全网行文管理13.0.7（准入客户端--认证助手）针对最近做的H3C交换机提出建议

认证助手（全网行文管理--准入客户端）针对最近做的H3C交换机

原帖论坛：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=125351

针对测试环境对产品经理提出测试环境中发现的问题。

客户的无线使用的是AC的Protal的密码认证+免认证，有线使用的是802.1x。

涉及到网络切换------无线切换有线的场景：

无线用的是protal认证，使用密码登录。假设一种情况，客户现在正在使用无线，AC上正常显示客户的密码认证上线，当客户接上网线，打开认证助手，此时认证助手会匹配到无线的密码认证上线的用户，必须要手动点击注销，然后在输入有线的802.1X的用户名和密码 才能重新上线。    （因为终端不可能接上网线就自动把无线用户踢下线，这场景就不符合用户使用体验了，所以必须要手动打开认证助手，注销当前用户。）

涉及到网络切换------从有线---切换无线---切换有线的场景：  （客户上班用有线。开会用无线。开完会回来接上有线，发现客户端无法注销的环境）
接入有线的环境下，并用客户端正常登录802.1x的用户名和密码，此时上网正常。当拔掉网线的时候，AC侧大概1分30秒左右，用户的在线信息及认证方式会自动消失，但是客户端会一直在线并累计时长，等了30分钟，认证客户端任然在累计时长，不会自动注销（请看下方截图一）。此时直接连接wifi，打开网页，自动跳转到密码登录认证界面，对应输入用户名和密码，无线正常上线，此时客户端没有自动注销的情况下，直接重新累计时长，并匹配到AC测的无线用户正常的登录时间。当无线使用时间累计时长在11分钟，手动点击注销客户端显示无法自动注销。此时问题就出来了。（请看下方截图二）

截图一，右下方没有网络，认证助手不会自动注销。

截图二，拔掉有线的30分钟之后，直接用无线上网，客户端不会自动注销，客户端直接匹配了无线的上网时间，但是无法注销。

查看在线用户认证，匹配到了“无线勾选了免认证的策略”，而免认证目前在客户端还无法支持注销。看下方我跟研发对接的话术。

---最后临时的解决办法就是登陆****（不加https哈，浏览器上右上角手动注销用户），等和后续AC版本优化。

最终总结：

一、首先很感谢一直对接的北京研发林向东。

二、准入客户端现在还存在很多不确定因素，也跟北京的研发林向东沟通，总结出来的下方几个问题，希望对后续技服同事的测试和实施有帮助。

无线使用了密码认证+免认证    有线使用了802.1x认证。

1、在接入802.1x的有线环境下，拔掉网线，切换成无线的场景下，打开了认证助手，认证助手显示在线，并且累计时长，AC上显示用户以免认证上线，为何无法注销？

答: 正常的逻辑免认证上线是不会主动去注销的，所以如果用户主动注销，会自动把免认证的绑定关系禁用掉，免认证上线可以通过浏览器注销不能通过认证助手注销的原因是：认证助手插件跟AC有心跳流量，这个流量能触发免认证上线，如果认证助手主动注销，绑定关系禁用了但是还没下发到驱动，新的流量会触发免认证上线，导致终端又立即上线。

2、登录无线的场景下，无线切换成有线，为何认证助手会匹配到用户在线，并且累计时长

答：登录无线的情况下，PC对应的这个ip已经在AC上线，认证助手会每一分钟去请求获取本用户的在线情况。所以无线切有线需要先注销然后重新登录

3、什么时候可以实现无线准入的需求？

答: 这个版本已经在规划，具体实现发布时间要看具体版本规划。目前还不清楚

4、免认证什么时候可以支持客户端注销？

答: 这个问题已经提出13.0.9正式版本评估优化，13.0.9正式版本预计10月底发布

5、接入802.1x的时候，拔掉网线，为何认证助手不会自动注销，一直累计时长？如果拔掉网线认证助手不会自动注销，什么时候会优化？

答：这个是加了判断只有portal才会自动退出，可以优化包放开限制，但这个需要跟版本沟通当时是出自什么样场景考虑。

----我觉得第5点产品经理应该考虑进去，站在客户角度去考虑。拔掉网线的场景下，正常客户都会觉得断网，但是客户端就是不断网，会造成不必要的误会。

谢谢建议