При перенаправлении веб-сессии пользователя на гостевой портал автоматически срабатывает профилирование по данным, получаемым из браузера. При этом в свойства эндпоинта (через кэш профайлера) добавляются совпавшие политики для устройства, которые в дальнейшем можно применять для формирования правил аутентификации в настройках сетевого доступа (NAC).
Список исходных данных обширен; значительную часть из них используют встроенные в систему WNAM 2 правила. Пример:
{cookieEnabled=true, deviceVendor=unknown, timezone=GMT%2B3, language=ru-RU, resolution=1860x952, maxTouchPoints=0, osVersion=10,
timezoneOffset=-180, browser=Chrome, browserVersion=147.0.0.0, redirect=http%3A%2F%2Fwww.ru%2F, deviceType=desktop,
client_mac=C4%3AE9%3A84%3ADD%3A1D%3AC2, browserEngine=Blink, os=Windows, cpuArch=amd64, sessionId=06C8F10A000342EACB55699D,
hardwareConcurrency=4, doNotTrack=unspecified, switch_url=10.241.200.6, wlan=Corporate%20Wi-Fi,
viewport=1860x825, pixelRatio=1, deviceModel=unknown, colorDepth=32}Вы можете на основе этих данных настроить и собственные тройки "Проверка-Правило-Политика".
Подобное профилирование применимо как при чисто гостевом Wi-Fi доступе (например, для открытых сетей с СМС или спонсорской авторизацией), так и при 802.1Х авторизации с условным редиректом на портал. Второй способ поддерживают не все производители сетевого оборудования. Cisco, Huawei работают.
В примере приведен несколько надуманный, но вполне работоспособный сценарий сетевого доступа, при котором требуется обеспечить следующее условие: допускать в корпоративную беспроводную сеть, защищенную по WPA2-Enterprise способу (802.1Х по доменной учётной записи) только устройства с ОС Windows.
Для этого необходимо, как обычно, настроить сетевое устройство (NAS), в примере - контроллер Cisco CL-9800, подготовить загружаемый ACL, всё как в инструкции. Возможно, предстоит подключить службу каталога.
Предположим, что беспроводная сеть с 802.1Х авторизацией называется "Corporate Wi-Fi". Настройте правило в разделе "Беспроводный 802.1Х" (пример: "d20-802.1X-pass") , проверьте его работу. Добейтесь успешного прохождения аутентификации, авторизации, и работающего сетевого доступа клиента.
Обратите внимание: здесь мы настроили обычное WPA2-Enterprise подключение с использованием RADIUS-сервера WNAM 2. Не гостевую авторизацию.
Теперь слегка измените это правило аутентификации так, чтобы в нём было дополнительное условие: наличие профиля "Portal:Windows" у подключающегося эндпоинта. Если вы так сделаете, и сейчас же попробуете повторить попытку подключения, правило не совпадёт. У эндпоинтов пока нет профиля "Portal:Windows".
Теперь сделайте правило авторизации "ProfilingWebRedirect", которое будет назначать в ответе RADIUS-атрибуты редиректа на портал. Так же, как вы делаете для гостевой авторизации:
Сделайте новое правило аутентификации в разделе "Беспроводный 802.1Х" (пример: "d20-802.1X-toProfiling") ниже по уровню (важно, иначе только одно оно и будет срабатывать, а вы получите вечный редирект), с выбранным только что сделанным правилом авторизации - редиректором:
Сохраните его.
В настройках "NAC-Гостевой доступ" достаточно оставить только этот метод:
Вы также можете использовать и иные портальные методы и их комбинации: дополнительную доменную авторизацию, ваучер, запрос согласия с условиями - во всех случаях профайлер тоже сработает.
Проверим это.
При первом подключении беспроводной клиент (Windows 10) пойдет по "гостевому сценарию", т.к. у эндпоинта (устройства) пока нет никакого профиля.:
Откройте браузер, перейдите на www.ru (либо браузер сам перекинет на msftconnect.com). Профайлер отработал:
В системе WNAM 2 появится сессия подключения эндпоинта. Видно, что она пошла по пути редиректа:
Отработавший профайлер передаст информацию в свойства эндпоинта (её также будет видно и в "Диагностика - Кэш профайлера"):
Отключите клиента от сети, подключитесь заново. Теперь сработает полноценная 802.1Х авторизация:
И в его сессии - 802.1Х правило с условием наличия Windows-профиля:
Также ниже будет видно две сессии: более старая с редиректом, и новая последняя, с обычным сетевым доступом.
Примечательно, что профайлер у вас на самом деле отработал два раза: сразу при попытке подключения по МАС адресу, и затем после редиректа через браузер пользователя, приложение /portal и новый набор сведений, отправленный им в профайлер. Вот что можно найти в лог-файле сервиса RADIUS (/db/log/wnam2-radius/radius.log) в режиме включенной трассировки ("Диагностика - Логи"):
26.04.2026 23:31:08.737 DEBUG [c.n.w.r.profiling.ProfilingService:1217] - MAC C4:E9:84:DD:1D:C2 policy set assigned: [TP-LINK-Device]
26.04.2026 23:31:35.772 TRACE [c.n.w.r.profiling.ProfilingService:1200] - Endpoint C4:E9:84:DD:1D:C2 policy set joined: [Portal:Desktop, Portal:Browser-Chrome, Portal:Os-Version10,
TP-LINK-Device, Portal:HorizontalScreen, Portal:Windows], added: [Portal:Browser-Chrome, Portal:Desktop, Portal:HorizontalScreen, Portal:Os-Version10, Portal:Windows]
Наконец, вы можете попробовать исправить условие в правиле "d20-802.1X-pass" так, чтобы оно реагировало на браузер Edge, а не на ОС Windows. В этом случае клиента будет постоянно подключать в режиме редиректа на портал. Обычного 802.1Х доступа к сети он не получит.