低端交换机和Windows XP SP3配合做Radius认证每隔30s自动进行重认证的解决方法

交换机和Windows XP SP3或Vista配合做Radius认证每隔30s进行重认证的解决方法

一、       组网：

 无

二、       问题描述：

使用我司交换机做Radius认证，当PC客户端的系统为Windows XP SP3或Vista时，发现在PC认证成功之后，客户端每隔30s发起一次重认证，造成server频繁收到重认证请求。

三、       过程分析：

默认情况下，我司交换机是采用基于MAC的dot1x认证，PC认证成功以后，交换机会定时向客户端发送握手报文和组播触发认证报文，这两种报文一个是为了检测用户连接状态，一个是为了触发端口上新连接的PC进行dot1x认证，两种报文都是EAP identity request，Windows XP SP3或Vista认为在认证成功之后收到的 EAP identity request报文均是重认证请求报文，因此就出现了不断进行重认证的情况。

四、       解决方法：

总的解决思路是，减少或者避免交换机在认证成功之后发出EAP identify request 报文，针对不同的具体情况有几种解决方式如下：

(1)    对于每个端口下只有一台PC认证的情况

建议采用基于端口的认证：dot1x port-method portbased，

并且关闭握手功能：undo dot1x handshake enable

(2)    对于每个端口接多个PC并且客户端采用动态地址，可以采用

关闭握手功能：undo dot1x handshake enable

并且采用dhcp discover报文触发认证的方式dot1x dhcp-launch

这种情况下，因为交换机不会触发认证，所以需要在客户端手工执行

ipconfig /release  ipconfig /renew命令来发出dhcp discover报文以触发认证；

(3)    对于客户端采用静态地址的情况，对于Windows XP sp3和vista客户端

只能像(1)一样处理，每个端口接一个PC，采用基于端口的认证方式并且关闭握手的方法。