新一代云化园区无线网“AP逃生”方案及配置步骤
当无线网认证服务器失灵…
企业和校园⽹络中,终端通常需要通过认证服务器(Portal 或 802.1x)进⾏接⼊验证以保障⽹络安全。
但如果只有一套严格依赖认证服务器的策略,一旦认证服务器出现异常或不可⽤,并且网络⽆法提供安全的临时访问通道——此时终端⽆法完成认证,已有接入终端也将掉线,直接影响到⽤⼾体验和业务连续性。
什么是AP逃生机制?
AP逃生机制,或者说无线认证异常后的逃⽣策略,核心目标是平衡网络的安全性与业务的连续性。
当认证服务器不可用,逃生机制允许已通过身份验证的漫游客户端保持无缝访问,以可控的方式访问必要的资源,提供不中断的服务。
AP 逃生方案的关键在于“逃生模式”和“正常工作模式“的切换,本质上是 VLAN 的自动切换:在控制器侧需要配置一个临时的“逃⽣ VLAN”,并在 AP 探测到认证异常时⾃动切换,待故障恢复后⾃动回归到正常⼯作模式。
- 触发条件:当终端接⼊ AP,但认证服务器(Portal 或 802.1X)异常或不可达时,AP 识别到认证⽆法完成。
- 策略判断:AP 根据预设策略判断是否允许该终端通过“逃⽣通道”临时访问⽹络。通道通常限制访问范围(例如只允许访问指定业务系统或互联⽹特定服务),保证安全。
- 临时授权:AP 给终端分配临时 VLAN,实现⽹络隔离与受控访问。
- 恢复与撤销:当认证服务器恢复,或终端完成正常认证后,AP 撤销临时访问策略,回归标准策略。
星融元的 AP 逃生方案
星融元(Asterfusion)云化园区网的AP逃生配置是在我们的 园区控制器(Asteria Campus Controller,ACC)上集中配置的,但与传统 AP+AC 的组网模式有所区别。
传统的集中式转发模型中,无线控制器 (AC) 不仅管理 AP,还转发所有用户流量。当主 AC 发生故障时,AP 必须重新连接到备用 AC。当资源有限则需要设置 AP 故障转移优先级,来决定哪些 AP 应该优先重新连接。
相比之下,星融元的云化园区网架构采用分布式的转发模型,无需再考虑 AP 故障转移优先级。这是因为该架构下的园区控制器(ACC)只负责管理、配置和策略分发,用户流量并不依赖于控制器,当控制器不可用,AP也将继续转发流量并执行现有策略,从而保持业务连续性。
配置方式
星融元园区控制器(ACC)配置 AP 逃生 VLAN 策略,并通过无线网配置模板一键同步到所有选定的 AP。
登录ACC控制器,进⼊组织 -> 场所 -> 配置 -> ⽆线配置模板 -> 添加⽆线配置
在此模板下新建配置,设置模板名称、对应的 AP 型号、配置标签、系统时区及LED。
切换到 Network Activation 标签
配置正常业务的SSID,正常业务VLAN 为401,默认获取192.168.17.xx 的IP 地址。
继续添加逃生SSID,逃⽣业务VLAN 为403,默认获取192.168.20.xx 的IP 地址。
切换标签到Security Service
配置强制⻔⼾认证的⽅式为“外置-UAM”,并在继续配置域名⽩名单(即Portal 服务器的域名或者IP)、外置-UAM 服务器、密钥、端⼝,认证服务器的密钥、端⼝等必要信息。(具体请参考配置手册)
星融元 ACC 控制器是支持有线无线统一纳管的,如果交换机上没有配置逃生 VLAN,也可通过 ACC 控制器推送配置以确保端到端网络的一致性。
AP 逃生效果
在 Portal 和 Radius 等认证服务都正常的情况下,默认AP 只会释放 VLAN 为 401 的SSID,终端此刻只能扫描到⼀个Escape 的 SSID。完成认证连接后,终端正常上⽹,拿到 192.168.17.xx ⽹段地址。
正常业务下,终端接入到SSID为“Escape”的AP
当我们关闭 Portal 服务器,终端断开后依旧可以连接到 Escape,但拿到的是 VLAN 403 ⽹段的IP 地址 192.168.20.xx,符合预期。
