Шаг 2. Включите функцию Change-of-Authorization (CoA) в конфигурации коммутатора Cisco Catalyst 2960 и разрешите серверу AxelNAC (172.20.100.2) посылать CoA-запросы на коммутатор:

aaa server radius dynamic-author
client 172.20.100.2 server-key useStrongerSecre
port 3799

Шаг 3. Включите веб-аутентификацию на порте коммутатора № 10. Для этого добавьте следующую конфигурацию в глобальную секцию:

ip device tracking
ip http server
ip http secure-server

Шаг 4. Добавьте требуемый ACL:

ip access-list extended registration
deny ip any host 172.20.100.2
permit tcp any any eq www
permit tcp any any eq 443

Настройка конфигурации коммутатора в AxelNAC

После того, как порт коммутатора настроен для веб-аутентификации, необходимо сообщить AxelNAC, что она будет использоваться на данном коммутаторе. Для этого выполните следующие действия

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства.

Шаг 2. Кликните по IP-адресу коммутатора, чтобы открыть параметры его конфигурации.

Шаг 3. На вкладке Определение активируйте параметр Обеспечение работы внешнего портала.

Шаг 4. Переключитесь на вкладку RADIUS и активируйте параметр Использовать CoA, а также установите значение CoA-порт равным 3799.

Шаг 5. На вкладке Роли внесите следующие изменения:

в блоке Назначение VLAN ID установите для регистрационной и гостевой VLAN значение 20. Это позволит незарегистрированным клиентам изначально попадать в VLAN 20 и избежать смены VLAN после успешной аутентификации через Captive-портал;
в блоке Назначение Local ACL активируйте параметр Назначать Local ACL и установите для роли регистрации значение registration. Это обеспечит возврат ACL (созданного на коммутаторе) к VLAN регистрации для незарегистрированных пользователей и ограничит их доступ к Captive-порталу AxelNAC.
в блоке Назначение URL веб-аутентификации активируйте параметр Назначать URL веб-аутентификации и установите URL регистрации http://172.20.100.2/Cisco:: Catalyst_2960.

Шаг 6. Сохраните все изменения конфигурации, нажав Сохранить.