华三控制器wx3510x，802.1x

提到无线802.1x逃生，大家可能会考虑以下三种配置方式的逃生：

1  在domin域指定备选为none的认证方法，在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。

domain dot1x

authentication lan-access radius-scheme dot1x none

authorization lan-access radius-scheme dot1x none

accounting lan-access radius-scheme dot1x none

但是，请注意：这种方法需要使用chap方式（dot1x authentication-method chap），且要结合inode客户端才可以生效

2 配置critical-vlan的方式（不建议）

在服务模板下配置了critical-vlan，配置如下

wlan service-template X

client-security authentication critical-vlan X

参考无线控制器命令手册中该命令的使用指导可以发现：加密状态下的802.1X认证不支持该方式的逃生( 如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达，则用户会直接下线，不会加入Critical VLAN )，而如果配置不加密，802.1X也就失去了认证的意义， 所以我们不建议使用该方式进行1认证的逃生。

【使用指导】 

Critical VLAN功能允许用户认证时，当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源，这个VLAN称之为Critical VLAN。配置Critical VLAN后，当用户认证时，若所有认证服务器都不可达，则用户将被加入该VLAN，同时设备会启动一个30秒的定时器，以定期对用户进行重新认证： 

·  如果重认证通过，设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN，则该用户将被加入该下发的VLAN，否则该用户将被加入其原来所属的VLAN。

 ·  如果重认证未通过，当认证服务不可达时，用户仍然仅可访问Critical VLAN中的资源，当认证服务器可达但因某种原因明确拒绝用户认证通过，且配置了Fail VLAN时，用户可以访问Fail VLAN中的资源。

需要注意的是，如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达，则用户会直接下线，不会加入Critical VLAN。  

3 逃生服务模板方式

以下重点介绍该逃生方式

逃生服务模板方式即需要配置fail-permit enable和fail-permit template（具体配置参考该案例最后一部分）。

参考无线控制器命令手册中该两条命令的使用指导可以发现以下要点： 

1.当用户采用802.1X认证接入网络，使用fail-permit template命令提前配置好逃生服务模板。发生逃生时，用户服务会被切换到逃生服务模板上。逃生服务模板自动enable，但终端需手动重新连接逃生服务模板后才可继续访问网络。 

2. 逃生后使用的无线服务模板与开启802.1X认证的无线服务模板是两个不同的服务模板，这两个无线服务模板下配置的client-security authentication-location、client forwarding-location、client association-location参数必须保持一致。

3.用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板，当探测到RADIUS服务器不可达时，用户进行逃生。同时，建议根据实际情况配置发送探测报文的周期，周期越短，响应越快。

4. 建议系统中仅配置一个802.1X认证逃生服务模板，如果配置多个，则第一个绑定到Radio的逃生服务模板生效。建议配置802.1X认证逃生服务模板时将akm mode配置为psk模式或不配置akm mode，否则可能导致逃生失败。 

下面列出该种逃生方式的配置关键点。