杨森A,WX3508H配置逃生服务模板后不生效
问题描述
现场WX3508H无线控制器结合iMC做802.1X认证接入网络,采用逃生服务模板方式实现逃生,配置后逃生生效,但是服务器恢复后客户端无法进行认证。
过程分析
现场一开始想要在 iMC侧使用 radius逃生方案,后续因某些原因改为在无线控制器侧通过配置逃生服务模板实现逃生。配置逃生服务模板后,模拟服务器不可达,逃生模板生效,但是重启恢复 iMC后客户端无法进行认证。
首先检查无线控制器侧配置:
#
wlan service-template test // 无线服务模板
ssid test1
vlan 28
client forwarding-location ap vlan 100
fail-permit enable keep-online //在模板下启用逃生功能,逃生后已上线用户保持在线状态
akm mode dot1x
cipher-suite ccmp
cipher-suite tkip
security-ie rsn
security-ie wpa
client-security authentication-mode dot1x
dot1x domain imc
service-template enable
#
wlan service-template taosheng // 逃生服务模板
ssid taosheng
vlan 28
client forwarding-location ap vlan 100
fail-permit template //将服务模板配置为逃生服务模板
service-template enable
#
radius session-control enable
radius-server test-profile taosheng username test-portal interval 1 // 配置 radius服务器探测模板
#
radius scheme imcc
primary authentication 1.1.1.1 key simple 123 test-profile taosheng
primary accounting 1.1.1.1
key authentication simple 123
key accounting simple 123
user-name-format without-domain
#
domain imc
authentication lan-access radius-scheme imcc
authorization lan-access radius-scheme imcc
accounting lan-access radius-scheme imcc
#
wlan ap-group 6330
firmware-upgrade enable
region-code CN
vlan 1
ap A-3F-AP01
ap A-3F-AP02
ap-model WA6330
map-configuration flash:/apcfg.txt
radio 1
max-power 6
radio enable
channel band-width 20
radar-detect disable
sacp anti-sticky enable rssi 25 interval 2 forced-logoff
service-template test1 vlan 103 //绑定802.1X认证的无线服务模板
service-template taosheng vlan 103 //绑定逃生服务模板
gigabitethernet 1
smartrate-ethernet 1
#
检查设备侧配置没有发现问题
继续检查 iMC侧:
看进程状态正常:
继续排查 uam:
发现 uam工作模式为逃生模式
解决方法
将uam工作模式按指导手册调整为正常模式,逃生服务模板生效,终端实现逃生,服务器恢复后可继续认证。
分析原因:由于现场在配置逃生服务模板前,尝试使用过i 
MC侧radius逃生工具,没有将uam工作模式从逃生模式切换回正常模式,导致设备侧使用逃生服务模板后,终端正常逃生但没有办法恢复认证。
