История страницы

...

1. Конфигурация object-group:
   Перейти в конфигурационный режим:

   Блок кода
   wlc# configure wlc(config)#

   Создать группу wnam_servers:

   Блок кода
   wlc(config)# object-group network wnam_servers

   Добавить адрес WNAM сервера:

   Блок кода
   wlc(config-object-group-network)# ip address-range 100.110.1.44 wlc(config-object-group-network)# exit

   Создать группу bras_users:

   Блок кода
   wlc(config)# object-group network bras_users

   Добавить пул адресов клиентов, которые будут попадать авторизоваться через портал (Bridge 1, Vlan 1):

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254 wlc(config-object-group-network)# exit

   Создать группу local:

   Блок кода
   wlc(config)# object-group network local

   Добавить пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254 wlc(config-object-group-network)# exit

   Создать группу defaultService:

   Блок кода
   wlc(config)# object-group url defaultService

   Добавить url с адресом WNAM сервера для работы правила фильтрации авторизации пользователей:

   Блок кода
   wlc(config-object-group-url)# http://100.110.1.44 wlc(config-object-group-url)# exit

   Полная конфигурация object-group:

   Блок кода
   object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.2.2-192.168.2.254 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit

   
   

2. Конфигурация Bridge:
   Конфигурация Bridge UPLINK:

   Блок кода
   wlc(config)# bridge 2

   Прописать ip-адрес для связности с сервером WNAM:

   Блок кода
   wlc(config-bridge)# ip address 100.110.0.246/23 wlc(config-bridge)# exit

   Конфигурация Bridge users:

   Блок кода
   wlc(config)# bridge 3

   Добавить location для определения сервером WNAM неавторизованных клиентов:

   Блок кода
   wlc(config-bridge)# location data10 wlc(config-bridge)# exit

   Полная конифгурация Bridge:

   Блок кода
   bridge 1 vlan 1 description "MGMT-AP" security-zone trusted ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 vlan 2 description "UPLINK" security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit

   
   

3.  Конфигурация Vlan:
   Конфигурация клиентского Vlan 3 (Bridge 3):

   Блок кода
   wlc(config)# vlan 3

   Добавить параметр force-up, который переводит Vlan в режим постоянного статуса UP:

   Блок кода
   wlc(config-vlan)# force-up wlc(config-vlan)# exit

   Полная конфигурация Vlan:

   Блок кода
   vlan 3 force-up exit vlan 2 exit

   
   

4. Настройка списков контроля доступа:
   Создание списка контроля доступа для ограничения неавторизованных пользователей в сети, которым разрешено выполнять DNS-запросы, получать адрес по протоклу dhcp:

   Блок кода
   wlc(config-acl)# ip access-list extended BYPASS

   Создание правила с номером 10, это правило отвечает за разрешение получение адреса по протоколу dhcp неавторизованным клиентам:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту источника:

   Блок кода
   wlc(config-acl-rule)# match source-port 68

   Добавляем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 67

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создаем правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:

   Блок кода
   wlc(config-acl)# rule 11

   Добавляем действие правило - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту назначения 53:

   Блок кода
   wlc(config-acl-rule)# match destionation-port 53

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Создаем список контроля доступа для авторизации клиентов, в котором разрешены http/https-запросы:
   Создаем списка контроля доступа:

   Блок кода
   wlc(config)# ip access-list extended WELCOME

   Создаем правило с номером 10, в котором разрешены https-запросы:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу tcp:

   Блок кода
   wlc(config-acl-rule)# match protocol tcp

   Добавляем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 443

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создаем правило с номером 30, в котором разрешены http-запросы:

   Блок кода
   wlc(config-acl)# rule 30

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадние по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавялем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 80

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

...

1. Создаем список контроля доступа, который будет применяться после авторизации клиента, он разрешает полный доступ:
   Создание списка:

   Блок кода
   wlc(config)# ip access-list extended

...

