Versions Compared

Old Version 5

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 6

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Создаем правило авторизации, в которому указываем один или несколько (перечислены через запятую) TCP-порты, задержка первого запуска сканирования, интервал между повторами сканирования. Если сканирование три раза подряд закончится неудачей, оно прекратится. Повторение можно не задавать, в этом случае опрос будет выполнен единократнооднократно.

Создаём соответствующее правило аутентификации, в качестве критерия можно выбрать группу МАС адресов, сетевое устройство:

...

Теперь все устройства которые подошли под это правило будут опрошены с помощью NMAP через 30 секунд после завершения авторизации, и далее опрос будет повторяться через каждые 2 минуты до ошибки, или пока активна сессия доступа.

2. Создание политики

...

профилирования по NMAP-скану

Создаем проверку доступности порта 80 на устройстве.

Image Modified

Создаем соответствующее правило

Image Modified

и политику

Image Modified

3. Создается правило аутентификации, под которое попадут устройства, спрофилированные по NMAP

Создаем правило авторизации, в котором помещаем  спрофилированные устройства в отдельный VLAN

Image Modified

и соответствующее ему правило аутентификации:

Image Modified

Это правило сработает для всех устройств, которые были спрофилированы через NMAP-сканирование, и у которых оказался открыт порт 80.

Нужно учесть , что правило пропуска должно находиться выше, чем правило, инициализирующие опрос сканирование по NMAP, чтобы оно могло сработать первым.

Image RemovedImage Added

В результате такой настройки при первом аутентификации сработает правило "Тестирование NMAP запрос"

Image Modified

Через 30 секунд будет произведен опрос по SNMP запущено сканирование порта 80 клиентского устройства, и если новые данные будут получены, WNAM отправит коммутатору RADIUS CoA пакет для повторной аутентификации порта . Теперь сработает правило  "Тестирование NMAP пропуск", и устройство будет помещено в целевой VLAN:

Image Modified

Данные, полученные при опросе по NMAP-сканировании, можно увидеть в кэше профайлера

Image Modified

Для работы этого метода требуется чтобы сетевое устройств (коммутатор , wifi контроллер) должнен поддерживать CoA и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.

...