Alcatel Omnivista profilowanie
Omnivista jest systemem do zarządzania infrastrukturą sieciową. Posiada szereg fajnych funkcji jak:
- NAC: budowanie polityk dostępowych na podstawie nazwy użytkownika adresu MAC. Funkcja pozwala tez na dynamiczne przypisywanie efektów takich jak przypisanie do VLANu (na podstawie użytkownika lub jego grupy) , aplikowanie access-listy (na podstawie usera)
- Profilowanie: rozpoznawanie urządzeń i ich typów oraz budowanie polityk dostępowych na tej zasadzie
- Funkcje zarządzania sieci WLAN i LAN: profile konfiguracyjne, centralizacja zarządzania, skrypty umożliwiające grupową aplikację konfiguracji na urządzenia.
- Monitoring: zbieranie logów, alertów, danych analitycznych typu flow
- Funkcje związane z siecią definiowana programowo typu SDA: przypisywanie profili do użytkowników łączących użytkownika z VXLAN-em, SPB lub nawet minimalistycznie z tunelem GRE .
Zajmiemy się pokrótce funkcjonalnością profilowania, która producent nazwał IoT odnosząc się zapewne do internet of things.
Funkcjonalność profilowania należy włączyć na urządzeniach. Wykonuje się to z zakładki Network -> Managed Devices
Należy w rozwijanym menu features wybrać opcję enable IoT
Na switchach należy również włączyć funkcjonalność z poziomu Cli na konkretnych portach, przykładowo jak poniżej:
device-profile port 1/1/9 admin-state enable
Po włączeniu funkcjonalności IOT (profilowanie) urządzenia zaczynają wykrywać co jest do nich połączone. Robią to z użyciem serwisu fingerbank: fingerbank.org. Alcatel Omnivista musi mieć zatem dostęp do api fingerbank.
Efekt działania rozpoznawania urządzeń widoczny jest na zrzucie ekranowym poniżej (zakładka Network IOT Inventory).
No i cóż jest w tym fajnego?. Otóż możemy na podstawie typu urządzenia podłączającego się do portu (lub do WLANu) definiować poziom dostępu do sieci, aplikować profil definiujący, gdzie urządzenie zostanie umieszczone oraz jak zostanie potraktowane.
Jak to wykonać – należy utworzyć Access Role Profile, czyli profil definiujący jakim poziomem dostępu będzie posługiwało się konkretne urządzenie. Wykonujemy to w zakładce Unified Access -> Template -> Access role profile
W ramach profilu możemy sprecyzować ustawienia access – listy (filtrownia) przypisanego do urządzenia, ustawienia QoS łącznie z policingiem (przycinaniem pasma) dla konkretnego urządzenia oraz z ewentualnym przekierowaniem do tzw. Captive portalu .
Po utworzeniu szablonu profilu należy go także przypisać do switcha (lub innego urządzenia dostępowego jak AP) , gdzie możemy zdefiniować VLAN do którego dany profil będzie dopasowywany.
Profil możemy zmapować do VLANu, VXLANu, SPB
Po utworzeniu profilu możemy wymusić aby akcja rozpoznania typu urządzenia podłączającego się do sieci kończyła się również zaaplikowaniem konkretnego profilu.
Network -> IoT -> Enforcement
Tutaj możemy dla konkretnej kategorii urządzeń zdefiniować profil przypisany do niej
Elementem koniecznym aby ta funkcjonalność zadziałała jest konfiguracja uwierzytelniania 802.1x lub przy użyciu MAC na porcie urządzenia dostępowego.
Po wstępnym pomyślnym uwierzytelnieniu urządzenie jest na podstawie profilowania (rozpoznania typu sprzętu) umieszczane w zdefiniowanym przez nas profilu.
Masz pytania?
Skontaktuj się z nami!
autorem artykułu jest
Piotr Ksieniewicz – główny inżynier Network Expert
Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.