Explicación del error de autenticación del portal después de que EAP se amplía con los extensores de rango
Fenómeno del problema: después de configurar la autenticación del portal en EAP, si se utiliza un extensor de rango para expandir la red EAP, solo los clientes conectados al extensor de rango por primera vez necesitan autenticación del portal, y todos los dispositivos posteriores conectados al extensor de rango pueden acceder Internet sin autenticación.
Interpretación relevante:
1. Principios de la autenticación del portal
La siguiente figura muestra un proceso de autenticación de portal simple. Cuando el cliente se conecta a EAP por primera vez, EAP vincula la dirección MAC del cliente al servidor del controlador. Después de la autenticación, el cliente puede acceder a los recursos de la red.
2. Proceso de reenvío de la trama de datos inalámbrica bajo WDS
WDS, es decir, sistema de distribución inalámbrica, es la abreviatura de sistema de extensión de despliegue de red inalámbrica. En resumen, WDS es utilizar dos (o más) enrutadores de banda ancha inalámbricos / AP / RE para extender la señal inalámbrica a un rango de mayor alcance a través de una conexión mutua. Los datos de comunicación entre AP en WDS se pueden dividir en comunicación de tres direcciones y comunicación de cuatro direcciones.
2.1 Comunicación de cuatro direcciones (WDS estándar)
Cuando AP1 y AP2 usan cuatro direcciones para la comunicación, su estructura de trama de datos incluye cuatro direcciones MAC PC1, AP1, AP2 y PC2. La estructura de la red es transparente y el envío y la recepción de datos son completamente iguales.
Nota: Dos APS deben admitir cuatro direcciones antes de que se pueda llevar a cabo la comunicación de cuatro direcciones, a fin de reducir la compatibilidad entre dispositivos.
2.2 Comunicación de tres direcciones (WDS no estándar)
En este caso, el RE se asocia con el AP como cliente y luego transmite el SSID a la parte trasera, lo que equivale a un cliente con múltiples IPS conectados al AP.
En este momento, la estructura de la trama de datos de comunicación entre RE y AP es de tres direcciones. RE reemplazará las direcciones MAC de todos los dispositivos traseros con las direcciones MAC del propio RE para que el lado del AP piense que solo un dispositivo está conectado al AP . RE necesita mantener una tabla correspondiente entre IP y MAC, y realizar el trabajo de direccionamiento y reenvío para reemplazar el MAC de origen y el MAC de destino.
El reenvío de datos de tres direcciones debe realizarse con la ayuda de una dirección IP y la eficiencia del reenvío es baja; Pero tiene una buena compatibilidad y puede expandir el sistema de red con la mayoría de los dispositivos.
La siguiente figura es una estructura típica de datos de comunicación de tres direcciones. Su IP de origen es diferente, pero la dirección MAC en el marco de datos es exactamente la misma.
3. Razones por las que la autenticación del portal no tiene efecto
En la actualidad, cuando RE expande la red EAP, se utilizan tres direcciones para la comunicación entre ellos. Debido a que los escenarios de aplicación de los dos dispositivos son diferentes, no pueden ser compatibles con cuatro direcciones. No importa cuántos dispositivos haya en el back-end del RE, la dirección MAC vinculada entre el EAP y el servidor del controlador es la dirección MAC del RE durante la autenticación del portal. En este momento, el servidor cree que solo un dispositivo está conectado al EAP. Por lo tanto, los dispositivos conectados al RE solo deben autenticarse una vez y no es necesario volver a autenticar otros dispositivos.
4. Soluciones relacionadas
Se utiliza el RE con el modo proxy. En modo proxy, el RE virtualizará la dirección MAC del dispositivo conectado a él. El RE utilizará esta dirección MAC virtual para comunicarse con el AP frontal de modo que el AP frontal pueda reconocer diferentes direcciones MAC, a fin de que la autenticación del portal sea efectiva.
Sin embargo, para que algunos dispositivos se consideren bajo la premisa de compatibilidad, no todos los RE admiten el modo proxy. Los modelos RE que no admiten el modo proxy se enumeran a continuación solo como referencia:
850RE v7; 855RE v5; 860RE v6; 854RE v4; RE550; RE505X; RE605X; RE200 v5; RE315 v1.0; RE230 v2.0; RE450 v2.0; RE450 v3.0
Nota: RE = Extensor de rango
¿Es útil esta faq?
Sus comentarios nos ayudan a mejorar este sitio.