2 技术实现

2.1 AC和认证服务器断开逃生技术实现
2.1.1 运行机制
AC 设备通过 RADIUS 服务器探测功能来探测认证服务器是否可用。
AC 设备探测到认证服务器不可达时，则 AC 设备进入逃生状态，如果服务器可达，则 AC 设备从逃
生状态恢复。
对于 802.1X 认证方式，需要配置用户逃生接入服务模板，当 AC 设备进入逃生状态时，释放出用
户逃生接入服务模板下配置的服务，老的接入服务进行隐藏。老用户可以继续保持在线，访问网络，
新用户免认证接入，访问网络资源。
2
对于 MAC 认证方式，不需要配置逃生服务模板，当 AC 设备进入逃生状态时，老用户可以继续保
持在线，访问网络，新用户免认证接入，访问网络资源。
当 AC 设备探测到认证服务器可达时，AC 设备从逃生状态恢复，逃生状态时上线的用户踢下线，
需重新接入服务进行认证上线。
图2-1 AC 和认证服务器不通的流程图
2.1.2 应用限制
此种逃生情况，目前仅支持 802.1X 和 MAC 认证两种认证方式。
2.2 AC和AP断开逃生技术实现
2.2.1 运行机制
AP 和 AC 之间通过保活机制来检查控制隧道是否正常工作。AP 周期性地向 AC 发送 Echo request
报文，若一定时间内没有收到 AC 回复的 Echo response 报文，则 AP 断开控制隧道。
当 AP 上断开控制隧道时，启动一个 5 分钟定时器，防止震荡导致设备反复进入逃生和恢复逃生状
态。定时器超时后，AP 和 AC 还是断开，则 AP 进入逃生状态。
对于 802.1X 认证方式，需要配置逃生服务模板，当 AP 进入逃生状态时，释放出逃生服务模板下
配置的服务，老的服务进行隐藏。老用户可以继续保持在线，访问网络；新用户免认证接入，访问
网络资源。
AC AAA服务器
定期探测报文
定期探测报文
回应报文
AC设备从逃
生状态恢复
发起认证请求
回应认证成功
一定周期内探测
失败，AC设备
进入逃生状态
AC设备逃生时，新
的Station请求上线
上线成功
逃生期间用户踢下线
上线请求
上线成功
Station
3
对于 MAC 和 Portal 认证方式，不需要配置逃生服务模板，当 AP 进入逃生状态时，老用户可以继
续保持在线，访问网络，新用户免认证接入，访问网络资源。
当 AP 和 AC 之间建立好控制隧道时，AP 从逃生状态恢复，逃生状态期间上线的用户会被踢下线，
需重新接入服务进行认证上线。
图2-2 AC 和 AP 断开的流程图
2.2.2 应用限制
• 此种逃生情况，只支持本地转发组网。
• 目前仅支持 802.1X、MAC 和 Portal 认证三种认证方式。
2.3 Portal Web服务器逃生技术实现
AC 设备通过对 Portal Web 服务器进行探测来检测 Portal Web 服务器的可达性。
由于 Portal Web 服务器用于对用户提供 Web 服务，不需要和设备交互报文，因此 AC 主动向 Portal
Web 服务器发起 TCP 连接，如果连接可以建立，则认为此次探测成功且服务器可达，否则认为此
次探测失败。
当 AC 设备探测到 Portal Web 服务器不可达时，将打开接口或无线服务模板上的网络限制，允许
Portal 用户不需经过认证即可访问网络资源。
AP AC
定期保活报文
定期保活报文
回应报文
AP从逃生状
态恢复
发起认证请求
认证回应
一定周期内没有
收到回应报文，
AP逃生
发起认证请求
AP逃生时，新的
Station请求上线
上线成功
逃生期间用户踢下线
上线成功
Station AAA服务器
4
当 Portal Web 服务器恢复可达性后，再重新启动 Portal 认证功能。重新启动接口或无线服务模板
的 Portal 认证功能之后，未通过认证的用户需要通过认证之后才能访问网络资源，已通过认证的用
户可继续访问网络资源。
支持 Portal 功能的产品，都支持此种逃生。
图2-3 Portal Web 服务器逃生流程图
2.4 H3C云简平台Portal逃生技术实现
AC 设备通过对 H3C 云简平台进行探测来检测 H3C 云简平台的可达性。
当 AC 探测到 H3C 云简平台不可达时，将打开接口或无线服务模板上的网络限制，允许 Portal 用户
不需经过认证即可访问网络资源。
当 H3C 云简平台恢复可达性后，再重新启动 Portal 认证功能。重新启动接口或无线服务模板的 Portal
认证功能之后，未通过认证的用户需要通过认证之后才能访问网络资源，已通过认证的用户可继续
访问网络资源。
AC
Portal Web/Portal认
证服务器
定期探测报文
一定周期内探测
失败，设备进入
逃生状态
定期探测报文
回应报文
设备从逃
生状态恢
复
IP network
Station连接上线后，不需
要认证，直接访问网络
客户端访问网络，设
备进行重定向交互
访问Portal Web服务
器，并进行交互
认证交互
认证成功后访问网络
Station
5
图2-4 H3C 云简平台 Portal 逃生流程图
2.5 H3C云简平台PPSK认证逃生技术实现
AC 和 H3C 云简平台通过保活机制来检查两者之间的连接是否正常。AC 周期性地向 H3C 云简平台
发送保活报文，若一定时间内没有收到 H3C 云简平台的响应报文，则设备断开连接，重新向 H3C
云简平台发送注册请求，与其重新建立连接。
当设备和 H3C 云简平台断开连接时，设备进入逃生状态，PPSK 新认证用户四次握手成功后，不上
报密码绑定关系给 H3C 云简平台。
当设备和 H3C 云简平台建立连接时，设备从逃生状态恢复，AC 和 H3C 云简平台平滑同步 PPSK
认证用户信息。
AC
H3C云简平台
定期探测报文
一定周期内探
测失败，设备
进入逃生状态
定期探测报文
回应报文
设备从逃生
状态恢复
Station连接上线后，不需
要认证，直接访问网络
发起认证请求
认证成功后访问网络
用户信息交互
Station
IP network
客户端访问网络，设
备进行重定向交互
访问H3C云简平台Portal
服务，并进行交互
6
图2-5 H3C 云简平台 PPSK 认证逃生流程图
2.6 雷达静默逃生技术实现
2.6.1 运行机制
一个 5G Radio 上绑定用户接入无线服务模板，其他 Radio 上绑定用户逃生接入服务模板，当 5G
Radio 监测到雷达信号时，当前 5G Radio 静默期间，用户服务切换到其他 Radio 上的逃生服务，
用户可以继续访问网络。
AC H3C云简平台
定期探测报文
一定周期内探
测失败，设备
进入逃生状态
定期探测报文
回应报文
设备从逃生
状态恢复
链路认证成功
链路认证
四次握手
四次握手成功
认证成功后访问网络
设备平滑同步逃生期间上线用户
Station
IP network
7
图2-6 雷达静默逃生流程图
2.6.2 应用限制
此种逃生，仅支持 5GHz 频段。