Описание

Профилирование - это процесс, выполняющий классификацию эндпоинтов на основании определенных критериев и назначение политики профилирования и группы эндпоинта. Результаты профилирования можно использовать в логических условиях политик авторизации, что позволяет гибко управлять подключающимися клиентами и обнаруживать изменение эндпоинта, даже если его MAC-адрес остался прежним.

Поддерживаемые типы профилирования:

Тип профилирования

Описание

по MAC OUI

на основании наименования вендора подключаемого оборудования.

по DHCP-пробам

на основании отпечатков определенных DHCP-опций:

12 (имя хоста клиента);
50 (IP-адрес, запрашиваемый клиентом);
55 (список запрашиваемых клиентом опции у DHCP-сервера);
60 (наименование вендора оборудования);
61 (идентификатор клиента, MAC-адрес).

Администратор может вручную назначить эндпоинту политику профилирования или группу эндпоинта. К такому эндпоинту результаты профилирования не применяются, настроенные администратором политика профилирования или группа эндпоинта сохраняются.

Принципы работы

Добавление эндпоинтов

Для выполнения профилирования необходимо, чтобы эндпоинт был добавлен в систему. Добавление эндпоинта выполняется в автоматическом и ручном режиме. В автоматическом режиме эндпоинт добавляется при подключении пользователя с использованием любого способа аутентификации (EAP-PEAP, MS-CHAPv2, PAP, MAB).

Эндпоинт добавляется, используя значение поля Calling-Station-Id в RADIUS-запросе. Если MAC-адрес уже присутствует в БД, то для него будет обновлено значение Имя пользователя, если оно изменилось. У автоматически добавленных эндпоинтов в поле Описание будет заполнено значение Discovered Endpoint.

В результате выполнения профилирования эндпоинту могут быть изменены атрибуты: Политика профилирования и Группа эндпоинта. Если эндпоинт не попал ни под одну политику профилирования, применяется политика профилирования по умолчанию Unknown и назначается группа эндпоинта по умолчанию Unknown. Также имеется возможность вручную задать эти значения, после чего они уже не смогут быть изменены по результатам профилирования.

Отключить автодобавление эндпоинтов при подключении клиентов нельзя.

Эндпоинты, MAC-адрес которых относится к случайно сгенерированным (Locally Administered MAC addresses) автоматически не добавляются. Как правило такие MAC-адреса наблюдаются у клиентов использующих беспроводное соединение.

В ручном режиме добавление эндпоинта выполняет администратор. В этом случае он также может задать или не задавать ручное назначение Политики профилирования или Группы эндпоинта. В зависимости от этого профилирование будет или не будет выполнено на основании имеющихся данных. Также может использоваться любое значение MAC-адреса, в том числе относящееся к случайно сгенерированным.

Добавление условий профилирования, политик профилирования и логических профилей

Настройка профилирования выполняется в разделе Политики → Профилирование и включает в себя следующие стадии:

Добавление условий профилирования на соответствующей странице - они являются основным "строительным" элементом для политик профилирования;
Добавление политик профилирования - при создании политик профилирования в них необходимо использовать ранее настроенные условия профилирования. Политики профилирования являются основным элементом профилирования, который назначается эндпоинту в результате профилирования и определяет, в какую группу он будет помещен. Результаты профилирования могут использоваться в политиках авторизации. Существуют корневые и дочерние политик профилирования. Для политики профилирования по умолчанию Unknown нельзя создавать дочерние политики;
Создание логических профилей - логические профили используются в настройках условий политик авторизации и могут включать в себя несколько политик, группируя их по определенному признаку, что позволяет упростить конфигурацию политик авторизации.

По умолчанию в системе нет настроенных условий профилирования и логических условий. Есть политика профилирования по умолчанию Unknown, которая не может быть удалена или изменена, и в соответствии с которой будут классифицированы все эндпоинты, не попавшие ни под одну другую политику и помещены в группу эндпоинтов Unknown.

Также по умолчанию присутствуют две системные группы эндпоинтов:

Unknown - в группу помещаются эндпоинты, для которых была определена политика профилирования Unknown.
Profiled - предназначена для помещения эндпоинтов, которые были профилированы вручную добавленными политиками профилирования, в которых включено Использовать общую группу Profiled.

Подробная настройка профилирования будет рассмотрена далее.

