В этой статье расскажем о применении механизма профилирования MAB-подключений через коммутаторы Huawei, на примере IP-телефона Avaya, и точки доступа Cisco.

Конфигурация коммутатора содержит правила включения mab-профиля, SNMP, cdp на портах, и т.п.. Обязательно включение реаутентификации портов.

authentication-profile name mac_authen_profile
 mac-access-profile mac_access_profile
 authentication dot1x-mac-bypass
 authentication ip-address in-accounting-start

#

radius-server template tav_radius
 radius-server shared-key cipher %^%#5:s:*WTHLQo.)>/bhMS.'3iZMpxm!9I&;J=;7Xb7%^%#
 radius-server authentication 1.2.3.4 1812 weight 80
 radius-server accounting 1.2.3.4 1813 weight 80
 radius-server dead-time 65000
 radius-server nas-port-id-format vendor 9
 radius-server detect-server interval 3600
 radius-server detect-server timeout 1
 calling-station-id mac-format colon-split mode2 uppercase

#

interface GigabitEthernet0/0/11
 description "Cisco AIR3702i 5087-89e3-5bd0"
 port link-type access
 authentication-profile mac_authen_profile
 lldp compliance cdp txrx
#
interface GigabitEthernet0/0/12
 description "Avaya 1608 AVX3399CB a425-1b33-99cb"
 port link-type trunk
 port trunk allow-pass vlan 650
 authentication-profile mac_authen_profile
 lldp compliance cdp txrx
#                                         

mac-access-profile name mac_access_profile
 mac-authen reauthenticate
 mac-authen timer reauthenticate-period 300
#

snmp-agent
snmp-agent community write cipher %^%#CB=%(`bjiOF6AP=h;yK58^^W(f^X^;#s*C=nP{j(_YK},h^Mc1]~FN'Yb%8N4=Ve/\{;!Ap03kE>#igH%^%# mib-view iso-view
snmp-agent sys-info version v2c v3
snmp-agent mib-view included iso-view iso
#

Правила аутентификации в WNAM:

Для телефона:

(назначается voice domain)

Для точки доступа:

(назначается session-timeout)

и ниже правило "по умолчанию".

В результате подключения устройства, при наличии данных SNMP (запрашиваются из кэша синхронно), в свойства создаваемого эндпоинта сразу прописывается всё обнаруженное: