Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esrwlc(config)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }
[ vrf <VRF> ]

esrwlc(config-radius-server)#

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

2

Задать пароль для аутентификации на удаленном RADIUS-сервере.

esrwlc(config-radius-server)# key ascii-text
{ <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

3

Создать профиль ААА.

esrwlc(config)# aaa radius-profile <NAME>

<NAME> – имя профиля сервера, задается строкой до 31 символа.

4

В профиле AAA указать RADIUS-сервер.

esrwlc(config-aaa-radius-profile)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

5

Создать DAS-сервер.

esrwlc(config)# das-server <NAME>

<NAME> – имя DAS-сервера, задается строкой до 31 символа.

6

Задать пароль для аутентификации на удаленном DAS-сервере.

esrwlc(config-das-server)# key ascii-text
{<TEXT>|encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT>–зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

7

Создать AAA DAS-профиль.

esrwlc(config)# aaa das-profile <NAME>

<NAME> – имя DAS-профиля, задается строкой до 31 символа.

8

Указать DAS-сервер в DAS-профиле.

esrwlc(config-aaa-das-profile)#  das-server <NAME>

<NAME> – имя DAS-сервера, задается строкой до 31 символа.

9

Сконфигурировать BRAS.

esrwlc(config)# subscriber-control [ vrf <VRF> ]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать контроль пользователей.

10

Выбрать профиль серверов динамической авторизации (DAS), на которые будут приходить CoA-запросы от PCRF.

esrwlc(config-subscriber-control)# aaa das-profile <NAME>

<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.

11

Выбрать профиль RADIUS-серверов для получения параметров сервисов пользователя.

esrwlc(config-subscriber-control)# aaa services-radius-profile
<NAME>

<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.

12

Выбрать профиль RADIUS-серверов для получения параметров сессии пользователя.

esrwlc(config-subscriber-control)# aaa sessions-radius-profile
<NAME>

<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.

13

Определить IP-адрес маршрутизатораконтроллера, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах.

esrwlc(config-subscriber-control)# nas-ip-address <ADDR>

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

14

Включить аутентификацию сессий по MAC-адресу (не обязательно).

esrwlc(config-subscriber-control)# session mac-authentication


15

Организовать прозрачное пропускание служебного трафика (DHCP, DNS и т.д.) на основе фильтров.

esrwlc(config-subscriber-control)# bypass-traffic-a с l <NAME>

<NAME> – имя привязываемого ACL, задается строкой до 31 символа.

16

Перейти в режим конфигурирования сервиса по умолчанию.

esrwlc(config-subscriber-control)# default-service


17

Привязать указанный QoS-класс к сервису по умолчанию.

esrwlc(config-subscriber-default-service)# class-map <NAME>

<NAME> – имя привязываемого класса, задается строкой до 31 символа.

18

Указать имя списка URL, который будет использоваться для фильтрации HTTP/HTTPS-трафика не аутентифицированных пользователей.

esrwlc(config-subscriber-default-service)# filter-name
{ local<LOCAL-NAME> | remote<REMOTE-NAME> }

<LOCAL-NAME> – имя профиля URL, задаётся строкой до 31 символа;

<REMOTE-NAME> – имя списка URL на удаленном сервере, задаётся строкой до 31 символа.

19

Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых входит в список URL, назначенных командой «filter-name».

esrwlc(config-subscriber-default-service)# filter-action<ACT>

<ACT> – назначаемое действие:

  • permit – прохождение трафика разрешается;
  • deny – прохождение трафика запрещается.

redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов.

20

Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых не входит в список URL, назначенных командой «filter-name».

esrwlc(config-subscriber-default-service)# default -action<ACT>

<ACT> – назначаемое действие:

  • permit – прохождение трафика разрешается;
  • deny – прохождение трафика запрещается.

redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов.

21

Активировать профиль контроля пользователей.

esrwlc(config-subscriber-control)# enable


22

Изменить идентификатор сетевого интерфейса (физического, саб-интерфейса или сетевого моста) (не обязательно).

esrwlc(config-if)# location <ID>

<ID> – идентификатор сетевого интерфейса, задаётся строкой до 220 символов.

