关键配置:
1. 无线服务模板下开启本地转发:
service-template <模板名>
forwarding-mode local
2. 配置AP系统模板开启逃生:
wlan ap-system-profile <模板名>
client keep-alive enable #保留在线用户会话
permit new-client enable #可选,允许新用户接入
3. 将AP系统模板绑定到对应AP/AP组,服务模板绑定到AP射频口即可。
注意:集中转发模式流量走AC,AC掉线后无法实现逃生。
暂无评论
可以。WX3510X设备支持“无线逃生”功能,能在AC掉线后,让已连接的用户继续上网,同时也能为新用户提供逃生服务。
这需要将AP的数据转发方式配置为“本地转发”,将认证位置配置在AP上,并且启用 Remote AP 功能。
逃生功能的核心价值
H3C的无线逃生功能正是为应对AC或认证服务器故障等极端情况设计的。它主要提供了两个层面的保障:
为老用户:保住不掉线:确保当前已连接的用户,在AC掉线后业务不中断,继续稳定访问网络资源。
为新用户:保障能接入:允许新的终端设备在AC故障期间也能成功接入无线网络,并上线使用。
已连接用户:网络体验基本不受影响
在AC掉线后,只要满足上述条件,已连接用户的业务访问几乎不会中断。这是因为用户数据通过AP直接转发到网络,其核心认证信息已缓存在AP本地,无需实时与AC交互。唯一可能影响已连用户的情况是,网络配置了“周期性重认证”等强依赖AC的功能。
新用户接入:取决于Remote AP功能
对于新用户是否能接入,取决于是否开启了 Remote AP 功能:
未开启 Remote AP:AC掉线后,AP会拒绝所有新的Wi-Fi关联请求,新设备无法接入。
已开启 Remote AP:AC掉线后,AP会切换到Remote AP模式,不仅能保持老用户在线,也能接受新用户的接入请求。该模式依赖于本地转发。
注意:当AC与AP的隧道恢复后,Remote AP模式会自动退出,AP会强制所有用户下线,所有客户端需要重新进行关联和认证才能上网。
配置指引(Web界面)
配置分为两步,核心是确保逃生服务基于本地转发。
开启Remote AP功能:进入“配置 > AP > AP组”,找到对应的AP组,在其“高级”配置页面中,开启“混合远程AP”功能(即
hybrid-remote-ap enable命令)。配置逃生服务:
进入“配置 > 无线服务 > 逃生服务”,创建一个新的服务模板,或在原有服务模板上修改。
关键配置:
转发类型:选择 本地转发。
认证位置:选择 AP。
SSID和安全认证:根据实际需要配置。
将该逃生服务模板绑定到指定的AP组。
暂无评论
一、原理一句话
- 控制流(AC 管理):AC 掉线 → 断
- 业务流(用户上网):本地转发(local-forward)+ 密钥缓存 → AC 掉了,流量照样走
- 已在线用户:完全无感知、不断网、保持 MAC/IP/ 会话
- 新用户:默认不能新认证(除非开 Portal/802.1X 逃生)
二、WX3510X 必须满足 2 个条件(缺一不可)
1. 转发模式:必须是 本地转发(local-forward)
- 集中转发(AC 隧道):AC 一挂 → 全部断网
- 本地转发(AP 直转):AC 挂 → 已在线用户继续用
2. 开启 AP 本地缓存密钥(session/PMK 缓存)
- 已认证用户的加密密钥、会话表、ARP都存在 AP 本地
- AC 掉线后,AP不用再找 AC 认证,直接转发
三、完整配置(WX3510X + fit AP)
1. 服务模板:本地转发 + VLAN(核心)
# 1. 创建服务模板
wlan service-template 1
ssid Office_WiFi
vlan 100 # 业务VLAN
client forwarding-location ap vlan 100 # 本地转发(灵魂命令)
security-ie rsn
cipher-suite ccmp
akm-mode psk
preshared-key simple 12345678 # WiFi密码
service-template enable # 启用
quit
2. 下发 AP 接口配置(map 文件)
map-configuration下发H3C:- 新建文本
apcfg.txt(内容如下):
system-view
vlan 100
interface GigabitEthernet 1/0/1 # AP物理口
port link-type trunk
port trunk permit vlan 100 # 放通业务VLAN
port trunk permit vlan 1 # 管理VLAN(默认)
quit
- AC 上传并下发:
# 上传apcfg.txt到AC(FTP/TFTP)
wlan ap all # 对所有AP生效
map-configuration apcfg.txt # 下发配置
quit
3. 开启 AP 逃生(会话保持)
# 全局开启AP逃生(AC掉线后AP独立工作)
wlan
ap-remote enable # 必开
quit
# 可选:认证逃生(新用户也能上,看安全需求)
# Portal逃生(已认证用户保持)
user-portal-escape mode authed
user-portal-escape track <AC-IP> # 探测AC状态
# 802.1X逃生
wlan service-template 1
client-security authentication-fail-mode allow-authed
quit
四、AC 掉线后效果(你关心的)
- 已连接用户
- 不断网、不掉线、IP/MAC 不变
- 上网、内网、打印完全正常
- 漫游、速率、信号不受影响
- 新用户
- 默认:不能新连接、不能新认证(安全)
- 开
authentication-fail-mode allow-authed:仅已认证过的用户能重连 - 开
global:任何人都能连(不建议,不安全)
五、验证与排错
# 1. 看转发模式(必须是ap)
display wlan service-template 1
# 2. 看AP是否缓存用户
display wlan client ap-name AP1
# 3. 看AP逃生状态
display wlan ap all verbose
# 看到:Remote AP state : Enabled 即成功
六、常见误区
- ❌ 只开本地转发,没下发 map 文件 → AP 口没放通 VLAN → 不通
- ❌ 用集中转发 → AC 一挂全断
- ❌ 没开
ap-remote enable→ AC 掉线 AP 自动重启、用户全掉
七、总结
- 服务模板 → client forwarding-location ap vlan xxx
- map-configuration 下发 AP trunk + 业务 VLAN
- wlan → ap-remote enable
- 效果:AC 掉线,已在线用户完全无感知、正常上网
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论