绿洲平台固定账户认证个别用户无法弹出认证页面

相关设备： WX2540H  Version 7.1.064, ESS 5417P01

    起初渠道工程师反应WX2540H的AC结合绿洲平台做固定账户认证，有些新接入的用户无法弹出portal认证页面，老用户认证及上网正常。排查后发现，绿洲平台上及设备侧这些用户一直未下线，导致新用户连接进来无法正常弹出认证页面，认证异常上不了网。

    检查配置后发现渠道工程师将闲置切断时间配置为了600分钟，而DHCP地址租约仅有30分钟。建议渠道按照绿洲开局指导书的注意事项，将闲置切断时长配置为DHCP地址租约的一半，渠道后续反馈闲置切断时长配置为了15分钟，绿洲平台上显示用户已经可以正常下线了，但AC设备侧在display portal-user all 时发现用户仍然在线，且在线时长已远超闲置切断时长。

    绿洲平台上用户已正常下线，但是设备侧用户仍在线，导致新接入的用户无法正常弹出认证页面，与现场确认后得知现场还配置了portal无感知认证。

    后续经过确认得知该问题为一直以来存在的绿洲平台配合AC的使用问题。正常情况下，绿洲平台在一定闲置切断时长内未产生闲置切断流量后会将用户踢下线，然后会给设备侧发送消息，同时让设备侧将用户踢下线，但是AC是无法识别这个idle-cut的，导致无法顺利将用户踢下线。

确认方法：

dis portal user mac e4e4-ab04-eadb verbose

Basic:

AP name: 8440

…..

AAA:

Realtime accounting interval: 0s, retry times: 1

Idle cut: N/A //如果是N/A就是异常，正常情况应该是有一个具体数值（秒）

Session duration: 0 sec,remaining: 0 sec

Remaining traffic: N/A

目前所有AC 版本都涉及，D029SP21版本才合入解决。规避手段：AC domain域下同步配置idle-cut，定期清除表项

如果仅做portal认证，未配置无感知时是不会出现这个问题的，这个授权下发失败是出现在无感知过程。

规避方法：

AC设备上同步配置闲置切断，最好与绿洲平台配置保持相同

在domain域下配置

#

domain cloud

authorization-attribute idle-cut 15  10240 //绿洲上的闲置时长+流量

authorization-attribute session-timeout 1440 //单日上网时长

authentication portal none

authorization portal none

accounting portal none