ACG 用戶同步問題

ACG在線用戶 認證方式那裏看下，能看出來是否通過認證，但是你的認證又在IMC上。

感覺你描述得有點問題，IMC做的portal認證，認證用戶在ACG上嗎 

ACG透明橋模式下出現用戶名顯示網關地址但IP為終端IP的現象，可能由以下原因導致：

一、SNMP同步機製異常

1. ‌ARP表同步不完整‌
   ACG通過SNMP獲取網關ARP表時，若未正確解析終端真實MAC地址，可能將網關接口MAC誤認為用戶身份標識。需檢查SNMP服務器配置中的IP OID和MAC OID是否與交換機廠商標準值匹配‌。

2. ‌跨三層識別失效‌

   • 確認ACG上跨三層取MAC功能已啟用，且配置的三層交換機IP為終端所在網段的網關地址
   • 驗證交換機SNMP團體名(read權限)、超時時間(建議>5秒)、獲取間隔(建議300秒)等參數與ACG配置一致‌

二、Portal認證流程中斷

1. ‌未觸發認證重定向‌
   終端首次訪問HTTP業務時，若未收到302重定向到IMC Portal頁麵，ACG可能臨時記錄網關MAC作為用戶名。需檢查：

   • ACG策略路由是否允許80/443端口流量觸發認證
   • IMC Portal服務地址是否加入白名單避免死循環‌3

2. ‌認證狀態同步延遲‌
   ACG與IMC間存在會話狀態同步異常時，會導致已認證用戶仍顯示為預連接狀態。建議：

   • 在IMC查看用戶>認證日誌，過濾Authentication Success事件確認實際成功數
   • 通過debugging radius packet命令捕獲RADIUS交互報文，驗證計費報文(Accounting-Request)是否正常發送‌13

三、數據采集層異常

1. ‌MAC-IP映射錯誤‌
   當終端通過NAT設備接入時，ACG可能捕獲到轉換後的IP地址。需在透明橋接口啟用MAC-over-IP解析功能，或在交換機配置端口鏡像將終端ARP報文發送至ACG管理口‌。

2. ‌ARP老化機製幹擾‌
   網關ARP表刷新周期(默認4小時)長於終端IP租期時，會導致過期IP-MAC映射殘留。建議：

   • 將ACG的SNMP獲取時間間隔縮短至60-180秒
   • 在交換機配置arp aging-time 600(單位：秒)加速過期條目清理‌

‌快速驗證方法‌：

1. 在ACG執行display portal user，觀察AuthState字段是否為Authenticated
2. 終端訪問***.***，若跳轉至IMC認證頁麵且認證後該IP消失，則屬正常流程中斷問題‌34