不需要分别在主备RADIUS服务器上配置逃生模板。正确的做法是，在同时包含了主、备RADIUS服务器的同一个RADIUS方案中，直接绑定逃生模板即可。

一个配置方案对比如下：

 关键配置步骤

你可以参考下面的配置步骤完成操作（示例IP和密码请根据实际情况替换）：

1. 创建RADIUS逃生模板并配置逃生策略：

   radius-server escape-template temp1 local-user test password simple H3c@123此命令创建一个名为 temp1 的逃生模板，当认证服务器均不可达时，用户将使用本地用户 test 和密码 H3c@123 进行认证。

2. 创建RADIUS方案并绑定逃生模板：

   radius scheme rs1

   primary authentication 192.168.1.10 port 1812 # 主服务器IP和端口 secondary authentication 192.168.1.20 port 1812 # 备服务器IP和端口 escape-template temp1 # 将逃生模板绑定到此方案

3. 将RADIUS方案应用到认证域：

   domain default authentication lan-access radius-scheme rs1

 逃生机制的工作原理

在一个RADIUS方案中，设备的主备切换和逃生是两个具备明确优先级的事件：

• 主备切换：当主RADIUS服务器不可达时，设备会自动切换到备用RADIUS服务器，继续执行标准的远程认证。

• 触发逃生：只有当RADIUS方案中的所有服务器（即主服务器和备服务器）都不可达时，才会触发绑定的逃生策略。此时，设备会改为使用您在逃生模板中定义的本地认证或免认证规则来接续业务。

结论（H3C V7 AC 官方标准逻辑）

一、先理清三个对象

1. 主 RADIUS、备 RADIUS：两台服务器 IP，配置在 radius server
2. RADIUS 方案（scheme）：里面定义主、备服务器优先级、超时、重传
3. 逃生策略（escape-policy）：依附在 RADIUS 方案下生效

正确逻辑

• 逃生是「整个认证方案的逃生机制」
• 不是绑定在某一台 RADIUS 服务器上
• 只要在 radius scheme xxx 下：
  plaintext

  radius-server escape-policy wlan-escape
  不管当前 AC 连的是主 RADIUS 还是 备 RADIUS
  只要：超时 / 不可达 / 应答异常 → 自动触发无线 RADIUS 逃生

二、标准正确配置范式（可直接套用）

三、回答你核心疑问

1. 逃生模板要不要主备分别调用？

• 逃生是方案级，不是服务器级
• 备 RADIUS 本身就是主故障后的切换节点
• 只要方案里挂了逃生：
  1. 主 RADIUS 挂了 → 切备
  2. 主备全部挂 / 超时 → 触发逃生免认证

2. 只绑主、不绑备行不行？

3. 什么时候触发完整逃生？

1. 主 RADIUS 探测失败
2. 切换备 RADIUS，备也探测 / 应答失败
3. 整体 RADIUS 服务不可用 → 终端自动放行、逃生策略生效

四、补充关键必开命令（不然逃生不生效）

极简总结

1. ✅ 逃生模板仅在 radius-scheme 下调用 1 次
2. ✅ 主、备 RADIUS 服务器无需单独绑定逃生
3. ✅ 全局开启 radius-server escape enable
4. 主备全断 → 自动进入无线逃生模式，终端免认证上网