关于服务模板配置fail-permit enable always-service后发生逃生后的结果分析

某局点客户无线业务有MAC认证和PPSK认证的无线网络。希望在AC故障后业务能够正常进行，并且想了解关于配置fail-permit enable always-service之后的实际效果，是否还需要配置逃生服务模板等。

【命令】

fail-permit enable [ keep-online | url-user-logoff ] [ always-service ]

undo fail-permit enable

【缺省情况】

用户逃生功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

keep-online：逃生时在线用户依然保持在线。若不指定本参数，则表示逃生时在线用户会被强制踢下线。

url-user-logoff：若上线的MAC认证用户被授权了重定向URL后发生了逃生，则强制用户下线，否则依然保持在线。本参数仅对MAC地址认证生效。

always-service：发生逃生时，无论是否配置了逃生服务模板，当前无线服务模板都可以继续提供无线服务。如果未配置本参数，且未配置逃生服务模板，当前使用MAC地址或者Bypass认证的无线服务模板会继续提供服务；如果未配置本参数，但配置了逃生服务模板，发生逃生时，当前无线服务模板不会继续提供服务。本参数仅对MAC地址认证和Bypass认证生效。

【使用指导】

应用场景

开启用户逃生功能后，该无线服务模板下的用户采用802.1X认证、MAC地址认证或Bypass认证接入网络且AC与RADIUS服务器断开连接或AC与AP断开连接时，AP会继续为用户提供数据转发和接入服务，从而使用户可以进行逃生，继续访问网络。

工作机制

对于采用不同认证方式的在线用户，逃生功能对其产生的影响有所不同：

·     用户采用Bypass认证接入网络：

¡     如果配置了fail-permit template和fail-permit enable（无参数always-service），发生逃生时，用户服务会被切换到逃生服务模板上，需手动重新连接逃生服务模板网络后才可继续访问网络。

¡     如果没有配置fail-permit template或者配置了fail-permit enable always-service，用户可以在当前开启用户逃生功能的无线服务模板下发生逃生，继续访问网络且无感知。

·     用户采用MAC地址认证接入网络：

¡     如果配置了fail-permit template和fail-permit enable（无参数always-service），发生逃生时，用户服务会被切换到逃生服务模板上，需手动重新连接逃生服务模板网络后才可继续访问网络。

¡     如果没有配置fail-permit template或者配置了fail-permit enable always-service，用户可以在当前开启用户逃生功能的无线服务模板下发生逃生，但会短暂被踢下线，需等待网络重新自动连接后可继续访问网络。

·     用户采用802.1X认证接入网络：需要提前配置好逃生服务模板，发生逃生时，用户服务会被切换到逃生服务模板上，需手动重新连接逃生服务模板网络后才可继续访问网络。

1 在服务模板配置fail-permit enable always-service后，当AC与云简不可达，在PPSK密码未老化以及密码所绑定的终端个数未达到上限的情况下，新终端可以接入；老终端在密码（即绑定关系）老化后会强制下线。

2 配置fail-permit enable always-service，当AC与认证服务器不可达时，老终端在线，mac认证新终端可以接入原先的服务，逃生期间跳过认证直接上线。

3 remote-ap与fail-permit enable不能同时使用。PPSK不支持AP做为认证为认证点，mac认证新终端可以接入，前提是AP上要有认证相关配置。

4，AC故障，新终端都无法接入原有PPSK和mac认证的ssid。