主备AC3510X逃生配置

首先，需要明确一点：您提到的“逃生”可能指两个层面：

1. AC设备本身的冗余备份：即主AC故障时，备AC接管无线业务，保证网络不中断。
2. 认证业务的逃生：即当802.1X认证所使用的RADIUS服务器（如IMC）故障，无法完成认证时，有备用方案允许用户接入网络。

根据您的描述，您已经实现了第一点（AC主备），现在更关心的是第二点，即 “认证服务器的逃生”。H3C提供了完善的解决方案，主要参考以下技术手册和方案：

---

核心解决方案：RBCP（Remote Backup Control Protocol）结合认证逃生

这种方案的核心思想是：让备AC能够同步主AC上的用户认证信息（如802.1X认证成功的用户会话）。当主AC故障时，备AC接管后，这些已在线用户无需重新到RADIUS服务器认证，从而保持在线，实现“业务不倒换”。而对于新用户，则可以启用认证逃生功能。

参考手册和配置指南

1. 最主要的参考手册（必看）：
   • 标题：《H3C无线控制器产品 无线业务板1+1备份配置指导》
   • 内容：这本手册专门讲解了如何实现无线业务的1+1备份，其中就包括了最关键的用户会话信息同步机制。它会详细说明如何配置AC之间的RBCP协议，以确保主备AC同步客户端会话、CAPWAP隧道、流量策略等信息。
   • 如何查找：访问H3C官方网站，进入“技术支持”->“文档中心”，搜索这个确切的文档名称。对于您的AC3510X，请选择对应版本的文档。
2. 相关的参考手册：
   • 标题：《H3C无线控制器产品 安全配置指导》中的“AAA”和“接入认证”部分。
   • 内容：这部分会详细介绍802.1X的配置，以及至关重要的 “认证逃生（Authentication Escape）”功能。这个功能允许在RADIUS服务器不可达时，采用备用的认证方式（如本地认证）或者允许用户接入（如直接允许访问）。

---

配置思路概要

以下是实现您需求的简要配置步骤和思路，具体命令请务必以上述参考手册为准。

步骤一：确保主备AC的基础备份配置正确

• 配置AC的优先级，确定主备角色。
• 在WLAN-RRMP视图下，使用 ac protect enable命令启用AC的1+1热备功能。
• 配置AC间的RBCP链路，确保两台AC之间IP可达，并指定RBCP会话的对端IP地址。这是同步用户会话的关键。

步骤二：配置802.1X认证，并启用认证逃生策略

• 配置802.1X认证模式（如EAP终结等）。
• 创建RADIUS方案，指定主用RADIUS服务器（如iMC）的IP和密钥。
• （关键步骤）配置认证逃生：
  • 方法1：RADIUS服务器Down后，切换到本地认证
    • 首先需要在AC上创建本地用户。
    • 在RADIUS方案视图下，配置 secondary authentication local命令。这样当AC判断主用RADIUS服务器不可达时，会自动对用户启用本地密码认证。
  • 方法2：RADIUS服务器Down后，允许用户访问指定资源（如门户页面）
    • 这通常需要与URL过滤或免费策略结合。可以创建一个特殊的ISP域（domain），当RADIUS服务器不可达时，将用户划分到这个域，该域下应用一个非常宽松的ACL，只允许访问DNS和门户服务器等。

步骤三：配置用户会话同步

• 在无线业务板备份的配置视图下，确保开启了用户会话同步功能。通常命令类似 user-session sync enable。这能保证主AC上的在线用户信息实时同步到备AC。

关于“逃生”的特别说明

• 对于已在线用户：依靠 RBCP协议同步用户会话来实现逃生。主AC故障后，备AC上有完整的在线用户表项，业务不断。
• 对于新接入用户：当主备AC都无法连接到RADIUS服务器时，依靠 认证逃生功能来实现逃生。此时新用户可以使用备用认证方式（本地密码）接入，或者被限制访问特定资源。

总结与建议

1. 首要任务：立即在H3C官网文档中心下载并仔细阅读 《H3C无线控制器产品 无线业务板1+1备份配置指导》。
2. 明确需求：和您的团队确定，当认证服务器彻底故障时，希望新用户获得怎样的访问权限（是完全不能上网，还是可以访问内部网络，或者是通过本地密码上网）？这将决定您选择哪种认证逃生策略。
3. 谨慎操作：此类配置涉及核心业务，建议在业务低峰期进行，并做好配置备份。如果条件允许，先在测试环境验证。

希望这些信息能为您提供清晰的排查和配置思路！