关于H3C交换机上802.1x在windows XP SP3和Vista上无法通过验证的解决方法

      之前曾经发过一篇文章（ http://idefeng.blog.51cto.com/304862/79355）说启动802.1x验证后，windows xp sp3无法通过验证的文章。发表后，有网友提出了解决方案。前段时间和微软的人员一起分析时，微软技术说windows xp sp2和windows xp xp3发出的请求包都是一致的。可能是交换机的问题。后来我认真的查看了一下数据包。发现在windows xp sp3上第一次接入网络时可能通过，但过了15秒后重新验证时却失败（在SP2上没有这个问题）。仔细研究发现，第二次验证时并没有和radius进行通讯，而且验证过程中交换机不断的发送request/ideitity请求包，而客户端也不断的发送response/identity响应包，但是并没有下一步的动作。但发送大概5次时，发生超时现象，于是出现验证失败的现象。

后来打电话给H3C 800客服，客服建议我升级交换机VRP版本，然后关闭802.1X的握手协议。照做：

1.升级VRP版本（如何升级，请看我博客另一篇文章）

2.关闭握手协议：

#undo dot1x handshake enable(注意在老版本VRP中根本没有这个命令)

3.测试。

测试结果发现，SP2和SP3都能够正常的成功通过。

分析一下原因：

1.H3C交换机默认情况下802.1x的握手协议是打开的。目的是为了验证客房端的在线情况，但是有很多非H3C的802.1x专用客户端并不支持握手协议，于是造成超时无法通过的情况。

2.H3C交换机VRP老版本中根本没有关闭握手协议的命令。这不得不说H3C服务没有做到家。

3.另有一点不明白，为什么SP2和SP3发出相同的包，SP2可以正常通过或者至少不会超时发生，但是SP3却无法通过呢？是windows xp sp3有其他额外信息发送出去？还是h3c交换机的设计BUG？

继续跟进中...

详细参考： http://www.51define.cn