...
| Блок кода |
|---|
ip access-list extended BYPASS
rule 10
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 11
action permit
match protocol udp
match destination-port 53
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
exit
ip access-list extended INTERNET
rule 10
action permit
enable
exit
exit |
Конфигурация BRAS:Настройка RADIUS
| Блок кода |
|---|
subscriber-controlradius-server host 100.110.1.44
aaakey dasascii-profile bras_dastext encrypted wnampass
aaa sessions-radius-profile bras_radius
aaa services-source-address 100.110.0.246
exit
aaa radius-profile bras_radius
nas-ip-addressradius-server host 100.110.01.246
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultService
filter-action permit
default-action redirect http://100.110.1.44/cp/eltexwlc
session-timeout 600
exit
enable
exit |
| Подсказка |
|---|
|
При конфигурации default-action redirect всегда используется шаблон "http://<ip-address WNAM>/cp/eltexwlc", где <ip-address WNAM> сетевой адрес сервера Netams WNAM.
В случае указания другого url авторизация работать не будет.
|
Настройка RADIUS
| Блок кода |
|---|
radius-server host 100.110.1.44
key ascii-text encrypted wnampass
source-address 100.110.0.246
exit
aaa radius-profile bras_radius
radius-server host 100.110.1.44
exit
das-server das
key ascii-text encrypted wnampass
port 3799
clients object-group wnam_servers
exit
aaa das-profile bras_das
das-server das
exit |
Конфигурация режима WLC:
44
exit
das-server das
key ascii-text encrypted wnampass
port 3799
clients object-group wnam_servers
exit
aaa das-profile bras_das
das-server das
exit |
Конфигурация Softgre-controller:
| Блок кода |
|---|
softgre-controller
service-vlan add 3-4
exit |
Конфигурация DHCP сервера:
| Блок кода |
|---|
ip dhcp-server pool ap-pool2
network 192.168.3.0/24
address-range 192.168.3.20-192.168.3.250
default-router 192.168.3.1
dns-server 192.168.3.1
exit |
Конфигурация NAT:
| Блок кода |
|---|
nat source
pool translate
ip address-range 100.110.0.246
exit
ruleset SNAT
to interface gigabitethernet 1/0/1.1000
rule 1
match source-address object-group local
action source-nat pool translate
enable
exit
rule 2
match source-address object-group local2
action source-nat pool translate
enable
exit |
| Блок кода |
|---|
wlc
ap-location default-location
ssid-profile freeSSID_bras
exit
ssid-profile default-ssid
description F.E.wlc-30_PSK
ssid F.E.wlc-30_PSK
exit
ssid-profile freeSSID_bras
description F.E.free
ssid F.E.freeSSID
vlan-id 4
band 2g
band 5g
enable
exit
exit |
Конфигурация SoftgreSecurity Zone-controllerPair:
| Блок кода |
|---|
softgre-controller
service-vlan add 3-4
exit |
Конфигурация DHCP сервера:
| Блок кода |
|---|
ip dhcp-server pool ap-pool2
network 192.168.3.0/24
address-range 192.168.3.20-192.168.3.250
default-router 192.168.3.1
dns-server 192.168.3.1
exit |
Конфигурация NAT:
| Блок кода |
|---|
nat source
pool translate
ip address-range 100.110.0.246security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
rulesetrule SNAT10
toaction interfacepermit
gigabitethernet 1/0/1.1000
match protocol rule 1tcp
match sourcedestination-addressport object-group localssh
enable
actionexit
source-nat poolrule translate20
action permit
enable
match protocol exittcp
rule 2
match destination-port object-group http
enable
match source-address object-group local2
exit |
Конфигурация режима WLC:
| Блок кода |
|---|
wlc
ap-location default-location
action source-nat pool translatessid-profile freeSSID_bras
exit
ssid-profile default-ssid
enable
description F.E.wlc-30_PSK
exit
exit
exit |
Конфигурация Security Zone-Pair:
| Блок кода |
|---|
security zone-pair untrusted self
rule 1ssid F.E.wlc-30_PSK
exit
ssid-profile freeSSID_bras
action permitdescription F.E.free
match protocol udpssid F.E.freeSSID
match sourcevlan-port object-group dhcp_server
id 4
band match destination-port object-group dhcp_client2g
band 5g
enable
exit
exit |
Конфигурация BRAS:
| Блок кода |
|---|
subscriber-control
rule 10aaa das-profile bras_das
aaa action permitsessions-radius-profile bras_radius
aaa match protocol tcpservices-radius-profile bras_radius
nas-ip-address 100.110.0.246
session mac-authentication
match destination-port object-group ssh
bypass-traffic-acl BYPASS
default-service
class-map enableBYPASS
exit
filter-name rulelocal 20defaultService
filter-action permit
matchdefault-action protocol tcpredirect http://100.110.1.44/cp/eltexwlc
match destinationsession-port object-group httptimeout 600
exit
enable
exitexit |
| Подсказка |
|---|
|
При конфигурации default-action redirect всегда используется шаблон "http://<ip-address WNAM>/cp/eltexwlc", где <ip-address WNAM> сетевой адрес сервера Netams WNAM.
В случае указания другого url авторизация работать не будет.
|
Полная конфигурация приведена в файле:wlc-30_bars-wnam_hotspot.conf
...
В сети будет вещаться SSID с названием "F.E.wlc-30_PSK". После подключения будет регистрация в сети, мы попадем на портал авторизации, где необходимо ввести один из свободных ваучеров. Посмотреть доступные ваучеры можно: Конфигурация → Гостевая авторизация → Ваучеры. Выбираем группу Test_Guest-Portal и вводим свободный. После авторизации будет предоставлен доступ в интернет.
