Сравнение версий

Старая версия 7

changes.mady.by.user Колесник Данил Олегович

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр xPON

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

В данной статье рассмотрен пример настройки системы контроля сетевого доступа Eltex NAICE (Network Access and Information Control Engine) для взаимодействия с OLT. Eltex NAICE является NAC-системой (network access control, система контроля доступа к сети), реализующей контроль доступа в корпоративную сеть на основании условий и политик доступа: аутентификации и авторизации

  • Аутентификации;
  • Авторизации пользователей сети и администраторов сетевого оборудования

...

  • ;
  • Регистрации событий доступа.

...

  •  

Ознакомиться c системой Eltex NAICE и её возможностями можно по ссылке. Руководство по установке доступно в статье v0.9_NAICE.

Cо стороны OLT реализована поддержка взаимодействия AAA по протоколам RADIUS и TACACS+. Процедура настройки RADIUS и TACACS+ на OLT рассмотрена в статье статьях [LTP-N, LTX, MA5160] Настройка AAA и [LTP-X, MA4000] Настройка AAA, поэтому в рамках данной статьи будет рассмотрена только настройка со стороны NAICE, а именно последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.

Настройка

Добавление группы пользователей

Перед созданием самих пользователей, для их разграничения, можно создать группы, к которым они будут принадлежать. Для разграничения групп, можно использовать признак протокола доступа, например: Администраторы RADIUS и Администраторы TACACS+. Добавление группы пользователей доступно в разделе Администрирование  Управление идентификацией на странице Группы пользователей сети.

...

После добавления группы, она будет отображена в списке групп пользователей:

Добавление пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации при помощи MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя. Добавление пользователя доступно в разделе Администрирование  Управление идентификацией на странице Пользователи сети. При необходимости один пользователь может быть отнесен к разным группам. Примеры создания пользователей:

image-2025-9-19_13-23-14.png

Создание профиля сетевого устройства

Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств. Далее при настройке устройств возможно указывать данный профиль. В общем случае целесообразно создавать данный профиль для устройств одного производителя или одной модели, однако это не строгое правило. Несколько профилей уже предустановлены в системе. Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.

Добавление сетевого устройства

На данном шаге необходимо создать NAS-устройство (, в нашем случае OLT), сформировать описание и настроить параметры взаимодействия с ним. Для примера добавим сетевое устройство OLT LTP-8N. По такому же принципу, можно добавить другие модели OLT, такие как LTP-4(8)X, MA4000, LTP-16N, LTX-8(16), LTX-8(16)C, MA5160. Создание сетевого устройства доступно в разделе Администрирование  Сетевые ресурсы на вкладке Устройства.

...

  • Секретный ключ (RADIUS, TACACS+ secret) - ключ для взаимодействия с сетевым устройством по соответствующим протоколам. Должен совпадать с ключом, настроенным на самом устройстве.

Создание логических условий

Логические условия позволяют задать условия, при которых политику или правило политики необходимо применять. Создание логического условия с последующим его сохранением в библиотеку условий доступно в разделе ПолитикаЭлементы на странице Условия.

...

В качестве примера для работы с TACACS составим условие - "User identity·Identity Group Равно Администраторы TACACS":

Создание набора политик аутентификации и авторизации 

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов или TACACS-запросов от суппликантов (суппликант (supplicant) – оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию) в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

...

Теперь, после настройки AAA на OLT и настройки профиля оборудования и пользователей в NAICE, можно проводить авторизацию по существующим локальным пользователям NAICE, созданным в разделе "Администраторы TACACS". 

Мониторинг

В разделе Мониторинг →  RADIUS можно просматривать статистику по авторизациям на оборудовании:

...