imc拉黑账号

立马下线

iMC EIA MAC 认证手动拉黑账号行为结论
一、核心答案（区分两种拉黑模式）
1. 普通手动拉黑账号 / 拉黑 MAC（默认业务优先模式）
不会立刻下线当前在线终端，仅阻止下次重认证
已在线 MAC 会话保持正常上网，交换机 / AC 本地保留认证会话，EIA 不会主动下发踢下线报文；
只有两种情况终端断网：
终端主动断开、重启网卡 / AP、交换机端口刷新，重新发起 MAC 认证，此时 EIA 校验黑名单直接拒绝上线；
会话超时（设备默认计费更新 12 分钟、会话超时按设备配置），重认证失败；
若要立刻断网，必须手动执行强制下线。
2. EPS 联动安全优先自动拉黑（终端不合规自动拉黑）
开启「安全优先 + 自动拉黑非法终端」后，EIA 会主动下发 RADIUS DM 下线报文，在线终端立即断网。
手动在 EIA 页面加入黑名单不触发该机制。
二、为什么手动拉黑不能即时踢下线
MAC 认证会话存在于接入交换机 / AC 本地，EIA 仅做认证授权，不主动下发下线指令；
黑名单是认证准入规则，只在终端发起认证请求时校验，不实时遍历在线会话；
EIA 后台定时任务 uamjob 每 10 分钟扫描黑名单同步，但不会主动踢在线用户，仅拦截新认证。
三、两种立刻拉黑断网操作方案
方案 1：Web 界面强制下线（推荐）
顶部切换「用户」页签 → 接入用户管理 → 在线用户；
勾选目标 MAC / 账号 → 点击【强制下线】；
下线完成后再把该账号 / MAC 加入黑名单，彻底杜绝再次上线。
方案 2：交换机命令行踢 MAC（适用于大量终端）
plaintext
# 全局开启RADIUS会话控制（必须配置，否则IMC无法下发DM踢下线）
system-view
radius session control enable

# 强制指定MAC的MAC认证用户下线
reset mac-authentication access-user mac XXXX-XXXX-XXXX

四、补充注意事项
仅拉黑不手动下线：终端可以一直上网，直到会话重认证；
拉黑后忘记踢下线：可在在线用户列表批量选中一次性全部下线；
若强制下线失效：检查交换机radius session control enable是否开启，该功能是 IMC 下发踢下线报文的前提；
自动黑名单（密码错误多次、欠费）：同样不会即时下线，仅拦截下次认证。

 手动强制下线操作步骤：

1. 登录 iMC 管理平台。
2. 在页面上方选择“用户”页签，单击导航树中的 [接入用户管理] > [在线用户] 菜单项。
3. 在在线用户列表中，找到该 MAC 账号并勾选其左侧的复选框。
4. 单击列表上方的 [强制下线] 按钮，并在弹出的确认对话框中单击 [确定]。

 补充说明：

• 黑名单生效机制：对于 MAC 认证，账号被加入黑名单后，该 MAC 地址的后续认证请求将被系统直接拒绝，从而达到禁止接入的目的。
• MAC 认证保活机制：由于 MAC 认证通常是无感知的，如果交换机侧配置了 Session-Timeout 或定期重认证机制，用户会在超时后尝试重新认证，此时才会触发黑名单拦截并掉线。如果不配置重认证，用户可能会一直保持当前的在线会话。因此，拉黑后手动强制下线是最直接、最稳妥的做法。