關於服務模板配置fail-permit enable always-service後發生逃生後的結果分析

某局點客戶無線業務有MAC認證和PPSK認證的無線網絡。希望在AC故障後業務能夠正常進行，並且想了解關於配置fail-permit enable always-service之後的實際效果，是否還需要配置逃生服務模板等。

【命令】

fail-permit enable [ keep-online | url-user-logoff ] [ always-service ]

undo fail-permit enable

【缺省情況】

用戶逃生功能處於關閉狀態。

【視圖】

無線服務模板視圖

【缺省用戶角色】

network-admin

【參數】

keep-online：逃生時在線用戶依然保持在線。若不指定本參數，則表示逃生時在線用戶會被強製踢下線。

url-user-logoff：若上線的MAC認證用戶被授權了重定向URL後發生了逃生，則強製用戶下線，否則依然保持在線。本參數僅對MAC地址認證生效。

always-service：發生逃生時，無論是否配置了逃生服務模板，當前無線服務模板都可以繼續提供無線服務。如果未配置本參數，且未配置逃生服務模板，當前使用MAC地址或者Bypass認證的無線服務模板會繼續提供服務；如果未配置本參數，但配置了逃生服務模板，發生逃生時，當前無線服務模板不會繼續提供服務。本參數僅對MAC地址認證和Bypass認證生效。

【使用指導】

應用場景

開啟用戶逃生功能後，該無線服務模板下的用戶采用802.1X認證、MAC地址認證或Bypass認證接入網絡且AC與RADIUS服務器斷開連接或AC與AP斷開連接時，AP會繼續為用戶提供數據轉發和接入服務，從而使用戶可以進行逃生，繼續訪問網絡。

工作機製

對於采用不同認證方式的在線用戶，逃生功能對其產生的影響有所不同：

·     用戶采用Bypass認證接入網絡：

¡     如果配置了fail-permit template和fail-permit enable（無參數always-service），發生逃生時，用戶服務會被切換到逃生服務模板上，需手動重新連接逃生服務模板網絡後才可繼續訪問網絡。

¡     如果沒有配置fail-permit template或者配置了fail-permit enable always-service，用戶可以在當前開啟用戶逃生功能的無線服務模板下發生逃生，繼續訪問網絡且無感知。

·     用戶采用MAC地址認證接入網絡：

¡     如果配置了fail-permit template和fail-permit enable（無參數always-service），發生逃生時，用戶服務會被切換到逃生服務模板上，需手動重新連接逃生服務模板網絡後才可繼續訪問網絡。

¡     如果沒有配置fail-permit template或者配置了fail-permit enable always-service，用戶可以在當前開啟用戶逃生功能的無線服務模板下發生逃生，但會短暫被踢下線，需等待網絡重新自動連接後可繼續訪問網絡。

·     用戶采用802.1X認證接入網絡：需要提前配置好逃生服務模板，發生逃生時，用戶服務會被切換到逃生服務模板上，需手動重新連接逃生服務模板網絡後才可繼續訪問網絡。

1 在服務模板配置fail-permit enable always-service後，當AC與雲簡不可達，在PPSK密碼未老化以及密碼所綁定的終端個數未達到上限的情況下，新終端可以接入；老終端在密碼（即綁定關係）老化後會強製下線。

2 配置fail-permit enable always-service，當AC與認證服務器不可達時，老終端在線，mac認證新終端可以接入原先的服務，逃生期間跳過認證直接上線。

3 remote-ap與fail-permit enable不能同時使用。PPSK不支持AP做為認證為認證點，mac認證新終端可以接入，前提是AP上要有認證相關配置。

4，AC故障，新終端都無法接入原有PPSK和mac認證的ssid。