View Source

В случае, если подключенное клиентское устройство может выступать в роли SNMP-сервера, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности устройства.

Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором и настраивается отложенный SNMP-опрос.

1. Правила MAB для устройств, которым требуется профилирование

Сначала создаем правило авторизации, в котором выбираем компонент - "Запустить опрос по SNMP", выбираем версию протокола, задаём его параметры, и определяем два таймера. Первый задаёт отсрочку исполнения первого опроса, второй периодичность повторных опросов.

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-22-58.png

Создаём правило аутентификации типа "Проводный MAB", по которому для всех подключающихся устройств (возможно, с фильтром по группе МАС, по коммутатору и т.п.) назначается правило авторизации с запуском опроса.

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-24-31.png

Теперь все подключающиеся устройства, которые подошли под это правило, будут опрошены по SNMP через 30 секунд и далее через каждые 3 минуты. Если устройство не ответило сразу, либо впоследствии после трёх периодов попыток опроса, опрос прекращается.

2. Политики профайлера по SNMP

В нашем примере мы будем искать совпадение по подстроке в SNMP OID "sysDescr" значения Ap303h. Сначала создаём объект типа "Проверка":

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-46-29.png

Создаем соответствующее "Правило"

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-45-0.png

и "Политику":

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-45-28.png

3. Правила MAB для устройств, которые прошли профилирование

Создаем правило авторизации, по которому помещаем спрофилированные устройства в отдельный VLAN:

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-54-24.png

и соответствующее правило аутентификации, в критериях которого - наличие у эндпоинта заданного профиля, определенного "Политикой для сенсоров Ap303h".

WNAM 2 > Опрос по SNMP > image-2026-4-29_13-58-36.png

Нужно предусмотреть, чтобы это правило пропуска находилось выше, чем правило, инициализирующее опрос по SNMP, чтобы оно могло сработать первым для спрофилированных устройств.

WNAM 2 > Опрос по SNMP > image-2026-4-30_0-4-2.png

В результате такой настройки при первой аутентификации сработает правило "Тестирование SNMP запрос":

WNAM 2 > Опрос по SNMP > image-2026-4-29_14-8-54.png

Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправит CoA пакет коммутатору для повторной аутентификации порта (устройства ). Теперь сработает правило "Тестирование SNMP пропуск", и устройство будет помещено в целевой VLAN:

WNAM 2 > Опрос по SNMP > image-2026-4-29_14-11-39.png

Данные полученные при опросе по SNMP можно увидеть в кэше профайлера:

WNAM 2 > Опрос по SNMP > image-2026-4-29_14-20-8.png

Для работы этого метода требуется чтобы сетевое устройство (коммутатор, Wi-Fi контроллер) поддерживало сброс сессии по RADIUS CoA, и он должен быть корректно настроен.

Поскольку SNMP-опрос требует TCP/IP связности с конечным устройством необходимо, чтобы WNAM 2 к моменту запуска сканирования имел сведения о его IP адресе, полученные одним из двух способов:

в результате работы функции DHCP Snooping, настроенной на коммутаторе или контроллере, которая затем передает IP адрес в атрибуте Framed-IP-Address пакета RADIUS Accounting-Start;
в результате обработки ответа DHCP-cервера, полученного перехватом (захватом) сетевого трафика (например через SPAN-порт) при помощи агента wnam-dhcp-profiler-agent с последующей отправкой этих данных в профайлер.