Для выдачи динамической ACL требуется что бы оборудование поддерживало данный функционал. Как правило используются специфичные для каждого вендора атрибуты, поэтому перед настройкой требуется ознакомиться с документацией на оборудование.

Дальнейшая настройка рассматривается для коммутаторов Eltex MES серии 23XX. Для выдачи dACL используются атрибуты:

Eltex:Eltex-Data-Filter-Name - указывает имя dACL
Eltex:Eltex-Data-Filter      - указывает правило для dACL (может использоваться несколько раз)

Подробнее о настройке и функциональных возможностях коммутаторов Eltex можно ознакомиться на сайте https://eltex-co.ru/

Для настройки выдачи ACL предполагается, что была произведена настройка сетевой связности аутентификатора и NAICE, а также выполнена базовая настройка 802.1x авторизации (см. v1.0_ru_4. Быстрый запуск (Quickstart) ).

Настройка выдачи dACL с использованием RADIUS-атрибутов

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

1. Редактирование профиля авторизации

В разделе Политики доступа → Элементы → Профили авторизации  требуется создать/отредактировать требуемый профиль авторизации:

Указать  имя, выбрать профиль устройства и спуститься к блоку Расширенные настройки атрибутов. В нём нажимая кнопку добавить атрибуты (кнопка добавления следующего атриубта становиться активна после выбора атрибута) и заполнить атрибуты и их значения:

  • Добавить Атрибут Eltex:Eltex-Data-Filter-Name, в значении указать имя списка доступа, назначаемого пользователю, например, test-dACL
  • Добавить Атрибут Eltex:Eltex-Data-Filter, в значении указать ip deny 30 prot=icmp ip_src=0.0.0.0/0.0.0.0 ip_dst=8.8.8.8/255.255.255.255
  • Добавить Атрибут Eltex:Eltex-Data-Filter, в значении указать ip permit 40 prot=icmp ip_src=0.0.0.0/0.0.0.0 ip_dst=0.0.0.0/0.0.0.0
  • Добавить Атрибут Eltex:Eltex-Data-Filter, в значении указать ip permit 50 prot=udp ip_src=0.0.0.0/0.0.0.0 ip_dst=0.0.0.0/0.0.0.0
  • Добавить Атрибут Eltex:Eltex-Data-Filter, в значении указать ip permit 60 prot=tcp ip_src=0.0.0.0/0.0.0.0 ip_dst=0.0.0.0/0.0.0.0

Каждое правило передается отдельным атрибутом. Какие атрибуты нужно использовать и в каком формате нужно записывать значения атрибутов можно выяснить в документации на устройство. 

Нажать Сохранить в правом нижнем углу страницы.

2. Редактирование набора политик аутентификации и авторизации

В разделе Политики доступа →Наборы политик перейти в редактирование политики, в которой будет использоваться ранее настроенный профиль авторизации через :

Указать Профиль авторизации для политики авторизации, через которую пользователь будет проходить

Настройка MES

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

Требуется на интерфейсе, к которому подключается пользователь, разрешить использовать vendor-specific радиус атрибуты для назначения динамического ACL командами:

dot1x port-control force-authorized
dot1x host-mode multi-sessions
dot1x radius-attributes vendor-specific data-filter
dot1x port-control auto
  • dot1x port-control force-authorized - выключение аутентификации 802.1X на интерфейсе. Порт переходит в авторизованное состояние без аутентификации;
  • dot1x host-mode multi-sessions - разрешение наличия нескольких сессий на авторизованном порту 802.1Х;
  • dot1x radius-attributes vendor-specific data-filter - включение динамического присвоения ACL фильтров для пользователей, авторизованных по 802.1x.

Как видно в примере выше, перед тем как давать разрешение наличия нескольких сессий на авторизованном порту 802.1x необходимо переключить режим авторизации в force-authorized, а после назначения - в режим auto.

MES без force-authorized не разрешает назначить host-mode, но тем не менее в таком режиме не работает, и приходится после назначения filter-id переводить порт в auto:

Dali(config-if)#host-mode multi-sessions

Dynamic policy assignment can be changed only if the 802.1X mode for port gi1/0/20 is force authorized


 настройка порта клиента выглядит следующим образом:

interface <порт клиента>
 dot1x host-mode multi-sessions
 dot1x radius-attributes vendor-specific data-filter
 dot1x port-control auto

Просмотр информации о подключенных пользователях

Проводной клиент при подключении, как правило, требует, чтобы возможность использования авторизации 802.1x была включена в настройках его сетевого подключения. Без этого он не попытается пройти авторизацию! Подробнее настройка клиента описана в v1.0_ru_8. Настройка подключения клиента.

После настройки клиентского подключения и попытки авторизации результат авторизации можно будет увидеть в разделе Мониторинг RADIUS  Пользовательские сессии.


Выданные атрибуты можно увидеть нажав кнопку в колонке Подробнее внизу страницу в блоке Результат:

На коммутаторе можно просмотреть состояние авторизованных пользователей командой show dot1x users :

mes#show dot1x users 

                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/1  ivan.ivanov      50:eb:f6:db:65:fa 802.1X Remote 00:00:01       2356 test-dACL

В колонке Filter отображается имя ACL, назначенной пользователю.

  • Нет меток