...
Конфигурация object-group:
Перейти в конфигурационный режим:Блок кода wlc# configure wlc(config)#
Создать группу wnam_servers:
Блок кода wlc(config)# object-group network wnam_servers
Добавить адрес WNAM сервера:
Блок кода wlc(config-object-group-network)# ip address-range 100.110.1.44 wlc(config-object-group-network)# exit
Создать группу bras_users:
Блок кода wlc(config)# object-group network bras_users
Добавить пул адресов клиентов, которые будут попадать авторизоваться через портал (Bridge 1, Vlan 1):
Блок кода wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254 wlc(config-object-group-network)# exit
Создать группу local:
Блок кода wlc(config)# object-group network local
Добавить пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:
Блок кода wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254 wlc(config-object-group-network)# exit
Создать группу defaultService:
Блок кода wlc(config)# object-group url defaultService
Добавить url с адресом WNAM сервера для работы правила фильтрации авторизации пользователей:
Блок кода wlc(config-object-group-url)# http://100.110.1.44 wlc(config-object-group-url)# exit
Полная конфигурация object-group:
Блок кода object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.2.2-192.168.2.254 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit
Конфигурация Bridge:
Конфигурация Bridge UPLINK:Блок кода wlc(config)# bridge 2
Прописать ip-адрес для связности с сервером WNAM:
Блок кода wlc(config-bridge)# ip address 100.110.0.246/23 wlc(config-bridge)# exit
Конфигурация Bridge users:
Блок кода wlc(config)# bridge 3
Добавить location для определения сервером WNAM неавторизованных клиентов:
Блок кода wlc(config-bridge)# location data10 wlc(config-bridge)# exit
Полная конифгурация Bridge:
Блок кода bridge 1 vlan 1 description "MGMT-AP" security-zone trusted ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 vlan 2 description "UPLINK" security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit
Конфигурация Vlan:
Конфигурация клиентского Vlan 3 (Bridge 3):Блок кода wlc(config)# vlan 3
Добавить параметр force-up, который переводит Vlan в режим постоянного статуса UP:
Блок кода wlc(config-vlan)# force-up wlc(config-vlan)# exit
Полная конфигурация Vlan:
Блок кода vlan 3 force-up exit vlan 2 exit
Настройка списков контроля доступа:
Создание списка контроля доступа для ограничения неавторизованных пользователей в сети, которым разрешено выполнять DNS-запросы, получать адрес по протоклу dhcp:Блок кода wlc(config-acl)# ip access-list extended BYPASS
Создание правила с номером 10, это правило отвечает за разрешение получение адреса по протоколу dhcp неавторизованным клиентам:
Блок кода wlc(config-acl)# rule 10
Добавляем действие правила - разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавляем совпадение по протоколу udp:
Блок кода wlc(config-acl-rule)# match protocol udp
Добавляем совпадение по порту источника:
Блок кода wlc(config-acl-rule)# match source-port 68
Добавляем совпадение по порту назначения:
Блок кода wlc(config-acl-rule)# match destination-port 67
Включаем правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit
Создаем правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:
Блок кода wlc(config-acl)# rule 11
Добавляем действие правило - разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавляем совпадение по протоколу udp:
Блок кода wlc(config-acl-rule)# match protocol udp
Добавляем совпадение по порту назначения 53:
Блок кода wlc(config-acl-rule)# match destionation-port 53
Включаем правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit
Создаем список контроля доступа для авторизации клиентов, в котором разрешены http/https-запросы:
Создаем списка контроля доступа:Блок кода wlc(config)# ip access-list extended WELCOME
Создаем правило с номером 10, в котором разрешены https-запросы:
Блок кода wlc(config-acl)# rule 10
Добавляем действие правила - разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавляем совпадение по протоколу tcp:
Блок кода wlc(config-acl-rule)# match protocol tcp
Добавляем совпадение по порту назначения:
Блок кода wlc(config-acl-rule)# match destination-port 443
Включаем правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit
Создаем правило с номером 30, в котором разрешены http-запросы:
Блок кода wlc(config-acl)# rule 30
Добавляем действие правила - разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавляем совпадние по протоколу udp:
Блок кода wlc(config-acl-rule)# match protocol udp
Добавялем совпадение по порту назначения:
Блок кода wlc(config-acl-rule)# match destination-port 80
Включаем правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit
...
