Просмотреть исходный

Пример использования условий с Не-RADIUS атрибутами

Рассмотрим процесс создания логических условий на основе Не-RADIUS атрибутов для использования в политиках на конкретном примере.

Представим, что есть предприятие, которое находится в трёхэтажном здании. На 1 этаже расположено производство, на 2 этаже - рядовые сотрудники и администраторы, на 3 этаже - бухгалтерия и руководство. На каждом из этажей расположены коммутаторы, обеспечивающие доступ в сеть ПК сотрудников на всех этажах по протоколу 802.1x, а также принтеров на 2 и 3 этаже по MAB. Для каждой из групп сотрудников выделен отдельный CVLAN.

Известно, что периодически в руководстве требуется гостевой доступ в Интернет (без доступа к локальным ресурсам) для ноутбука.

Необходимо обеспечить правильным доступом к сети всех сотрудников и устройства.

Для пользователей 1 этажа ограничить аутентификацию по протоколу MAB, доступ только по 802.1x.

Возможный вариант настройки политик:

Настроить 3 набора политик, по одному на каждый коммутатор этажа. Входное логическое условие для набора политик - по местонахождению коммутатора (атрибут Device Location).
Для первого набора политик:
- политика аутентификации - настроить определение типа подключения (атрибут Flow Type) и подключать только Wired802.1X-клиентов из внутреннего источника пользователей;
- политика авторизации - для пользователей группы Производство (атрибут Identity Group) разрешить авторизацию и настроить доступ в соответствующий CVLAN.
Для второго набора политик:
- политика аутентификации - настроить 2 правила - для Wired802.1X подключения искать пользователей среди внутренней БД, а для WiredMAB - среди эндпоинтов;
- политика авторизации - настроить 3 правила - для пользователей группы Администраторы и по группе пользователей, для принтеров - по профилю эндпоинтов (атрибут Logical Profile).
Для третьего набора политик:
- настроить политики аутентификации и авторизации аналогично второму набору политик;
- добавить правило в политику авторизации для пользователей группы Гости, по которому необходимо разрешить WiredMAB подключение для ноутбука с выдачей ACL.

В следующем разделе рассматривается, как данная настройка выглядит в NAICE.

Предварительные настройки

Для работоспособности всей схемы требуется осуществить ряд предварительных настроек.

Более подробную информацию о их настройке можно найти во встроенной документации.

Администрирование → Управление идентификацией → Группы пользователей сети.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 09-45-07.png

Внести пользователей в соответствующие группы.

2. Администрирование → Сетевые ресурсы → Группы устройств.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 15-59-44.png

Можно добавить свои профили устройств или использовать существующие по умолчанию профили.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 16-23-23.png

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 16-40-01.png

3. Политики → Элементы → Профили авторизации.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 16-47-31.png

Для каждой из групп сотрудников был выделен соответствующий CVLAN внутри профилей.
Внутри профиля 3 этаж (гости) - ноутбук была настроена выдача ACL.

Внутренние настройки профилей будут приведены ниже.

Настройка наборов политик

Настройка первого набора политик (SW1)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 1 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 1 этажу. Атрибут словаря DEVICE Device Location = 1 этаж.
Доступные протоколы: набор протоколов only 802.1x, который включает в себя только протоколы аутентификации 802.1x. Под входное условие попадут только те устройства, у которых включена авторизация по 802.1x.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 16-57-19.png

2. Добавление правила в политику аутентификации:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type = Wired802.1X.

Для атрибута Flow Type существует возможность использовать библиотечные условия Wired_802.1X, Wired_MAB и т. п. без необходимости выбора атрибута в условии вручную.

Использовать: цепочка идентификации Default sequence, которая создана по умолчанию и использует источники идентификации Internal DB.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 17-01-45.png

В правилах политики аутентификации выполняется проверка сверху вниз, пока не будет найдено совпадающее условие. Если не будет найдено ни одного правила с совпадающим условием, то будет применено правило Default - по умолчанию сетевому устройству будет отправлен ACCESS-REJECT.

