...
Установите SoftWLC и сервис-активатор:
- В файле /etc/eltex-wifi-sa/factory-fw.conf скорректируйте версии ПО, чтобы версия подключаемой точки доступа (ТД) соответствовала им. Параметр downgrade переведите в состояние false. В директорию /var/lib/eltex-wifi-sa/firmware/ загрузите файл прошивки ТД и переименуйте его в соответствии с именем файла ПО, указанном в /etc/eltex-wifi-sa/factory-fw.conf.
- В директорию /etc/eltex-wifi-sa/ загрузите корневой сертификат и сертификат сервис-активатора.
- В файле /etc/eltex-wifi-sa/application.conf скорректируйте имена корневого сертификата и сертификата сервис-активатора. Параметр CheckMAC переведите в значение yes. Перезапустите сервис-активатор:
service eltex-wifi-sa restart. - Создайте домен для ESR и поддомен точек доступа ОТТ.
- Создайте правило инициализации для требуемого типа точки доступа. В качестве транспорта SNMP обязательно должен быть указан TCP протокол. (см. Инициализация ТД )
- Сделайте привязку правила инициализации к точке доступа ОТТ. В привязке должен быть установлен флаг "Connected".(см. Инициализация ТД )
- Создайте профиль OTT с параметрами IPsec. В качестве параметра "IPsec password" должен быть указан пароль, прописанный в конфигурации ESR, например "testing123". В NBI – команда CreateOttProfile.(см. ESR OTT)
- Заведите в EMS ESR в домене для точек доступа ОТТ. Во вкладке доступ установите флаг OTT: ServiceProvider и активируйте флаг BRAS. Убедитесь, что ESR доступен с SoftWLC. (см. ESR OTT)
- В таблице NAS (Вкладка Radius - Точки Доступа) скорректируйте пароль для RADIUS ESR, указанный в его конфигурации, например "testing123".
- В конфигурации ESR во вкладке OTT укажите белый IP ESR и выберите профиль OTT. В NBI – команда CreateOttStation. (см. v1.22_OTT#ESR ESR OTT)
- Создайте и привяжите к домену ОТТ SSID. В параметрах SSID обязательно укажите Location, указанный в конфигурации ESR, например "testing2".(см. Инициализация ТД )
- В Личном Кабинете в Настройках во вкладке "Система" активируйте флаг "Настройка шейперов в дереве доменов", выйдете и зайдите снова в Личный Кабинет. (см Настройка шейперов в Личном Кабинете)
- После этого в Настройках во вкладке "Дерево доменов" активируйте шейпер на SSID.(см Настройка шейперов в Личном Кабинете)
...
Имя параметра | Значения | Рекомендуемое значение дл для эксплуатации | Описание |
---|
logLevel | debug, info, warn, error | info | Уровень логирования. Логи записываются в файл /var/log/eltex-wifi-sa/main.log. |
requestTimeout | integer | 45 | Mаксимальное время обработки запроса (0 для бесконечного). Если значение параметра превышено, сервер считается перегруженным. |
http { enabled | yes, no | true | Включение приема запросов от точек доступа по протоколу HTTP. |
http { port | integer (0-65535) | 8042 | Номер порта TCP, на котором сервис-активатор будет прослушивать запросы от точек по HTTP. |
https { enabled | yes, no | true | Включение приема запросов от точек доступа по протоколу HTTP. |
https { port | integer (0-65535) | 8043 | Номер порта TCP, на который сервис-активатор будет прослушивать запросы от точек по HTTPs. |
https { keyStore { path
| string | /etc/eltex-wifi-sa/server.p12 | Путь до сертификата сервис-активатора. Начиная с версии SoftWLC 1.20 требуется всегда указывать полный путь.
|
https { keyStore { password | string | "" | Пароль для сертификата сервис-активатора. В большинстве случаев – пустая строка. |
https { clients { certificate | string | /etc/eltex-wifi-sa/client.crt | Путь до корневого сертификата. Начиная с версии SoftWLC 1.20 требуется всегда указывать полный путь.
