无线802.1x认证逃生

配置了fail-permit template的PSK认证无线服务模板在802.1X认证正常时不会隐藏。该模板作为逃生服务模板需提前发布可见的SSID，用户需手动连接该SSID才能接入。只有当AC与RADIUS服务器断开或AC与AP断开时（即802.1X认证故障），已认证的802.1X用户会被强制下线，此时用户需手动切换到逃生模板的SSID重新连接。

关键点说明：

1. 逃生模板的可见性：逃生服务模板的SSID在正常状态下需保持广播状态，否则用户无法在故障时手动连接。
2. 故障切换机制：fail-permit enable开启逃生功能后，故障发生时用户服务会被强制切换到逃生模板，但用户需重新连接逃生模板的SSID。
3. 配置限制：逃生模板需配置为PSK模式（akm mode psk）以确保可靠性，且不能与fail-permit enable在同一模板配置。

综上，PSK认证的逃生无线在802.1X正常时可见且可连接，故障时用户需手动切换至该SSID。

• 正常情况（1x 认证正常）：

  你那台 PSK 逃生 SSID 是不自动隐藏的，默认就是 一直广播、能搜到。

  fail-permit template 只是告诉 AC：“故障时切到这个模板”，不自动控制 SSID 隐藏 / 显示。
• 故障情况（1x 认证断了）：
  • 原来的 802.1x SSID 还在广播，但新用户连了也过不了认证；已在线的因为有 keep-online 会保持在线H3C。
  • PSK 的逃生 SSID 仍然在广播，用户可以手动连这个 PSK SSID 上网。

你想要的效果：正常时 PSK 隐藏，故障时才出现

1）正常工作状态（RADIUS 正常）

• 802.1x SSID：广播、正常认证
• PSK 逃生 SSID：手动配置为 SSID-hide enable（隐藏）

2）故障逃生状态（RADIUS 不可达）

• 802.1x SSID：仍广播，但新用户无法认证，老用户保持在线H3C
• PSK 逃生 SSID：需要手动把它改成 SSID-hide disable（显示），用户才能连

• 平时：1x 可见、PSK 隐藏
• 故障：运维手动把 PSK 改成可见，用户切过去用

简单帮你捋一下你现在的配置

• 802.1x 模板：fail-permit enable keep-online
  → 服务器挂了，已在线用户不掉线，新用户不能通过 1x 认证H3C
• PSK 模板：fail-permit template
  → 被指定为逃生用的模板，但 SSID 默认是可见的

• 现在你的环境里，无论是否故障，两个 Wi-Fi 都能搜到
• 你要的 “平时只看到 1x，断了才看到 PSK”，需要：
  1. PSK 模板默认 ssid-hide enable
  2. 故障时手动 undo ssid-hide

是的，你的理解完全正确。在这种配置下，PSK网络的SSID在正常情况下会隐藏，只有当802.1X认证故障时才会出现。这正是H3C无线网络的认证逃生机制。

• 正常状态（802.1X认证服务器可用）
  配置了fail-permit template的PSK无线服务模板，默认处于未激活状态。因此，它的SSID不会对外广播，终端设备无法搜索到该PSK信号。

• 故障状态（认证服务器不可用）
  一旦H3C设备检测到认证服务器不可达并触发了逃生条件，系统会自动激活绑定的PSK服务模板。此时，PSK网络的SSID开始广播，终端设备可以搜索到它，用户通过手动切换到该SSID并使用预设的PSK密码，即可重新接入网络。

 请注意：当认证服务器恢复后，设备会退出逃生模式。届时，通过PSK网络临时接入的用户会被强制下线，需要重新连接到原有的802.1X网络才能继续使用。

这一机制确保了802.1X认证网络的纯净性，同时在服务器故障时为终端提供一条备用上网通道。