Wireless denetleyici, wireless clientleri varsayılan VLAN’a yerleştiren NAC profillerini destekler. NAC policyleri, clientleri cihaz özelliklerine, kullanıcı gruplarına veya EMS etiketlerine göre eşleştirir ve ardından clientleri belirli VLAN’lara atar. VLAN subinterfaceleri, VLAN ataması için kullanılan VAP interfacelerini temel alır. Bir wireless client ilk kez bağlandığında, NAC profiline göre varsayılan VLAN’a atanır. İstemci bilgileri yakalandıktan sonra, bir NAC polic eşleşirse, clientnin bağlantısı kesilir ve yeniden bağlandığında SSID ilkesi tarafından belirtilen VLAN’a atanır.
Eşleştirilebilecek aygıt özellikleri şunları içerir: MAC adresi, donanım satıcısı, tür, aile, işletim sistemi, donanım sürümü, yazılım sürümü, ana bilgisayar, kullanıcı ve kaynak.
Örnek:
Her iki client de ilk kez bağlandığında, vap_v100 VLAN’a dahil edilirler. Client bilgileri en fazla iki dakika sonra yakalanır ve NAC policylerle eşleşirse kablosuz denetleyici clientın bağlantısını keser. Client yeniden bağlandığında, policy tarafından belirtilen VLAN’a atanır.
Bu örnekte, NAC profilleri, aygıtın MAC adresi, kullanıcı grubu veya EMS etiketine dayalı olarak Wireless Client-1’i varsayılan VLAN’lara yerleştirmek üzere yapılandırılır.
CLI’de VAP, interface, profiller ve SSID policyleri yapılandırmak için:
- VAP SSID oluşturma:
- VAP altında iki VLAN interface oluşturma:
- Wireless Nac profili oluşturma:
- VAP üzerinde wireless Nac profili seçme:
- SSID policy oluşturma:
- Device properties, User groups ya da EMS tags tabanlı clientları eşleştirmek için Nac policyleri oluştur.
Cihaz Özellikleri
Bu policy, clientları MAC adresi f8:e4:e3:d8:5e:af ile eşleştirir.
Bir wireless client’ı MAC adresine göre eşleştirmek için:
- Belirli bir MAC adresiyle wireless clientları eşleştiren bir NAC policy oluşturun:
Her iki client da ilk kez bağlandığında, vap_v100 VLAN’a dahil edilirler:
Client bilgileri toplandıktan sonra, Client-1 policy ile eşleşir. Bağlantısı kesilir, ardından yeniden bağlanır ve NAC policy’e uygun olarak vap_v200 VLAN’a atanır:
Client-1’in policy eşleştiğini ve Client-2’nin şunları yapmadığını doğrulayın:
Kullanıcı Grupları
Bu policy, group_local kullanıcı grubunda kimliği doğrulanmış clientlarla eşleşir.
Bir wireless client’ı kullanıcı grubuna göre eşleştirmek için:
- Güvenlik modunu yalnızca WPA2 kurumsal olarak değiştirin ve VAP’a bir kullanıcı grubu ekleyin:
- Belirli bir kullanıcı grubunda kimliği doğrulanmış wireless clientlarla eşleşen bir NAC policy oluşturun.
Her iki client da ilk kez bağlandığında, vap_v100 VLAN’a dahil edilirler:
Client bilgileri toplandıktan sonra, Client-1 policy ile eşleşir. Bağlantısı kesilir, ardından yeniden bağlanır ve NAC policy’e uygun olarak vap_v200 VLAN’a atanır:
- Client -1’in policy ile eşleştiğini ve Client -2’nin şunları yapmadığını doğrulayın:
EMS etiketleri
Bu policy, belirtilen EMS etiketine sahip clientlarla eşleşir. EMS kontrolü önceden yapılandırılmış olmalıdır, ayrıntılar için FortiClient EMS etiketlerini ve konfigürasyonlarını senkronize etme bölümüne bakın.
Bir wireless clientı EMS etiketine göre eşleştirmek için:
- EMS etiketini bul.
- Bu etiketle bir wireless client ile eşleşen bir NAC policy oluşturun:
Her iki client da ilk kez bağlandığında, vap_v100 VLAN’a dahil edilirler. Client bilgileri toplandıktan sonra, Client-1 policy ile eşleşir. Bağlantısı kesilir, ardından yeniden bağlanır ve NAC policy’e uygun olarak vap_v200 VLAN’a atanır:
- Client -1’in policy ile eşleştiğini ve client -2’nin şunları yapmadığını doğrulayın: