La réponse courte est que ROUTER / GATEWAY peut détecter si l'utilisateur est authentifié ou non, en fonction de la liste des clients autorisés renvoyés depuis le service AAA (serveur ou service).
La plupart des petites configurations WiFi utilisent généralement une fonctionnalité intégrée à leur routeur, qui permet de rappeler directement le service AAA. Ainsi, une fois l'utilisateur connecté, le routeur est mis à jour presque instantanément et l'accès est autorisé.
Le processus fonctionne à peu près de la même manière sur les grands réseaux; à l'exception du fait que le service AAA est généralement un serveur RADIUS ou un autre type de serveur AAA principal, qui autorise et met à jour tous les points d'accès MESH associés avec les informations de l'utilisateur, de sorte qu'ils aient un accès direct au réseau (sans utiliser les paramètres DNS captifs). )
Dans les deux cas ci-dessus, la passerelle / routeur est généralement le premier à détecter si l'utilisateur est authentifié, en utilisant des tables de routage MAC ou des rappels vers les services AAA authentifiés liés directement au routeur.
Sur les principaux réseaux, le Gateway (le premier serveur principal avec lequel l'utilisateur interagit peut accomplir cette tâche; normalement, la première ligne de défense est le PA, qui peut détecter si l'utilisateur est autorisé sur le réseau et rediriger le routage. sinon au service AAA.
J'espère que cela a un peu plus de sens.
AAA/RADIUS
travail du serveur consiste simplement à fournir une liste des utilisateurs autorisés à accéder au réseau. Ils utilisent pour cela les tables de routage MAC. Lorsque l'utilisateur se connecte au réseau, la passerelle vérifie la table de routage MAC et détermine si l'utilisateur est autorisé. SI NON, il utilise le DNS captif, qui redirige vers le portail captif; si autorisé, il utilise le bon DNS et permet la connexion.Je ne suis pas sûr, je devine juste ici.
Vous pouvez configurer un pare-feu assez facilement pour rediriger tout le trafic entrant provenant d'une adresse MAC inconnue vers un site Web spécifique. (Et bloquer toutes les demandes non-http) Avec ce site, vous pouvez vous authentifier, il est probablement situé ailleurs que sur le pare-feu, par exemple dans le centre de données.
Après l’authentification, votre trafic ne sera plus redirigé vers le site d’authentification, mais vous verrez ce que vous voulez. Lorsque vous n’avez plus besoin du point d’accès, votre authentification sera réinitialisée après une période donnée (environ 10 minutes).
cochez la réponse et le commentaire ci-dessous à une question similaire sur ITSec.SE
la source