Выполнение профилирования

Профилирование эндпоинта выполняется:

при добавлении/автодобавлении эндпоинта;
при получении новых значений DHCP-проб для эндпоинта;
при выполнении администратором команды Запустить процесс перепрофилирования для выбранных эндпоинтов.

Порядок выполнения профилирования:

поиск подходящего условия профилирования;
поиск политики, в которой используется условие профилирования;
назначение политики профилирования и группы в соответствии с настройками политики профилирования.

Типы профилирования:

MAC OUI - профилирование на основе наименования вендора оборудования. Профилирование по данному условию выполняется только при добавлении эндпоинта. Для повторного выполнения требуется выполнить повторное профилирование вручную или удалить эндпоинт и дождаться его появления. Не требует дополнительных настроек оборудования.
DHCP - профилирование на основании определенных опций DHCP. Требует настройки DHCP-relay на IP-адрес NAICE для сбора проб в ходе получения клиентами IP-адресов на сетевом оборудовании.

Настройка

Настройка профилирования будет рассмотрена на примере MAB-аутентификации IP-телефона Eltex VP-12. Для корректной работы DHCP-профилирования требуется, чтобы после успешной или неуспешной авторизации эндпоинта, его DHCP-запросы перенаправлялись в систему. Для этого на коммутаторе потребуется включить функцию гостевого VLAN, в который будут попадать неавторизованные эндпоинты. Далее приведена схема включения тестового стенда:

В приведенной выше схеме используется гостевой VLAN для неавторизованных эндпоинтов и отдельный VLAN для эндпоинтов, прошедших авторизацию. В каждом из этих VLAN настроен DHCP-relay в сторону NAICE, чтобы иметь возможность собирать DHCP-пробы.

Для работы профилирования на основании отпечатков DHCP требуется обеспечить отправку релейных или широковещательных DHCP-запросов в сторону сервера с установленным Eltex-NAICE.

Настройка коммутатора

Далее приведен пример настроек коммутатора Eltex модели MES2324P. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.

В примере используются:

VLAN ID	Адрес	Назначение
100	10.0.0.1/24	Адрес и подсеть гостевого VLAN на MES.
200	172.16.0.1/24	Адрес и подсеть авторизованных клиентов на MES.
300	192.168.0.3/24	Адрес и подсеть взаимодействия c NAICE и DHCP-сервером на MES.
300	192.168.0.2/24	Адрес NAICE.
300	192.168.0.254/24	Адрес DHCP-сервера.

Создать некоторое количество VLAN для обеспечения связности и подключения клиентов:

vlan database
 vlan 100,200,300
exit

Настроить и включить DHCP-relay, добавить интерфейсы и включить на них DHCP-relay:

ip dhcp relay address 192.168.0.2 
ip dhcp relay address 192.168.0.254  
ip dhcp relay enable

interface vlan 100
 ip address 10.0.0.1 /24
 ip dhcp relay enable
exit
!
interface vlan 200
 ip address 172.16.0.1 /24
 ip dhcp relay enable
exit
!
interface vlan 300
 ip address 192.168.0.3 /24
exit

Включить гостевой VLAN:

interface vlan 100
 dot1x guest-vlan 
exit

Включить глобально авторизацию dot1x, добавить конфигурацию RADIUS-сервера, включить глобально авторизацию dot1x:

dot1x system-auth-control

radius-server host 192.168.0.2 key testing123 priority 1 usage dot1x

Настроить интерфейсы gi1/0/1, gi1/0/2, gi1/0/1 в сторону сети предприятия, NAICE и DHCP-сервера:

interface gigabitethernet1/0/1
 switchport mode access 
 switchport access vlan 300
exit

interface gigabitethernet1/0/2
 switchport mode access 
 switchport access vlan 300
exit

interface gigabitethernet1/0/3
 switchport mode access 
 switchport access vlan 300 
exit

Настроить интерфейс gi1/0/4 для подключения эндпоинта:

interface gigabitethernet1/0/9 
 dot1x guest-vlan enable 
 dot1x reauthentication 
 dot1x timeout reauth-period 300 
 dot1x authentication mac 
 dot1x port-control auto
 switchport mode access 
 switchport access vlan 200
exit

Настройка NAICE

Настройка профилирования

Настройка профилирования выполняется в разделе меню Политики → Профилирование. Меню расположено слева:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-4-14.png

Настройка профилирования включает в себя следующие этапы:

Создание условий профилирования;
Создание политики профилирования с использованием созданных условий;
Включение политики профилирования в логические профили.