23

Включить контроль пользователей на интерфейсе.

esrwlc(config-if-gi)# service-subscriber-control
{any| object-group <NAME>}

<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

24

Включить перезапрос значения квоты при ее истечении для сервисов пользователя с настроенным ограничением по объему трафика или времени (не обязательно).

esrwlc(config-subscriber-control)# quota-expired-reauth


25

Включить аутентификацию сессий по IP-адресу (не обязательно).

esrwlc(config-subscriber-control)# session ip-authentication


26

Включить прозрачное пропускание трафика в состоянии backup для BRAS (не обязательно).

esrwlc(config-subscriber-control)# backup traffic-processing
transparent


27

Задать интервал, по истечении которого с устройства будут удалены неиспользуемые в текущий момент списки URL (не обязательно).

esrwlc(config)# subscriber-control unused-filters-remove-delay
<DELAY>

<DELAY> – временной интервал в секундах, принимает значения [10800..86400].

28

Задать интервал, по истечении которого, если не было пакетов от пользователя, сессия считается устаревшей и удаляется с устройства (не обязательно).

esrwlc(config-subscriber-default-service)# session-timeout
<SEC>

<SEC> – период времени в секундах, принимает значения [120..3600].

29

Определить VRRP-группу, на основе которой определяется состояние сервиса контроля абонентов (основной/резервный) (не обязательно).

esrwlc(config-subscriber-control)# vrrp-group <GRID>

<GRID> – идентификатор группы VRRP-маршрутизатораконтроллера, принимает значения [1..32].

30

Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTP Proxy-сервер маршрутизатора сервер контроллера (не обязательно).

esrwlc(config-subscriber-control)# ip proxy http listen-ports <NAME>

<NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа.

31

Определить порт HTTP Proxy-сервера на маршрутизаторе на контроллере (не обязательно).

esrwlc(config-subscriber-control)# ip proxy http redirect-port <PORT>

<PORT> – номер порта, указывается в диапазоне [1..65535].

32

Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTPS Proxy-сервер маршрутизатора контроллера (не обязательно).

esrwlc(config-subscriber-control)# ip proxy https listen-ports <NAME>

<NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа.

33

Определить порт HTTPS Proxy-сервера на маршрутизаторе на контроллере (не обязательно).

esrwlc(config-subscriber-control)# ip proxy https redirect-port <PORT>

<PORT> – номер порта, указывается в диапазоне [1..65535].

34

Определить IP-адрес маршрутизатораконтроллера, который будет использоваться в качестве IP-адреса источника в отправляемых Proxy-сервером HTTP/HTTPS пакетах (не обязательно).

esrwlc(config-subscriber-control)# ip proxy source-address <ADDR>

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

35

Задать URL-адрес сервера, предоставляющего списки приложений для фильтрации трафика (не обязательно).

esrwlc(config)# subscriber-control apps-server-url <URL>

<URL> – адрес ссылки, задаётся строкой от 8 до 255 символов.

36

Включить контроль приложений на интерфейсе (не обязательно).

esrwlc(config-if-gi)# subscriber-control application-filter <NAME>

<NAME> – имя профиля приложений, задаётся строкой до 31 символа.

37

Установить/сбросить верхнюю границу количества сессий BRAS (не обязательно).

esrwlc(config-subscriber-control)# thresholds sessions-number high <Threshold>


<Threshold> – количество сессий BRAS:

  • [0-50000] – для ESR-1700
  • [0-10000] – для ESR-1200/1000/1500
    /1511/3100/3200 и WLC-3200
  • [0-1000] – для ESR-100/200

38

Установить/сбросить нижнюю границу количества сессий BRAS (не обязательно).

esrwlc(config-subscriber-control)# thresholds sessions-number low  <Threshold>

<Threshold> – количество сессий BRAS:

  • [0-50000] – для ESR-1700
  • [0-10000] – для ESR-1200/1000/1500
    /1511/3100/3200 и WLC-3200
  • [0-1000] – для ESR-100/200

...

Установка SoftWLC из репозиториев.

