交换机和Windows XP SP3或Vista配合做Radius认证每隔30s进行重认证的解决方法
一、 组网:
无
二、 问题描述:
使用我司交换机做Radius认证,当PC客户端的系统为Windows XP SP3或Vista时,发现在PC认证成功之后,客户端每隔30s发起一次重认证,造成server频繁收到重认证请求。
三、 过程分析:
默认情况下,我司交换机是采用基于MAC的dot1x认证,PC认证成功以后,交换机会定时向客户端发送握手报文和组播触发认证报文,这两种报文一个是为了检测用户连接状态,一个是为了触发端口上新连接的PC进行dot1x认证,两种报文都是EAP identity request,Windows XP SP3或Vista认为在认证成功之后收到的 EAP identity request报文均是重认证请求报文,因此就出现了不断进行重认证的情况。
四、 解决方法:
总的解决思路是,减少或者避免交换机在认证成功之后发出EAP identify request 报文,针对不同的具体情况有几种解决方式如下:
(1) 对于每个端口下只有一台PC认证的情况
建议采用基于端口的认证:dot1x port-method portbased,
并且关闭握手功能:undo dot1x handshake enable
(2) 对于每个端口接多个PC并且客户端采用动态地址,可以采用
关闭握手功能:undo dot1x handshake enable
并且采用dhcp discover报文触发认证的方式dot1x dhcp-launch
这种情况下,因为交换机不会触发认证,所以需要在客户端手工执行
ipconfig /release ipconfig /renew命令来发出dhcp discover报文以触发认证;
(3) 对于客户端采用静态地址的情况,对于Windows XP sp3和vista客户端
只能像(1)一样处理,每个端口接一个PC,采用基于端口的认证方式并且关闭握手的方法。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作