|
https { clients { checkMAC | yes, no | yes | Включение проверки MAC-адреса в сертификате, передаваемом точкой доступа. |
https { clients { fwCheckCrt | yes, no | yes | Включение проверки ProviderID в сертификате, передаваемом точкой доступа. |
ems { host | localhost или IP адрес |
| Адрес EMS-сервера, с которым взаимодействует сервис-активатор. |
ems { port | integer (0-65535) | 8080 | Номер порта, по которому сервис-активатор обращается к EMS. |
ems { parallelLimit | integer | 5 | Максимальное количество параллельных запросов на EMS-сервер |
ipsec-activator { wait-timer | integer | 180 | Время таймаута, в течение которого точка пытается установить IPsec-соединение. По истечению таймаута выполняется перезагрузка точки доступа. |
ipsec-activator { update-time | integer | 600 | Время таймаута, в течение которого точка пытается обновить ПО с сервис-активатора. По истечению таймаута выполняется перезагрузка точки доступа. |
...
Имя параметра | Значения | Рекомендуемое значение дл для эксплуатации | Описание |
---|
downgrade | true, false | false | Разрешает\запрещает даунгрейд ПО ТД в случае, если версия ПО не совпадает с версией указанной в конфигурации |
min | string |
| Версия ПО, актуальная для точки доступа |
file | string |
| Имя файла ПО, размещенного в /var/lib/eltex-wifi-sa/firmware/ |
...
Имя параметра | Значения | Рекомендуемое значение дл для эксплуатации | Описание |
---|
subtype | 100, 200, 1000, 1200, 1500, 1700 |
| Тип ESR (ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1700) |
max |
|
| Максимальное количество точек ОТТ для данного ESR |
param name, default, regex, description |
|
| Название, дефолтное значение, регулярное выражение и описание параметров, содержащихся в профиле ОТТ. |
...
- Роутеры ESR 1, ESR 2 и ESR N, на которых терминируется IPsec, подключены каждый к соответствующим роутерам PE 1, PE 2, PE N.
- ESR 1, ESR 2, ESR N анонсируют подсети управления, клиентов, IPsec-шлюза, используя BGP, на PE 1, PE 2, PE N соответсвенно.
- PE 1, PE 2, PE N анонсируют маршруты по умолчанию, подсети, необходимые для связи с SoftWLC.
- При отказе одного из ESR он становится недоступен. Точки доступа, определив, что IPsec соединение не устанавливается, обращаются к сервис-активатору, который видит аварию одного из ESR и передает параметры подключения ко второму. Точки доступа подключаются к новому ESR.
- На каждом ESR используются разные пулы IP адресов для управления точками доступа и абонентов WiFi.
Схема резервирвоаниярезервирования, когда ESR размещаются на разных уровнях дерева доменов рассмотрена на рис. 3.
...
- IPsec Remote Gateway – IP-адрес шлюза или доменное имя (xxx.xxx.xxx.xxx / Доменное имя).
IPsec Operational Status – включение IPsec.
- XAUTH User – имя пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- XAUTH Password – пароль пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- IKE Authentication Algorithm – алгоритмы хеширования, предназначенные для проверки целостности данных (md5, sha1).
- IKE DH Group – группа алгоритмов Диффи-Хеллмана, чтобы установить общий секрет по незащищенной сети (1,2,5).
- IKE Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- Use ISAKMP Mode Config – если «On» – игнорировать «GRE Over IPsec Mgmt», «GRE Over IPsec Data», «Локальный адрес IPsec», «Удаленная сеть IPsec», «Параметры IPsec Remote Mask».
- IKE Lifetime – IKE SA (жизненный цикл фазы 1) перед повторной аутентификацией. Должен быть идентичен по обе стороны туннеля IKE/IPsec (раздел, диапазон: 180–86400).
