...
Для того, чтобы создать списки, необходимо перейти в раздел "Конфигурация" → "Загружаемые ACL", где можно сформировать список управления доступом или просмотреть уже загруженные списки.
Для создания нового списка необходимо нажать кнопку "Создать новый".
...
Заполнить соответствующие поля (наименование и элементы списка).
При заполнении полей в форме следует учитывать правила:
...
Созданный ACL можно применить в настройке требуемого правила авторизации.
При подключении эндпоинта к порту ЛВС, если произойдет срабатывание соответствующего правила, имя ACL будет передано в атрибутах:
...
*Mar 12 05:36:06.506: %MAB-5-SUCCESS: Authentication successful for client (cc9d.a227.c680) on Interface Gi0/1 AuditSessionID AC108226000000E339D9AB43
*Mar 12 05:36:06.506: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client (cc9d.a227.c680) on Interface Gi0/1 AuditSessionID AC108226000000E339D9AB43
*Mar 12 05:36:06.548: RADIUS/ENCODE: Best Local IP-Address 172.16.130.38 for Radius-Server 172.16.130.5
*Mar 12 05:36:06.548: RADIUS(00000000): Send Access-Request to 172.16.130.5:1812 id 1645/63, len 140
*Mar 12 05:36:06.548: RADIUS: authenticator 1E 97 74 8F C6 29 59 7D - 8C 11 A6 F1 79 FC 57 CC
*Mar 12 05:36:06.548: RADIUS: NAS-IP-Address [4] 6 172.16.130.38
*Mar 12 05:36:06.548: RADIUS: User-Name [1] 34 "#ACSACL#-IP-acl-test-1892b67bee9"
*Mar 12 05:36:06.548: RADIUS: Vendor, Cisco [26] 32
*Mar 12 05:36:06.548: RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission"
*Mar 12 05:36:06.548: RADIUS: Vendor, Cisco [26] 30
*Mar 12 05:36:06.548: RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download"
*Mar 12 05:36:06.548: RADIUS: Message-Authenticato[80] 18
*Mar 12 05:36:06.548: RADIUS(00000000): Sending a IPv4 Radius Packet
*Mar 12 05:36:06.548: RADIUS(00000000): Started 5 sec timeout
*Mar 12 05:36:06.557: RADIUS: Received from id 1645/63 172.16.130.5:1812, Access-Accept, len 304
*Mar 12 05:36:06.565: RADIUS: authenticator E7 F4 F3 66 48 9C 3A 21 - EB 91 D1 46 2F 2B 71 95
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 51
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 45 "ip:inacl#10=deny icmp any 1.1.1.0 0.0.0.255"
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 51
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 45 "ip:inacl#20=deny icmp any 1.1.2.0 0.0.0.255"
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 51
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 45 "ip:inacl#30=deny icmp any 1.1.3.0 0.0.0.255"
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 51
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 45 "ip:inacl#40=deny icmp any 1.1.4.0 0.0.0.255"
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 45
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 39 "ip:inacl#50=permit tcp any any eq 443"
*Mar 12 05:36:06.565: RADIUS: Vendor, Cisco [26] 35
*Mar 12 05:36:06.565: RADIUS: Cisco AVpair [1] 29 "ip:inacl#60=deny ip any any"
*Mar 12 05:36:06.565: RADIUS(00000000): Received from id 1645/63
*Mar 12 05:36:06.850: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (cc9d.a227.c680) on Interface Gi0/1 AuditSessionID AC108226000000E339D9AB43do sh ip access-lists
Extended IP access list xACSACLx-IP-acl-test-1892b67bee9 (per-user)
10 deny icmp any 1.1.1.0 0.0.0.255
20 deny icmp any 1.1.2.0 0.0.0.255
30 deny icmp any 1.1.3.0 0.0.0.255
40 deny icmp any 1.1.4.0 0.0.0.255
50 permit tcp any any eq 443
60 deny ip any any
Если размер загружаемого ACL велик (больше килобайта), при его отправке коммутатору список разбивается на несколько RADIUS-пакетов.
Коммутаторы других типов (не Cisco) получают ACL непосредственно в ответе, без разбивки данных. Так как, размер RADIUS-ответа не может быть большим (больше полутора килобайт), вы не сможете передать череcчур длинный ACL.
При написании правил в них вы можете воспользоваться макросами: $mac, $mac_lower, $mac_cisco, $mac_cisco_lower, $mac_condensed, $mac_condensed_lower. Соответственно это форматы вида 01:02:03:AA:BB:CC, 0102-03AA-BBCC и 010203AABBCC, также и в нижнем регистре.
При формировании отправляемого в устройство набора RADIUS-атрибутов с правилами эти макросы будут заменены МАС-адресом подключающегося клиентского устройства, в нужном формате. Так как коммутатор Cisco применяет отдельный RADIUS-запрос для получения dACL, который не содержит признака клиента, воспользоваться подобным механизмом для него не получится. Также не получится создать макрос на основе IP-адреса, т.к. он может быть назначен только после авторизации.
Тип списка доступа, который вы указываете при его создании, в основном носит справочный характер. WNAM будет формировать корректный тип RADIUS-атрибута на основе типа сервера доступа, который произвел запрос, а не типа dACL. Таким образом, вы должны установить корректный тип (вендора) устройства при создании сервера доступа.
00.666 authorization - final result: Accept with policy 'Wired LAB'
00.668 authorization - add attribute: dACL [Huawei] Name='acl-permit-only-lan-1.1.1.1', lines: 3
Исключение составляет сервер доступа типа "LAN Switch": если ваш сервер доступа имеет такой тип, выбор формата направляемого атрибута определяется тем, что написано в свойствах dACL.
...