AxelNAC — это система контроля доступа к сети (Network Access Control, NAC), обеспечивающая проверку подлинности пользователей и устройств, назначение им ролей и применение соответствующих сетевых политик. Система определяет, кто подключается, каким образом выполняется аутентификация и какие ресурсы становятся доступны после проверки.

Аналогия: транспорт, проходная и доступ в помещения

Чтобы наглядно понять, как взаимодействуют компоненты AxelNAC, можно представить корпоративную сеть как охраняемую территорию с несколькими проходными. Сотрудники и транспортные средства попадают на территорию по-разному: кто-то заходит пешком, кто-то приезжает на служебной машине, а кто-то привозит оборудование на грузовике.

• Тип подключения — это средство передвижения. Пешком — подключение к Wi-Fi, служебный автомобиль — проводное соединение, грузовой транспорт — VPN-канал.
• Профиль подключения — это проходная, через которую выполняется проверка. Для человека — главный вход, для автомобиля — въезд через шлагбаум, для грузового транспорта — отдельный пункт пропуска.
• Источник аутентификации — это механизм проверки пропуска. Он считывает предоставленные данные — пропуск, код доступа или документ — и сверяет их с базой. В AxelNAC это может быть внутренняя база пользователей, корпоративный каталог или внешний сервер.
• Роль — это уровень доступа после прохождения проверки. Сотрудник проходит в офис, водитель — на склад, подрядчик — в техническую зону. В AxelNAC роль определяет VLAN, ACL и другие сетевые параметры, зависящие от политики безопасности и типа устройства.

Вся логика AxelNAC строится именно вокруг этого процесса: клиент выбирает путь (тип подключения), подходит к своей проходной (профиль), предъявляет пропуск (источник аутентификации) и получает уровень доступа (роль), определяющий, какие ресурсы станут ему доступны.

Роль и сетевые параметры

Расскажем подробнее о ролях и сетевых параметрах.

Роль — это логическая категория, определяющая, в каком сетевом сегменте будет работать устройство после прохождения аутентификации.
Роль не управляет правами напрямую, а служит связующим элементом между пользователем и сетевыми настройками.

На вкладке Сетевые устройства в разделе Роли для каждой роли можно указать, какой VLAN и ACL будет назначен при подключении устройства к конкретному коммутатору, точке доступа или VPN-концентратору.
Таким образом, одна и та же роль может использовать разные VLAN на разных устройствах. Это позволяет назначать разные сетевые параметры и уровни доступа в зависимости от того, через какое устройство или в какой части сети подключается клиент.

Проще говоря:
В AxelNAC роль может назначаться разными способами. В стандартной схеме она определяется по результатам аутентификации: когда пользователь вводит учетные данные, система проверяет их через источник аутентификации (например, Active Directory или Captive-портал) и на основании полученных атрибутов выбирает подходящую роль. Однако роль может быть назначена и автоматически, без участия пользователя, если система уже способна идентифицировать устройство по другим признакам: зарегистрированному MAC-адресу, типу устройства, сетевому сегменту, SSID или заранее заданным правилам политики. Таким образом, назначение роли может происходить как после подтверждения личности пользователя, так и на основе характеристик устройства или условий подключения.

Обработка подключения в AxelNAC

Когда пользователь или устройство подключается к сети, AxelNAC выполняет последовательность действий:

Взаимодействие механизмов аутентификации

AxelNAC поддерживает комбинированные схемы аутентификации в рамках одного профиля подключения. Если клиент проходит первичную проверку, но не имеет закрепленной роли, система может назначить временную роль и предоставить ограниченный доступ, необходимый для завершения регистрации. После успешной аутентификации или дополнительной проверки роль изменяется, и клиент получает продуктивный доступ к сети.