   • 策略順序至關重要：設備會從上到下匹配認證策略。請進入“用戶管理 > 認證管理 > 認證策略”，確認是否存在一條針對您目標網段的、認證方式為 “本地無感知認證”​ 的策略，並且這條策略的順序必須排在LDAP認證策略之前。如果順序反了，設備會先匹配到LDAP認證，就不會觸發無感知流程。
   • 策略範圍是否正確：檢查這條無感知認證策略的“源地址”是否包含了用戶的IP地址段。
2. 檢查無感知認證的關鍵配置
   • 確保功能已開啟：在“用戶管理 > 認證管理 > 認證方式 > 本地無感知認證”中，確認已勾選“啟用無感知認證”選項。
   • 確認MAC學習方式：您已開啟“跨三層MAC學習”，這步是正確的。請確認設備上行接口的IP地址（即NAS IP）配置準確，以確保設備能正確接收並解析來自三層交換機鏡像過來的SNMP陷阱（Trap）報文，從而學習到用戶的真實MAC地址。
3. 完成首次LDAP認證
   • 無感知認證依賴於首次的LDAP認證：流程圖清晰地表明，一個用戶必須先成功完成一次LDAP認證（例如通過Web門戶輸入賬號密碼），其MAC地址才會被設備記錄，之後才能享受無感知體驗。請確認測試用戶已經曆過此步驟。

🛠️ 其他排查步驟與建議

• 驗證網絡可達性：確保ACG1000-TE設備與LDAP服務器之間的網絡連接正常，端口通暢。
• 檢查LDAP服務器配置：在“用戶管理 > 認證管理 > 認證服務器”中，仔細核對為無感知認證策略所引用的LDAP服務器的各項參數，包括服務器地址、端口、Base DN、管理員賬號密碼等，確保與LDAP服務器實際配置完全一致。任何不一致都可能導致認證失敗。
• 查看係統日誌：設備的係統日誌是排查故障的寶庫。重點關注用戶認證相關的日誌，搜索測試用戶的IP或MAC地址，看是否有明確的失敗原因記錄（如“LDAP server connection failed”、“Invalid credentials”等）。這能提供最直接的線索。

💎 總結與後續步驟

• 認證策略的完整配置截圖。
• 測試用戶IP/MAC地址。
• 故障時間點的係統日誌詳情。

您好，ACG 1000-TE 支持遠端 LDAP 認證配合本地無感知（如 MAC 無感知、IPoE 無感知）使用，核心是通過 “本地無感知觸發 + 遠端 LDAP 首次認證 + 本地會話緩存 / 綁定” 實現，需依賴設備版本與正確的認證策略、AAA 優先級及緩存機製配置H3C。

• 策略順序至關重要：設備會從上到下匹配認證策略。請進入“用戶管理 > 認證管理 > 認證策略”，確認是否存在一條針對您目標網段的、認證方式為 “本地無感知認證”​ 的策略，並且這條策略的順序必須排在LDAP認證策略之前。如果順序反了，設備會先匹配到LDAP認證，就不會觸發無感知流程。

我是Version 1.10,Release 6616P02 ，這個版本，認證方式裏沒有“本地無感知認證”這個選項啊

可以配合使用。ACG1000-TE在啟用遠端LDAP認證的同時，支持結合本地無感知認證，但需確保以下配置正確：

1. **開啟MAC無感知認證**：需配置 `user mac-sensitive enable` 並啟用無感知認證功能；
2. **SNMP跨三層MAC學習已配置**：由於終端經過三層轉發，必須通過SNMP同步方式獲取真實用戶MAC地址；
3. **確保ACG可學習到終端MAC**：若未在 `display user-waa local-waa` 中顯示用戶，可能原因為：
- SNMP用戶同步未成功（檢查SNMP配置、網絡連通性、設備支持性）；
- 終端流量未經過ACG或未觸發認證流程；
- 終端MAC未被正確上報至ACG。

建議檢查SNMP用戶同步狀態及終端上線情況，確認ACG已獲取終端真實MAC並生成無感知表項。若僅接單台PC直連ACG，可能因無法完成TCP三次握手導致無法觸發Web重定向，需部署在可完成完整通信路徑的網絡環境中。

ldap的用戶同步到本地才能支持無感知