在公共 Wi-Fi 上(例如在机场看到的那种),当未经身份验证的用户首次连接到网络时,是网关检测到他们未经授权,还是远程的 AAA 服务器检测到他们未经授权?
在他们通过身份验证之后,网关是否知道他们的身份,并且他们是否仍要通过 AAA 服务器(我推测他们这样做是因为需要计费)?
答案1
简而言之,路由器/网关可以根据 AAA 服务(服务器或服务)发回的允许客户端列表检测用户是否通过身份验证。
大多数小型 WiFi 设置通常使用路由器上的内置功能,该功能可直接回调到 AAA 服务,这样一旦用户注册,路由器几乎会立即更新,并且用户可以访问权限。
该过程在主要网络上的工作原理几乎相同;不同之处在于 AAA 服务通常是 RADIUS 或其他类型的主要 AAA 服务器,它授权并使用用户信息更新所有相关的 MESH AP,以便他们可以直接访问网络(而不是使用强制 DNS 设置)。
在上述两种情况下,网关/路由器通常首先使用 MAC 路由表或回调直接绑定到路由器的经过身份验证的 AAA 服务来检测用户是否已经通过身份验证。
在主要网络上,网关(用户与之交互的第一个主要服务器)可以完成这项工作;但通常,第一道防线是 AP,它可以检测用户是否被允许访问网络,如果不被允许,则重新路由到 AAA 服务。
希望这更有意义。
答案2
我不确定,我只是在这里猜测。
您可以轻松配置防火墙,将所有来自未知 MAC 地址的传入流量重定向到特定网站。(并阻止所有非 http 请求)使用此站点您可以验证自己的身份,它可能位于防火墙以外的其他地方,例如在数据中心。
认证后,您的流量将不再重定向到认证站点,但您将看到您想要的内容。当您不再需要接入点时,它会在给定的时间段(如 10 分钟)后重置您的认证。
检查这个答案以及下面对 ITSec.SE 上类似问题的评论