Создание условий профилирования

Перейти в раздел Политики → Профилирование → Условия профилирования и добавить условие профилирования:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-6-30.png

В одном условии профилирования можно использовать только одно условие.

Настроить:

Имя - наименование правила. Рекомендуется в наименовании использовать название профилируемого эндпоинта и признак, по которому выполняется профилирование.
Описание - произвольное описание;
Условие - настроить условие профилирования:
- Атрибут - атрибут, значение которого будет проверятся;
- Оператор - оператор, который будет использоваться для сравнения значения;
- Значение - значение, которое будет сравниваться с использованием оператора с атрибутом, который будет получен в DHCP-пробе.

В приведенном выше примере сравнивается значение, полученное в параметре Class id (dhcp option 60) DHCP-запроса c использованием оператора Содержит.

В DHCP-запросе VP-12 присылает значение вида:

[VENDOR:Eltex][DEVICE:VP-12][HW:1.5][SN:VI51000313][WAN:A8:F9:4B:2F:06:7C][LAN:02:20:80:A8:F9:4B][VERSION:2.7.6.34]

Значение может различаться в зависимости от типа, ревизии, серийного номера, MAC-адреса и версии ПО. Все операторы, за исключением Pyfx Соответствует, используют регистронезависимое сравнение.

Создать ещё одно условие с использованием атрибута MAC OUI:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-8-11.png

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-7-14.png

В данном условии выполняется проверка соответствия принадлежности MAC-адреса диапазону адресов, выданных компании ЭЛТЕКС.

Создание политики профилирования

Политики профилирования являются основным элементом, обеспечивающим настройку и определяющим профиль эндпоинта:

политику профилирования, назначаемую эндпоинту;
группу эндпоинта.

По умолчанию существует одна политика Unknown, которую нельзя отредактировать или удалить. Без настройки дополнительных политик все эндпоинты будут профилированы по ней и помещены в группу эндпоинтов Unknown. Могут быть как корневые, так и дочерние по отношению к корневой (для политики по умолчанию Unknown создать дочерние нельзя).

Для добавления политики требуется перейти в раздел Политики → Профилирование → Политики профилирования и добавить политику:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-22-44.png

Настроить:

Статус - включено, значение по умолчанию. При необходимости политику можно отключить и она перестанет использоваться в процессе профилирования (также все её дочерние политики);
Имя - наименование политики, рекомендуется использовать имя, которое будет коррелировать с назначением политики;
Родительская политик - ничего не выбирать, т. к. создается корневая политика;
Минимальный уровень доверия - минимальный порог суммы значений уровня доверия правил, которым удовлетворяют результаты профилирования эндпоинта;
Группировка эндпоинтов - определяет в какую группу будет помещаться эндпоинт:
- Использовать общую группу Profiled - выбрано по умолчанию при создании корневой политики. В этом случае профилированные по этой политике эндпоинты будут помещены в системную группу эндпоинтов Profiled;
- Создать группу эндпоинтов - при создании политики будет создана группа эндпоинтов с её именем, профилированные по этой политике эндпоинты будут помещены в эту группу. Выбираем данную настройку.
Правила - представляет собой список ранее заданных условий профилирования и соответствующий им уровень доверия. Добавляем два ранее добавленных условия профилирования:
- Условие - выбирать условие профилирования (есть фильтр по имени условия);
- Действие - всегда задается специальное действие Повышение уровня доверия, изменить нельзя;
- Значение - условное значение доверия, которое добавляется при срабатывании правила;
- - добавить новое правило.

Нажать кнопку Сохранить.

Принцип работы уровня доверия

Как видно на примере настроенной выше политики профилирования, каждая политика может содержать множество правил с условиями профилирования. При выполнении профилирования эндпоинта выполняются следующие действия:

В рамках политики начинается проверка соответствие критериев условия и имеющимся данным по эндпоинту:
1. для условия профилирования по MAC OUI выполняется определение наименование вендора по MAC и указанного значения в настройках (в соответствии с выбранным оператором). В случае успешной проверки эндпоинт получает уровень доверия 10.
2. для условия профилирования по DHCP проверяется наличие пробы DHCP и соответствие ее выбранному условию. В случае успешной проверки уровень доверия к эндпоинту повышается на 10 пунктов, что в сумме с предыдущей проверкой дает 20.
Полученный уровень доверия эндпоинта сравнивается с минимальным уровнем доверия, указанным в настройках политики профилирования.
Если минимальный уровень доверия политики меньше или равен уровню доверия, полученному в результате проверки эндпоинта, считается что эндпоинт соответствует данной политике, и ему назначается данная политика и указанная в её настройках группа эндпоинтов.
Если у политики профилирования, которой соответствует эндпоинт, есть дочерние политики, будет выполнена проверка соответствия эндпоинта этим политикам. Если среди них не найдется подходящей, эндпоинт считается соответствующим родительской политике.

