なぜEAPを中継器で中継した場合にポータル認証が正常に動作しないのですか
EAPにポータル認証を設定した後、EAPネットワークに範囲を拡張するために中継)を使用すると、中継器に初めて接続するクライアントだけにポータル認証が行われ、それ以降に中継器(以下RE)に接続されるすべてのデバイスは認証なしでインターネットにアクセスできてしまいます。
関連事項:
1. ポータル認証の原理
次の図は、簡単にポータル認証プロセスを説明したものです。クライアントが初めてEAPに接続すると、EAPはクライアントのMACアドレスをコントローラサーバにバインドします。認証後、クライアントはネットワークリソースにアクセスできます。
2. WDSにおける無線データフレームの転送プロセス
WDS(Wireless Distribution System)とは、Wireless Network Deployment Extension Systemの略です。つまり、WDSとは、2台以上の無線ブロードバンドルーター/AP/REを用いて、相互に接続することで無線信号をより遠くまで拡張することです。WDSにおけるAP間の通信方法は、主に3アドレス通信と4アドレス通信に分けられます。
2.1 4アドレス通信(スタンダードWDS)
AP1とAP2が4アドレス通信を行う場合、AP1とAP2のデータフレーム構造は4つのMACアドレスPC1、AP1、AP2、PC2を含んでいます。ネットワーク構造は透過的で、データの送受信は完全に対等です。
注:4アドレス通信を行うためには、2つのAPが4アドレスに対応している必要があり、機器間の互換性が低下します。
2.2 3アドレス通信(スタンダードではないWDS)
この場合、REはクライアントとしてAPに関連付けられた後、SSIDを後方にブロードキャストしますが、これはAPに複数のIPSを接続したクライアントに相当します。
この時、REとAP間の通信のデータフレーム構造は3つのアドレスになっています。REは配下のすべての機器のMACアドレスをRE自身のMACアドレスに置き換えるため、AP側はREに接続されている機器はすべて同じ機器にみえます。REは、IPとMACの対応テーブルを保持し、送信元MACと送信先MACを置き換えるアドレス指定と転送作業を行う必要があります。
3アドレスのデータ転送は、IPアドレスの助けを借りて行う必要があるため、転送効率が低いかわりに互換性が高く、ほとんどの機器でネットワークを拡張することが可能です。
次の図は、典型的な3アドレス通信のデータ構造です。送信元IPは異なりますが、データフレーム内のMACアドレスは全く同じです。
3. 3.ポータル認証が効かない理由
現在、殆どの場合REがEAPネットワークを拡張する際に、3つのアドレスを使って通信を行っています。2台の機器のアプリケーションシナリオが異なるため、4つのアドレスでは対応できません。REのバックエンドに何台の機器があっても、EAPとコントローラサーバの間でバインドされているMACアドレスは、ポータル認証時のREのMACアドレスになります。この時、サーバーはEAPに接続されている機器は1台だけだと思っています。そのため、REに接続されている機器は一度だけ認証すればよく、他の機器は再度認証する必要がないと判断します。
4. 関連事項
プロキシモードの RE を使用する。プロキシモードでは、REは接続されている機器のMACアドレスを仮想化します。REはこの仮想MACアドレスを使ってフロントAPと通信し、フロントAPが異なるMACアドレスを認識できるようにすることで、ポータル認証を有効にすることができます。
ただし、互換性を前提とした機器も考慮するため、すべてのREがプロキシモードに対応しているわけではありません。参考までに、プロキシモードに対応していないREモデルを以下に記載しあます。
850RE v7、855RE v5、860RE v6、854RE v4、RE550、RE505X、RE605X、RE200 v5、RE315 v1.0、RE230 v2.0、RE450 v2.0、RE450 v3.0
注:RE=Range Extender(レンジエクステンダー、中継器)
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。