В случае, если подключенное клиентской устройство моет выступать в роли SNMP-сервера, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности устройства.
Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором настраивается отложенный SNMP-опрос.
Настройка профилирование по средствам опроса эндпоинта с помощью происходит в несколько стадий:
1. Создается правило аутентификации под которое попадут устройства которым требуется профилирование по NMAP
Создаем правило авторизации
и соответствующее правило аутентификации
в данном случае отбор устройств для профилирования происходит по группе MAC адресов. Теперь все устройства которые подошли под это правило будут опрошены с помощью NMAP через 30 секунд и далее через каждые 2 минуты.
2. Создание политики отбора по NMAP
Создаем проверку доступности порта 80 на устройстве.
Создаем соответствующее правило
и политику
3. Создается правило аутентификации под которое попадут устройства спрофилированные по NMAP
Создаем правило авторизации в котором помещаем спрофилированные устройства в отдельный VLAN
и соответствующее правило аутентификации
Это правило сработает для всех устройств у которых открыт порт 80
Нужно учесть , что правило пропуска должно находиться выше чем правило инициализирующие опрос по NMAP, чтобы оно могло сработать первым.
В результате такой настройки при первом аутентификации сработает правило "Тестирование NMAP запрос"
Через 30 секунд будет произведен опрос по SNMP и если новые данные будут получены, WNAM отправит CoA пакет для повторной аутентификации. Теперь сработает правило "Тестирование NMAP пропуск" и устройство будет помещено в целевой VLAN
Данные полученные при опросе по NMAP можно увидеть в кэше профайлера
Для работы этого метода требуется чтобы сетевое устройств (коммутатор , wifi контроллер) должнен поддерживать CoA и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.