Ограничения политик профилирования

Существуют следующие ограничения, которые необходимо учитывать при настройке политик профилирования:

Не допускается настройка на одном уровне дерева нескольких политик, которым может соответствовать эндпоинт, т. к. ему может быть назначена только одна;
В рамках одной политики профилирования минимальный уровень доверия не может быть больше (но может быть меньше или равен), чем сумма всех уровней доверия, указанных в ее правилах;
Уровни доверия считаются в рамках одной политики. Никакие значения из правил других политики не учитываются!
При отключении политики также перестают использоваться для профилирования ее дочерние политики, даже если они включены;
Политика по умолчанию Unknown не может быть удалена или изменена. Для нее не могут быть созданы дочерние политики;
Если эндпоинт не удовлетворяет требованиям ни одной настроенной политики, он считается соответствующим политике Unknown;
Если эндпоинту назначены вручную политика профилирования или группа эндпоинта, то соответствующая настройка не может быть изменена по результатам профилирования. Для возобновления автоматического профилирования потребуется отключить Ручное назначение политики или Ручное назначение группы.

Создание логического профиля

Логические профили предназначены для группировки политик профилирования по определенным признакам и сокращения количества настраиваемых политик авторизации. Например, все политики профилирования IP-телефонов разных типов можно поместить в один логический профиль и использовать его в условии политики авторизации.

В разделе Политики → Профилирование → Логические профили создать логический профиль:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-14_19-44-28.png
Настроить:

Имя - наименование логического профиля. Следует использовать наименование, коррелирующее с назначением логического профиля;
Политики профилирования - добавить ранее созданную политику профилирования.

Нажать кнопку Добавить.

Создание цепочки идентификации для подключения эндпоинтов при выполнении MAB-аутентификации

В разделе Администрирование → Управление идентификацией → Цепочки идентификаций создать:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-20-42.png

Настроить:

Наименование - наименование цепочки идентификации.
Список источников аутентификации - выбрать в подразделе Используемые источник Endpoints. Данный источник отвечает за аутентификацию эндпоинтов при выполнении MAB.

Нажать Добавить.

Настройка профиля сетевого устройства

Для корректной работы MAB-аутентификации требуется обязательно корректно настроить обнаружение протокола подключения MAB. В случае некорректной настройки подключение будет невозможно.

Пример настройки приведен для коммутатора Eltex MES2324P и может не совпадать с настройками для другого оборудования.

В разделе Администрирование → Сетевые ресурсы → Профили устройств создать или отредактировать существующий профиль:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-25-38.png

Настроить:

Наименование - наименование профиля сетевого устройства;
Производитель - наименование вендора оборудования, для которого создается профиль;
Поддерживаемые протоколы - убедиться что включен RADIUS;
Wired MAB будет обнаружен при следующих условиях - включить, по умолчанию будет предложена настройка:

RADIUS:NAS-Port-Type = Ethernet
RADIUS:Service-Type = Call-Check

Настроить MAB - включить, разрешает использование MAB при авторизации на сетевом устройстве, которому будет назначен данный профиль.
PAP - включить, разрешает использовать протокол PAP в ходе аутентификации. Будет предложено дефолтное условие: INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name.
Проверять совпадение Calling-Station-Id и MAC адреса - включить, будет выполнятся проверка соответствия значения MAC-адреса эндпоинта в атрибуте Calling-Station-Id и User-Name.

Нажать кнопку Сохранить.

Добавление сетевого устройства

В разделе Администрирование → Сетевые ресурсы → Устройства добавить сетевое устройство:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-27-11.png

Настроить:

Наименование - название устройства;
Профиль - выбрать ранее настроенный профиль устройства;
IPv4 - указать адрес сетевого устройства;
Секретный ключ - секретный ключ для взаимодействия по протоколу RADIUS (в данном примере testing123).

Нажать кнопку Сохранить.

