...

wlc# configure
wlc(config)#	

Конфигурование  WLC

1. Конфигурация object-group:
   Перейти в конфигурационный режим:

   Блок кода
   wlc# configure wlc(config)#

   Создать группу wnam_servers:

   Блок кода
   wlc(config)# object-group network wnam_servers

...

1. Добавить адрес WNAM сервера:

   Блок кода
   wlc(config-object-group-network)# ip address-range 100.110.1.44

...

1. wlc(config-object-group-network)#

...

1. exit

   Создать группу bras_users

...

1. :

   Блок кода
   wlc(config)# object-group network bras_users

   Добавить пул адресов клиентов, которые будут попадать авторизоваться через портал (Bridge 1, Vlan 1):

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254

...

1. wlc(config-object-group-network)# exit

   Создать группу local:

   Блок кода
   wlc(config)# object-group network local

...

1. Добавить пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254

...

1. wlc(config-object-group-network)#

...

1. exit

   Создать группу defaultService:

   Блок кода
   wlc(config)# object-group url defaultService

   Добавить url с адресом WNAM сервера для работы правила фильтрации авторизации пользователей:

   Блок кода
   wlc(config-object-group-url)# http://100.110.1.44

...

1. wlc(config-object-group-url)# exit

   Полная конфигурация object-group

...

1. :

   Блок кода

...

1. object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.

...

1. 2.2-192.168.2.254 exit object-group network local ip address-range

...

1. 192.

...

1. 168.

...

1. 2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit

   
   

2. Конфигурация Bridge:
   Конфигурация Bridge UPLINK:

   Блок кода
   wlc(config)# bridge 2

   Прописать ip-адрес для связности с сервером WNAM:

   Блок кода
   wlc(config-bridge)# ip address

...

1. 100.

...

1. 110.

...

1. 0.

...

1. 246/

...

1. 23 wlc(config-bridge)# exit

   Конфигурация

...

1. Bridge users:

   Блок кода

...

vlan 3
  force-up
exit
vlan 2
exit

Конфигурация интерфейсов:

...

1. wlc(config)# bridge 3

   Добавить location для определения сервером WNAM неавторизованных клиентов:

   Блок кода
   wlc(config-bridge)# location data10 wlc(config-bridge)# exit

   Полная конифгурация Bridge:

   Блок кода
   bridge 1 vlan 1

...

1. description "

...

1. MGMT-AP" security-zone trusted

...

1. ip address 192.168.1.1/24

...

1. no spanning-tree enable exit bridge 2 vlan 2 description "

...

1. UPLINK"

...

1. security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit

   
   

2.  Конфигурация Vlan:
   Конфигурация клиентского Vlan 3 (Bridge 3):

   Блок кода
   wlc(config)# vlan 3

   Добавить параметр force-up, который переводит Vlan в режим постоянного статуса UP:

   Блок кода
   wlc(config-vlan)# force-up wlc(config-vlan)# exit

   Полная конфигурация Vlan:

   Блок кода
   vlan 3 force-up exit vlan 2 exit

   
   

3. Настройка списков контроля доступа:
   Создание списка контроля доступа для ограничения неавторизованных пользователей в сети, которым разрешено выполнять DNS-запросы, получать адрес по протоклу dhcp:

   Блок кода
   wlc(config-acl)# ip access-list extended BYPASS

   Создание правила с номером 10, это правило отвечает за разрешение получение адреса по протоколу dhcp неавторизованным клиентам:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту источника:

   Блок кода
   wlc(config-acl-rule)# match source-port 68

   Добавляем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 67

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создаем правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:

   Блок кода
   wlc(config-acl)# rule 11

   Добавляем действие правило - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту назначения 53:

   Блок кода
   wlc(config-acl-rule)# match destionation-port 53

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Создаем список контроля доступа для авторизации клиентов, в котором разрешены http/https-запросы:
   Создаем списка контроля доступа:

   Блок кода
   wlc(config)# ip access-list extended WELCOME

   Создаем правило с номером 10, в котором разрешены https-запросы:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу tcp:

   Блок кода
   wlc(config-acl-rule)# match protocol tcp

   Добавляем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 443

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создаем правило с номером 30, в котором разрешены http-запросы:

   Блок кода
   wlc(config-acl)# rule 30

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадние по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавялем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 80

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   
   

Конфигурация списков контроля доступа:

...