Explication de l'échec de l'authentification du portail après l'extension d'EAP avec les répéteurs WiFi
Phénomène problématique : une fois l'authentification du portail définie sur EAP, si un répéteur WiFi est utilisé pour étendre le réseau EAP, seuls les clients connectés au répéteur WiFi pour la première fois ont besoin d'une authentification de portail, et tous les appareils suivants sont connectés au répéteur WiFi peuvent accéder Internet sans authentification.
Interprétation pertinente :
1. Principes de l'authentification du portail
La figure suivante montre un processus d'authentification de portail simple. Lorsque le client se connecte à EAP pour la première fois, EAP lie l'adresse MAC du client au serveur contrôleur. Après authentification, le client peut accéder aux ressources du réseau.
2. Processus de transfert de la trame de données sans fil sous WDS
WDS, à savoir système de distribution sans fil, est l'abréviation de système d'extension de déploiement de réseau sans fil. En bref, WDS consiste à utiliser deux (ou plusieurs) routeurs haut débit sans fil / AP / RE pour étendre le signal sans fil à une portée plus étendue grâce à une connexion mutuelle. Les données de communication entre les points d'accès dans WDS peuvent être divisées en trois communications d'adresses et quatre communications d'adresses.
2.1 Communication à quatre adresses (WDS standard)
Lorsque AP1 et AP2 utilisent quatre adresses pour la communication, leur structure de trame de données comprend quatre adresses MAC PC1, AP1, AP2 et PC2. La structure du réseau est transparente et l'envoi et la réception de données sont parfaitement égaux.
Remarque : deux APS doivent prendre en charge quatre adresses avant que la communication à quatre adresses puisse être effectuée, afin de réduire la compatibilité entre les appareils.
2.2 Communication à trois adresses (WDS non standard)
Dans ce cas, le RE est associé à l'AP en tant que client et diffuse ensuite le SSID à l'arrière, ce qui équivaut à un client avec plusieurs IPS connectés à l'AP.
A ce moment, la structure de trame de données de communication entre RE et AP est de trois adresses. RE remplacera les adresses MAC de tous les appareils arrière par les adresses MAC de RE lui-même afin que le côté AP pense qu'un seul appareil est connecté à AP . RE doit maintenir une table correspondante entre IP et MAC, et effectuer le travail d'adressage et de transfert pour remplacer le MAC source et le MAC de destination.
Le transfert de données de trois adresses doit être effectué à l'aide d'une adresse IP et l'efficacité du transfert est faible ; Mais il a une bonne compatibilité et peut étendre le système de réseau avec la plupart des appareils.
La figure suivante est une structure de données de communication typique à trois adresses. Son IP source est différente, mais l'adresse MAC dans la trame de données est exactement la même.
3. Raisons pour lesquelles l'authentification du portail ne prend pas effet
À l'heure actuelle, lorsque RE étend le réseau EAP, trois adresses sont utilisées pour la communication entre elles. Les scénarios d'application des deux appareils étant différents, ils ne peuvent pas être compatibles avec quatre adresses. Quel que soit le nombre de périphériques à l'arrière du RE, l'adresse MAC liée entre l'EAP et le serveur contrôleur est l'adresse MAC du RE lors de l'authentification du portail. A ce moment, le serveur pense qu'un seul appareil est connecté à l'EAP. Par conséquent, les appareils connectés au RE n'ont besoin d'être authentifiés qu'une seule fois et les autres appareils n'ont pas besoin d'être à nouveau authentifiés.
4. Solutions associées
Le RE avec le mode proxy est utilisé. En mode proxy, le RE virtualisera l'adresse MAC de l'appareil qui lui est connecté. Le RE utilisera cette adresse MAC virtuelle pour communiquer avec l'AP avant afin que l'AP avant puisse reconnaître différentes adresses MAC, afin de rendre l'authentification du portail efficace.
Cependant, afin que certains appareils soient pris en compte sur la base de la compatibilité, tous les RE ne prennent pas en charge le mode proxy. Les modèles RE qui ne prennent pas en charge le mode proxy sont répertoriés ci-dessous à titre de référence uniquement :
850RE v7 ; 855RE v5 ; 860RE v6 ; 854RE v4 ; RE550 ; RE505X ; RE605X ; RE200 v5 ; RE315 v1.0 ; RE230 v2.0 ; RE450 v2.0 ; RE450 v3.0