IP и MAC авторизация
Статья описывает процесс настройки IP и MAC авторизации в Ideco NGFW VPP.
Last updated
Статья описывает процесс настройки IP и MAC авторизации в Ideco NGFW VPP.
Last updated
Для создания правила IP и MAC авторизации:
Перейдите в раздел Пользователи -> Авторизация -> IP и MAC авторизация;
Нажмите Добавить и заполните форму используя возможности:
заполнять поля IP и MAC можно как вместе, так и отдельно;
установка флага Постоянно авторизован обеспечит непрерывный доступ в интернет, даже если пользователь не активен;
созданные в этом разделе правила отражаются в учетной записи пользователя.
Пользователи, которые находятся за маршрутизатором в локальной сети NGFW, не могут авторизоваться правилам IP+MAС или MAC, так как маршрутизатор не обрабатывает трафик уровня L2.
При авторизации по IP пользователь получит доступ до Интернет-ресурсов после инициации подключения. Без ввода логина и пароля.
Также можно авторизовать сетевые устройства (камеры видеонаблюдения, сетевые принтеры и прочее), которые находятся в разных с Ideco NGFW широковещательных доменах и требуют доступ в Интернет. Это позволит NGFW создать сессию, а сетевому оборудованию не потребуется делать запрос в Интернет.
Если правило авторизации задается устройству (маршрутизатору) и в нем включен SNAT, то при авторизации его внешнего IP на NGFW, все пользователи за этим маршрутизатором получат доступ в Интернет.
IP-адрес на компьютере/устройстве, с которого инициируется сессия, должен совпадать с указанным в правиле.
Данный тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.
Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т.к. для создания авторизованной сессии необходим IP-адрес.
Рекомендуем в телефонах отключать опцию Рандомизация MAC-адреса, она мешает при авторизации телефона по MAC-адресу.