Falha na autenticação do portal após a rede wireless do EAP ser estendida com Extensor de Alcance
Fenômeno do problema: Depois que a autenticação do portal é definida no EAP, se um extensor de alcance for usado para expandir a rede wireless, somente o cliente conectado ao extensor de alcance pela primeira vez precisara de autenticação do portal, todos os dispositivos subsequentes conectados ao extensor de alcance poderão acessar a Internet sem autenticação.
Interpretação relevante:
1. Princípios de autenticação de portal
A figura a seguir mostra um processo simples de autenticação do portal. Quando o cliente se conecta ao EAP pela primeira vez, o EAP vincula o endereço MAC do cliente ao servidor controlador. Após a autenticação, o cliente pode acessar os recursos da rede.
2. Processo de encaminhamento de quadro de dados sem fio em WDS
WDS é a abreviatura do sistema de extensão de implantação de rede sem fio. Resumindo, o WDS consiste em usar dois (ou mais) roteadores de banda larga sem fio/AP/RE para estender o sinal sem fio a um alcance mais amplo por meio de uma conexão mútua. Os dados da comunicação entre APs no WDS podem ser divididos em uma comunicação contendo três endereços ou uma comunicação de quatro endereços.
2.1 Comunicação de quatro endereços (WDS padrão)
Quando AP1 e AP2 usam quatro endereços para comunicação, sua estrutura de quadro de dados inclui quatro endereços MAC: PC1, AP1, AP2 e PC2. A estrutura da rede é transparente e o envio e recebimento de dados são completamente iguais.
Nota: Dois APS precisam suportar quatro endereços antes que a comunicação de quatro endereços possa ser realizada, de modo a reduzir a compatibilidade entre os dispositivos.
2.2 Comunicação de três endereços (WDS não padrão)
Neste caso, o RE associa-se ao AP como cliente e depois transmite o SSID para a retaguarda, o que equivale a um cliente com múltiplos endereços IPs ligados ao AP.
Neste caso, a estrutura do quadro de dados de comunicação entre RE e AP é de três endereços. RE substituirá os endereços MAC de todos os dispositivos que se conectam a ele pelo endereço MAC do próprio RE, para que o lado do AP pense que apenas um dispositivo está conectado ao AP. O RE precisa manter uma tabela correspondente entre IP e MAC e fazer o trabalho de endereçamento e encaminhamento para substituir o MAC de origem e o MAC de destino.
O encaminhamento de dados de três endereços precisa ser realizado com a ajuda de um endereço IP e a eficiência do encaminhamento é baixa; Mas tem boa compatibilidade e pode expandir o sistema de rede com a maioria dos dispositivos.
A figura a seguir é uma estrutura típica de dados de comunicação de três endereços. Seu IP de origem é diferente, mas o endereço MAC no quadro de dados é exatamente o mesmo.
3. Razões pelas quais a autenticação do portal não entra em vigor
Atualmente, quando RE expande a rede EAP, três endereços são utilizados para comunicação. Não importa quantos dispositivos existam no conectados ao RE, o endereço MAC vinculado entre o EAP e o servidor controlador é o endereço MAC do RE durante a autenticação do portal. Neste cenário, o servidor pensa que apenas um dispositivo está conectado ao EAP. Portanto, os dispositivos conectados ao RE só precisam ser autenticados uma vez, e os demais dispositivos não precisam ser autenticados novamente.
4. Soluções relacionadas
O RE com o modo proxy pode ser usado. No modo proxy, o RE irá virtualizar o endereço MAC do dispositivo conectado a ele. O ER utilizará este endereço MAC virtual para comunicar com o AP a que se conecta para que o AP possa reconhecer diferentes endereços MAC, de modo a tornar eficaz a autenticação do portal.
Entretanto, nem todos os REs suportam o modo proxy. Os modelos RE que não suportam o modo proxy estão listados abaixo apenas para referência:
850RE v7; 855RE v5; 860RE v6; 854RE v4; RE550; RE505X; RE605X; RE200 v5; RE315 v1.0; RE230 v2.0; RE450 v2.0; RE450 v3.0
Nota: RE=Extensor de Alcance