Создаем список контроля доступа, который будет применяться после авторизации клиента, он разрешает полный доступ:
Создание списка:Блок кода wlc(config)# ip access-list extended
...
INTERNETСоздаем правило с номером 10, которое разрешает все:
Блок кода wlc(config-acl)# rule 10Добавляем действие правила - разрешение:
Блок кода wlc(config-acl-rule)# action permitВключаем правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exitПолная конфигурация списков контроля доступа:
Блок кода ip access-list extended BYPASS rule 10 action permit match protocol udp match source-port 68 match destination-port 67 enable exit rule 11 action permit match protocol udp match destination-port 53 enable exit exit ip access-list extended WELCOME rule 10 action permit match protocol tcp match destination-port 443 enable exit rule 30 action permit match protocol tcp match destination-port 80 enable exit exit ip access-list extended INTERNET rule 10 action permit enable exit exit
Настройка RADIUS:
Добавляем RADIUS-сервер с адресом WNAM:Блок кода wlc(config)# radius-server host 100.110.1.44
...
Указываем секретный ключ для взаимодействия:
Блок кода wlc(config-radius-server)# key ascii-text wnampass
...
Указываем адрес источник (Bridge 2):
Блок кода wlc(config-radius-server)# source-address 100.110.0.246 wlc(config-radius-server)# exit
Создаем aaa профиль с адресом WNAM сервера:
Блок кода wlc(config)# aaa radius-profile bras_radius
...
Указываем адрес WNAM сервера:
Блок кода wlc(config-aaa-radius-profile)# radius-server host 100.110.1.44
...
wlc(config-aaa-radius-profile)# exitСоздаем сервер DAS:
Блок кода wlc(config)# das-server das
...
Указываем секретный ключ:
Блок кода wlc(config-das-server)# key ascii-text wnampass
...
Указываем порт:
Блок кода wlc(config-das-server)# port 3799Добавляем object-group, в которой указан адрес сервера WNAM:
Блок кода wlc(config-das-server)# clients object-group wnam_servers wlc(config-das-server)# exit
Создаем aaa профиль для DAS-сервера:
Блок кода wlc(config)# aaa das-profile bras_das
...
Указываем имя DAS-сервера, которое создали ранее:
Блок кода wlc(config-aaa-das-server)# das-server das wlc(config-aaa-das-server)# exit
...
Полная конфигурация RADIUS:
Блок кода radius-server host 100.110.1.44 key ascii-text wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exitНастройка NAT:
Переходим в блок конифгурации NAT:Блок кода wlc(config)# nat sourceСоздаем пул, в котором указывается адрес для подмены:
Блок кода wlc(config-snat)# pool translateУказываем адрес (Bridge 2):
Блок кода wlc(config-snat-pool)# ip address-range 100.110.0.246 wlc(config-snat-pool)# exitСоздаем список правил:
Блок кода wlc(config-snat)# ruleset SNATУказываем внешний интерфейс, в который будет происходить трансляция адресов:
Блок кода wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1Создаем правило с номером 1:
Блок кода wlc(config-snat-ruleset)# rule 1Добавляем совпадение по адресу источника, в качестве которого выступает object-group с пулом адресов клиентов:
Блок кода wlc(config-snat-rule)# match source-address object-group localУказываем действие правила - преобразование адресов источника в адрес, указанный в пуле translate:
Блок кода wlc(config-snat-rule)# action source-nat pool translateВключаем правило:
Блок кода wlc(config-snat-rule)# enable wlc(config-snat-rule)# exit wlc(config-snat-ruleset)# exit wlc(config-snat)# exitПолная конфигурация
...
NAT:
Блок кода nat source pool translate ip address-range 100.110.0.246 exit ruleset SNAT to interface gigabitethernet 1/0/1 rule 1 match source-address object-group local action source-nat pool translate enable exit exit exit
Конфигурация Security Zone-Pair:
...