無線網路管理

無線網路管理

李忠憲 2007/07/10初稿

無線傳輸在電腦上的應用

無線技術發展早於18世紀末葉，並廣泛應用在廣播上面，經過多年的研究出現了各種不同的無線技術，包括：紅外線傳輸、無線電波、微波傳輸...等。在電腦上的應用主要分成下面三個領域：

• 短距點對點傳輸：IrDA、RFID (Radio Frequency Identification)、Wireless USB
• 無線感應網路：Bluetooth, Ultra-wideband (UWB from WiMedia Alliance)
• 無線網路：Wireless Local Area Networks (WLAN), (IEEE 802.11 branded as WiFi), Wireless Metropolitan Area Networks (WMAN) and Broadband Fixed Access (BWA) (IEEE 802.16 as WiMAX)

無線感應網路與無線網路的分別在於，無線感應裝置會主動發出通告訊號，網路的建立是動態可選擇的，而無線網路則是由想要建立連線的一方被動掃描頻道，連線設定必須預先設定在裝置上。

目前校園內所使用的無線網路都是 802.11 衍生協定，統稱為 WiFi（唸法類似於 HiFi）。WiFi 是發展給室內使用，與藍芽一樣都非常易受干擾，一般說來並不適合佈置在室外，同時由於 AP 與 AP 之間的漫遊雖然透過 ad hoc 演算法來處理，號稱不會中斷，但在現場實測的結果，漫遊中斷是不可避免的，這主要都是 AP 覆蓋面積太小或干擾所帶來後果。使用戶外天線來增益功率能有效改善這些問題，但容易受到環保團體的質疑，儘管它的輻射僅有大哥大的千分之ㄧ。另一方面 WiMax 是發展給都會使用，覆蓋範圍高達 10 公里，只要在台北市佈上幾顆就可以提供全市上網，包含提供給所有學校使用，無論從佈建成本或管理維護來考量都會優於室外 AP 方案，也就是說台北市的「無線新都」太急於建功，而忽略了未來性的考量，以致於讓澎湖縣搶先成了真正的網路新都，台北市成為全台灣第一個網路舊都。

	WiFi	WiMAX
頻率	2.4GHz，5GHz	NOLS 2~11G
最大頻寬	11g :54GHz	75GHz
最適用距離	30~90公尺	9.6公里

使用 WiFi 技術在校園內已經衍生了底下的問題：

• AP 容易當機，因為裝設在天花板上，因此重開機非常不便。
• AP 佈建太密，互相覆蓋導致訊號雖高，卻無法連線的現象
• AP 佈建於走廊，導致室內的覆蓋面積與走廊上不同。
  佈太少室內收訊不良，佈太多室外收訊不良。
• 封閉地點訊號無法到達，例如：位於地下室的教室。
• 開闊地點訊號無法到達，例如：操場、大禮堂...等。
• 由於 802.11n 與 802.11g 覆蓋範圍不同，更換新設備時，必須重新佈線。

IEEE 802.11 branded
802.11a	5GHZ	54Mbps	使用多頻道來加快傳輸，不易受干擾，覆蓋面積小，與 b/g 無法相容
802.11b	2.4GHZ	11Mbps	低成本、易干擾、速度慢、室內傳輸距離約 90m
802.11g	2.4GHZ	54Mbps	與 802.11b 相容但速度較快
802.11n	2.4 或 5	540Mbps	頻寬最大可達 g 的十倍，頻帶自動分配，距離較短（50m）

無線網路佈建改善方案

1. 利用無線訊號偵測軟體，檢測有無AP訊號干擾之現象發生
2. 依實際需要進行底下之調校工作：

• 改變AP佈建位置或以延長天線方式，改變訊號涵蓋位置
• 移除多餘AP減少現有AP數量以減低干擾
• 徹底檢查AP間的頻率間隔減低干擾
• 找出軟體設定最佳化模式
• 整合漫遊機制與校內帳號認證機制，解決市網外線斷線時，無線網路無法利用之問題

目前校園無線網路採用之設備為Dlink DWL-2100AP，發射功率18dBm，感應靈敏度為 -66dBm(54Mbps)~-89dBm(6Mbps)，也就是說測得之數據小於-89dBm，就屬於訊號微弱不堪使用。有效操作範圍為室外400公尺（無阻隔）、室內30~90公尺，若遇到建築體阻隔，則必須進行現場實測及估算。

