...
В данной статье будет рассмотрен пример настройки авторизации клиента через гостевой портал путем идентификации по коду ваучера. Иные способы гостевой авторизации выходят за рамки данной статьи, так как взаимодействие между системой WNAM и BRAS WLC не изменяется. При возникновении трудностей с другими видами гостевой авторизации необходимо обратиться в поддержку WNAM.
Перед началом построения взаимодействия между Netams WNAM и WLC необходимо сконфигурировать и протестировать работу беспроводной сети и контроллера WLC без портальной авторизации и файрволласетевого экрана. Если беспроводная сеть функционирует корректно функционирует, можно приступать к настройки портальной авторизации и конфигурации настроек файрволла.
В данной статье используется подключение ТД к контроллеру WLC на основе сети L3 с построением Data SoftGRE туннеля. В данной статье детально статье Настрoйка WLC детально описана настройка данной схемы подключения Настрoйка WLC.
Рекомендуется ознакомиться с тонкостями настройки BRAS на ESR/WLC с портальной авторизацией на основе SoftWLC , в следующих статьях:
...
- Контроллер WLC имеет адреса:
- из сети WNAM: 100.110.0.246/23 (Vlan 1000);
- из сети управления ТД: 192.168.1.1/24 (Bridge 1);
- из сети клиентов ТД без авторизации: 192.168.2.1/24 (Bridge 3, Vlan 3).
- из сети клиентов ТД с портальной авторизацией: 192.168.3.1/24 (Bridge 4, Vlan 4).
- Сервер авторизации WNAM имеет адрес: 100.110.1.44/23 (Vlan 1000);
- Точка доступа подключена к WLC и получит первичный, адрес регистрации на WLC, а также подопцию для построения Data туннеля из пула DHCP, настроенного на WLC из сети: 192.168.1.0/24 ;
- Клиенты без авторизации, получают адреса из пула DHCP, настроенного на WLC из сети: 192.168.2.0/24 (Vlan 3).
- Клиенты с авторизацией, получают адреса из пула DHCP, настроенного на WLC из сети: 192.168.3.0/24 (Vlan 4).
- Сервис для доступа в Интернет после авторизации на портале имеет имя: INTERNET.
...
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Конфигурование WLC
Конфигурация адресных объектовКонфигурация object-group:
| Блок кода |
|---|
object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.3.20-192.168.3.250 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group network local2 ip address-range 192.168.3.1-192.168.3.254 exit object-group url defaultService url http://100.110.1.44 exit |
Конфигурация БриджейBridge:
| Блок кода |
|---|
bridge 1 description "MGMT_AP" enable exit bridge 2 description "Internet" no vlan exit bridge 3 description "SoftGRE_or_L2" history statistics exit bridge 4 description "SoftGRE_or_L2-BRAS" vlan 4 security-zone users ip address 192.168.3.1/24 service-subscriber-control object-group bras_users location data10 protected-ports local no spanning-tree enable exit |
Конфигурация Vlan:
| Блок кода |
|---|
vlan 4 name "FreeSSID" force-up exit vlan 10 name "MNMG-L2" exit |
Конфигурация интерфейсов:
| Блок кода |
|---|
interface gigabitethernet 1/0/1 spanning-tree disable exit interface gigabitethernet 1/0/1.1000 description "to-WNAM" bridge-group 2 exit interface gigabitethernet 1/0/4 lldp receive exit interface gigabitethernet 1/0/4.4 description "L2_BRAS" bridge-group 4 exit interface gigabitethernet 1/0/4.10 description "MNGT_AP" bridge-group 1 exit |
Конфигурация списков контроля доступа:
| Блок кода |
|---|
ip access-list extended BYPASS
rule 10
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 11
action permit
match protocol udp
match destination-port 53
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
exit
ip access-list extended INTERNET
rule 10
action permit
enable
exit
exit |
Настройка RADIUS:
| Блок кода |
|---|
radius-server host 100.110.1.44 key ascii-text encrypted wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text encrypted wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exit |
Конфигурация Softgre-controller:
| Блок кода |
|---|
softgre-controller service-vlan add 3-4 exit |
Конфигурация DHCP сервера:
| Блок кода |
|---|
ip dhcp-server pool ap-pool2 network 192.168.3.0/24 address-range 192.168.3.20-192.168.3.250 default-router 192.168.3.1 dns-server 192.168.3.1 exit |
Конфигурация NAT:
| Блок кода |
|---|
nat source
pool translate
ip address-range 100.110.0.246
exit
ruleset SNAT
to interface gigabitethernet 1/0/1.1000
rule 1
match source-address object-group local
action source-nat pool translate
enable
exit
rule 2
match source-address object-group local2
action source-nat pool translate
enable
exit
exit
exit |
Конфигурация Security Zone-Pair:
| Блок кода |
|---|
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 20
action permit
match protocol tcp
match destination-port object-group http
enable
exit |
Конфигурация режима WLC:
| Блок кода |
|---|
wlc
ap-location default-location
ssid-profile freeSSID_bras
exit
ssid-profile default-ssid
description F.E.wlc-30_PSK
ssid F.E.wlc-30_PSK
exit
ssid-profile freeSSID_bras
description F.E.free
ssid F.E.freeSSID
vlan-id 4
band 2g
band 5g
enable
exit
exit |
Конфигурация BRAS:
| Блок кода |
|---|
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius
nas-ip-address 100.110.0.246
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultService
filter-action permit
default-action redirect http://100.110.1.44/cp/eltexwlc
session-timeout 600
exit
enable
exit |
...