При перенаправлении веб-сессии пользователя на гостевой портал автоматически срабатывает профилирование по данным, получаемым из браузера. При этом в свойства эндпоинта (через кэш профайлера) добавляются совпавшие политики для устройства, которые в дальнейшем можно применять для формирования правил аутентификации в разделе сетевого доступа (NAC).
Список исходных данных обширен; значительную часть из них используют встроенные в систему WNAM 2 правила. Пример:
{cookieEnabled=true, deviceVendor=unknown, timezone=GMT%2B3, language=ru-RU, resolution=1860x952, maxTouchPoints=0, osVersion=10,
timezoneOffset=-180, browser=Chrome, browserVersion=147.0.0.0, redirect=http%3A%2F%2Fwww.ru%2F, deviceType=desktop,
client_mac=C4%3AE9%3A84%3ADD%3A1D%3AC2, browserEngine=Blink, os=Windows, cpuArch=amd64, sessionId=06C8F10A000342EACB55699D,
hardwareConcurrency=4, doNotTrack=unspecified, switch_url=10.241.200.6, wlan=Corporate%20Wi-Fi,
viewport=1860x825, pixelRatio=1, deviceModel=unknown, colorDepth=32}Вы можете на основе этих данных настроить и собственные тройки "проверка-правило-политика".
Подобное профилирование применимо как при чисто гостевом Wi-Fi доступе (например, для открытых сетей с СМС или спонсорской авторизацией), так и при 802.1Х авторизации с условным редиректом на портал. Этот способ поддерживают не все производители сетевого оборудования. Cisco, Huawei работают.
В примере приведен несколько надуманный, но вполне работоспособный сценарий сетевого доступа, при котором требуется обеспечить следующее условие: допускать в корпоративную беспроводную сеть, защищенную по WPA2-Enterprise способу (802.1Х по доменной учётной записи) только устройства Windows.
Для этого необходимо, как обычно, настроить сетевое устройство (NAS), в примере - контроллер Cisco CL-9800, подготовить загружаемый ACL, всё как в инструкции. Возможно, предстоит подключить службу каталога.
Предположим, что беспроводная сеть с 802.1Х авторизацией называется "Corporate Wi-Fi". Настройте правило в разделе "Беспроводный 802.1Х" (пример: "d20-802.1X-pass") , проверьте его работу. Добейтесь успешного прохождения аутентификации, авторизации, и работающего сетевого доступа клиента.
Обратите внимание: здесь мы настроили обычное WPA2-Enterprise подключение с использованием RADIUS-сервера WNAM 2. Не гостевую авторизацию.
Теперь слегка измените это правило аутентификации так, чтобы в нём было дополнительное условие: наличие профиля "Portal:Windows" у подключающегося эндпоинта. Если вы так сделаете, и попробуете повторить попытку подключения, правило не совпадёт.
Теперь сделайте правило авторизации "ProfilingWebRedirect", которое будет назначать RADIUS-атрибуты редиректа на портал в ответе. Так, как вы делаете для гостевой авторизации:
Сделайте новое правило аутентификации в разделе "Беспроводный 802.1Х" (пример: "d20-802.1X-toProfiling") ниже по уровню, с выбранным только что сделанным правилом авторизации - редиректором:
Сохраните его.
В настройках "NAC-Гостевой доступ" достаточно оставить только этот метод:
Вы также можете использовать дополнительную доменную авторизацию, ваучер, запрос согласия с условиями - во всех случаях профайлер тоже сработает.
Проверим это.
При первом подключении беспроводной клиент (Windows 10) пойдет по "гостевому сценарию":
Откройте браузер, перейдите на www.ru (либо браузер сам перекинет на msftconnect.com). Профайлер отработал:
В системе WNAM 2 появится сессия подключения эндпоинта. Видно, что она пошла по пути редиректа:
Отработавший профайлер даст информацию в свойства эндпоинта (её также видно будет и в "Диагностика - Кэш профайлера"):
Отключите клиента от сети, подключитесь заново. Теперь сработает полноценное 802.1Х подключение:
И в его сессии - только 802.1Х профиль:
Также видно две сессии: более старая с редиректом, последняя с обычным сетевым доступом.
Профайлер на самом деле отработал два раза: при самой попытке подключения, по МАС адресу, и затем после редиректа через рбазер пользователя, приложение /portal и новый запрос в профайлер. Вот что можно найти в лог-файле сервиса RADIUS в режиме включенной трассировки (Диагностика-Логи)
26.04.2026 23:31:08.737 DEBUG [c.n.w.r.profiling.ProfilingService:1217] - MAC C4:E9:84:DD:1D:C2 policy set assigned: [TP-LINK-Device]
26.04.2026 23:31:35.772 TRACE [c.n.w.r.profiling.ProfilingService:1200] - Endpoint C4:E9:84:DD:1D:C2 policy set joined: [Portal:Desktop, Portal:Browser-Chrome, Portal:Os-Version10,
TP-LINK-Device, Portal:HorizontalScreen, Portal:Windows], added: [Portal:Browser-Chrome, Portal:Desktop, Portal:HorizontalScreen, Portal:Os-Version10, Portal:Windows]
Наконец, вы можете попробовать исправить условие в правиле "pass" так, чтобы оно реагировало на браузер Edge, а не Chome. В этом случае клиента будет постоянно подключать в режиме редиректа на портал. Обычного доступа к сети он не получит.