1. INTERNET

   Создаем правило с номером 10, которое разрешает все:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Полная конфигурация списков контроля доступа:

   Блок кода

   ip access-list extended BYPASS rule 10 action permit match protocol udp match source-port 68 match destination-port 67 enable exit rule 11 action permit match protocol udp match destination-port 53 enable exit exit ip access-list extended WELCOME rule 10 action permit match protocol tcp match destination-port 443 enable exit rule 30 action permit match protocol tcp match destination-port 80 enable exit exit ip access-list extended INTERNET rule 10 action permit enable exit exit

   
   

2. Настройка RADIUS:
   Добавляем RADIUS-сервер с адресом WNAM:

   Блок кода
   wlc(config)# radius-server host 100.110.1.44

...

1. Указываем секретный ключ для взаимодействия:

   Блок кода
   wlc(config-radius-server)# key ascii-text wnampass

...

1. Указываем адрес источник (Bridge 2):

   Блок кода
   wlc(config-radius-server)# source-address 100.110.0.246 wlc(config-radius-server)# exit

   Создаем aaa профиль с адресом WNAM сервера:

   Блок кода
   wlc(config)# aaa radius-profile bras_radius

...

1. Указываем адрес WNAM сервера:

   Блок кода
   wlc(config-aaa-radius-profile)# radius-server host 100.110.1.44

...

1. wlc(config-aaa-radius-profile)# exit

   Создаем сервер DAS:

   Блок кода
   wlc(config)# das-server das

...

1. Указываем секретный ключ:

   Блок кода
   wlc(config-das-server)# key ascii-text wnampass

...

1. Указываем порт:

   Блок кода
   wlc(config-das-server)# port 3799

   Добавляем object-group, в которой указан адрес сервера WNAM:

   Блок кода
   wlc(config-das-server)# clients object-group wnam_servers wlc(config-das-server)# exit

   Создаем aaa профиль для DAS-сервера:

   Блок кода
   wlc(config)# aaa das-profile bras_das

...

1. Указываем имя DAS-сервера, которое создали ранее:

   Блок кода
   wlc(config-aaa-das-server)# das-server das wlc(config-aaa-das-server)# exit

...

1. Полная конфигурация RADIUS:

   Блок кода
   radius-server host 100.110.1.44 key ascii-text wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exit

   
   

2. Настройка NAT:
   Переходим в блок конифгурации NAT:

   Блок кода
   wlc(config)# nat source

   Создаем пул, в котором указывается адрес для подмены:

   Блок кода
   wlc(config-snat)# pool translate

   Указываем адрес (Bridge 2):

   Блок кода
   wlc(config-snat-pool)# ip address-range 100.110.0.246 wlc(config-snat-pool)# exit

   Создаем список правил:

   Блок кода
   wlc(config-snat)# ruleset SNAT

   Указываем внешний интерфейс, в который будет происходить трансляция адресов:

   Блок кода
   wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1

   Создаем правило с номером 1:

   Блок кода
   wlc(config-snat-ruleset)# rule 1

   Добавляем совпадение по адресу источника, в качестве которого выступает object-group с пулом адресов клиентов:

   Блок кода
   wlc(config-snat-rule)# match source-address object-group local

   Указываем действие правила - преобразование адресов источника в адрес, указанный в пуле translate:

   Блок кода
   wlc(config-snat-rule)# action source-nat pool translate

    Включаем правило:

   Блок кода
   wlc(config-snat-rule)# enable wlc(config-snat-rule)# exit wlc(config-snat-ruleset)# exit wlc(config-snat)# exit

   Полная конфигурация

...

1. NAT:

   Блок кода
   nat source pool translate ip address-range 100.110.0.246 exit ruleset SNAT to interface gigabitethernet 1/0/1 rule 1 match source-address object-group local action source-nat pool translate enable exit exit exit

   
   

Конфигурация Security Zone-Pair:

...