在討論微波傳輸的書中，可以找到以下的估算通訊距離之公式：

Po-C1+A1-Loss+A2-C2>Pr

Po: 發射輸出功率, 以 dBm 來表示
C1: 發射鏈路所用同軸電纜產生的損失衰減, 單位 dB
A1: 發射端天線增益, 單位 dB
Loss: 傳輸路徑損失, 單位 dB
A2: 接收端天線增益. 單位 dB
C2: 接收鏈路同軸電纜損失, 單位 dB
Pr: 接收端最低接收訊號功率強度, 單位 dBm

dB為兩功率之間的比值。例如：甲功率比乙功率大一倍，那麼甲功率與乙功率的比值為：10 * log(甲功率/乙功率)=10 * log2=3dB

dBm是表示功率絕對值的值（也可以認為是以1mW功率為基準的一個比值），計算公式為：10*log(功率值/1mW)。換算表如下：

dBm 與 dBm 相減得到的是 dB，例如：18 dBm- 15 dBm=3 dB（15 dBm為 18 dBm的兩倍）

無障礙傳輸損失(db)Loss=92.4+20 * log(f)+20 * log(d)...
f:是頻率, 單位 Ghz（無線網路使用 2.4Ghz）
d:是距離, 單位 Km
接收靈敏度有些以多少 dbuV 來表示, 您可將 Pr 回復為 mW 單位 再用 P=V^2/R 的式子求算出電壓, 再與 1uV 比較, 以 db 表示之(典型無線網卡傳輸阻抗為 50 ohm)
功率的 dB = 10 * log (P1/P2)
電壓的 dB = 20 * log (P1/P2)

下表為在室內環境下，隨著距離的增加接收訊號的衰減數（已考慮阻礙情形之估算），訊號衰減每增加3 dB，強度就會減弱一半，可以看出，無線訊號強度隨著距離的增加而急劇下降。

0公尺	10公尺	20公尺	30公尺	40公尺	50公尺	60公尺	70公尺
總衰減		86dB	100 dB	107 dB	113 dB	117 dB	121 dB	124 dB
比前10公尺增加的衰減			14 dB	7 dB	6 dB	4 dB	4 dB	3 dB
電波強度	+18dBm	-68dBm	-82dBm	-89dBm	-95dBm	-99dBm	-103dBm	-106dBm

上表為估計值，實際情形仍應以實測為主，可利用無線網路訊號偵測軟體 Network Stumbler(http://www.netstumbler.com/)，於兩台 AP 中點進行偵測，可以查出基地台數量、頻道以及強度(-50~-100dBm)，雖然軟體的使用很簡易，但精確度不足，如下圖。

兩AP之最佳覆蓋率應小於30%以避免訊號互相干擾（俗稱蓋台），到底覆蓋率是如何計算出來呢？首先，當然必須先量測訊號的有效操作範圍（訊號強度應大於10^-15 W），畫出訊號分佈圖後，再使用積分方法來求覆蓋率。

由於缺乏精確的量測儀器，要想知道所有AP的有效操作範圍，必須進行大量的定點測量，勢必要動員全校所有老師及行政人員幫忙，這是現實面辦不到的事，而訊號有效範圍測量不出來，也就無從計算覆蓋面積，所以必須要尋找其它的替代方法。

底下的方式雖然很不精準，但在實務操作上卻很簡單。假設兩個AP之訊號分佈圖如下，當一台AP的有效訊號半徑邊緣與另一台 AP的圓心重疊，用簡單的幾何學來推算，可得知覆蓋率已超過 30%。

由圖得知，良好的覆蓋率（小於30%）有一個簡單的原則，就是在任一台AP的正下方偵測時，應該只會偵測出該台AP，而不會有其它AP的訊號才對。我們可以利用此原則，在每台 AP 的正下方偵測訊號強度，作為改動AP位置（移動天線或減少AP數量）的參考。

兩AP中間如果收訊不良（移動中網路斷線），則於兩AP的中點增加量測點量測訊號，至少須有一個AP的訊號應高於 -66dBm（54Mbps 之最低訊號要求）。

其他問題解決的建議：

1. 使用 POE（power on ethernet）電源供應器，只要將 switch 電源重開，所有 AP 自動重開機。
2. 天線延伸至地下室可使用全向性管狀天線，禮堂等大範圍面積可採用指向性面板天線，操場或開闊地可使用指向性扇式或雷達式天線來改善收訊不良的問題。
   