Для маршрутизатора Для контроллера необходимо наличие лицензии BRAS, после ее активации можно переходить к конфигурированию устройства.

Создадим три зоны безопасности на устройстве, согласно схеме сети:

Блок кода
esr#wlc# configure 
esrwlc(config)# security zone trusted
esrwlc(config-zone)# exit
esrwlc(config)# security zone untrusted
esrwlc(config-zone)# exit
esrwlc(config)# security zone dmz
esrwlc(config-zone)# exit

Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию:

Блок кода
esrwlc(config)# interface gigabitethernet 1/0/1
esrwlc(config-if-gi)# security-zone untrusted
esrwlc(config-if-gi)# ip address 203.0.113.2/30
esrwlc(config-if-gi)# service-policy dynamic upstream
esrwlc(config-if-gi)# exit
esrwlc(config)# ip route 0.0.0.0/0 203.0.113.1

Сконфигурируем порт в сторону сервера SoftWLC:

Блок кода
esrwlc(config)# interface gigabitethernet 1/0/24
esrwlc(config-if-gi)# security-zone dmz
esrwlc(config-if-gi)# ip address 192.0.2.1/24
esrwlc(config-if-gi)# exit

Scroll Pagebreak

Сконфигурируем порт для подключения Wi-Fi точки доступа:

Блок кода
esrwlc(config)# bridge 2
esrwlc(config-bridge)# security-zone trusted
esrwlc(config-bridge)# ip address 192.168.0.254/24
esrwlc(config-bridge)# ip helper-address 192.0.2.20
esrwlc(config-bridge)# service-subscriber-control object-group users
esrwlc(config-bridge)# location ssid1
esrwlc(config-bridge)# enable
esrwlc(config-bridge)# exit
esrwlc(config)# interface gigabitethernet 1/0/2.2000
esrwlc(config-subif)# bridge-group 1
esrwlc(config-subif)# exit
esrwlc(config)# interface gigabitethernet 1/0/2
esrwlc(config-if-gi)# service-policy dynamic downstream
esr (config-if-gi)# exit

...

Зададим параметры для взаимодействия с этим модулем:

Блок кода
esrwlc(config)# radius-server host 192.0.2.20
esrwlc(config-radius-server)# key ascii-text password
esrwlc(config-radius-server)# auth-port 31812
esrwlc(config-radius-server)# acct-port 31813
esrwlc(config-radius-server)# exit

Создадим профиль AAA:

Блок кода
esrwlc(config)# aaa radius-profile RADIUS
esrwlc(config-aaa-radius-profile)# radius-server host 192.0.2.20
esrwlc(config-aaa-radius-profile)# exit

Укажем параметры доступа к DAS (Direct-attached storage)-серверу:

Блок кода
esrwlc(config)# object-group network server
esrwlc(config-object-group-network)# ip address-range 192.0.2.20
esrwlc(config-object-group-network)# exit
esrwlc(config)# das-server CoA
esrwlc(config-das-server)# key ascii-text password
esrwlc(config-das-server)# port 3799
esrwlc(config-das-server)# clients object-group server
esrwlc(config-das-server)# exit
esrwlc(config)# aaa das-profile CoA
esrwlc(config-aaa-das-profile)# das-server CoA
esrwlc(config-aaa-das-profile)# exit

Scroll Pagebreak
До аутентификации весь трафик из зоны trusted блокируется, в том числе DHCP- и DNS-запросы. Необходимо настроить разрешающие правила для пропуска DHCP- и DNS-запросов:

Блок кода
esrwlc(config)# ip access-list extended DHCP
esrwlc(config-acl)# rule 10
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol udp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port 68
esrwlc(config-acl-rule)# match destination-port 67
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# rule 11
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol udp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 53
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# exit

Далее создаем правила для редиректа на портал и пропуска трафика в Интернет:

Блок кода
esrwlc(config)# ip access-list extended WELCOME
esrwlc(config-acl)# rule 10
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol any
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# exit
esrwlc(config)# ip access-list extended INTERNET
esrwlc(config-acl)# rule 10
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol any
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# exit

Зададим web-ресурсы доступные без авторизации:

Блок кода
esrwlc(config)# object-group url defaultservice
esrwlc(config-object-group-url)# url http://eltex.nsk.ru
esrwlc(config-object-group-url)# exit

Списки фильтрации по URL находятся на сервере SoftWLC (меняется только IP-адрес сервера SoftWLC, если используется адресация отличная от данного примера, все остальное в URL оставить без изменения):

Блок кода
esrwlc(config)# subscriber-control filters-server-url http://192.0.2.20:7070/Filters/file/

Сконфигурируем и включим BRAS, в качестве NAS IP указываем адрес интерфейса на стыке с SoftWLC, в данном примере – это IP-адрес интерфейса gigabitethernet 1/0/24:

Блок кода
esrwlc(config)# subscriber-control
esrwlc(config-subscriber-control)# aaa das-profile CoA
esrwlc(config-subscriber-control)# aaa sessions-radius-profile RADIUS
esrwlc(config-subscriber-control)# nas-ip-address 192.0.2.1
esrwlc(config-subscriber-control)# session mac-authentication
esrwlc(config-subscriber-control)# bypass-traffic-acl DHCP
esrwlc(config-subscriber-control)# default-service
esrwlc(config-subscriber-default-service)# class-map INTERNET
esrwlc(config-subscriber-default-service)# filter-name local defaultservice
esrwlc(config-subscriber-default-service)# filter-action permit
esrwlc(config-subscriber-default-service)# default-action redirect http://192.0.2.20:8080/eltex_portal/
esrwlc(config-subscriber-default-service)# session-timeout 3600
esrwlc(config-subscriber-default-service)# exit
esrwlc(config-subscriber-control)# enable
esrwlc(config-subscriber-control)# exit

Далее необходимо сконфигурировать правила перехода между зонами безопасности:

Блок кода
esrwlc(config)# object-group service telnet
esrwlc(config-object-group-service)# port-range 23
esrwlc(config-object-group-service)# exit
esrwlc(config)# object-group service ssh
esrwlc(config-object-group-service)# port-range 22
esrwlc(config-object-group-service)# exit
esrwlc(config)# object-group service dhcp_server
esrwlc(config-object-group-service)# port-range 67
esrwlc(config-object-group-service)# exit
esrwlc(config)# object-group service dhcp_client
esrwlc(config-object-group-service)# port-range 68
esrwlc(config-object-group-service)# exit
esrwlc(config)# object-group service ntp
esrwlc(config-object-group-service)# port-range 123
esrwlc(config-object-group-service)# exit

Scroll Pagebreak
Разрешим доступ в Интернет из зон trusted и dmz:

Блок кода
esrwlc(config)# security zone-pair trusted untrusted
esrwlc(config-zone-pair)# rule 10
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol any
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair)# exit
esrwlc(config)# security zone-pair dmz untrusted
esrwlc(config-zone-pair)# rule 10
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol any
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair)# exit
esrwlc(config)# security zone-pair dmz trusted
esrwlc(config-zone-pair)# rule 10
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol any
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair)# exit

Разрешим прохождение DHCP из trusted в dmz:

Блок кода
esrwlc(config)# security zone-pair trusted dmz
esrwlc(config-zone-pair)# rule 10
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol udp
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# match source-port dhcp_client
esrwlc(config-zone-pair-rule)# match destination-port dhcp_server
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair)# exit

Scroll Pagebreak

Разрешим прохождение ICMP к устройству, для работы BRAS необходимо открыть порты для веб-проксирования – TCP 3129/3128 (NetPort Discovery Port/Active API Server Port):