- Use NAT-T – установите этот флажок, если клиент за NAT.
- IPsec NAT Keepalive – интервал между пакетами keepalive NAT (Sec, Range: 1-300).
- IPsec Password – пароль с общим доступом для подключения IKE/ISPEC (диапазон: 8-48 символов).
- IPsec Local Address – адрес клиента, который используется как локальная сеть IKE с маской подсети 255.255.255.255 (/ 32). Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Network – удаленная подсеть IKE. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Mask – IKE удаленная маска подсети. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Authentication Algorithm – хеширующие алгоритмы, предназначенные для проверки целостности данных (md5, sha1).
- IPsec DH Group – алгоритмы Диффи-Хеллмана создают общий секрет по незащищенной сети. Значение 0 позволяет использовать секретный ключ из соединения IKE (0,1,2,5).
- IPsec Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- IPsec DPD Delay – время через которое ESR будет слать пакеты точке доступа, с целью проверки ее доступности (диапазон: 5-600)
- IPsec Child SA Lifetime – срок службы IPsec VPN SA (жизненный цикл фазы 2) перед повторной аутентификацией. Должно быть одинаковым с обеих сторон туннеля IKE/IPsec. Должен быть меньше, чем IKE Lifetime (Sec, Range: 180-86400).
- Force Establish Tunnel – включить или отключить GRE через IPsec. Поскольку локальный IP-адрес GRE использует локальный адрес IPsec.
- GRE Over IPsec Mgmt – удаленный IP-адрес GRE для туннеля управления (xxx.xxx.xxx.xxx).
- GRE Over IPsec Data – удаленный IP-адрес GRE для туннеля управления данными (xxx.xxx.xxx.xxx).
- GRE MTU Offset – MTU устройства. Расчитывается Рассчитывается как стандартное значение MTU - GRE MTU Offset.
GRE Ping Counter – количество пингов к gre-managment-ip, по неответу которых IPsec-соединение будет перезапущено. Пинг посылается каждые 10 сек. Параметр принимает значение от 3 до 60. По умолчанию 3.
Предупреждение |
---|
Значение параметра IPsec child SA lifetime должно быть меньше значения параметра IKE lifetime. Кроме того они должны быть кратны. По умолчанию значение IKE lifetime установлено 86400 (сутки), а значение IPsec child SA lifetime 3600 (час). Получается за сутки ключ IPsec поменяется 24 раза, в то время как ключ IKE поменятеся поменяется один раз. |
Черный список ТД
...
- при удалении привязки инициализации ТД в EMS удаляется привязка ОТТ;
- при перемещении ТД в EMS удаляется привязка OTT, позже по необходимости создается заново;
- при удалении ESR из EMS удаляются все привязки ОТТ к нему;
- при редактировании IP ESR в EMS удаляются все привязки ОТТ к нему;
- при удалении ESR из EMS удаляется его ОТТ station;
- при перемещении ESR в другой домен нужно удалить все привязки OTT к нему;
Проверить удаление OTT станцистанции:
Без форматирования |
---|
$ mongo
> use ott;
> db.station.find({esr_ip: '<ip адрес esr>'}).pretty(); |
...
Message |
|
---|
Connection refused | Сервис-активатор не установлен или порт 8042 блокируется |
"code":4022, "msg":"No init link found" | Отсутствует привязка правила инициализации к точке доступа |
"code":1,"msg":"In request by key 'domain' value is empty or null" | В домене, указанном в привязке правила инициализации, нет ни одного ESR с активированной услугой OTT (флаг OTT во вкладке "Доступ") |
"code":4024, "msg":"No OTT station configured" | Не создано ни одного профиля ESR, в котором профиль OTT привязан к белому IP-адресу ESR с активированной услугой OTT, или недоступен ни один из ESR, имеющий такие настройки. |
"code":4023 | Ошибка взаимодейтсивя взаимодействия с NB |
"code": 4025, "msg": "/ott/upgrade/WOP-12ac-LR-RevB.tar.gz" | Версия ПО точки доступа не актуальна. Требуется обновление |
...
