Любое внедрение системы WNAM 2 начинается со всестороннего тестирования. Прежде, чем вы переключите продуктивную сетевую авторизацию в вашей сети на новые сервера, вы должны убедиться, что WNAM 2 полностью решает ваши задачи, работает предсказуемо, надежно, и вы освоили все его функции, требуемые вам для последующей эксплуатации.

Данный раздел описывает примерный план тестирования (ознакомления, пилотного проекта), которого вы должны придерживаться. Конечно, в зависимости от задач, которые есть именно у вас, часть тестов может оказаться не применима. Пропускайте их.

На основе наших документов мы советуем сформировать ваш собственный план (методику испытаний), подготовить протокол, а по завершении работ - выпустить акт о проведенных испытаниях WNAM 2.

Вся работа по испытаниям делится на несколько этапов, а именно:

  • Планирование испытаний, согласование потребных ресурсов, состава стенда, сетевых доступов

WNAM 2 является сложным продуктом, требующим от тестирующего глубоких знаний сетевых технологий, работы с TCP/IP, оборудованием, основ администрирования Linux. Предполагается, что в зависимости от квалификации инженера процесс запуска и настройки стенда займет от одного дня до недели, а само проведение тестов - несколько недель. 

Готовьте стенд для проведения испытаний в тех условиях, которые затем ожидаются на вашем предприятии, т.е. включите либо исключите из испытаний разделы: гостевой доступ, VPN, МАВ-профилирование, TACACS+ и так далее. Поставьте в состав стенде то сетевое оборудование, которое у вас и будет применяться.

Если вы будете тестировать интеграцию WNAM 2 со службой каталога (доменом Windows), подготовьтесь к тому, что вам понадобится включить сервера в домен. Запросите помощи у его администраторов, запросите доступы, учётные записи и т.п. О том, как и зачем WNAM 2 интегрируется с доменом, подробно написано здесь.  

Если вы строите изолированный стенд, то предполагается, что все требуемые TCP, UDP порты по умолчанию открыты. Если вы интегрируете стенд в некую продуктивную среду (например, используете "настоящий" домен Windows), позаботьтесь о том, чтобы для вас подготовили правила на межсетевых экранах. Подробнее об используемых портах написано здесь.

Убедитесь, что у вас корректно настроена маршрутизация трафика между сетевым оборудованием и сервером WNAM 2, между серверами WNAM 2 в кластере, доступ до вашего рабочего места. Для своей работы WNAM 2 не требует связи с сетью Интернет. Доступ к Интернет может понадобиться при тестировании гостевой Wi-Fi авторизации, для взаимодействия с внешними СМС-провайдерами. 

Минимальный состав стенда:

    • Физический сервер или система виртуализации с виртуальной машиной для WNAM 2: 4 ядра CPU, 12 Gb RAM, 50 Gb HDD
    • Коммутатор ЛВС с поддержкой 802.1Х
    • Ноутбук с сетевым интерфейсом RJ45 (подойдет и USB-Ethernet адаптер)
    • Опционально - IP телефон
    • Wi-Fi точка доступа с поддержкой 802.1Х (WPA2 Enterprise, RADIUS), опционально контроллер к ней 
  • Приобретение недостающего оборудования

Если у вас в наличии нет необходимого оборудования, его можно приобрести или взять у кого-то во временное пользование. Обратите внимание на следующее:

Подключение по 802.1Х невозможно корректно проверить на виртуальных коммутаторах вроде VMware vSphere Disributed Switch, Cisco Nexus, Catalyst 8000v, Aruba CX-OS и т.п. Они не пропускают трафик EAPOL. Лучше купите на Авито какой-нибудь б/у коммутатор, например Cisco Catalyst 2960S - он полноценно поддерживает MAB, 802.1X, SNMP и расширенное RADIUS-профилирование. Вы можете взять и другое оборудование, желательно того же производителя, что будет использоваться в вашей продуктивной сети. Не покупайте неуправляемые коммутаторы, или те, которые не поддерживают 802.1X. Обратитесь к документации вендора оборудования перед покупкой, или к нам.

Для тестирования беспроводных подключений подойдут фактически любые точки доступа, или автономные, или управляемые контроллером. Главное, чтобы точка доступа поддерживала авторизацию WPA2- Enterprise и указание для этого внешнего RADIUS-сервера. Хорошим вариантом будут устройства Aruba (IAP, Instant, но не InstantOn), Ruckus Unleashed, точки доступа Cisco старых моделей (не старше 7 лет), управляемые контроллером 9800-CL (он виртуальный).

В качестве VPN-сервера используйте виртуальные Cisco ASAv, FTDv, NGate, либо настройте сервер на основе OpenConnect. 

Для развёртывания WNAM 2 понадобится виртуальная машина в любой системе виртуализации (но рекомендуется vSphere, ESXi). Если вы хотите тестировать кластерную конфигурацию, вы можете запустить два сервера WNAM 2 на одном хосте, а можете на разных (в том числе в разных IP-сетях).