3. 無 線網路應使用 switch 集收 ，不可使用 hub 集收。switch 與 switch 之間可使用光電轉換器透過光纖來連結，或使用1000BaseT 串接。

無線加密與無線認證

談到無線網路安全，不能不提無線加密與無線認證，加密的目的是為了讓傳輸的資料不會被第三者竊取或篡改，而認證的目的是為了管理無線網路使用權限，加密與認證是兩個不同面向的問題，不應該混為一談，甚至有「既然已經認證，就不需要加密」的錯誤想法。網路上常用的加密有兩種：

• WEP 加密，將密碼編成 64 bit 或 128 bit 密碼，由於演算法的漏洞，所以有被竄改資料和密碼的可能。
• WPA 加密，又分為兩種不同加密機制，透過 802.1X 認證伺服器（密碼儲存於 RADIUS 伺服器上）以及 PSK（Pre-shared key 預設公鑰，此方法又被稱為 WPA person version）。後者較不安全，但設定較簡單。由於 WPA 所採用的 RC4 加密法仍然有弱點，比較安全的作法是使用 WPA2（使用 AES 加密）。Windows XP 已經支援 WPA2 如果網卡本身不提供 WPA2 驅動程式，可以使用 XP 內建的 wireless zone 服務來進行連線。

設定加密機制，除了用戶端需要支援 WPA2 加密外，AP 本身的韌體也必須支援 WPA2 加密。所幸目前市面販售的無線 AP 都已經有新的韌體可以更新，但是有些 AP 僅支援 TKIP 演算法而不支援 AES 演算法，此種 AP 在使用上比較麻煩。因為 AES 會自動偵測加密機制，用戶端完全不需要任何設定即可使用，使用 TKIP 則需要事先建立加密設定檔，並儲存 SSID（AP 編號）與加密設定檔的關聯。

如前所述認證是用來管制無線網路的使用權限，常見的方式有兩種：

• 鎖定網卡 Mac 位址。
• 使用 Captive Portal 機制，當用戶上網時將網頁重導向到認證網頁上進行認證。重導向的方法有三種，分別是：使用 HTTP 302 重導向、IP 重導向以及 DNS 查詢重導向，學校所使用的 m0n0Wall 就是屬於 DNS 查詢重導向。

三種重導向的作法，各有其優缺點，分述如下:

• HTTP 302 重導向，當用戶端第一次上網時，檢查用戶端 IP 是否已經在通過認證表列中，如果沒有則傳送 HTTP 302 封包給用戶端，將瀏覽器轉往登入網頁。某些安全限制較多的瀏覽器會將 HTTP 302 封包視為釣魚伎倆，這個方法將不會靈光。
• IP 重導向，改寫用戶端的 HTTP 封包，將目的地 IP 以及 HTTP 指令中的 GET 網址指向登入網頁，因為重導向是在封包回傳給瀏覽器之前進行，因此可以完全忽略瀏覽器的反應，可以說是最佳方法。改寫 IP 倒還好，但是改寫 HTTP 指令，目前並沒有防火牆產品可以支援，也就是說採用這個方法勢必要改寫防火牆引擎。
• DNS 查詢重導向，當用戶端進行 HTTP 連線之前，會先去詢問 DNS(當然如果網址是 IP 這件事就不會發生)當詢問 DNS 時，Captive Portal 故意回答登入網頁所在的 IP，就能將瀏覽器導向到登入畫面。在這種情形下，用戶端的 DNS 必須指定為 Captive Portal 所在的 IP，而不可以指向慣用 DNS，另外，當用戶端認證通過後，會由 Captive Portal 將 DNS 查詢封包重導向給慣用 DNS 處理，這是因為 Captive Portal 所附的 DNS 伺服器並無法正常處理 DNS 查詢。這個重導向方法取決於用戶端的 DNS 設定，最好是配合 DHCP 功能來實施以避免管理上的困擾。

使用 Captive Portal 機制來管制無線網路使用權，為了管理上的方便，會把防火牆、DHCP 等裝設在一起，合稱為無線閘道。其運作原理如下：

目前比較有名的無線閘道器，有 Linux 上的 WiFi-dog 和 FreeBSD 上的 m0n0Wall。前者可以整合到 Linux 系統中，使用 Linux 內建的 iptables 防火牆、IP tunnel、IP SEC、QoS、DHCP、DNS、LDAP、freeRadius......等工具，提供全功能的教育應用和防護，是一個比較值得推薦的軟體。

