Comware V7平台防火墙部署Portal服务配置闲置超时参数生效时间不准确问题处理案例

客户在Comware V7平台防火墙上启用Portal认证，并配置idle-cut时间，希望下连的认证用户离线后执行强制下线操作。

 客户表示由于自身需求，把时间改成600分钟后，就发现不生效了，后来再更改成其它时长，15分钟、60分钟和其它字节：500Byte\1000byte\5000byte都不生效了。

办事处一线工程师了解到问题现象后，经过测试发现时间不准，如设时长为2小时，人（手机终端WiFi接入Portal）都回家了，远程到防火墙设备上看，还要等个三四小时才能下线，有部分的测试帐号还更长。

如果只配置时间，流量阀值缺省为10240bytes，当时间阀值到了时，会去和流量阀值比较，如果此在线用户实际使用的流量超过了流量阀值，那么就不会下线
[YZDC-BA-FW01-isp-gz-portal]di th
#
domain gz-portal
authorization-attribute idle-cut 600 10240
authentication portal radius-scheme gz-portal
authorization portal radius-scheme gz-portal
accounting portal radius-scheme gz-portal
通过下面命令可以查看当前在线用户的信息，其中包括流量统计，比如用户配置时间为2小时，流量统计超过了阀值，就是重新计时，同时有后台进程会对流量也重新进行统计
当用户离开现场后，探测报文不通了，但即使这样设备也不知道终端直实的下线时间，只能以用户上线的时间为起始时间，按周期检查流量是否达到阈值，如果没有达到才会让客户下线
现场反馈的下线时间不准可能是这种情况
此外，需要注意的是，这个协议本身的交互报文也比较多，如果配置的时间较长，应配置流量阀值也大一些，默认这个值，在几小时内光是心跳报文就会超过这个阀值，比如实验室配置600分钟，没有任何流量的情况下，流量阀值就有下面这么多，远远超过10240bytes，因此看到的现象就是一直不下线
dis portal user all verbose ------------------all可以用实际ip来查找对应的用户
Total portal users: 1
Basic:
Current IP address: 1.1.1.2
Original IP address: 1.1.1.2
Username: gz-portal
User ID: 0x1000000b
Access interface: GigabitEthernet2/0/15
Service-VLAN/Customer-VLAN: -/-
MAC address: 0015-e943-8218
Domain name: gz-portal
VPN instance: N/A
Status: Online

设备以客户端上线时间为起始时间，周期性统计流量阈值。请据此合理配置超时时间和流量阈值。