802.1x认证接入方式同时实现WEB验证,因为配置和XP客户端上防火墙 造成xp自带客户端无法弹出验证窗口

发布时间:  2012-07-26 浏览次数:  87 下载次数:  0
问题描述
MA5200下接S2403H透传VLAN到MA5200,做802.1X认证配置。
MA5200版本9313。
配置完成后,用802.1X客户端软件由本机发起验证,能够成功完成验证。但是采用XP自带的客户端不能按照指导书说的自动弹出认证对话框进行认证。
客户要求同时实现WEB认证通过也能上网的功能。
VLAN端口上的配置为:VLAN PORT 11 152 2 DOT1X-CONTROL AUTO
                    VLAN PORT 11 152 2 DOT1X-POLICY AUTO
告警信息
处理过程
1、在S2403H下抓包发现没有802.1触发报文。
2、调整VLAN PORT 配置:VLAN PORT 11 152 2DOT1X-POLICY EAP-DHCP。要求先通过802.1X认证才能进行DHCP过程。
3、再次抓包发现有触发报文,但是XP系统无反应。
4、关闭XP上的所有防火墙(自带的和装的),再次测试发现能够弹出认证窗口。
5、因为同时要实现WEB认证,增加配置:
vlan port 11 152 2 dot1x-option second-dhcp on
vlan port 11 152 2 dot1x-option change-policy auto
6、关闭XP的802.1X自带客户端,用ipconfig /renew命令获得地址,进行WEB验证通过后能够正常
根因
用802.1X客户端软件能够通过验证说明MA5200没有问题。问题应该是MA5200配置或者XP系统问题。两种方式的发起方式是不同的,采用802.1X客户端是本地发起验证,XP自带客户端是XP发出DHCP DISCOVERY报文后,由MA5200发出触发报文开始验证过程。

END