深信服免认证配置事项

一、免认证介绍说明：

1、AC的免认证分为两大类，基于用户绑定关系的免认证和基于cookie的免认证；

2、免认证实现的效果是第一次弹出一个认证页面让用户输入账号密码，第二次再上线就无感知上网了，不需要重复输入密码，不区分手机端还是电脑端，能弹出认证页面的终端都可以；

3、能否做免认证跟是手机端还是电脑端等终端类型无关，跟认证方式和是否做了用户绑定免认证&是否开启cookie免认证有关；

4、免认证可以设置有效期，有效期内就可以实现免认证上线；

二、免认证的原理和配置方式：
双向TCP流量：用户上线的前提是需要有双向的TCP流量经过AC（接入控制器），且发起方向为LAN（局域网）到WAN（广域网）方向经过设备[2]。
免认证的方式
免认证主要分为两大类：

基于用户绑定关系的免认证：用户首次上线时需要输入账号密码，之后在有效期内再次上线时无需重复输入密码。
基于Cookie的免认证：通过浏览器的缓存实现，用户在首次认证后，后续访问时可以直接上网，无需再次认证[1]。
免认证的配置
2.1 Cookie免认证：需要在认证高级选项中启用，具体配置方式根据不同版本的AC设备有所不同。例如：

在AC 12.0.46版本中，需在【用户认证与管理】-【认证高级选项】中勾选【启用Cookie免认证】。
在AC 13.0.120版本中，需在【接入管理】-【接入认证】-【认证高级选项】中勾选【启用Cookie免认证】[3]。

2.2 MAC免认证：需要在用户管理中配置用户的MAC地址绑定，确保该MAC地址的免认证设置有效。具体步骤也因版本而异[1]。

以标准版本AC 12.0.46版本为例（适用版本区间：AC11.0-12.0.46），配置思路如下：

1、可以通过【用户认证与管理】-【用户认证】-【认证策略】-【认证后处理】启用【用户绑定】勾选绑定【MAC地址】或【IP地址】，并开启【免认证】

2、可以通过【用户认证与管理】-【用户管理】-【用户绑定】里面新增用户名和MAC地址的绑定关系，然后勾选开启【免认证】

以标准版本AC 13.0.120版本为例

1、可以通过【接入管理】-【接入认证】-【Portal认证】-【认证策略】新增/编辑策略，在【认证后处理】启用【自动录入绑定关系】-勾选【自动录入用户和IP/MAC的绑定关系】，在【绑定目的】选择【免认证】，【绑定对象】勾选【绑定MAC】或【绑定IP】

2、在【接入管理】-【用户管理】-【用户绑定管理】-【用户绑定】点击【新增】，【绑定目的】选择【免认证】，【绑定对象】选择【绑定MAC】，并配置对应终端MAC地址

注意事项
MAC免认证与内网环境有关，若AC设备下有三层环境，需先配置跨三层取MAC。
在MAC免认证期间，用户的IP地址变化也不会影响免认证的状态[1]。

三、免认证注意事项：

1、MAC免认证和内网环境有关系，如果AC下面是三层环境，需要先配置跨三层取MAC；

2、MAC免认证和用户的注销方式没有关系，在免认证期间，任何一种注销方式都是支持下次再免认证；

3、在MAC免认证期间，当pc机的ip地址变化下次上网也仍然是可以直接上网；

4、cookie免认证是基于浏览器的缓存来实现的，所以用户不能清空浏览器缓存；

5、只有通过【无流量自动注销】、【每天强制注销所有在线用户】方式注销，cookie免认证才会生效；需要注意的是，手动清空浏览器cookie、强制注销在线用户、关闭认证结果页面或认证页面注销用户、管理员修改账户属性等操作都会使cookie免认证失效；

6、MAC免认证和cookie免认证都不需要安装客户端插件。