Como funciona

Cuando el usuario se conecta a la red suministra sus credenciales al  autenticador (el dispositivo de control de acceso) para que lo verifique. Las credenciales deberían siempre incluir un nombre de usuario y un dominio que se traduce en una credencial que se parece a una dirección e-mail: pepe@institucion_B.pe  (user@dominio.topleveldomain).

De la figura, el usuario visitante Pepe utiliza la red, y el servidor RADIUS de la Institución A  (local) se dará cuenta de que el dominio del usuario no es el dominio del cual se sirve. Ahí es donde el mecanismo de RADIUS proxy entra y asegura de que las credenciales EAP encapsuladas sean transportadas hacia el servidor RADIUS de la Institución B (home RADIUS server). De hecho, el servidor RADIUS sólo tiene que remitir la petición a un servidor RADIUS de alto nivel (higher-level RADIUS proxy server). Este servidor proxy conoce a todos los servidores RADIUS en la constelación de roaming y reenvía la solicitud al servidor que se sabe puede mantener este dominio.

Es decir, si el dominio del usuario visitante pertenece a una institución del país, la solicitud es enviada al servidor RADIUS Proxy nacional y de allí al servidor RADIUS de la institución de donde proviene el usuario; si el dominio del usuario visitante pertenece a una institución de otro país, la solicitud es enviada al servidor RADIUS Proxy nacional para derivarla al servidor RADIUS (Top-level) de Europa, el cual encamina la solicitud hasta el servidor RADIUS Proxy nacional de donde proviene el usuario visitante.

El home RADIUS server, se instala en la red de origen del visitante, ya sea en el mismo país o en el extranjero, donde el usuario se autentica contra una base de datos de usuario local.

El servidor RADIUS local sólo tiene que saber a qué proxy deben ser enviadas las peticiones de usuario desconocido. Cuando una nueva red ingresa su acuerdo de roaming, solamente el proxy tiene que ser actualizado.