View Source

В случае, если подключенное клиентское устройство работает в режиме прослушивания известных администратору TCP портов, например это принтер или какое-то технологическое оборудование, возможно выполнить его сканирование при помощи утилиты NMAP, чтобы получить список открытых портов, и сделать предположение об операционной системе устройства.

Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором настраивается отложенный NMAP-скан.

1. Создается правило аутентификации, под которое попадут устройства, которым требуется профилирование по NMAP-скану

Создаем правило авторизации, в которому указываем один или несколько (перечислены через запятую) TCP-порты, задержка первого запуска сканирования, интервал между повторами сканирования. Если сканирование три раза подряд закончится неудачей, оно прекратится. Повторение можно не задавать, в этом случае опрос будет выполнен единократно.

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-28-34.png

Создаём соответствующее правило аутентификации, в качестве критерия можно выбрать группу МАС адресов, сетевое устройство:

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-29-41.png

Теперь все устройства которые подошли под это правило будут опрошены с помощью NMAP через 30 секунд после завершения авторизации, и далее опрос будет повторяться через каждые 2 минуты до ошибки, или пока активна сессия доступа.

2. Создание политики отбора по NMAP

Создаем проверку доступности порта 80 на устройстве.

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-39-34.png

Создаем соответствующее правило

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-40-10.png

и политику

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-40-46.png

3. Создается правило аутентификации под которое попадут устройства спрофилированные по NMAP

Создаем правило авторизации в котором помещаем спрофилированные устройства в отдельный VLAN

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-42-54.png

и соответствующее правило аутентификации

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-44-37.png

Это правило сработает для всех устройств у которых открыт порт 80

Нужно учесть , что правило пропуска должно находиться выше чем правило инициализирующие опрос по NMAP, чтобы оно могло сработать первым.

WNAM 2 > Сканирование NMAP > image-2026-4-29_16-45-37.png

В результате такой настройки при первом аутентификации сработает правило "Тестирование NMAP запрос"

WNAM 2 > Сканирование NMAP > image-2026-4-29_17-3-20.png

Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправит CoA пакет для повторной аутентификации. Теперь сработает правило "Тестирование NMAP пропуск" и устройство будет помещено в целевой VLAN

WNAM 2 > Сканирование NMAP > image-2026-4-29_17-4-59.png

Данные полученные при опросе по NMAP можно увидеть в кэше профайлера

WNAM 2 > Сканирование NMAP > image-2026-4-29_17-6-39.png

Для работы этого метода требуется чтобы сетевое устройств (коммутатор , wifi контроллер) должнен поддерживать CoA и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.