Задают Профилирование устройств по группам МАС-адресов задают правила определения типа устройств на основе только его МАС-адреса, и других параметров. Это позволяет реализовывать гибкие политики авторизации, например, назначение VLAN или ACL , в зависимости от принадлежности оконечного устройства той или иной группе. В настоящий момент (версия 1.6.3079) профилирование работает только для МАС-адресов. Таким образом, основываясь на МАС-адресеадресах, возможно назначить разные VLANы VLAN компьютерам, принтерам, СКУД (системам контроля и управления доступом) и IP-камерам. В системе может быть настроено множество профилей устройств. Изначально автоматически создаются несколько встроенных профилей, которые вы можете можно редактировать самостоятельно. Это, в основном, профили по именам с именами вендоров оборудования, наиболее часто встречающихся в таблице OUI. Вам будет интересно ознакомиться со статьёй При необходимости можно ознакомиться с информацией о структуре МАС-адреса. Система WNAM содержит в себе актуальную базу данных вендоров , и присвоенных им групп адресов.
Административный интерфейс системы , "Конфигурация - Корпоративная авторизация - Профили устройств" содержит доступен в разделе "Конфигурация" → "Профилирование" → "Группы МАС адресов" и представляет собой таблицу (список) настроенных профилейгрупп, а также дополнительные кнопки.
...
Кнопка "Создать новый" открывает окно создания нового профиля. Аналогичное окно возникает и при редактировании существующего профиля, кликом в строку таблицы:
новой группы. Такое же окно открывается и при редактировании существующей группы при нажатии левой кнопкой мыши на строку таблицы.
В данном окне необходимо задать название группы, и выбрать режим её работы. При этом Здесь вы задаете название профиля, и выбираете режим его работы. Вам доступны следующие варианты:
- Список МАС адресов
Здесь вы задаете один или несколько МАС предназначен для задания одного или нескольких МАС-адресов. Формат записи MAC-адреса - любой: XX:XX:XX:XX:XX:XX, xxxx-xx-xxxx, а также допустимы регулярные выражения с символами ^ и *. После сохранения выбранных настроек таблица будет отформатирована. - Список вендоров
Из вендоров предназначен для выбора необходимого вендора устройств из выпадающего списка TOP-50 вендоров устройств выбирается требуемый. - Вендор предназначен для задания имени вендора в том Вендор
Вы можете задать имя вендора в таком виде, в каком он присутствует в таблице OUI. - Рандомный МАС адрес
Адрес, используемый предназначен для задания адреса, используемого мобильными устройствами для подключения к Wi-Fi, включая Google Random адрес. - Не рандомный МАС адрес - наоборот.
- Любая Любой из выбранных вложенных профилей
Совпадение групп отвечает за совпадение на основе других профилей, позволяет объединять несколько профилей в логические группы. Внимание: поддерживается проверка до двух уровней вложенности.
Подсистема профилирования WNAM будет, при поступлении запроса по МАС-адресу , перебирать перебирает все имеющиеся профили, и в каждом пробовать искать профиле ищет совпадение. В результате поиска останется набор (возможно, пустой) , совпавших профилей.Этот набор, в свою очередь, Полученный набор применяется при анализе политик аутентификации. Для этого в настройках политики возможно можно указать желаемый профиль:.
| Infowarning |
|---|
Несмотря на то, что профиль указывается только при МАС-Based, т.е. MAB-авторизации по методу RADIUS PAP, механизм профилирования срабатывает и для остальных типов (EAP-*) запросов. |
При срабатывании механизма профилирования в такой проверки в лог-файле появляется запись следующего типа:
22:17:34.136 TRACE [ASession.java:139] - log [1] fillFromRadiusAttributes - identity: '54:88:0E:02:84:6D', portType: WirelessMAB
22:17:34.145 DEBUG [DeviceProfileManager.java:70] - matchProfile mac=54:88:0E:02:84:6D, from_cache=no
22:17:34.165 TRACE [ASession.java:139] - log [7] matchDeviceProfiles - matched: 'Вендор: Samsung'
22:17:34.205 TRACE [ASession.java:139] - log [8] findOrCreate - a1profiles candidates: 10, a2profiles candidates: 16
Также в записи о сессии подключения видно будет отображен этот профиль:.
Если в результате подключения будет создаваться создана запись о эндпоинте, в неё помещается будет помещен список совпавших профилей:.
(этот список также Список совпавших профилей можно очистить).
Для ускорения работы система WNAM использует кэширование в матчере (поисковике) профилей (длительность хранения данных в нём по умолчанию 17 часов). Кэш можно очистить, нажав на кнопку "Сбросить кэш" в основном окне списка профилей. Это полезно делатьЧистить данные в кэше следует, если вы отредактировали были отредактированы некоторые профили и желаететребуется, чтобы они применялись к отредактированные настройки применились к ранее профилированным устройствам заново.
Дополнительно для целей тестирования в основном интерфейсе раздела "Профили устройств" существует кнопка "Протестировать МАС" в том же окне. Нажатие на неё отображает окно теста:. При нажатии на неё левой кнопкой мыши будет отображажено окно теста.
Здесь В данном окне по заданному МАС-адресу мы можете можно проверить, какому вендору он соответствует , MAC-адрес и какие из настроенных вами профилей устройств под него попадают.