至於市網中心所採用的 m0n0Wall，雖然安裝較麻煩，功能較陽春，但因為有提供中文網頁管理介面，也得到中文社群的支持。如果您的需求不是很多，m0n0Wall 應該也夠用了！

無線網路規劃

臺北市教育網路中心所規劃的無線網路架構如下圖：

圖一　無線網路為校園網路的延伸

圖一是將無線網路架設在校園有線網路之內，從無線網路連入有線網路的連線，會由無線閘道轉送到認證伺服器進行認證，認證通過後由無線閘道依據防火牆規則處理連線。好處是來自無線網路的連線被視為校園網路的延伸，可以自由取用校內的網路資源（印表機和共享資料夾），缺點是無線網路如果防護不周將變成入侵校園網路的另一個大漏洞。

圖二　無線網路獨立於校園網路之外

圖二是將無線網路架設在校園有線網路之外，從無線網路進入的連線，可以直接由校園防火牆直接連到校外，如果要連回校園網路，則會被當成來自校外的連線，由校園防火牆進行過濾。好處是無線閘道上只需要設定認證，不需要設定防火牆規則，管理較為簡單，而且由於與校園網路作實體切割，安全性較高。缺點是無法取用校內的網路資源（印表機和共享資料夾）。

以上兩個方案中，使用市網中心統一採購的 m0n0Wall 閘道器以及 freeRadius on FreeBSD 認證伺服器。m0n0Wall 預設的設定是將認證要求導向到 freeRadius 認證伺服器，然後再由 freeRadius 導向到市網的認證伺服器，在這個架構中 freeRadius 並未發揮任何作用，事實上直接在 m0n0Wall 中將認證要求導向市網的認證伺服器就可以了，那一臺 freeRadius 伺服器可以重新安裝成 Linux 作其它的應用。

當初之所以規劃認證伺服器，是希望校內自己管理無線上網的帳號密碼，而連到市網認證伺服器則是為了參加全國漫遊，把校內無線網路提供出來給全國教育網路使用者來共享利用。問題是臺北市參加漫遊的除了各級學校的教職員和學生外，另外還包含了家長，因此任何人都能取得校園無線網路的使用權，等於把校園網路當成公共網路來利用，入侵漏洞將會防堵不完。

另一方面，各校的網路管理技術參差不齊，要學校自行管理無線上網帳號，手動建立全校教職員帳號密碼，所花的管理成本太高，而且教職員不會領情多背一組帳號密碼。最好的方法還是利用現有的校務行政帳號密碼來管理，比較節省管理成本，教職員也不需要去記額外的帳號密碼。

在底下將示範修改 m0n0Wall 設定的方法，以及將 freeRadius 建置在現有的伺服器中，取得現有的帳號密碼進行無線上網的認證。其架構圖如下：

m0n0Wall 的管理

m0n0Wall 已經推出繁體中文版，請連到官方網站（http://www.m0n0.com.tw）下載新版韌體，注意：韌體的檔名是 generic-pc 開頭的才是給電腦用的，其餘的軔體用於嵌入式裝置， 不需要下載。

連到自己學校的 m0n0Wall 管理介面，從左側選單點選【韌體升級】，然後上傳剛剛下載的軔體映像檔。

在一般設定畫面上，填入學校內部使用的 DNS，非對外的已認證 DNS。雖然 m0n0Wall 本身也提供 DNS 伺服器，但那是為了無線認證而設計的，並不能正常 Work。因此這裡提供的 DNS 才是用戶端通過認證後，真正提供服務的 DNS，千萬不要使用校外的 DNS（例如：168.95.1.1）因為那會造成無線用戶無法連線到校內的伺服器。

請將 DHCP 覆蓋 DNS 設定功能打開。萬一將來該臺 DNS 發生故障時，學校如果更換新的 DNS 並使用不同 IP，將會造成無線網路不通，如果允許 m0n0Wall 從 DHCP 取得新的 DNS IP 可以免除事後修改 DNS IP 的困擾，萬一忘記要修改 m0n0Wall 的 DNS 設定也沒關係，因為它會自己改。

登入管理協定請修改為 HTTPS，以免傳輸過程中管理帳號及密碼被竊取。

另外還要注意系統時間設定，因為 m0n0Wall 會比對伺服器與用戶端的系統時間，兩者相差 2 小時以上認證將會被拒絕。維持 m0n0Wall 的正確時間最簡單的作法，就是使用 NTP 來校時，您可以從台灣度量衡標準局的 clock.stdtime.gov.tw、time.stdtime.gov.tw 站臺取得標準時間。

