...
Для того, чтобы создать списки, необходимо перейти в раздел "Конфигурация" → "Загружаемые ACL", где можно сформировать список управления доступом или просмотреть уже загруженные списки.
Для создания нового списка необходимо нажать кнопку "Создать новый".
...
Заполнить соответствующие поля (наименование и элементы списка).
При заполнении полей в форме следует учитывать правила:
...
Созданный ACL можно применить в настройке требуемого правила авторизации.
При подключении эндпоинта к порту ЛВС, если произойдет срабатывание соответствующего правила, имя ACL будет передано в атрибутах:
...
Если размер загружаемого ACL велик (больше килобайта), при его отправке коммутатору список разбивается на несколько RADIUS-пакетов.
Коммутаторы других типов (не Cisco) получают ACL непосредственно в ответе, без разбивки данных. Так как, размер RADIUS-ответа не может быть большим (больше полутора килобайт), вы не сможете передать череcчур длинный ACL.
При написании правил в них вы можете воспользоваться макросами: $mac, $mac_lower, $mac_cisco, $mac_cisco_lower, $mac_condensed, $mac_condensed_lower. Соответственно это форматы вида 01:02:03:AA:BB:CC, 0102-03AA-BBCC и 010203AABBCC, также и в нижнем регистре.
При формировании отправляемого в устройство набора RADIUS-атрибутов с правилами эти макросы будут заменены МАС-адресом подключающегося клиентского устройства, в нужном формате. Так как коммутатор Cisco применяет отдельный RADIUS-запрос для получения dACL, который не содержит признака клиента, воспользоваться подобным механизмом для него не получится. Также не получится создать макрос на основе IP-адреса, т.к. он может быть назначен только после авторизации.
Тип списка доступа, который вы указываете при его создании, в основном носит справочный характер. WNAM будет формировать корректный тип RADIUS-атрибута на основе типа сервера доступа, который произвел запрос, а не типа dACL. Таким образом, вы должны установить корректный тип (вендора) устройства при создании сервера доступа.
00.666 authorization - final result: Accept with policy 'Wired LAB'
00.668 authorization - add attribute: dACL [Huawei] Name='acl-permit-only-lan-1.1.1.1', lines: 3
Исключение составляет сервер доступа типа "LAN Switch": если ваш сервер доступа имеет такой тип, выбор формата направляемого атрибута определяется тем, что написано в свойствах dACL.
...