CampusEIA接入用户做MAC认证默认在线时长，或是否可以配置永久在线

MAC认证本身就是无感知的  

你问的这两个关于在线时长的配置以及EIA宕机后如何保持终端在线，确实是网络准入里非常核心的问题。我来帮你梳理一下，并提供最佳实践。

 两个“在线时长”配置的解释

首先，这两个地方配置的都是 EIA 下发给接入交换机（NAS）的 Session-Timeout 属性，用于决定用户何时被强制下线。区别在于作用范围和生效优先级：

• ① 单次最大在线时长（接入策略）：作用于特定的接入用户或用户组，用于精细控制，优先级高。

• ② 最大会话时长（系统参数）：作用于全局所有接入用户，是系统默认的兜底策略，优先级低。

优先级很简单：当两者同时配置时，策略（①）的数值优先生效。 如果策略（①）为空（未配置），则使用全局（②）的值。

 EIA 宕机后的逃生机制

这是保障业务连续性的关键，也就是你关心的“EIA宕机后如何保持在线”。

这里有个重要背景：EIA 会周期性下发 Session-Timeout 属性给交换机。一旦 EIA 宕机导致重认证时 RADIUS 报文无响应，交换机默认会在超时后断开用户连接。

因此，你需要的就是配置交换机的逃生机制 (Fail-Safe)，核心命令是 keep-online。当交换机向 EIA 发起重认证但没有响应时，keep-online 会让用户保持在线，直到 EIA 恢复。

交换机侧的关键配置

配置好之后，你就可以使用下面这些命令来验证用户的在线状态、时长以及 EIA 下发的 Session-Timeout 了：

• display mac-authentication connection：查看在线MAC认证用户的信息，关键字段如下：

  • Online duration：显示用户已经在线了多长时间。

  • Session timeout period：显示 EIA 下发的会话超时时间。如果为 N/A，说明 EIA 没下发该属性，或使用的是本地配置。

• display mac-authentication interface <接口名>：针对特定接口查看。

• display access-user：某些版本也支持此命令，可能看到更详细的授权信息（如 VLAN、ACL 等）。

 最佳实践总结

结合以上信息，我给你一个场景化的配置思路：

• 针对长期在线需求：在 EIA 的接入策略（①） 中，将目标账号的 单次最大在线时长（分钟） 配置为一个极大值（如 1440），或在系统参数（②） 中全局设定一个合理时长。

• 实现 EIA 宕机后保持在线：在接入交换机上配置好上面的 keep-online 逃生命令。这样一来，就算是业务高峰，用户终端也不会因为EIA的暂时不可用而断网了。