Блок кода
esrwlc(config)# object-group service bras
esrwlc(config-object-group-service)# port-range 3129
esrwlc(config-object-group-service)# port-range 3128
esrwlc(config-object-group-service)# exit
esrwlc(config)# security zone-pair trusted self
esrwlc(config-zone-pair)# rule 10
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol tcp
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# match source-port any
esrwlc(config-zone-pair-rule)# match destination-port bras
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair)# rule 20
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol icmp
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair-rule)# exit
esrwlc(config)# security zone-pair dmz self
esrwlc(config-zone-pair)# rule 20
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol icmp
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair-rule)# exit
esrwlc(config)# security zone-pair untrusted self
esrwlc(config-zone-pair)# rule 20
esrwlc(config-zone-pair-rule)# action permit
esrwlc(config-zone-pair-rule)# match protocol icmp
esrwlc(config-zone-pair-rule)# match source-address any
esrwlc(config-zone-pair-rule)# match destination-address any
esrwlc(config-zone-pair-rule)# enable
esrwlc(config-zone-pair-rule)# exit
esrwlc(config-zone-pair-rule)# exit

Активируем DHCP-Relay:

Блок кода
esrwlc(config)# ip dhcp-relay 

Настроим SNAT в порт gigabitethernet 1/0/1:

Блок кода
esrwlc(config)# nat source
esrwlc(config-snat)# ruleset inet
esrwlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1
esrwlc(config-snat-ruleset)# rule 10
esrwlc(config-snat-rule)# match source-address any
esrwlc(config-snat-rule)# action source-nat interface
esrwlc(config-snat-rule)# enable
esrwlc(config-snat-rule)# end

Scroll Pagebreak
Пример настройки без SoftWLC

...

Для настройки функционала BRAS необходимо наличие лицензии BRAS:

Блок кода
esrwlc(config)# do sh licence
Licence information
-------------------
Name:    Eltex
Version: 1.0
Type:    ESR-X
S/N:     NP00000000
MAC:     XX:XX:XX:XX:XX:XX
Features:
  BRAS – Broadband Remote Access Server

Настройка параметров для взаимодействия с RADIUS-сервером:

Блок кода
esrwlc(config)# radius-server host 192.168.1.2
esrwlc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrwlc(config-radius-server)# source-address 192.168.1.1
esrwlc(config-radius-server)# exit

Создадим профиль AAA:

Блок кода
esrwlc(config)#  aaa radius-profile bras_radius
esrwlc(config-aaa-radius-profile)# radius-server host 192.168.1.2
esrwlc(config-aaa-radius-profile)#  exit
esrwlc(config)#  aaa radius-profile bras_radius_servers
esrwlc(config-aaa-radius-profile)#  radius-server host 192.168.1.2
esrwlc(config-aaa-radius-profile)#  exit

Укажем параметры к DAS-серверу:

Блок кода
esrwlc(config)# das-server das
esrwlc(config-das-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrwlc(config-das-server)#  exit
esrwlc(config)#  aaa das-profile bras_das
esrwlc(config-aaa-das-profile)#  das-server das
esrwlc(config-aaa-das-profile)# exit
esrwlc(config)#  vlan 10
esrwlc(config-vlan)#  exit

Scroll Pagebreak
Далее создаем правила для редиректа на портал и пропуска трафика в Интернет:

Блок кода
esrwlc(config)# ip access-list extended BYPASS
esrwlc(config-acl)# rule 1
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol udp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port 68
esrwlc(config-acl-rule)# match destination-port 67
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# rule 2
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol udp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 53
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config)# ip access-list extended INTERNET
esrwlc(config-acl)# rule 1
esrwlc(config-acl-rule)#  action permit
esrwlc(config-acl-rule)# match protocol any
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config)# ip access-list extended WELCOME
esrwlc(config-acl)# rule 10
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol tcp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 443
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# rule 20
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol tcp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 8443


Блок кода
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# rule 30
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol tcp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 80
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit
esrwlc(config-acl)# rule 40
esrwlc(config-acl-rule)# action permit
esrwlc(config-acl-rule)# match protocol tcp
esrwlc(config-acl-rule)# match source-address any
esrwlc(config-acl-rule)# match destination-address any
esrwlc(config-acl-rule)# match source-port any
esrwlc(config-acl-rule)# match destination-port 8080
esrwlc(config-acl-rule)# enable
esrwlc(config-acl-rule)# exit

Настройка действия фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

Блок кода
esrwlc(config)# object-group url defaultserv
esrwlc(config-object-group-url)# url http://eltex.nsk.ru
esrwlc(config-object-group-url)# url http://ya.ru
esrwlc(config-object-group-url)# url https://ya.ru
esrwlc(config-object-group-url)# exit