Для тестирования со стороны пользователя вам понадобятся: беспроводный клиент (ноутбук, смартфон - любые), VPN-клиент (ноутбук), проводной клиент (ноутбук). Операционная система на рабочем месте - такая, которую вы используете на вашем предприятии, с точностью до версии: Linux, Windows, MacOS. Вы также можете попробовать подключить к ЛВС-коммутатору принтер, IP-камеру или IP-телефон (также можно купить на Авито телефоны Cisco, Avaya старых моделей). АРМ подключайте цепочкой через телефон.

Вы можете попробовать использовать тестовый АРМ, который из себя представляет виртуальную машину. Это поддерживается, но только в следующем режиме:

    • Вы используете гипервизор VMware ESXi
    • Хост виртуализации подключен к тестируемому коммутатору ЛВС выделенным UTP-кабелем, ведущим в выделенный физический сетевой интерфейс хоста виртуализации
    • Этот выделенный физический сетевой интерфейс хоста виртуализации объявлен как PCI PassThrough устройство и исключен из обычной сетевой работы
    • Он проброшен в гипервизоре как PCI-устройство напрямую в виртуальный АРМ
    • Аналогичным образом может быть проброшен в виртуальную машину и Wi-Fi адаптер (на PCI-шине, или USB)

Вариант, когда виртуальная сетевая плата виртуального АРМ замкнута на виртуальную ЛВС (порт-группу) гипервизора и подключена через виртуальный коммутатор в физический коммутатор, работать не будет.   

  • Сборка испытательного стенда  

Прежде, чем вы будете тестировать работу WNAM 2, вы должны убедиться, что ваша сеть полностью работоспособна в режиме "без авторизации". У вас не должно быть проблем со стабильностью работы оборудования, электропитанием, охлаждением, сервисами DHCP, NAT, DNS, маршрутизацией, репликации контроллеров домена Windows, устаревшего CA-сертификата в MS PKI и всего того, что в дальнейшем будет препятствовать нормальной работе авторизации под управлением WNAM 2 (а он и не при чём). 

Начинайте с "чистого листа" - удалите в конфигурациях сетевого оборудования всё лишнее, а лучше сбросьте его в default. Наверняка вы не хотите потерять неделю времени в траблшутинге проблемы, вызванной одной строчкой в конфигурации устройства, оставшегося от старого теста.

Обновите прошивки устройств до той версии, которая у вас используется на предприятии в продуктивной работе. Будьте готовы к необходимости поставить самое последнее обновление прошивки, если мы столкнёмся с известным багом устройства (такое бывает).

Для виртуализации: убедитесь, что используемые в тестах виртуальные машины поставлены на "авто-запуск" в случае перезагрузки хоста виртуализации (либо у вас настроен DRS). 

Все сетевые устройства, которые вы тестируете, должны настраиваться в соответствии с документацией их производителей. Не существует каких-то особенных "настроек под WNAM". Мы используем то, что заложено производителем оборудования. Возьмите шаблонные конфигурации из документации вендора. Если вы ранее использовали Cisco ISE, настройки оборудования менять не следует: укажите только другой (новый, WNAM 2) RADIUS, TACACS+, SNMP Client адреса. Можно использовать группы серверов для оперативного переключения между "ISE-тест" и "WNAM 2-тест".

Доменные АРМ необходимо обновить и ввести в домен. Работа в домене (авторизация пользователей) должна идти без сбоев. Сложно ожидать корректной работы механизма доменной авторизации WNAM 2, если домен поломан и его контроллеры не реплицируются, как следует. 

Настройте NTP и синхронизацию времени везде, где можно. Это является критически важным при интеграции WNAM 2 с доменом; расхождения допустимы не более пары секунд.

Если вы используете Microsoft CA (сервер сертификатов, PKI), настройте его полностью. Для интеграции с доменом Windows на контроллерах должен функционировать LDAPS (нужен будет само-подписанный TLS-сертификат, см. инструкцию

  • Первоначальная настройка WNAM 2

Для того, чтобы проверить работу WNAM 2 в любом из сценариев, до проведения тестов вам понадобится сделать некоторые общие настройки, которые влияют на проведения авторизации одним или несколькими методами сразу. 

Необходимо разобраться с парольной политикой и учетными записями администраторов системы, ролевой моделью, ролями. Как минимум необходимо научиться менять пароли администратору, его настройки веб-интерфейса, возможно включить двухфакторную авторизацию (ТОТР), переключить язык.

Необходимо создать записи о сетевых устройствах (NAS) по числу имеющихся в стенде коммутаторов, точек доступа, шлюзов и т.п. Это - ваше оборудование ЛВС, работающее по протоколам RADIUS (TACACS+, SNMP). Задайте имя, IP адрес, секретные ключи, разберитесь с подсистемой типов категорий и категорий.

WNAM 2 не использует систему "площадок", как это было в WNAM 1.х, но вы можете определить географическую/организационную иерархию сетевых устройств через сущности "местоположения".