Тесты
...
| № | Задача | Настройка | Результат |
|---|
| 1 | Создание адресных объектов |
| Блок кода |
|---|
object-group network wnam_servers
ip address-range 100.110.1.44
exit
object-group network bras_users
ip address-range 192.168.3.20-192.168.3.250
exit
object-group network local
ip address-range 192.168.2.1-192.168.2.254
exit
object-group network local2
ip address-range 192.168.3.1-192.168.3.254
exit
object-group url defaultService
url http://100.110.1.44
exit |
| Применение изменений без ошибок. |
| 2 | Конфигурация Бриджей |
| Блок кода |
|---|
bridge 1
description "MGMT_AP"
enable
exit
bridge 2
description "Internet"
exit
bridge 3
description "SoftGRE_or_L2"
history statistics
exit
bridge 4
description "SoftGRE_or_L2-BRAS"
vlan 4
security-zone users
ip address 192.168.3.1/24
service-subscriber-control object-group bras_users
location data10
protected-ports local
no spanning-tree
enable
exit |
| Применение команды без ошибок. |
| 3 | Конфигурация VLAN |
| Блок кода |
|---|
vlan 4
name "FreeSSID"
force-up
exit
vlan 10
name "MNMG-L2"
exit |
| Изменение статуса Bridge 4 на UP. Проверить статус интерфейсов можно командой: | Блок кода |
|---|
show interface status |
|
| 4 | Конфигурация интерфейсов |
| Блок кода |
|---|
interface gigabitethernet 1/0/1
spanning-tree disable
exit
interface gigabitethernet 1/0/1.1000
description "to-WNAM"
bridge-group 2
exit
interface gigabitethernet 1/0/4
lldp receive
exit
interface gigabitethernet 1/0/4.4
description "L2_BRAS"
bridge-group 4
exit
interface gigabitethernet 1/0/4.10
description "MNGT_AP"
bridge-group 1
exit |
| При подключении устройства в соответствующий порт – доступность подсети, которая относится к соответствующему интерфейсу. |
| 5 | Конфигурация списков контроля доступа |
| Блок кода |
|---|
ip access-list extended BYPASS
rule 10
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 11
action permit
match protocol udp
match destination-port 53
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
exit
ip access-list extended INTERNET
rule 10
action permit
enable
exit
exit |
| Применение команд без ошибок. |
| 6 | Настройка RADIUS |
| Блок кода |
|---|
radius-server host 100.110.1.44
key ascii-text encrypted wnampass
source-address 100.110.0.246
exit
aaa radius-profile bras_radius
radius-server host 100.110.1.44
exit
das-server das
key ascii-text encrypted wnampass
port 3799
clients object-group wnam_servers
exit
aaa das-profile bras_das
das-server das
exit |
| Применение команд без ошибок. |
| 7 | Конфигурация SoftGRE-controller |
| Блок кода |
|---|
softgre-controller
service-vlan add 3-4
exit |
| Доступность клиентов между собой, которые находятся в разных VLAN. |
| 8 | Конфигурация DHCP-сервера |
| Блок кода |
|---|
ip dhcp-server pool ap-pool2
network 192.168.3.0/24
address-range 192.168.3.20-192.168.3.250
default-router 192.168.3.1
dns-server 192.168.3.1
exit |
| Получение адреса клиентом, который подключается к SSID "F.E.freeSSID". |
| 9 | Конфигурация NAT |
| Блок кода |
|---|
nat source
pool translate
ip address-range 100.110.0.246
exit
ruleset SNAT
to interface gigabitethernet 1/0/1.1000
rule 1
match source-address object-group local
action source-nat pool translate
enable
exit
rule 2
match source-address object-group local2
action source-nat pool translate
enable
exit
exit
exit |
| Доступность клиента до внешних ресурсов за пределами локальной сети, после авторизации. |
| 10 | Конфигурация Security Zone-Pair |
| Блок кода |
|---|
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 20
action permit
match protocol tcp
match destination-port object-group http
enable
exit |
| Разрешение на прохождение DHCP запросов на внешний DHCP-сервер, прохождение HTTP трафика и удаленный доступ по SSH. |
| 11 | Конфигурация WLC |
| Блок кода |
|---|
wlc
ap-location default-location
ssid-profile freeSSID_bras
exit
ssid-profile default-ssid
description F.E.wlc-30_PSK
ssid F.E.wlc-30_PSK
exit
ssid-profile freeSSID_bras
description F.E.free
ssid F.E.freeSSID
vlan-id 4
band 2g
band 5g
enable
exit
exit |
| ТД будет вещать Wi-Fi сети с названиями "F.E.wlc-30_PSK", где происходит авторизация клиентов через портал и "F.E.free", где отсутствует авторизация пользователей. |
| 12 | конфигурация BRAS |
| Блок кода |
|---|
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius
nas-ip-address 100.110.0.246
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultService
filter-action permit
default-action redirect http://100.110.1.44/cp/eltexwlc
session-timeout 600
exit
enable
exit |
| Для неавторизованных пользователей на портале запрещены любые действия в сети, кроме получения адреса по протоколу DHCP и DNS запросов. При запросе HTTP GET клиентом, срабатывает редирект на портал авторизации и разрешаются запросы протокола HTTP и SSL. После авторизации предоставляется полный доступ к сети. |
Debug Netams WNAM
...
Логирование работы правил авторизации
...
