В случае, если подключенное клиентское устройство может выступать в роли SNMP-сервера, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности устройства.
Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором и настраивается отложенный SNMP-опрос.
1. Правила MAB для устройств, которым требуется профилирование
Сначала создаем правило авторизации, в котором выбираем компонент - "Запустить опрос по SNMP", выбираем версию протокола, задаём его параметры, и определяем два таймера. Первый задаёт отсрочку исполнения первого опроса, второй периодичность повторных опросов. Повторение можно не задавать, в этом случае опрос будет выполнен однократно.
Создаём правило аутентификации типа "Проводный MAB", по которому для всех подключающихся устройств (возможно, с фильтром по группе МАС, по коммутатору и т.п.) назначается правило авторизации с запуском опроса.
Теперь все подключающиеся устройства, которые подошли под это правило,
Профилирование по средствам опроса эндпоинта по SNMP происходит в несколько стадий:
1. Создается правило аутентификации под которое попадут устройства которым требуется профилирование по SNMP
Создаем правило авторизации
и соответствующее правило аутентификации
в данном случае отбор устройств для профилирования происходит по группе MAC адресов. Теперь все устройства которые подошли под это правило будут опрошены по SNMP через 30 секунд и далее через каждые 3 минуты. Если устройство не ответило сразу, либо впоследствии после трёх периодов попыток опроса, опрос прекращается.
2.
...
Политики профайлера по SNMP
Создаем проверку наличия В нашем примере мы будем искать совпадение по подстроке в SNMP OID "sysDescr" значения Ap303h. Сначала создаём объект типа "Проверка":
Создаем соответствующее правило"Правило"
и политику"Политику":
3.
...
Правила MAB для устройств, которые прошли профилирование
Создаем правило авторизации в котором помещаем , по которому помещаем спрофилированные устройства в отдельный VLAN:
и соответствующее правило аутентификации
Это правило сработает для всех устройств модели Ap303h
, в критериях которого - наличие у эндпоинта заданного профиля, определенного "Политикой для сенсоров Ap303h".
Нужно предусмотреть, чтобы это правило пропуска находилось выше, чем правило, инициализирующее Нужно учесть , что правило пропуска должно находиться выше чем правило инициализирующие опрос по SNMP, чтобы оно могло сработать первым для спрофилированных устройств.
В результате такой настройки при первом первой аутентификации сработает правило "Тестирование SNMP запрос":
Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправил отправит CoA пакет коммутатору для повторной аутентификации порта (устройства ). Теперь сработает правило "Тестирование SNMP пропуск", и устройство будет помещено в целевой VLAN:
Данные полученные при опросе по SNMP можно увидеть в кэше профайлера:
Для работы этого метода требуется чтобы сетевое устройств устройство (коммутатор, wifi Wi-Fi контроллер) должны поддерживать CoA поддерживало сброс сессии по RADIUS CoA, и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.
Поскольку SNMP-опрос требует TCP/IP связности с конечным устройством необходимо, чтобы WNAM 2 к моменту запуска сканирования имел сведения о его IP адресе, полученные одним из двух способов:
- в результате работы функции DHCP Snooping, настроенной на коммутаторе или контроллере, которая затем передает IP адрес в атрибуте Framed-IP-Address пакета RADIUS Accounting-Start;
- в результате обработки ответа DHCP-cервера, полученного перехватом (захватом) сетевого трафика (например через SPAN-порт) при помощи агента wnam-dhcp-profiler-agent с последующей отправкой этих данных в профайлер.