3. Добавление правила в политику авторизации:

Для прохождения авторизации пользователь должен принадлежать группе Производство. В случае выполнение данного условия устройству будет выдан доступ в 400 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Производство.
Профиль: профиль 1 этаж (производство).

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-12 17-34-33.png

В политиках авторизации выполняется проверка правил сверху вниз, пока не будет найдено совпадающее условие. По умолчанию настроен профиль авторизации DenyAccess, согласно которому в случае, если не будет найдено ни одного правила с совпадающим условием - сетевому устройству будет отправлен ACCESS-REJECT по правилу Default.

Настройка второго набора политик (SW2)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 2 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 2 этажу. Атрибут словаря DEVICE Device Location = 2 этаж.
Доступные протоколы: набор протоколов all, который включает в себя все протоколы (802.1x и MAB). Под входное условие попадут устройства, у которых включен любой из перечня допустимых протоколов.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 09-22-48.png

2. Добавление правил в политику аутентификации:

Первое правило:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - Wired802.1X.
Использовать: цепочка идентификации Default sequence.

Второе правило:

Только устройства с типом подключения WiredMAB должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди эндпоинтов.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - WiredMAB.
Использовать: созданную вручную цепочку идентификации с источниками идентификации Endpoints.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 10-41-26.png

3. Добавление правил в политику авторизации:

Первое правило:

Для прохождения авторизации пользователь должен принадлежать группе Администраторы. В случае выполнение данного условия устройству будет выдан доступ в 100 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Администраторы.
Профиль: профиль 2 этаж (администраторы).

Второе правило:

Для прохождения авторизации пользователь должен принадлежать группе Другие сотрудники. В случае выполнение данного условия устройству будет выдан доступ в 500 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Другие сотрудники.
Профиль: профиль 2 этаж (другие сотрудники).

Третье правило:

Для прохождения авторизации устройство должно принадлежать группе принтеры.

Условие: атрибут словаря IDENTITY Logical Profile - принтеры.
Профиль: PermitAccess (профиль по умолчанию).

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 10-47-02.png

Настройка третьего набора политик (SW3)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 3 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 3 этажу. Атрибут словаря DEVICE Device Location = 3 этаж.
Доступные протоколы: набор протоколов all.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 10-57-29.png

2. Добавление правил в политику аутентификации:

Первое правило:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - Wired802.1X.
Использовать: цепочка идентификации Default sequence.

Второе правило:

Только устройства с типом подключения WiredMAB должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди эндпоинтов.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - WiredMAB.
Использовать: цепочка идентификации Endpoints.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 10-59-58.png

3. Добавление правил в политику авторизации:

Первое правило:

Для прохождения авторизации пользователь должен принадлежать группе Бухгалтерия. В случае выполнение данного условия устройству будет выдан доступ в 200 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Бухгалтерия.
Профиль: профиль 3 этаж (бухгалтерия).

Второе правило:

Для прохождения авторизации пользователь должен принадлежать группе Руководство. В случае выполнение данного условия устройству будет выдан доступ в 300 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Руководство.
Профиль: профиль 3 этаж (руководство).

Третье правило:

Для прохождения авторизации устройство должно принадлежать группе принтеры.

Условие: атрибут словаря IDENTITY Logical Profile - принтеры.
Профиль: PermitAccess.

Четвертое правило:

Для прохождения авторизации пользователь должен принадлежать группе Гости. В случае выполнение данного условия устройству будет выдан ACL.

Условие: атрибут словаря IDENTITY Identity Group = Гости.
Профиль: профиль 3 этаж (гости) - ноутбук.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 11-02-53.png

Полный список наборов политик для предприятия:

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 11-07-53.png

Если набор политик с подходящим условием не будет найден, сетевому устройству будет отправлен ответ в рамках политики по умолчанию Default с набором доступных протоколов Default protocols.

Данная политика всегда последняя в наборе политик и не может быть удалена. По умолчанию в ней авторизация запрещена.

Eltex Documentation > v1.0_4.4.1 Пример формирования набора политик доступа > Снимок экрана от 2025-11-13 11-09-17.png