Используемые TCP/IP порты
Для работы система WNAM используются порты и протоколы, которые необходимо настроить на межсетевом экране используемого сервера или промежуточных межсетевых экранах, представленные в таблице.
| Протокол и порт | Направление | Назначение |
|---|---|---|
| tcp/80 | к серверу | Веб-интерфейс администратора, менеджера клиента или подразделения. |
| tcp/443 | к серверу | Защищенное SSL соединение для веб-управления, и портала авторизации абонентов. |
| udp/1812 | к серверу | Запросы авторизации от RADIUS-клиентов (NAS, сетевое оборудование) к RADIUS-серверу системы WNAM. |
| udp/1813 | к серверу | Сообщения аккаунтинга от RADIUS-клиентов (NAS, сетевое оборудование) к RADIUS-серверу системы WNAM. |
| udp/1700, udp/3799 | от сервера | Запросы PoD и CoA к серверам доступа Cisco ISG, Cisco WLC, Alcatel-Lucent. |
| udp/2000 | от сервера | Запросы китайского портального протокола (аналог CoA) к серверам доступа Huawei, DCN, Ruijie, H3C, Maipu. |
| tcp/8728 | от сервера | Запросы на определение DHCP-идентификаторов абонентов (к маршрутизаторам Mikrotik через API). |
| tcp/443, tcp/3000, tcp/9080 и т.п. | от сервера | Авторизация абонента и запросы на определение их DHCP-идентификаторов (к контроллерам БЛВС некоторых вендоров). |
| tcp/443 | от сервера | Проверка действительности лицензии системы WNAM на серверах ООО "Нетамс" (если нет offline-лицензии). |
| udp/20001 | к серверу | Сообщения подтверждения звонков авторизации от агента, установленного на сервере Asterisk, либо DHCP-привязки от ISC-DHCPD / Kea, либо коллектора DHCP трафика для подсистемы профилирования. |
| udp/20002 | к серверу | Трафик статистики Netflow v5 от маршрутизаторов (серверов) доступа. |
| tcp/27017 | от сервера | Трафик обращений к СУБД MongoDB, если она работает на соседнем с системой WNAM сервере. |
| udp/123 | от сервера | Трафик протокола синхронизации времени NTP |
Дополнительно, если в вашей системе используется механизм корпоративной авторизации, понадобится следующий сетевой доступ:
| Протокол и порт | Направление | Назначение |
|---|---|---|
| tcp/88 | от сервера | Kerberos трафик от сервера системы WNAM до серверов контроллеров домена ОС Windows. |
| udp/389, tcp/389, tcp/636 | от сервера | LDAP, LDAPs (TLS in LDAP) трафик от сервера системы WNAM до серверов контроллеров домена ОС Windows |
| udp/53, tcp/53 | от сервера | DNS трафик до серверов контроллеров домена ОС Windows |
| udp/137-139, tcp/137-139,445 | от сервера | NetBios и SMB трафик до серверов контроллеров домена ОС Windows |
| tcp/80 | от сервера | HTTP-трафик от сервера системы WNAM до серверов ОС Windows PKI для проверки CRL-списков отзывов сертификатов. |
| tcp/9080 | от сервера | Трафик от сервера системы WNAM до отдельно стоящего сервера с интеграционным модулем ADCTool, который используется для связи с MS Active Directory/FreeIPA (если таковой не работает совместно с системой WNAM на одном сервере на localhost). |
| tcp/49 | к серверу | TACACS+ запросы от сетевого оборудования для авторизации административного доступа. |
| tcp/9092 | к серверу | Трафик кластера Kafka в случае кластеризации системы WNAM по новой модели (>1.6.3638). |
| udp/161 | от сервера | Опрос коммутаторов по протоколу SNMP для определения CPD, LLDP-соседей (динамическое профилирование эндпоинтов) |
Эти связи также схематически отражены на рисунке.
При проектировании и пуско-наладке системы WNAM рекомендуется на каждом из серверов, участвующих в работе системы, настроить собственный межсетевой экран iptables / nftables.