portal二维码认证如何配置逃生机制

配置步骤

一、逃生原理（二维码场景）
二维码认证依赖：
AC：Portal 重定向 + 探测 IMC 可达性
IMC：二维码页面 + Radius 认证
逃生目标：IMC 宕机 / 断连时，新用户不用扫码，直接本地认证或直接放行；已认证用户不断网。
两种常用方案：
方案 A（推荐）：服务器探测 + 自动放行（断 IMC 直接上网）
方案 B：本地账号逃生（断 IMC 弹登录页，输本地账号上网）
二、AC 侧配置（V7，命令行）
1. 基础环境（已有可跳过）
bash
运行
# 1) 配置Portal Web服务器（指向IMC）
portal web-server IMC_WEB
url http://10.93.250.254:8080/portal
server-detect interval 10 retry 2 log # 探测IMC Web是否可达
quit

# 2) 配置Portal认证服务器（Radius，指向IMC）
portal server IMC_RADIUS
radius-server 10.93.250.254 key simple H3C@123
server-detect timeout 5 log # 探测Radius是否可达
quit

# 3) 配置Portal模板（二维码用）
portal template QR_PORTAL
web-server IMC_WEB
server IMC_RADIUS
quit

# 4) 服务模板绑定Portal
wlan service-template QR_WIFI
portal apply template QR_PORTAL
portal fail-permit web-server # 关键：Web服务器不可达时逃生
portal fail-permit server # 关键：认证服务器不可达时逃生
quit

# 5) SSID绑定服务模板
wlan ssid QR_SSID
quit
wlan virtual-ap VAP_QR ssid QR_SSID
service-template QR_WIFI
2. 方案 A：断 IMC 直接放行（最常用）
在服务模板下已经配置：
bash
运行
portal fail-permit web-server
portal fail-permit server
效果：AC 探测到 IMC Web/Radius 不可达 → 自动取消 Portal 重定向，所有用户直接上网。
恢复：IMC 恢复后，AC 自动检测 → 重新开启 Portal 认证，新用户需扫码，老用户继续在线。
3. 方案 B：本地账号逃生（需密码）
bash
运行
# 1) 全局开启逃生
portal escape enable

# 2) 创建本地逃生账号
local-user escape_admin password simple Escape@2026 service-type portal

# 3) Portal模板开启本地逃生认证
portal template QR_PORTAL
portal escape enable
portal escape authentication-method local
quit
效果：断 IMC 后，用户连 WiFi 仍弹页面，但变成本地登录页，输入escape_admin/ 密码即可上网。
三、IMC 侧配置（配合逃生）
1. 确保 Portal 服务正常
登录 IMC → 用户 → 接入策略管理 → Portal 服务管理
确认Portal Web 服务器、Radius 服务器配置正确，密钥与 AC 一致。
2. 二维码页面无特殊修改
逃生是AC 侧行为，IMC 无需改二维码页面；断连后 AC 自动切换逃生逻辑。
四、验证步骤（必做）
正常情况：连 WiFi → 弹二维码 → 扫码认证 → 上网。
模拟 IMC 故障：
关闭 IMC 服务器，或在 AC 上ping 10.93.250.254 -t不通。
新用户连 WiFi：
方案 A：直接上网，不弹任何页。
方案 B：弹本地登录页，输账号密码上网。
恢复 IMC：
AC 日志提示Portal Web服务器UP。
新用户重新弹二维码，老用户不断网。
五、常见坑
只配了 web-server，没配 server → 断 Radius 不放行，必须两条都配。
没开 server-detect → AC 不探测 IMC 状态，逃生不触发。
密钥不一致 → 正常认证都失败，先排查密钥。

 方案一：基于服务器探测的自动逃生（最常用）

• 开启服务器探测：在配置 Portal Web 服务器时，开启服务器探测功能（server-detect enable）。这样 AC 会周期性地向 iMC 发送探测报文。
• 配置服务模板：在你的无线服务模板（service-template）下正常配置 Portal 认证。当 AC 探测到 iMC 的 Portal 服务器不可达时，会自动进入“逃生状态”，隐藏原有的 Portal 认证配置，允许新用户免认证上线。
• 恢复机制：当 iMC 服务器恢复正常，AC 探测成功后，会自动退出逃生状态，恢复正常的 Portal 二维码认证。（注：在逃生期间上线的用户可能会被踢下线，需要重新触发认证。）

• 确保 iMC 的 Portal 服务和 RADIUS 服务正常运行，且 AC 与 iMC 之间的路由、防火墙策略（尤其是 8080/50100 等端口）是放通的。

 方案二：配置本地逃生页面（应对极端故障）

1. 开启本地 Web 服务器：执行 portal local-web-server enable 开启 AC 自带的本地 Portal 页面功能。
2. 关联本地页面：在 Portal Web 服务器配置下，指定当远端服务器不可达时，使用本地页面进行重定向。

 关键注意事项（避坑指南）

1. 配置免认证规则（Portal Free Rule）：
   在开启 Portal 认证的接口或服务模板下，必须配置放行规则，允许未认证的用户访问 iMC 服务器本身以及内网的基础设施（如 DNS 服务器、DHCP 服务器）。否则，终端连 iMC 的认证页面都打不开，更谈不上认证或触发生死探测。
   配置示例：
   portal free-rule 1 destination ip 10.x.x.x 255.255.255.255 （放行 iMC 服务器地址）
   portal free-rule 2 destination ip [DNS服务器IP] 255.255.255.255 （放行 DNS）
2. 关闭 ARP 固化（可选但推荐）：
   为了防止短时间内客户端频繁上下线导致认证失败，建议在 AC 上关闭 Portal 客户端的 ARP 表项固化功能。