acg认证用户认证范围

没辙

可以采用以下方案解决该问题： 由于IP地址范围过大导致绑定超规格，建议**不通过IP绑定限制**，而是通过**接入方式或认证源区分无线与有线流量**。具体可采取如下措施： 1. **认证策略按接入设备或网络位置区分**： - 在ACG上配置认证策略时，结合**接入接口或VLAN**判断来源，仅允许来自无线侧（如指定VLAN或接口）的认证请求通过。 - 将无线用户接入到指定VLAN，并在ACG上对该VLAN启用Web认证，有线网络不启用相关认证策略。 2. **账号分组 + 接入策略控制**： - 将仅限无线使用的账号加入特定用户组。 - 配置策略规则：该用户组仅允许从无线AC或AP下联的接入点（如特定网段、接口、VLAN）发起认证，其他接入方式拒绝。 3. **利用RADIUS属性（如NAS-Port-Type）**： - 若ACG支持与RADIUS配合，可通过无线控制器（AC）在认证时携带NAS-Port-Type为“Wireless（19）”等标识。 - ACG侧根据该属性判断是否为无线接入，仅允许无线类型认证通过。 4. **终端免认证IP + 黑白名单结合**： - 对有线网络中固定终端配置静态IP并加入ACG免认证列表，避免其触发认证。 - 无线用户统一走Web认证，通过VLAN或网关位置隔离认证范围。 综上，推荐方案：**通过VLAN或接口划分无线/有线网络，在ACG上配置基于接入位置的认证策略，结合用户组实现账号仅允许无线认证**，避免依赖大范围IP绑定。 参考H3C ACG支持本地Web认证及VLAN策略控制能力，上述方案可在现网实现。