您可以在底下的頁面自訂 NAT 對應規則。假設 m0n0Wall WAN IP 是 172.16.1.200、LAN IP 是 192.168.1.254，而無線網路所使用的 IP 是 192.168.0.0/16，那麼所有來自 192.168.0.0/16 的 IP 將會被偽裝成 172.16.1.200，這是自動產生的規則，您可以手動修改。

由於一個 NAT IP 足以提供給 2000 個保留 IP 使用，現階段無線網路的流量應該還不會那麼大，這個部份暫時不需要改。如果打算在無線網路中裝設伺服器，那麼您需要自己新增 1:1 對應。

配合 Captive Portal 功能，您必須將底下設定啟用，否則 m0n0Wall 將變成一般防火牆，無法提供無線認證。將【在DNS轉發器中.....】功能打開，這個選項用來設定 m0n0Wall 把認證通過後的 DNS 查詢封包遞交給從 DHCP 取得的 DNS 處理。如果不打開這個功能，您必須直接在此頁面輸入內部 DNS 伺服器的 IP。

啟用 DHCP 服務，設定 IP 發放範圍，習慣上會保留一些 IP 給檔案伺服器或印表機使用（無線介面印表機早已上市，各校可考慮採購）。

這是 m0n0Wall 最核心的功能，設定頁面非常長，請耐心看完。在此頁面中您可以修改同時認證數量，預設為每用戶 4 連線，最多 16 個連線，但實際上每用戶只須登入一次，因此改成 1 是比較合理的（避免反覆登入的問題）。

請把認證方式設為 RADIUS 認證，首先在主 RADIUS 認證伺服器輸入市網的漫遊伺服器，次 RADIUS 伺服器則輸入自己校內的 freeRadius 伺服器 IP。有關 freeRadius 的建置在下一小節說明。 共享私鑰是要給 m0n0Wall 連線到 RADIUS 的通關密語，自己校內的共享私鑰可以自訂，市網的共享私鑰必須依照市網的規定填寫。

由於認證頁面會使用 HTTPS 來傳輸，您還需要提供兩把金鑰給 openSSL 使用。您可以留白使用預設的金鑰（安全性較低），或利用底下的 Linux 指令來製作金鑰：

openssl req -new -nodes > cert.csr
openssl x509 -in cert.csr -out cert.pem -req -signkey privkey.pem -days 365

製作完成的金鑰，把內容完整複製到 m0n0Wall 中，注意不要把公鑰和私鑰填反了。

為了要讓使用者登入時，看到學校美美的 Mark，您還需要自己設計一個登入頁面，如果不在乎視覺感受的話，使用預設的也可以。

登入頁面設計好了以後，把網頁上傳到 m0n0Wall 中，如果網頁有用到圖片，可以把圖片放在另一臺 WEB 伺服器中，然後修改圖片連結即可。由於 m0n0Wall 在使用者未通過認證前，會利用防火牆管制連線，因此必須修改防火牆規則，圖片才能正常顯示。

新版的韌體有支援圖片上傳，這樣就不需要為了圖片去改防火牆，建議使用檔案上傳的方式來處理圖片（或無線上網說明文件）。

這個部份是為了讓圖片能正常顯示，如果您使用新版韌體，可以不去理會它。

底下設定的規則將無線網路到 WEB 伺服器雙向放行，另外如果圖片的網址是使用 IP，則不需要放行 DNS，如果是使用網域名稱則必須將 DNS 也一併放行。

利用新版韌體提供的【文件管理器】，將圖片或說明檔上傳到 m0n0Wall 中，避免修改防火牆製造安全漏洞。

設定完成後，不要忘記將所有設定備份回來，將來如果因為韌體不相容，把設定檔毀掉了，也不用擔心。

當 m0n0Wall 出現異常現象，查看日誌找出原因是標準作業程序的一環，m0n0Wall 也有提供網頁介面直接察看，或把日誌下載回來用文書編輯器搜尋，這樣比較方便。

為了方便管理員診斷疑難問題，m0n0Wall 還提供底下兩個隱藏的低階管理介面，分別是：

• /status.php 可查看 m0n0Wall 目前的運作狀態及目前使用中的設定值（XML 格式）。
• /exec.php 可在 m0n0Wall 上直接執行 freeBSD 殼層命令，執行上要注意路徑的問題。

