Настройка AxelNAC необходима в тех случаях, если сети изоляции и регистрации недоступны локально в сети (Layer 2), но вместо этого маршрутизируются на сервер AxelNAC. В таких маршрутизируемых сетях AxelNAC может обеспечить работу DHCP и DNS:

Для работы службы dhcpd убедитесь, что DHCP-запросы клиентов правильно пересылаются (IP Hepler на удаленных маршрутизаторах) на сервер AxelNAC. Для приведенной выше архитектуры сети в конфигурацию будут включены только локальные интерфейсы Registration и Isolation:

[interface eth0.2]
enforcement=vlan
ip=192.168.2.1
type=internal
mask=255.255.255.0

[interface eth0.3]
enforcement=vlan
ip=192.168.3.1
type=internal
mask=255.255.255.0

Укажите маршрутизируемые сети в AxelNAC через веб-интерфейс в разделе Конфигурация → Сетевое взаимодействие → Сети.

Для вступления изменений в силу, перезапустите службу keepalived.

DHCP-клиенты в сетях регистрации и изоляции получают в качестве DNS-сервера IP-адрес сервера AxelNAC, а затем DNS-ответы подменяются для принудительной отправки клиентов через портал. Однако клиенты могут вручную настроить свои параметры DNS, чтобы избежать открытия портала. Для этого примените ACL на ближайшем к клиентам маршрутизаторе доступа, разрешив доступ только к серверу AxelNAC и локальному широковещательному трафику DHCP.

Пример ACL для удаленной сети регистрации VLAN 20:

ip access-list extended ANAC_REGISTRATION
permit ip any host 192.168.2.1
permit udp any any eq 67
deny ip any any log
interface vlan 20
ip address 192.168.20.254 255.255.255.0
ip helper-address 192.168.2.1
ip access-group ANAC_REGISTRATION in

Если пограничные коммутаторы поддерживают функцию изоляции vlan-isolation, ACL также можно применить и к ним. Преимущество этого способа заключается в том, что компьютеры, находящиеся в VLAN изоляции, не могут атаковать друг друга.