IMC EIA Portal+ACG000认证IMC上接入用户绑定IP不生效

1. 正确的 IP 地址与地址段格式

• 单个 IP 地址：直接输入标准的 IPv4 地址。
  • 正确示例：192.168.10.50
• IP 地址段：使用连字符 - 来连接起始 IP 和结束 IP。
  • 正确示例：192.168.10.100-192.168.10.200

2. 为什么配置后“不生效”？（核心排查点）

• 排查一：ACG 是否开启了“地址分配方式”联动（最关键）
  iMC 绑定的 IP 需要通过 RADIUS 协议下发给 ACG，再由 ACG 分配给用户。你需要在 ACG 的 Portal 认证配置或 RADIUS 方案中，确认是否开启了“使用 RADIUS 分配的 IP 地址”或“地址分配方式为 RADIUS”。如果 ACG 依然使用本地的 DHCP 地址池随机分配 IP，那么 iMC 下发的绑定 IP 就会被忽略，导致“不生效”。
• 排查二：iMC EIA 的 DHCP 联动配置
  如果你的网络环境中 iMC EIA 兼任或联动了 DHCP 服务器，需要确保 EIA 的 DHCP 服务已经正常启动，并且绑定的这个固定 IP 没有被包含在其他动态 DHCP 地址池中（避免 IP 地址冲突）。
• 排查三：用户是否触发了重新认证
  修改用户的绑定信息后，对于已经在线的用户是不会立即生效的。必须让该用户下线并重新进行 Portal 认证，iMC 才会在新的认证过程中校验并下发这个绑定的 IP 地址。

3. 满足你需求的最终配置方案

1. 关闭全局绑定：进入【接入策略管理 -> 接入策略】，找到该 Portal 认证使用的接入策略，确保取消勾选“绑定用户IP地址”（或者将其设置为“不绑定”）。这样默认情况下，所有用户认证时都不会被强制校验 IP。
2. 配置特定用户绑定：
   • 进入【接入用户管理 -> 接入用户】。
   • 找到需要绑定固定 IP 的那部分用户，点击进入“详细信息”或“绑定信息”页签。
   • 在“IP地址”一栏，按照上述格式（如 10.1.1.100）填入指定的固定 IP，保存配置。
   • 对于不需要绑定 IP 的用户，保持该栏为空即可。
3. 验证测试：
   • 让配置了绑定 IP 的用户重新认证。如果 ACG 配置正确，该用户会被分配到你指定的 IP。
   • 此时，如果该用户换了一台终端（MAC 变了）或者手动修改本地 IP 尝试认证，iMC 会因为 IP/MAC 与绑定信息不符而拒绝认证（提示 IP 绑定检查失败）。

iMC EIA Portal+ACG 固定用户绑定 IP 不生效完整解决方案
一、先分清两种 IP 绑定本质（故障根源）
1. 接入策略勾选【绑定用户 IP 地址】（你测试生效的方式）
动态自学习绑定：用户首次认证成功后，EIA 自动抓取终端上线 IP 写入用户绑定表，后续只允许该 IP 上线；属于全局策略自动绑定，所有匹配该策略用户都开启 IP 绑定。
2. 用户管理→单用户绑定信息填写 IP（你现在失效方式）
静态手动绑定：手动给单个账号指定固定 IP/IP 段，必须在【接入策略勾选绑定用户 IP 地址】的前提下，静态绑定才生效！
❗关键：不勾选策略里的 “绑定用户 IP 地址”，用户页面手动填写 IP 完全不生效（当前故障核心原因）。
二、用户绑定 IP 填写格式（第二张图 IP 地址输入框）
1. 单个固定 IP 格式
直接填写单 IP：10.1.1.1（示例），一个框只能填 1 个 IP，多个 IP 分多行依次填写，不能逗号 / 分号分隔。
2. IP 地址段填写规则
iMC 单输入框不支持掩码（10.1.1.0/24）、不支持起止横杠（10.1.1.1-10.1.1.20）
方案 A（少量 IP）：多框分行录入：
框 1：10.1.1.1
框 2：10.1.1.2
框 3：10.1.1.3
方案 B（大批量 IP 段）：UAM→IP 地址组新建地址段，用户绑定处引用 IP 地址组（推荐）
路径：接入策略管理→IP 地址组→新增，填写起始 IP + 结束 IP（10.1.1.1~10.1.1.50），用户绑定页面直接选择地址组，无需逐个填 IP。
三、分步配置（实现：部分用户绑固定 IP、部分用户不绑）
步骤 1：拆分 2 套接入策略（实现差异化）
策略 A（需要绑定 IP 的用户）：在【认证绑定信息】勾选 绑定用户 IP 地址（必须勾选！开启 IP 校验开关）；该策略绑定的用户，读取【用户绑定信息】里手动录入的固定 IP，非绑定 IP 拒绝认证。
策略 B（不需要绑定 IP 的用户）：取消勾选绑定用户 IP 地址；该策略下所有用户不做 IP 校验，任意同网段 IP 均可上线。
按用户分组 / 服务模板，分别绑定策略 A / 策略 B，实现一部分绑 IP、一部分不绑 IP。
步骤 2：给需要绑定的用户录入静态 IP
进入【接入用户管理→编辑用户→绑定信息】
IP 地址栏：单个 IP 逐行填写；批量段先建 IP 地址组再绑定地址组。
示例：用户需要固定 10.1.1.1，直接在 IP 地址输入框填入10.1.1.1保存。
步骤 3：ACG+Portal 额外必配（三层 Portal 场景）
ACG 设备 RADIUS 配置：radius scheme imc 开启nas-ip x.x.x.x（ACG 上联接口 IP，和 iMC 接入设备 IP 一致），保证 ACG 上送 RADIUS 报文携带用户真实源 IP。
ACG 全局开启：portal user-detect source-ip，Portal 报文携带终端实际 IP，否则 iMC 拿到错误 IP 导致绑定失效。
iMC 接入设备录入 ACG 的NAS-IP（和 ACG nas-ip 配置一致），三层跨网段 Portal 必须保证设备 IP 同步正确。
四、常见失效排查点
✅ 策略没勾选【绑定用户 IP 地址】：手动 IP 永远不生效（最高发故障）
✅ IP 填写错误：带掩码、带横线，只能纯点分十进制 IP
✅ ACG 上送 RADIUS 无真实用户 IP：抓包 RADIUS Accounting 报文查看 Framed-IP-Address 字段为空 / 错误
✅ DHCP 分配 IP 和绑定 IP 不在同一网段
✅ 之前策略自学习生成了旧绑定 IP：用户页面→绑定信息删除自动学习 IP，以手动填写 IP 为准。
五、最简落地总结
要静态绑 IP：策略勾选绑定用户 IP + 用户页面填固定 IP
不绑 IP：策略取消勾选绑定用户 IP
多 IP 段：用 IP 地址组统一管理，用户绑定引用地址组。