Если вы планируете использовать вход в административный веб-интерфейс WNAM 2 через учетную запись в службе каталога (домене), сетевую (PEAP) или TACACS+ авторизацию по доменной учётной записи, проверку членства записи в доменной группе, вам необходимо подключить сервер WNAM 2 в домен. Это сложная операция, успех которой зависит от чёткости ваших действий, выданных вам прав, настроек домена и его контроллеров, открытости требуемых TCP/IP портов. 

Если вы планируете проводить сетевую (RADIUS) авторизацию по протоколам семейства 802.1Х (EAP-TLS или PEAP), вам необходимо разобраться с удостоверяющим центром: создать собственный само-подписанный, или импортировать СА, выпустить или подписать требуемые для работы сертификаты сервера. Без этого EAP-TLS или PEAP авторизация не заработает вовсе.

  • Настройка WNAM 2 под каждый из тестов

Составьте список тестов. Вы можете проверять как отдельные способы, методы и протоколы авторизации, так и работу вспомогательных функций (Кластер, Уведомления, Резервное копирование).

Ниже дан примерный перечень испытаний. Настройки под каждый тип испытания вы можете сделать в соответствующем разделе веб-интерфейса.

    • Сетевая авторизация (NAC)
      • Проводная MAB-авторизация
      • Назначение VLAN, ACL, 
      • Формирование dACL и их назначение
      • Группы МАС адресов и авторизация через ни х
      • Настройка профилирования SNMP. Авторизация.
      • Настройка профилирования DHCP. Авторизация.
      • Проводная 802.1Х авторизация по доменной учётной записи
      • Применение правил по доменным группам
      • Применение правил по доменным LDAP-атрибутам
      • Проводная 802.1Х по пользовательскому сертификату
      • Применение правил с фильтрами по полям сертификата 
      • Выписывание клиентских TLS-сертификатов (встроенный УЦ, SCEP) и авторизация через них
      •  Беспроводная MAB и 802.1X авторизация
      • VPN-авторизация
      • Использование 2FA (RADIUS) в VPN-авторизации
      • Карантин
      • Интеграция с КИБ "Сакура"
    • Авторизация администраторов (DeviceAdmin)
      • Создание правил, списков команд и атрибутов
      • Авторизация локального и доменного администраторов
      • Смена пароля
      • Разрешенные и запрещенные команды
      • Авторизация администраторов по RADIUS
    • Гостевая Wi-Fi авторизация (спонсорский доступ)
    • Портал самообслуживания
    • Кластер
      • Формирование кластера
      • Синхронизация данных, в т.ч. с отключением и восстановлением нод
      • Авторизация при отключении ноды
    • Сервисные функции
      • Настройка виджетов дашборда
      • Работа с UI: фильтры таблиц, настраиваемые столбцы  
      • Аудит действия администраторов
      • Ролевая модель
      • Парольная политика
      • Использование 2FA в UI-доступе
      • Механизм алертов
      • Резервное копирование и восстановление
      • Уведомления во внешнюю систему
      • Обновление системы
      • Импорт из ISE
      • Отчёты
      • Диагностика
  • Проведение теста, фиксация результатов, переход к следующему тесту

В ходе проведения теста с сетевым подключением необходимо фиксировать как результат с точки зрения клиента (успешная-не успешная авторизация, полученный IP-адрес (сеть)), так и с точки зрения WNAM 2: как выглядит диагностическая запись о попытке подключения (включая её детали), какие атрибуты были переданы, как выглядит запись об эндпоинте, что появляется в лог-файлах WNAM 2 (если обнаружен сбой работы) и т.п.

Настоятельно рекомендуется доводить до конца каждый тест, фиксировать его результат, и не начинать новый тест, не закончив предыдущий.

  • Составление отчета об испытаниях

Рекомендуется составить полный отчет, в котором зафиксированы: даты проведения испытаний, состав стенда, версии ПО, фамилии тестирующих, замечания по каждому из пунктов тестов, общий результат, комментарии, пожелания разработчикам. Будет здорово, если такой отчёт вы согласуете с нами, а также с принимающим участие в тестах системным интегратором.

  • Демонтаж стенда 

Если по завершению испытаний вы решили приобрести лицензию на систему, вы можете оставить ваши сервера "как есть", удалив с них ненужные записи (история сессий,  тестовые сетевые устройства, учётные данные). Эти сервера, возможно с увеличенными ресурсами, можно запускать в продуктивную работу. 

Рекомендуется сохранить конфигурационные файлы всего оборудования, которое использовалось в стенде, а также выполнить бэкап настроек WNAM 2.

Если по завершению испытаний вы решили отложить приобретение WNAM 2, вам необходимо погасить и удалить виртуальные машины с системой.


На каждом из этапов тестирования вы можете обратиться в службу технической поддержки компании "Нетамс" по электронной почте или через групповой чат в Телеграм. В случае, если у вас что-то не заработало, работает не так, как вы настроили, у вас есть пожелания, вам нужна новая функция, настоятельно рекомендуется не откладывать, а писать нам "по горячим следам".

   

  • No labels