1) gi1/0/1.4092: 10.12.20.4/28 - адрес, смотрящий в сеть ИнтеренетИнтернет, для терминации IPsec;
2) gi1/0/1.212: 100.64.0.66/30 - стыковый адрес, смотрящий в VRF backbone для связи с SoftWLC, DHCP и DNS серверами;
...
7) 172.31.252.0/22 - подсеть адресов, выдаваемых ТД по mode config, используюся используются для поднятия EoGRE со стороны ТД;
...
1) bridge 1: 192.168.171/24 - адрес, смотрящий в сеть ИнтеренетИнтернет, для терминации IPsec;
2) bridge 2: 192.168.110.0.37/24 - административная подсеть, адрес используется для доступа администратором;
...
7) 172.31.250.0/24 - подсеть адресов, выдаваемых ТД по mode config, используюся используются для поднятия EoGRE со стороны ТД.
...
Раскрыть |
---|
|
Блок кода |
---|
| hostname esr-ipsec
tech-support login enable
root login enable
syslog max-files 3
syslog file-size 512
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service ipsec_ports
port-range 500
port-range 4500
exit
object-group service snmp
port-range 161-162
exit
object-group service COA
port-range 3799
port-range 31812-31813
port-range 1812-1813
exit
object-group service redirect
port-range 3128
port-range 3129
exit
object-group network SoftWLC
ip address-range 101.0.0.24
exit
object-group network ipsec_remote_address
ip prefix 172.31.250.0/24
exit
object-group network gre_termination
ip prefix 192.168.7.0/30
exit
object-group url defaultserv
url http://eltex-co.ru
exit
#Настраиваем взаимодействие с радиус-сервером, для динамического управления data-тунелями точек доступа.
radius-server timeout 10
radius-server retransmit 5
radius-server host 101.0.0.24
key ascii-text testing123
timeout 11
priority 20
source-address 101.0.0.171
auth-port 31812
acct-port 31813
retransmit 10
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 101.0.0.24
exit
#Настраиваем ESR, что бы с ним мог взаимодействовать радиус-сервер.
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
vlan 2
force-up
exit
vlan 7
name "mgmt"
force-up
exit
vlan 100
name "user"
force-up
exit
vlan 808
name "GRE"
force-up
exit
vlan 1001
name "from_SoftWLC"
force-up
exit
vlan 1108
force-up
exit
vlan 4094
force-up
exit
security zone trusted
exit
security zone user
exit
security zone mgmt
exit
security zone gre
exit
security zone ipsec
exit
security zone clients_inet
exit
#Настраиваем подсеть адресов клиентов, которые будем передавать на другой маршрутизатор, используя policy-based routing.
ip access-list extended users_filter
rule 1
action permit
match protocol any
match source-address 172.31.239.64 255.255.255.192
match destination-address any
enable
exit
exit
#DHCP-request для продления адреса от клиентов надо будет передавать на DHCP-сервер, он находится на том же ip, что и SotfWLC.
ip access-list extended clients_dhcp
rule 1
action permit
match protocol udp
match source-address 172.31.239.64 255.255.255.192
match destination-address 101.0.0.24 255.255.255.255
match source-port 68
match destination-port 67
enable
exit
exit
#Настраиваем route-map, указываем маршрутизаторы, на которые будет передаваться клиентский трафик.
route-map clients_br7
rule 1 #DHCP-request от клиентов передаем на DHCP сервер.
match ip access-group clients_dhcp
action set ip next-hop verify-availability 101.0.0.24 10
action permit
exit
rule 2 #Остальной трафик клиентов передаем на другой роутер, через который у них организован доступ в Интернет.
