WX3520H做portal认证配idle-cut不生效的处理经验

南通某教育机构用WX3520H做portal认证,配置idle-cut,但终端用户超时下线时间跟配置idle-cut所配置的时间不符。当idle-cut配置的时间为30分钟时，当手机休眠无流量后，IMC平台显示，手机终端在上线后24分钟下线。网络拓扑简图如图一所示：

图一 组网拓扑

检查设备配置：

domain portal

 authorization-attribute idle-cut 30 10240000

 authorization-attribute user-profile test

 authentication portal radius-scheme allpermit

 authorization portal radius-scheme allpermit

     accounting portal radius-scheme allpermit

设备应该在终端上线30分钟后，检查设备流量，小于10240000字节，则强制终端用户下线，但通过IMC平台观察发现，终端用户在24分钟就下线，原因是“idle-timeout”。

图二、IMC上显示的用户状态

通过在设备上做debug portal all进一步发现，终端用户确实是设备由于idle-timeout强制用户下线：

portal sent 52 bytes of packet: Type=ntf_logout(8), ErrCode=0, IP=10.191.116.1
*Apr 12 15:17:46:145 2017 S5820V2 PORTAL/7/PACKET: -MDC=1; 
[ 5 TEXTINFO ] [ 14] [Idle timeout]
[ 10 BASIP ] [ 6] [10.191.116.254]

由于时间与idle-cut配置的下线时间不符，怀疑是设备时间与portal服务器的时间没有同步导致，在进行同步后发现仍然有这种问题存在，排除时间不同步问题。

进一步排查配置发现

interface Vlan-interface240

 ip address 10.190.254.254 255.255.255.0

 portal enable method direct

 portal user-detect type arp

起portal的虚接口配置了portal user-detect type arp，该配置的含义是设备发现一定时间（idle time）内接口上未收到某Portal用户的报文，则会向该用户发送ARP请求报文。设备定期（interval interval）检测用户ARP表项是否被刷新过，如果在指定探测次数（retry retries）内用户ARP表项被刷新过，则认为用户在线，且停止检测用户ARP表项，重复这个过程，否则，强制其下线。这里的idle time 为缺省180秒。由于手机终端一定时间内就会进入节电模式，节点模式是先关屏，然后一段时间后会关闭网卡的外设芯片。当手机网卡进入休眠状态后，arp探测无法探测到终端用户在线信息，将手机终端强制踢下线。

而这种下线原因在debug中显示也为“idle time-out”。

由于找到问题原因，告知用户删除该配置，问题解决

interface Vlan-interface240

   ip address 10.190.254.254 255.255.255.0

   portal enable method direct

     portal user-detect type arp   <----删除

由于portal user-detect 使用户下线的下线原因与idle-cut的下线原因相同，都为idle time-out，所以设备上配置了这两条命令时就需要注意，下联终端由于手机休眠导致user-detect检测不到用户在线，就会将用户踢下线。