Verification: 0b1f825c59cb1802
:: База знаний :: База знаний
База знаний
Новости
База знаний Закрыть
menu collapse
Документация
menu item
...
menu expand
Система контроля доступа к сети «AxelNAC». Версия 2.0.1
menu expand
Система контроля доступа к сети «AxelNAC». Версия 1.2.0
menu collapse
Система контроля доступа к сети «AxelNAC». Версия 1.0.0
menu collapse
AxelNAC. Руководство администратора
menu expand
Введение
menu expand
Установка
menu expand
Быстрый старт
menu expand
Источники аутентификации
menu expand
Управление доступом к сети на основе ролей
menu expand
Конфигурация сетевых устройств
menu collapse
Поддерживаемые режимы принудительного переопределения
menu item
Общие сведения
menu item
Режим принудительного переопределения Inline
menu item
Режим принудительного переопределения Out-of-Band
menu item
Режим гибридного принудительного переопределения
menu item
Режим принудительного переопределения с использованием RADIUS
menu item
Режим принудительного переопределения с использованием DNS
menu expand
Добавление режима Inline
menu expand
Расширенная конфигурация доступа
menu expand
Расширенная конфигурация RADIUS
menu expand
Хранилище отпечатков
menu expand
Механизмы фильтрации
menu expand
События безопасности
menu expand
Конфигурация сканеров соответствия
menu expand
Интеграция с VPN-сервисами
menu expand
Интеграция PKI
menu expand
Интеграция с системами многофакторной аутентификации (MFA)
menu expand
Интеграция с системами обнаружения вторжений (IDS)
menu expand
Интеграция с агентами инициализации
menu expand
Реализация SSO через межсетевой экран (МСЭ)
menu expand
Модуль TACACS+
menu expand
Расширенная конфигурация Captive-портала
menu expand
Расширенная конфигурация сети
menu expand
Дополнительные интеграции
menu expand
Расширенные возможности AxelNAC
menu expand
Экспорт/Импорт в AxelNAC
menu expand
Оптимизация производительности
menu expand
Приложения
menu expand
Поиск и устранение неисправностей
menu expand
AxelNAC. Руководство по настройке кластера
menu expand
AxelNAC. Руководство по интеграции с сетевым оборудованием
menu expand
AxelNAC. Руководство по использованию веб-интерфейса
menu expand
Лучшие практики
menu expand
Обучающие материалы
menu expand
Часто задаваемые вопросы
menu expand
База знаний LogIQ
menu expand
База знаний Шерлок
menu expand
Юридические документы

Режим принудительного переопределения Inline

Введение

В большинстве систем контроля сетевого доступа невозможно реализовать управление такими устройствами, как потребительские коммутаторы начального уровня или точки доступа. Поддержка режима Inline в AxelNAC позволяет управлять этими устройствами. Другими словами, AxelNAC становится шлюзом такой Inline-сети, где NAT направляет трафик с помощью IPTables/IPSet в сторону интернета (или в сторону другой части сети).

Конфигурация клиентского устройства

Главное преимущество режима Inline заключается в том, что для его функционирования не требуется настройка клиентского устройства. Необходимо убедиться, что устройство коммуницирует с внутренней VLAN. В этот момент весь трафик будет проходить через AxelNAC, поскольку он является шлюзом для этой VLAN.

Контроль доступа

В режиме Inline контроль доступа полностью опирается на IPTables/IPSet. Когда незарегистрированный пользователь подключается в Inline-VLAN, AxelNAC выдает ему IP-адрес. В этот момент пользователь будет помечен как незарегистрированный в ipset-сессии. При этом весь веб-трафик будет перенаправлен на Captive-портал, а весь остальной трафик будет заблокирован. Пользователь должен будет зарегистрироваться через Captive-портал так же, как при применении VLAN. Когда он зарегистрируется, AxelNAC изменит ipset-сессию устройства таким образом, чтобы MAC-адрес пользователя проходил через нее.

Ограничения

В силу особенностей механизма, режим Inline имеет следующие ограничения:

  • Все устройства, находящиеся за внутренним интерфейсом, находятся в одной локальной сети второго уровня;
  • Каждый пакет авторизованных пользователей проходит через сервер AxelNAC:
    • Это значительно увеличивает нагрузку на сервер. Поэтому пропускную способность необходимо планировать заранее;
    • AxelNAC является единой точкой отказа для доступа в интернет.
  • Ipset может хранить до 65536 записей, поэтому невозможно обеспечить класс Inline-сети выше класса B.

Именно из-за этих ограничений режим Inline считается «обедненным» способом управления доступом. Тем не менее, возможность одновременного выполнения на одном и том же сервере как Inline-, так и VLAN-контроля является реальным преимуществом: это позволяет администраторам поддерживать максимальную безопасность при развертывании нового и более мощного сетевого оборудования, обеспечивая чистый путь перехода к VLAN-контролю.

ID статьи: 44
Последнее обновление: 27 янв., 2025
Ревизия: 4
Доступ: Открытый доступ
Просмотры: 48
Комментарии: 0
Пред.
След.
« Общие сведения
Режим принудительного переопределения Out-of-Band »

rss
Работает на KBPublisher (Программное обеспечение базы знаний)

Этот веб-сайт использует куки-файлы, чтобы обеспечить вам максимальное удобство работы. Узнать больше
Согласен!