Аутентификация является обязательной составной частью алгоритмов WPA и WPA2. Стандарт IEEE 802.1x предусматривает следующую процедуру аутентификации:

1. Клиент физически подключается к порту коммутатора, поддерживающего 802.1x, и получает режим ограниченного доступа. В этом режиме он может только передать свои реквизиты (идентификатор станции, пароль, сертификат) самому коммутатору, или централизованному серверу RADIUS через этот коммутатор.
2. Коммутатор запрашивает реквизиты клиента и проверяет их либо по своему локальному списку пользователей, либо по централизованному серверу RADIUS.
3. При успешной аутентификации пользователю открывается режим полного доступа, в котором он может обмениваться пакетами Ethernet с любыми другими узлами в данной сети 2 уровня. При этом особую роль на следующем этапе играют широковещательные пакеты: запросы и ответы DHCP, ARP, PPPoE discovery.
4. Клиент может в любой момент запросить деаутентификацию и перейти в ограниченный режим. В частности, чтобы физически отключиться от коммутатора, корректная последовательность действий — это сначала деаутентифицироваться, а затем физически отключить кабель от порта коммутатора. Некорректная последовательность — кабель просто выдёргивается из работающего порта — также приводит к тому, что по переходу в состояние DOWN порт автоматически теряет аутентификацию и переходит в ограниченный режим.

В случае беспроводных сетей эта процедура полностью остаётся в силе, с тем только отличием, что вместо физического порта коммутатора она применяется к виртуальному порту точки доступа. Для выполнения аутентификации в сетях с WPA/WPA2 NSG Linux предусматривает два наиболее употребительных метода:

• На основе разделяемого секрета — private mode, он же WPA–PSK или WPA2–PSK, соответственно. Предназначен, в основном, для сетей, имеющих единственную точку доступа: домашних сетей, малых офисов. В этом случае для всех устройств используется общий секрет (Pre-Shared Key), который вводится в их конфигурации вручную.
  При необходимости, конечно, можно настроить таким образом и несколько точек доступа, но очевидно, что с ростом их числа работа по настройке и эксплуатации такой сети (смена секретов и т.п.) становится всё более трудоёмкой и чреватой ошибками.
• На основе модели Open System Authentication — enterprise mode, иногда обозначаемый как просто WPA или WPA2. Использует аутентификацию на централизованном сервере RADIUS и предназначен для корпоративных сетей, состоящих из большого числа точек доступа. Каждому клиенту назначается уникальный набор сетевых реквизитов (идентификатор станции, пароль и т.п.).

Обратно в узел wifi...