При перенаправлении веб-сессии пользователя на гостевой портал автоматически срабатывает профилирование по данным, получаемым из браузера. При этом в свойства эндпоинта (через кэш профайлера) добавляются совпавшие политики для устройства, которые в дальнейшем можно применять для формирования правил аутентификации в разделе настройках сетевого доступа (NAC).
Список исходных данных обширен; значительную часть из них используют встроенные в систему WNAM 2 правила. Пример:
...
Вы можете на основе этих данных настроить и собственные тройки "проверкаПроверка-правилоПравило-политикаПолитика".
Подобное профилирование применимо как при чисто гостевом Wi-Fi доступе (например, для открытых сетей с СМС или спонсорской авторизацией), так и при 802.1Х авторизации с условным редиректом на портал. Этот Второй способ поддерживают не все производители сетевого оборудования. Cisco, Huawei работают.
В примере приведен несколько надуманный, но вполне работоспособный сценарий сетевого доступа, при котором требуется обеспечить следующее условие: допускать в корпоративную беспроводную сеть, защищенную по WPA2-Enterprise способу (802.1Х по доменной учётной записи) только устройства с ОС Windows.
Для этого необходимо, как обычно, настроить сетевое устройство (NAS), в примере - контроллер Cisco CL-9800, подготовить загружаемый ACL, всё как в инструкции. Возможно, предстоит подключить службу каталога.
...
Теперь слегка измените это правило аутентификации так, чтобы в нём было дополнительное условие: наличие профиля "Portal:Windows" у подключающегося эндпоинта. Если вы так сделаете, и сейчас же попробуете повторить попытку подключения, правило не совпадёт. У эндпоинтов пока нет профиля "Portal:Windows".
Теперь сделайте правило авторизации "ProfilingWebRedirect", которое будет назначать в ответе RADIUS-атрибуты редиректа на портал в ответе. Так же, как вы делаете для гостевой авторизации:
Сделайте новое правило аутентификации в аутентификации в разделе "Беспроводный 802.1Х" (пример: "d20-802.1X-toProfiling") ниже по уровню (важно, иначе только одно оно и будет срабатывать, а вы получите вечный редирект), с выбранным только что сделанным правилом авторизации - редиректором:
...
Вы также можете использовать и иные портальные методы и их комбинации: дополнительную доменную авторизацию, ваучер, запрос согласия с условиями - во всех случаях профайлер тоже сработает.
...
При первом подключении беспроводной клиент (Windows 10) пойдет по "гостевому сценарию", т.к. у эндпоинта (устройства) пока нет никакого профиля.:
Откройте браузер, перейдите на www.ru (либо браузер сам перекинет на msftconnect.com). Профайлер отработал:
...
В системе WNAM 2 появится сессия подключения эндпоинта. Видно, что она пошла по пути редиректа:
Отработавший профайлер даст передаст информацию в свойства эндпоинта (её также будет видно будет и в "Диагностика - Кэш профайлера"):
...
Отключите клиента от сети, подключитесь заново. Теперь сработает полноценное полноценная 802.1Х подключениеавторизация:
И в его сессии - только 802.1Х профильправило с условием наличия Windows-профиля:
Также ниже будет видно две сессии: более старая с редиректом, и новая последняя, с обычным сетевым доступом.
Профайлер Примечательно, что профайлер у вас на самом деле отработал два раза: сразу при самой попытке подключения , по МАС адресу, и затем после редиректа через рбазер браузер пользователя, приложение /portal и новый запрос набор сведений, отправленный им в профайлер. Вот что можно найти в лог-файле сервиса RADIUS (/db/log/wnam2-radius/radius.log) в режиме включенной трассировки ("Диагностика - Логи"):
26.04.2026 23:31:08.737 DEBUG [c.n.w.r.profiling.ProfilingService:1217] - MAC C4:E9:84:DD:1D:C2 policy set assigned: [TP-LINK-Device]
26.04.2026 23:31:35.772 TRACE [c.n.w.r.profiling.ProfilingService:1200] - Endpoint C4:E9:84:DD:1D:C2 policy set joined: [Portal:Desktop, Portal:Browser-Chrome, Portal:Os-Version10,
TP-LINK-Device, Portal:HorizontalScreen, Portal:Windows], added: [Portal:Browser-Chrome, Portal:Desktop, Portal:HorizontalScreen, Portal:Os-Version10, Portal:Windows]
...
Наконец, вы можете попробовать исправить условие в правиле "d20-802.1X-pass" так, чтобы оно реагировало на браузер Edge, а не Chomeна ОС Windows. В этом случае клиента будет постоянно подключать в режиме редиректа на портал. Обычного 802.1Х доступа к сети он не получит.