...
- создание и редактирование загружаемых ACL;
- назначение заданного загружаемого ACL в профиле авторизации;
- выдачу коммутатору по запросу требуемого ACL без ограничения на его длину.
Начиная с версии 1.6.3749 (07.11.2023) система WNAM поддерживает ACL форматов Huawei и Eltex
Для того, чтобы создать списки, необходимо перейти в раздел "Конфигурация" → "Загружаемые ACL", где можно сформировать список управления доступом или просмотреть уже загруженные списки.
Для создания нового списка необходимо нажать кнопку "Создать новый" и заполнить .
Выбрать вендора оборудования, к которому список доступа будет применим.
Заполнить соответствующие поля (наименование и элементы списка).
При заполнении полей в форме следует учитывать правила:
- имя загружаемого списка должно содержать только английские буквы, цифры, дефис;
- правила в ACL указываются без номеров, без дополнительных пробелов и в формате , когда источник пакета - "any"вендора
| Warning |
|---|
Внимание! WNAM не проверяет корректность введенного ACL. Обратитесь к документации вашего вендора, в каком формате список доступа должен быть сформирован. |
WNAM поддерживает следующие форматы списков:
- Cisco: ACS:CiscoSecure-Defined-ACL, передаётся только имя списка, сам список будет загружен коммутатором дополнительными запросами
- Eltex: набор атрибутов Eltex-Data-Filter, построчно кодирующих список. Документация вендора.
- Huawei: набор атрибутов HW-Data-Filter, построчно кодирующих список. Документация вендора.
После заполнения всех полей необходимо нажать кнопку "Сохранить". После сохранения список будет отображен в перечне загруженных ACL.
Созданный ACL можно применить в настройке требуемого правила авторизации.
При подключении эндпоинта к порту ЛВС, если произойдет срабатывание соответствующего правила, имя ACL будет передано в атрибутах:
16:32:51.750 TRACE [ASession.java:143] - log [60] authorization - final result: Accept with policy 'Wired LAB'
16:32:51.751 TRACE [ASession.java:143] - log [61] authorization - add attribute: dACL Name='ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-acl-test-1892b67bee9', lines: {}6
16:32:51.755 TRACE [ASession.java:143] - log [62] createMacCustomer - create customer entry, MAC=CC:9D:A2:27:C6:80
16:32:51.757 TRACE [ASession.java:143] - log [63] portinfo - NAS '172.16.130.38 c2960 All Locations#All WNAM Loc Group' port GigabitEthernet0/1 updated
16:32:51.759 TRACE [ASession.java:143] - log [64] radius - send RADIUS ACCEPT with 1 attributes
16:32:51.759 TRACE [ASession.java:143] - log [65] radius - attribute: cisco-avpair = ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-acl-test-1892b67bee9
При этом коммутатор типа Cisco повторно запросит содержимое этого ACL (если таковой не был загружен ранее) и получит его:
...
Если размер загружаемого ACL велик (больше килобайта), при его отправке коммутатору список разбивается на несколько RADIUS-пакетов.
Коммутаторы других типов получают ACL непосредственно в ответе, без разбивки данных. Так как, размер RADIUS-ответа не может быть большим (больше полутора килобайт), вы не сможете передать череcчур длинный ACL.
Тип списка доступа, который вы указываете при его создании, в основном носит справочный характер. WNAM будет формировать корректный тип RADIUS-атрибута на основе типа сервера доступа, который произвел запрос, а не типа dACL. Таким образом, вы должны установить корректный тип (вендора) устройства при создании сервера доступа.
Исключение составляет сервер доступа типа "LAN Switch": если ваш сервер доступа имеет такой тип, выбор формата направляемого атрибута определяется тем, что написано в свойствах dACL.