なぜEAPを中継器で中継した場合にポータル認証が正常に動作しないのですか

EAPにポータル認証を設定した後、EAPネットワークに範囲を拡張するために中継）を使用すると、中継器に初めて接続するクライアントだけにポータル認証が行われ、それ以降に中継器（以下RE）に接続されるすべてのデバイスは認証なしでインターネットにアクセスできてしまいます｡

関連事項：

1. ポータル認証の原理

次の図は、簡単にポータル認証プロセスを説明したものです。クライアントが初めてEAPに接続すると、EAPはクライアントのMACアドレスをコントローラサーバにバインドします。認証後、クライアントはネットワークリソースにアクセスできます。

2. WDSにおける無線データフレームの転送プロセス

WDS（Wireless Distribution System）とは、Wireless Network Deployment Extension Systemの略です。つまり、WDSとは、2台以上の無線ブロードバンドルーター／AP／REを用いて、相互に接続することで無線信号をより遠くまで拡張することです。WDSにおけるAP間の通信方法は、主に3アドレス通信と4アドレス通信に分けられます。

2.1 　4アドレス通信（スタンダードWDS）

AP1とAP2が4アドレス通信を行う場合、AP1とAP2のデータフレーム構造は4つのMACアドレスPC1、AP1、AP2、PC2を含んでいます。ネットワーク構造は透過的で、データの送受信は完全に対等です。

注：4アドレス通信を行うためには、2つのAPが4アドレスに対応している必要があり、機器間の互換性が低下します。

2.2 　3アドレス通信(スタンダードではないWDS)

この場合、REはクライアントとしてAPに関連付けられた後、SSIDを後方にブロードキャストしますが、これはAPに複数のIPSを接続したクライアントに相当します。

この時、REとAP間の通信のデータフレーム構造は3つのアドレスになっています。REは配下のすべての機器のMACアドレスをRE自身のMACアドレスに置き換えるため、AP側はREに接続されている機器はすべて同じ機器にみえます。REは、IPとMACの対応テーブルを保持し、送信元MACと送信先MACを置き換えるアドレス指定と転送作業を行う必要があります。

3アドレスのデータ転送は、IPアドレスの助けを借りて行う必要があるため、転送効率が低いかわりに互換性が高く、ほとんどの機器でネットワークを拡張することが可能です。

次の図は、典型的な3アドレス通信のデータ構造です。送信元IPは異なりますが、データフレーム内のMACアドレスは全く同じです。

3. 3.ポータル認証が効かない理由

現在、殆どの場合REがEAPネットワークを拡張する際に、3つのアドレスを使って通信を行っています。2台の機器のアプリケーションシナリオが異なるため、4つのアドレスでは対応できません。REのバックエンドに何台の機器があっても、EAPとコントローラサーバの間でバインドされているMACアドレスは、ポータル認証時のREのMACアドレスになります。この時、サーバーはEAPに接続されている機器は1台だけだと思っています。そのため、REに接続されている機器は一度だけ認証すればよく、他の機器は再度認証する必要がないと判断します。

4. 関連事項

プロキシモードの RE を使用する。プロキシモードでは、REは接続されている機器のMACアドレスを仮想化します。REはこの仮想MACアドレスを使ってフロントAPと通信し、フロントAPが異なるMACアドレスを認識できるようにすることで、ポータル認証を有効にすることができます。

ただし、すべてのREがプロキシモードに対応しているわけではなく、TP-Linkが取り扱っているREは2025年4月現在ほぼすべての機種がプロキシモードを採用していません。

注：RE=Range Extender（レンジエクステンダー､中継器）