多套IMC认证同步问题

可以支持，但这有严格的实现条件。用户能否在两个校区间漫游时免认证，完全取决于A、B两个校区的iMC服务器是否被整合为“一套”系统。

简单来说，iMC的Portal无感知认证功能本身在单服务器环境下是成熟可靠的。用户首次认证时，EIA组件会将用户的账号与终端的MAC地址绑定并记录在数据库中；用户再次接入时，服务器会根据MAC地址自动完成认证。然而，这个“无感知”的便利在跨服务器场景下能否实现，就取决于服务器的架构了。

核心原则：一套认证系统，才能实现无缝漫游

跨校区漫游免认证的核心，在于两个校区的设备必须对接“同一套”iMC认证系统。

•  分离的独立服务器：如果A、B校区各自部署了完全独立的iMC服务器，无法实现免认证。因为用户的认证信息仅存在于其首次认证的校区数据库中，当漫游到另一个校区时，服务器无法识别用户，将强制要求重新认证。

•  整合的统一认证中心：这是实现无缝漫游的正确路径。其核心是A、B校区的网络设备（AC/交换机）都指向同一个认证中心。具体有以下几种实现方式：

  • 单服务器架构：所有校区的网络设备都直接对接同一台物理或虚拟的iMC服务器。

  • 分布式部署架构：iMC支持分布式部署，A、B校区各部署一台EIA服务器（EIA1和EIA2）。通过在EIA1和EIA2之间建立漫游信任关系，并配置RADIUS代理转发认证请求，就可以将两台独立的服务器逻辑上整合为“一套”系统，实现跨校区漫游认证。在iMC 7.3 (E0628)及之后的版本，通过配置802.1X认证的漫游，可以支持这种跨服务器的场景。

  •  重要限制：V5与V7 AC的漫游：如果A、B校区的AC硬件或软件版本不同（例如V5和V7系列），在跨AC漫游时可能会存在兼容性问题，导致出现明显的网络重连现象。

实现免认证的关键步骤

要确保跨校区漫游时能实现免认证，必须在网络规划阶段就完成以下配置：

1. 搭建统一的认证平台：这是所有工作的基础。选择将各校区的网络设备（AC/交换机）指向同一台iMC服务器，或采用分布式部署并配置好EIA组件间的漫游认证，确保系统之间可以互通。

2. 启用Portal无感知认证功能：在iMC EIA组件的接入服务中，必须启用“无感知认证”功。

3. 打通设备间VLAN（关键）：根据H3C官方社区的案例，不同校区DHCP地址池不统一是导致漫游失效的主要原因之一。确保两校区的DHCP地址池合并或统一，让用户的终端在两个校区都能获取到相同网段的IP地址，这是保证无感知体验的 “隐形”但至关重要的条件。

4. 设备配置一致性：确保所有接入设备（如AC）的RADIUS和Portal配置都指向统一的iMC服务器，并配置相同的共享密钥和Portal主页URL。

操作流程对比

单独的认证服务器的话是实现不了的 

一、方案 1：两套独立 IMC/EIA + 漫游同步（最常用）

1.1 前提条件

• 两边 EIA 版本一致（推荐 7.3 E0620+）
• 网络互通：放通 TCP 8080、9090、1812、1813
• 用户数据同源：两边都对接同一 LDAP/AD，或账号完全同步
• 接入设备（AC / 交换机）已正确指向本校区 EIA

1.2 配置步骤（两边都做）

1. 登录 EIA → 用户 > 接入策略管理 > 终端访问配置 > 漫游配置
2. 点【增加】：
   • 对端服务器 IP
   • 共享密钥（两边相同）
   • 类型：认证 + 计费
   • 端口：1812/1813
3. 开启：
   • 在线状态同步
   • 漫游免认证
4. 配置 “漫游接入服务 / 策略”（同普通 Portal 服务）
5. 接入设备上启用 漫游 相关属性

1.3 原理

• 用户在 A 认证在线 → A 同步状态到 B
• 到 B 接入时：B 查 A 在线状态 → 直接免认证放行
• 同时同步下线 / 强退状态

二、方案 2：集中式 EIA 集群 + 分布式 Portal（更稳定）

• A、B 设备都指向 同一套 EIA
• 认证状态天然统一，不需要同步配置
• 跨区直接免认证，体验最好
• 适合后期扩容、统一管理

三、关键注意点（必看）

1. 版本必须匹配：跨 IMC 漫游要求主版本 + 补丁版本一致
2. 用户必须同源：LDAP/AD 最稳；手动建账号必须完全一样
3. 时间同步：两边服务器 NTP 时间一致（误差 < 30s）
4. 无感知 / Portal：都支持；802.1X 也支持漫游
5. 不要跨大版本：EIA 7.2 ↔ 7.3 一般不支持漫游

四、一句话建议

• 已经两套 IMC：用 方案 1（漫游同步）
• 新建 / 改造：强烈推荐 方案 2（集中 EIA + 分布式 Portal），后期维护最简单