ACG 1000-TE 使用远端ldap认证，能配合本地无感知使用吗？

1. 检查认证策略顺序与配置
   • 策略顺序至关重要：设备会从上到下匹配认证策略。请进入“用户管理 > 认证管理 > 认证策略”，确认是否存在一条针对您目标网段的、认证方式为 “本地无感知认证”​ 的策略，并且这条策略的顺序必须排在LDAP认证策略之前。如果顺序反了，设备会先匹配到LDAP认证，就不会触发无感知流程。
   • 策略范围是否正确：检查这条无感知认证策略的“源地址”是否包含了用户的IP地址段。
2. 检查无感知认证的关键配置
   • 确保功能已开启：在“用户管理 > 认证管理 > 认证方式 > 本地无感知认证”中，确认已勾选“启用无感知认证”选项。
   • 确认MAC学习方式：您已开启“跨三层MAC学习”，这步是正确的。请确认设备上行接口的IP地址（即NAS IP）配置准确，以确保设备能正确接收并解析来自三层交换机镜像过来的SNMP陷阱（Trap）报文，从而学习到用户的真实MAC地址。
3. 完成首次LDAP认证
   • 无感知认证依赖于首次的LDAP认证：流程图清晰地表明，一个用户必须先成功完成一次LDAP认证（例如通过Web门户输入账号密码），其MAC地址才会被设备记录，之后才能享受无感知体验。请确认测试用户已经历过此步骤。

🛠️ 其他排查步骤与建议

• 验证网络可达性：确保ACG1000-TE设备与LDAP服务器之间的网络连接正常，端口通畅。
• 检查LDAP服务器配置：在“用户管理 > 认证管理 > 认证服务器”中，仔细核对为无感知认证策略所引用的LDAP服务器的各项参数，包括服务器地址、端口、Base DN、管理员账号密码等，确保与LDAP服务器实际配置完全一致。任何不一致都可能导致认证失败。
• 查看系统日志：设备的系统日志是排查故障的宝库。重点关注用户认证相关的日志，搜索测试用户的IP或MAC地址，看是否有明确的失败原因记录（如“LDAP server connection failed”、“Invalid credentials”等）。这能提供最直接的线索。

💎 总结与后续步骤

• 认证策略的完整配置截图。
• 测试用户IP/MAC地址。
• 故障时间点的系统日志详情。

您好，ACG 1000-TE 支持远端 LDAP 认证配合本地无感知（如 MAC 无感知、IPoE 无感知）使用，核心是通过 “本地无感知触发 + 远端 LDAP 首次认证 + 本地会话缓存 / 绑定” 实现，需依赖设备版本与正确的认证策略、AAA 优先级及缓存机制配置H3C。

• 策略顺序至关重要：设备会从上到下匹配认证策略。请进入“用户管理 > 认证管理 > 认证策略”，确认是否存在一条针对您目标网段的、认证方式为 “本地无感知认证”​ 的策略，并且这条策略的顺序必须排在LDAP认证策略之前。如果顺序反了，设备会先匹配到LDAP认证，就不会触发无感知流程。

我是Version 1.10,Release 6616P02 ，这个版本，认证方式里没有“本地无感知认证”这个选项啊

可以配合使用。ACG1000-TE在启用远端LDAP认证的同时，支持结合本地无感知认证，但需确保以下配置正确：

1. **开启MAC无感知认证**：需配置 `user mac-sensitive enable` 并启用无感知认证功能；
2. **SNMP跨三层MAC学习已配置**：由于终端经过三层转发，必须通过SNMP同步方式获取真实用户MAC地址；
3. **确保ACG可学习到终端MAC**：若未在 `display user-waa local-waa` 中显示用户，可能原因为：
- SNMP用户同步未成功（检查SNMP配置、网络连通性、设备支持性）；
- 终端流量未经过ACG或未触发认证流程；
- 终端MAC未被正确上报至ACG。

建议检查SNMP用户同步状态及终端上线情况，确认ACG已获取终端真实MAC并生成无感知表项。若仅接单台PC直连ACG，可能因无法完成TCP三次握手导致无法触发Web重定向，需部署在可完成完整通信路径的网络环境中。