Добавление протокола аутентификации

В существующем по умолчанию списке доступных протоколов Default protocols процесс MAB отключен. Его можно включить или создать новый. В рамках данного примера будет создан новый список доступных протоколов. Для этого надо перейти в раздел Политики → Элементы → Разрешенные протоколы и добавить новый список:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-34-51.png

Настроить:

Наименование сервиса - наименование списка доступных протоколов;
MAC Authentication Bypass (MAB) - включить селектор.

Нажать кнопку Добавить.

Добавление профиля авторизации

Учитывая настройки порта коммутатора, в случае успешной авторизации трафик эндпоинта будет попадать в VLAN 200, а при не успешной - в гостевой VLAN 100.

Для авторизации эндпоинтов требуется настроить профиль авторизации. Настройка выполняется в разделе Политики → Элементы → Профили авторизации.

Добавить профиль:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-43-41.png

В данном профиле настроить:

Имя - наименование профиля;
Профиль - выбрать ранее настроенный профиль сетевого устройства Eltex MES.

Нажать кнопку Добавить.

Добавления и настройка политики

Учитывая гибкие возможности по настройке политик в NAICE, процесс MAB-аутентификации может быть настроен различными способами. В рамках данного примера приведена простейшая схема настройки.

Добавление политики

В разделе Политики → Наборы политик добавить политику:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-48-25.png

Настроить:

Имя - наименование политики;
Условия - использовать библиотечное условие Wired_MAB. По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения WiredMAB;
Доступные протоколы - использовать ранее настроенный список протоколов MAB.

Нажать кнопку Сохранить.

Добавление политики аутентификации

Перейти в настройки ранее добавленной политики, нажав кнопку в колонке Настройка справа от политики и добавить правило аутентификации:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-55-44.png

Настроить:

Имя - наименование политики аутентификации;
Условия - использовать библиотечное условие Wired_MAB. По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения WiredMAB;
Использовать - выбрать ранее добавленную цепочку идентификации Endpoints.

Добавление политик авторизации

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_11-56-19.png

Добавить правило авторизации для подключения эндпоинтов, которые были профилированы в соответствии с политикой Eltex VP-12, которая относится к логическому профилю IP телефоны:

Имя - наименование политики авторизации;
Условия - использовать библиотечное условие Wired_MAB вместе с условием, которое проверяет, что логический профиль эндпоинта IP телефоны;
Профили - выбрать ранее добавленный профиль авторизации IP телефония, в соответствии с которым эндпоинту назначается VLAN 200.

Нажать кнопку Сохранить.

Проверка работы профилирования

После выполнения настройки подключить IP-телефон к коммутатору. Ему будет отказано в авторизации, но на странице мониторинга в разделе Мониторинг → RADIUS появится информация о его попытке подключения:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_12-49-56.png

Также после попытки подключения эндпоинт будет добавлен в список эндпоинтов. Его можно найти на странице Администрирование → Управление идентификацией → Эндпоинты. При просмотре детальной информации об эндпоинте видно, что он пока находится в группе Unknown и ему назначена политика Unknown:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_12-53-2.png

После подключения эндпоинта и попытки получить адрес во вкладке Пробы можно увидеть пробы, полученные из DHCP-запроса эндпоинта:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_15-57-58.png

Сразу после получения DHCP-проб будет выполнено перепрофилирование и во вкладке Атрибуты:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_12-51-27.png

Будут отображаться политика и группа, назначенные в результате профилирования.

При последующей попытке подключения эндпоинт будет авторизован в соответствии с логическим профилем. В разделе Мониторинг → RADIUS появится информация о его успешном подключении:

Eltex Documentation > v1.0_4.6 Настройка профилирования > image-2025-11-12_15-59-4.png

Можно увидеть увидеть информацию о текущем подключении на коммутаторе:

sw1#show dot1x users 

                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/9  a8f94b2f067c     a8:f9:4b:2f:06:7c MAC    Remote 00:01:24

Решение проблем

При попытке подключения эндпоинта в разделе Мониторинг → RADIUS не появляется информация о сессии, эндпоинт не изучается.

В настройках сетевого устройства на странице Администрирование → Сетевые ресурсы → Устройства проверить корректность указания IP-адреса сетевого устройства, секретного ключа.