match ip access-group users_filter
action set ip next-hop verify-availability 10.12.12.2 10
action permit
exit
exit
snmp-server
snmp-server system-shutdown #разрешаем перезагрузку ESR по SNMP-команде от EMS.
snmp-server community "private1" rw
snmp-server community "public11" ro
snmp-server host 101.0.0.24
exit
#Интерфейс, который смотрит в Интернет, терминирует IPSec подключения точек доступа.
bridge 1
vlan 1108
security-zone ipsec
ip address 192.168.108.171/24
enable
exit
#Интерфейс административной подсети управления, необязателен.
bridge 2
vlan 2
security-zone trusted
ip address 192.168.110.37/24
enable
exit
#Интерфейс для взаимодействия с SoftWLC.
bridge 3
description "SoftWLC"
vlan 1001
security-zone mgmt
ip address 101.0.0.171/24
enable
exit
#Интерфейс терминации GRE подключений точек доступа.
bridge 5
vlan 808
security-zone gre
ip address 192.168.7.1/30
ip address 192.168.7.2/30
enable
exit
#Интерфейс управления точками доступа.
bridge 6
vlan 7
security-zone mgmt
ip address 172.31.239.1/26
ip helper-address 101.0.0.24
ip tcp adjust-mss 1312
protected-ports
protected-ports exclude vlan
enable
exit
#Интерфейс, клиентов точек доступа.
bridge 7
vlan 100
security-zone user
ip address 172.31.239.65/26
ip helper-address 101.0.0.24
ip policy route-map clients_br7 #Включаем policy-based routing на интерфейсе.
ip tcp adjust-mss 1312
location testing2
protected-ports
protected-ports exclude vlan
enable
exit
#Интерфейс, через который доступен роутер, на который будет отправляться трафик клиентов точек доступа.
bridge 94
vlan 4094
security-zone clients_inet
ip address 10.12.12.1/30
ip tcp adjust-mss 1312
enable
exit
interface port-channel 1
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 2,1001,1108,4094 tagged
exit
interface gigabitethernet 1/0/1
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/3
shutdown
security-zone trusted
ip firewall disable
exit
interface gigabitethernet 1/0/4
shutdown
security-zone trusted
ip firewall disable
exit
interface tengigabitethernet 1/0/1
shutdown
ip firewall disable
switchport forbidden default-vlan
exit
interface tengigabitethernet 1/0/2
shutdown
ip firewall disable
switchport forbidden default-vlan
exit
exit
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.7.1
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 6
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.7.2
default-profile
enable
exit
security zone-pair trusted self
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 3
action permit
match protocol icmp
match source-address SoftWLC
match destination-address any
enable
exit
exit
security zone-pair user self
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 20
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port redirect
enable
exit
exit
security zone-pair clients_inet self
rule 10
action permit
match protocol any
match source-address any
match destination-address any
exit
exit
security zone-pair user clients_inet
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair ipsec self
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port ipsec_ports
match destination-port ipsec_ports
enable
exit
rule 2
action permit
match protocol esp
match source-address any
match destination-address any
enable
exit
rule 3 #Т.к. трафик GRE появится из IPSec пакетов, то он будет считаться пришедшим из тоже зоны, что и родительский пакет.
action permit
match protocol gre
match source-address ipsec_remote_address
match destination-address gre_termination
enable
exit
rule 4
action permit
match protocol icmp
match source-address ipsec_remote_address
match destination-address gre_termination
enable
exit
exit
security zone-pair mgmt self
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 3
action permit
match protocol icmp
match source-address SoftWLC
match destination-address any
enable
exit
rule 4
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 5
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port COA
enable
exit
rule 6
action permit
match protocol tcp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port COA
enable
exit
rule 7
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 11
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
exit
security zone-pair mgmt mgmt
rule 1
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 20
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 21
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port snmp
enable
exit
rule 22
action permit
match protocol tcp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 23
action permit
match protocol tcp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port snmp
exit
rule 30
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 31
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 49
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port ntp
enable
exit
rule 50
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port COA
enable
exit
exit
security zone-pair mgmt user
rule 10
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
exit
security zone-pair gre ipsec
rule 1
action permit
match protocol any
match source-address gre_termination
match destination-address ipsec_remote_address
enable
exit
exit
#Настраиваем пул адресов, которые будут выдаваться ТД используя mode config.
