В случае, если подключенное клиентской устройство моет выступать в роли SNMP-сервера, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности устройства.
Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором настраивается отложенный SNMP-опрос.
1. Правила MAB для устройств, которым требуется профилирование
Сначала создаем правило авторизации, в котором выбираем компонент - "Запустить опрос по SNMP", выбираем версию протокола, задаём его параметры, и определяем два таймера. Первый задаёт отсрочку исполнения первого опроса, второй периодичность повторных опросов.
Создаём правило аутентификации типа "Проводный MAB", по которому для всех подключающихся устройств (возможно, с фильтром по группе МАС, по коммутатору и т.п.) назначается правило авторизации с запуском опроса.
Теперь все подключающиеся устройства, которые подошли под это правило,
Настройка профилирование по средствам опроса эндпоинта по SNMP происходит в несколько стадий:
1. Создается правило аутентификации под которое попадут устройства которым требуется профилирование по SNMP
Создаем правило авторизации
и соответствующее правило аутентификации
в данном случае отбор устройств для профилирования происходит по группе MAC адресов. Теперь все устройства которые подошли под это правило будут опрошены по SNMP через 30 секунд и далее через каждые 3 минуты. Если устройство не ответило сразу, либо впоследствии после трёх периодов попыток опроса, опрос прекращается.
2.
...
Политики профайлера по SNMP
Создаем проверку наличия В нашем примере мы будем искать совпадение по подстроке в SNMP OID "sysDescr" значения Ap303h. Сначала создаём объект типа "Проверка":
Создаем соответствующее правило"Правило"
и политику"Политику":
3.
...
Правила MAB для устройств, которые прошли профилирование
Создаем правило авторизации в котором помещаем , по которому помещаем спрофилированные устройства в отдельный VLAN:
и соответствующее правило аутентификации, в критериях которого - наличие у эндпоинта заданного профиля, определенного "Политикой для сенсоров Ap303h".
Это правило сработает для всех устройств модели Ap303h
Нужно учесть , что правило пропуска должно находиться выше чем правило инициализирующие Нужно предусмотреть, чтобы это правило пропуска находилось выше, чем правило, инициализирующее опрос по SNMP, чтобы оно могло сработать первым для спрофилированных устройств.
В результате такой настройки при первом первой аутентификации сработает правило "Тестирование SNMP запрос":
Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправил отправит CoA пакет коммутатору для повторной аутентификации порта (устройства ). Теперь сработает правило "Тестирование SNMP пропуск", и устройство будет помещено в целевой VLAN:
Данные полученные при опросе по SNMP можно увидеть в кэше профайлера:
Для работы этого метода требуется чтобы сетевое устройств устройство (коммутатор, wifi Wi-Fi контроллер) должнен поддерживать CoA поддерживало сброс сессии по RADIUS CoA, и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.
Поскольку SNMP-опрос требует TCP/IP связности с конечным устройством необходимо, чтобы WNAM 2 к моменту запуска сканирования имел сведения о его IP адресе, полученные одним из двух способов:
- в результате работы функции DHCP Snooping, настроенной на коммутаторе или контроллере, которая затем передает IP адрес в атрибуте Framed-IP-Address пакета RADIUS Accounting-Start;
- в результате обработки ответа DHCP-cервера, полученного перехватом (захватом) сетевого трафика (например через SPAN-порт) при помощи агента wnam-dhcp-profiler-agent с последующей отправкой этих данных в профайлер.