Если в настройках сетевого устройства был неверно указан секретный ключ и выполнялись попытки авторизации с данного устройства, то после исправления секретного ключа требуется перезапустить контейнер naice-radius. Для этого надо зайти на сервер по SSH, перейти в папку с файлом конфигурации docker compose, по умолчанию /etc/docker-naice:

cd /etc/docker-naice

и выполнить перезапуск:

sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius

Со стороны сетевого устройства проверить корректность настроек взаимодействия с RADIUS-сервером;
Проверить наличие IP-связности между сетевым устройством и сервером с NAICE;
Проверить доступность с сетевого устройства порта RADIUS AUTH 1812:UDP;
Проверить на сервере с NAICE, что все докер-контейнеры запущены.

При попытке подключения эндпоинта профилирования не выполняется, вкладка Пробы при просмотре Подробнее на странице Администрирование → Управление идентификацией → Эндпоинты не содержит данных.

Проверить корректность настройки DHCP-relay на коммутаторе, корректность указания адреса сервера с NAICE;
Проверить доступность с сетевого устройства порта DHCP-сервера 67:UDP;
Проверить на сервере с NAICE, что все докер-контейнеры запущены.

При попытке подключения эндпоинта профилирование не выполняется, на вкладке Атрибуты при просмотре Подробнее на странице Администрирование → Управление идентификацией → Эндпоинты остается политика и группа Unknown, при этом вкладка Пробы содержит информацию об обнаруженных пробах клиента.

Проверить, что у эндпоинта не включено ручное назначение политики профилирования и группы эндпоинта;
На странице Политики → Профилирование → Условия профилирования проверить корректность условий профилирования:
- убедиться, что в условиях используется нужный атрибут и что он не перепутан;
- убедиться, что значение, с которым сравнивается атрибут, корректно и относится именно к этому атрибуту;
- обратить внимание на корректность выбора оператора. Например, что используется Содержит, когда заданное значение является частью полного значения в атрибуте. Убедиться, что выполнение условия с заданным оператором возможно.
На странице Политики → Профилирование → Политики профилирования проверить корректность настройки политики профилирования: выбранные условия профилирования соответствуют ожидаемым от профилируемого эндпоинта.

При попытке подключения эндпоинта профилирование выполняется, но эндпоинт не попадает под нужную политику в списке политик.

На странице Политики → Наборы политик проверить:
- корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику;
- что условие не отключено;
- что перед требуемой политикой нет других политик, под обработку которых может попасть попытка подключения эндпоинта;
- для какого набора политик увеличился счетчик количества срабатываний при попытке подключения;
На странице Мониторинг → RADIUS открыть Подробнее проблемного подключения и обратить внимание:
- какой определился Authentication method (и определился ли вообще), соответствует ли он ожидаемому. При несовпадении проверить корректность настройки Условия определения типа подключения в профиле сетевого устройства, который назначен сетевому устройству.

При попытке подключения эндпоинт попадает в требуемую политику, но не проходит аутентификацию.

На странице Политики → Наборы политик перейти в настройку политики (кнопкой справа от политики) и проверить:

Корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику аутентификации;
Правильность выбранной цепочки идентификаций;
На странице настройки Администрирование → Управление идентификацией → Цепочки идентификаций открыть целевую цепочку идентификаций и убедиться что в ней выбран нужный источник идентификации (для MAB-аутентификации Endpoints).

При попытке подключения эндпоинт попадает в требуемую политику, проходит аутентификацию, но не проходит авторизацию.

На странице Политики → Наборы политик перейти в настройку политики (кнопкой справа от политики) и проверить:

Корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику авторизации, особенно уделить внимание:
- если используется атрибут Endpoint identity-Endpoint Group: корректно ли выбрана группа в значении, находится ли в ней эндпоинт;
- если используется атрибут Endpoint identity·Logical Profile: корректно ли выбрано наименование логического профиля в значении, а также перейти в логический профиль и убедится, что в нем добавлена необходимая политика профилирования и она соответствует политике профилирования назначенной эндпоинту;
- уделить внимание корректности выбора оператора сравнения.
Корректность выбора профиля авторизации: нужный профиль авторизации добавлен, профиль сетевого устройства, указанный в профиле авторизации соответствует ему в настройках сетевого устройства (т. е. что выбран одинаковый профиль).

Подключение эндпоинта неудачно, в Failure reason есть причины вида: MAB process is disabled, No suitable MAB relations found, Auth protocol not allowed.

В настройках профиля сетевого устройства, который назначен сетевому устройству, проверить, что включен Настроить MAB и включен корректный протокол (для коммутаторов MES PAP);
В списке доступных протоколов, которые используются в настройке политики, проверить, что включен доступный протокол MAC Authentication Bypass (MAB).