address-assignment pool ipsec_pool_1
ip prefix 172.31.250.0/24 #Пул адресов, которые будут выдаваться точкам доступа
#и использоваться как локальный ip (tunnel ip) для GRE тунелей.
#Адреса не должны пересекаться с другими tunnel ip в EMS.
data-tunnel address 192.168.7.2 #Адрес, на который точка доступа будет строить GRE data тунель.
management-tunnel address 192.168.7.1 #Адрес, на который точка доступа будет строить GRE тунель управления.
exit
#Настраиваем IKE предложение: алгоритм хэширования MD5, группа Диффи-Хэллмана DH1, алгоритм шифрования aes128.
security ike proposal dh1_md5_aes128
authentication algorithm md5
encryption algorithm aes128
exit
#Настраиваем политику IKE.
security ike policy psk_xauth1
lifetime seconds 86400 #Время жизни основного соединения (по истечению будет произведена повторная авторизация).
pre-shared-key ascii-text testing123 #Пароль
authentication method xauth-psk-key #Включаем использование расширеной авторизации XAUTH.
authentication mode radius #Используем радиус-сервер для расширеной авторизации.
proposal dh1_md5_aes128 #Используем настроенное выше предложение.
exit
#Настраиваем шлюзы, используемые подсети.
security ike gateway ike1_from_inet
ike-policy psk_xauth1 #Используем настроенную выше политику IKE.
local address 192.168.108.171 #Адрес, на котором ждем IPSec клиентов.
local network 192.168.7.0/30 #Локальная подсеть, трафик из которой будет заворачиваться в IPSec пакеты.
remote address any #Адрес удаленных клиентов IPSec - разрешаем подключения с любых адресов.
remote network dynamic pool ipsec_pool_1 #Для назначения клиенту параметров используем настроенный выше пул.
mode policy-based #Используем режим policy-based
dead-peer-detection action clear #В случае обнаружения недоступного клиента IPSec убираем его подключение.
dead-peer-detection interval 60 #Интервал отправки dead-peer-detection пакетов.
dead-peer-detection interval 180 #Время, по истечению которого, удаленный клиент IPSec считается недоступным,
#если от него не приходят ответы на DPD пакеты.
exit
#Настраиваем предложение IPSec: алгоритм хэширования MD5, алгоритм шифрования AES128, протокол инкапсуляции пакетов ESP.
security ipsec proposal md5_aes128_esp
authentication algorithm md5
encryption algorithm aes128
exit
#Настраиваем политику IPSec.
security ipsec policy vpn1_pol1
lifetime seconds 3600 #Время жизни IPSec сhaild SA (по истечению будет произведена повторная авторизация).
proposal md5_aes128_esp #Используемое предложение IPSec, настроенное выше.
exit
#Настраиваем IPSec VPN, к которому будут подсключатьсяподключаться точки доступа.
security ipsec vpn for_INET_1
mode ike #Используем IKE.
ike establish-tunnel by-request #Соединение IPSec устанавливается по запросу удаленной стороны.
ike gateway ike1_from_inet #Используем настройки шлюза, подсетей, настроенных в IKE.
ike ipsec-policy vpn1_pol1 #используем политику IPSec, настоеннуюнастроенную выше.
enable
exit
ip dhcp-relay
ip route 0.0.0.0/0 192.168.108.1 200
wireless-controller
nas-ip-address 101.0.0.171
data-tunnel configuration radius #Используем динамическое поднятие data-тунелейтуннелей
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 101.0.0.24
prefer
exit |
|
...