В случае, если подключенное клиентское устройство может выступать в роли SNMP-сервера, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности устройства.
Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором и настраивается отложенный SNMP-опрос.
1. Правила MAB для устройств, которым требуется профилирование
Сначала создаем правило авторизации, в котором выбираем компонент - "Запустить опрос по SNMP", выбираем версию протокола, задаём его параметры, и определяем два таймера. Первый задаёт отсрочку исполнения первого опроса, второй периодичность повторных опросов. Повторение можно не задавать, в этом случае опрос будет выполнен однократно.
Создаём правило аутентификации типа "Проводный MAB", по которому для всех подключающихся устройств (возможно, с фильтром по группе МАС, по коммутатору и т.п.) назначается правило авторизации с запуском опроса.
Теперь все подключающиеся устройства, которые подошли под это правило,
Профилирование по средствам опроса эндпоинта по SNMP происходит в несколько стадий:
- Создается правило аутентификации под котрое попадут устройства которым требуется профилирование по SNMP
Создаем правило авторизации
и соответствующее правило аутентификации
...
будут опрошены по SNMP через 30 секунд и далее через каждые 3 минуты. Если устройство не ответило сразу, либо впоследствии после трёх периодов попыток опроса, опрос прекращается.
2. Политики профайлера по SNMP
В нашем примере мы будем искать совпадение по подстроке в SNMP OID "sysDescr" значения Ap303h. Сначала создаём объект типа "Проверка":
Создаем соответствующее "Правило"
и "Политику":
3. Правила MAB для устройств, которые прошли профилирование
Создаем правило авторизации, по которому помещаем спрофилированные устройства в отдельный VLAN:
и соответствующее правило аутентификации, в критериях которого - наличие у эндпоинта заданного профиля, определенного "Политикой для сенсоров Ap303h".
Нужно предусмотреть, чтобы это правило пропуска находилось выше, чем правило, инициализирующее опрос по SNMP, чтобы оно могло сработать первым для спрофилированных устройств.
В результате такой настройки при первой аутентификации сработает правило "Тестирование SNMP запрос":
Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправит CoA пакет коммутатору для повторной аутентификации порта (устройства ). Теперь сработает правило "Тестирование SNMP пропуск", и устройство будет помещено в целевой VLAN:
Данные полученные при опросе по SNMP можно увидеть в кэше профайлера:
Для работы этого метода требуется чтобы сетевое устройство (коммутатор, Wi-Fi контроллер) поддерживало сброс сессии по RADIUS CoA, и он должен быть корректно настроен.
Поскольку SNMP-опрос требует TCP/IP связности с конечным устройством необходимо, чтобы WNAM 2 к моменту запуска сканирования имел сведения о его IP адресе, полученные одним из двух способов:
- в результате работы функции DHCP Snooping, настроенной на коммутаторе или контроллере, которая затем передает IP адрес в атрибуте Framed-IP-Address пакета RADIUS Accounting-Start;
- в результате обработки ответа DHCP-cервера, полученного перехватом (захватом) сетевого трафика (например через SPAN-порт) при помощи агента wnam-dhcp-profiler-agent с последующей отправкой этих данных в профайлер.