Сконфигурируем и включим BRAS, в качестве NAS IP указываем адрес интерфейса на стыке с RADIUS-сервером в данном примере – это IP-адрес интерфейса gigabitethernet 1/0/2:

Блок кода
esrwlc(config)# subscriber-control
esrwlc(config-subscriber-control)# aaa das-profile bras_das
esrwlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius
esrwlc(config-subscriber-control)# aaa services-radius-profile bras_radius_servers
esrwlc(config-subscriber-control)# nas-ip-address 192.168.1.1
esrwlc(config-subscriber-control)# session mac-authentication
esrwlc(config-subscriber-control)# bypass-traffic-acl BYPASS
esrwlc(config-subscriber-control)# default-service
esrwlc(config-subscriber-default-service)# class-map BYPASS
esrwlc(config-subscriber-default-service)# filter-name local defaultserv
esrwlc(config-subscriber-default-service)# filter-action permit
esrwlc(config-subscriber-default-service)# default-action redirect http://192.
168.1.2:8080/eltex_portal
esrwlc(config-subscriber-default-service)# session-timeout 121
esrwlc(config-subscriber-default-service)# exit
esrwlc(config-subscriber-control)# enable
esrwlc(config-subscriber-control)# exit

Scroll Pagebreak
На интерфейсах, для которых требуется работа BRAS, произвести настройку (для успешного запуска требуется как минимум один интерфейс):

Блок кода
esrwlc(config)# bridge 10
esrwlc(config-bridge)# vlan 10
esrwlc(config-bridge)# ip firewall disable
esrwlc(config-bridge)# ip address 10.10.0.1/16
esrwlc(config-bridge)# ip helper-address 192.168.1.2
esrwlc(config-bridge)# service-subscriber-control any
esrwlc(config-bridge)# location USER
esrwlc(config-bridge)# protected-ports
esrwlc(config-bridge)# protected-ports exclude vlan
esrwlc(config-bridge)# enable
esrwlc(config-bridge)# exit

Сконфигурируем порт в сторону RADIUS-сервера:

Блок кода
esrwlc(config)# interface gigabitethernet 1/0/2
esrwlc(config-if-gi)# ip firewall disable
esrwlc(config-if-gi)# ip address 192.168.1.1/24
esrwlc(config-if-gi)# exit

Порт в сторону клиента:

Блок кода
esrwlc(config)# interface gigabitethernet 1/0/3.10
esrwlc(config-subif)# bridge-group 10
esrwlc(config-subif)# ip firewall disable
esrwlc(config-subif)# exit

Настройка SNAT в порт gigabitethernet 1/0/2:

Блок кода
esrwlc(config)# nat source
esrwlc(config-snat)# ruleset factory
esrwlc(config-snat-ruleset)# to interface gigabitethernet 1/0/2
esrwlc(config-snat-ruleset)# rule 10
esrwlc(config-snat-rule)# description "replace 'source ip' by outgoing interface ip address"
esrwlc(config-snat-rule)# match protocol any
esrwlc(config-snat-rule)# match source-address any
esrwlc(config-snat-rule)# match destination-address any
esrwlc(config-snat-rule)# action source-nat interface
esrwlc(config-snat-rule)# enable
esrwlc(config-snat-rule)# exit
esrwlc(config-snat-ruleset)# exit
esrwlc(config-snat)# exit
esrwlc(config)# ip route 0.0.0.0/0 192.168.1.2

Изменения конфигурации вступят в действие после применения:

Блок кода
esrwlc(config) # do commit
esrwlc(config) # do confirm

Scroll Pagebreak
Для просмотра информации и статистики по сессиям контроля пользователей – можно воспользоваться командой:

Блок кода
esrwlc# # sh subscriber-control sessions status 

Session id      User name    IP address      MAC address       Interface          Domain            
--------------------   ---------------  ---------------   -----------------   
1729382256910270473    Bras_user   10.10.0.3  54:e1:ad:8f:37:35     gi1/0/3.10     --   

...