認證伺服器的管理

認證伺服器最好是直接安裝在學校慣用的帳號管理伺服器上，如果學校帳號是使用 Linux 進行管理，可以在該臺伺服器上安裝 freeRadius，如果學校是使用 Windows 2003 當 AD，可以在該伺服器上安裝 windows 2003 原版光碟附贈的 ISA 伺服器，它與 Radius 標準完全相容，可以提供給 m0n0Wall 進行認證。

底下將示範 Linux 上安裝及設定 freeRadius 的方法，要在 Fedora 上安裝 freeRadius 只要一行指令就可以辦到：

yum install freeradius

安裝完成後，使用 ntsysv 指令將該服務設定為開機自動啟動，也可以使用底下指令來啟動：

service radiusd start

freeRadius 幾乎支援所有的認證標準（不包含 windows AD，所以 windows 2003 自己開發 ISA 伺服器來提供服務，如果不想安裝 ISA，也可以間接透過 samba 來與 AD 進行認證），而目前我們感興趣的是利用 Linux 系統的 /etc/passwd 和 /etc/shadow 來認證。請打開 freeRadius 設定檔 /etc/raddb/radiusd.conf：

基本設定
bind_address = *	提供服務的介面卡，* 代表接受所有網卡的 request 封包。
port = 0	提供服務的埠號，0 代表使用預設值 1812（認證用）、1813（帳號管理用）port。
log_auth = no	身份驗證是否要記錄在日誌中。
proxy_requests = yes	是否要開啟代理認證功能，這個功能允許把 request 封包重導向到另一臺 RADIUS 伺服器。proxy 的相關組態，在 proxy.conf 中設定。
模組宣告及設定 modules { ... }
pap、chap	提供給撥接上網用戶認證使用
mschap	支援 windows NT 所使用的帳號認證機制，讓 RADIUS 可以透過 NT PDC 或samba server 進行認證。
pam	支援 PAM 認證模組，讓 RADIUS 可以使用與 UNIX like 作業系統相同的機制進行認證。
unix	支援 UNIX like 本地認證，也就是使用 /etc/passwd、/etc/shadow、/etc/group 來進行認證。
passwd	支援 /etc/smbpasswd 認證，當 RADIUS 伺服器身兼網域主控站時，可以使用這個模組。
ldap	讓 RADIUS 可以透過 LDAP 伺服器進行認證。
realm	設定帳號格式，預設值包含：realm/usename（IPASS）、usename@realm（suffix）、username%realm（realmpercent）、domain/username（ntdomain）...四種。
預設所有的模組都是開啟的，您必須根據自己的作業系統及網路環境自行更改主機位址、網域名稱、檔案路徑、公私鑰...等等設定值，只要修改想要利用的認證機制即可。
認證前置作業設定 authorize { ... }
請找到想要使用的帳號格式，將前面的註解符號（#）拿掉。預設使用 IPASS 及 suffix。
認證機制啟用設定 authenticate { ... }
請找到想要使用的認證機制，將前面的註解符號（#）拿掉。預設使用 unix。
帳號管理前置作業設定 preacct { ... }
請找到想要進行管理的帳號格式，將前面的註解符號（#）拿掉。預設使用 IPASS 及 suffix。
帳號管理設定 accounting { ... }
帳號管理根據使用者登入的結果，產生日誌記錄。如果有啟用日誌功能，需在此設定日誌寫入的方式：將記錄送回認證用戶端、儲存於本地端檔案系統或 SQL Server 中。預設儲存於本地端檔案系統。

檢查過 RADIUS 系統組態後，接著就是要設定最關鍵的認證用戶端組態 /etc/raddb/clients.conf，前面所介紹的 m0n0Wall 就是想要利用 freeRadius 進行認證的用戶端，m0n0Wall 將認證封包以及通行密碼送往 freeRadius 後，freeRadius 將根據 clients.conf 組態來提供服務。

client 172.16.1.200 {        secret tpeduaaa        shortname m0n0Wall }

如果您要將無法通過認證的帳號，送往其它 RADIUS 進行認證，可以修改 /etc/raddb/proxy.conf：

realm tp.edu.tw {       type = radius       authhost = 163.21.249.130:1812       accthost = 163.21.249.130:1813       secret = tpeduaaa }