...

• Контроллер WLC имеет адреса:
  • из сети WNAM: 100.110.0.246/23 (Vlan 2);
  • из сети управления ТД: 192.168.1.1/24 (Bridge 1, Vlan 1);
  • из сети клиентов ТД с портальной авторизацией: 192.168.3.1/24 (Bridge 3, Vlan 3).
• Сервер авторизации WNAM имеет адрес: 100.110.1.44/23 (Vlan 2);
• Точка доступа подключена к WLC. Получает адрес контроллера и терминации GRE-туннеля в 43 опции из пула DHCP, настроенного на WLC из сети: 192.168.1.0/24 (Vlan 1);
• Клиенты получают адреса из пула DHCP, настроенного на WLC из сети: 192.168.2.0/24 (Vlan 3).
• Сервис для доступа в Интернет после авторизации на портале имеет имя: INTERNET.

...

1. Конфигурование WLC:
   
   1. Конфигурация object-group - – группы адресов для NAT, неавторизованных пользователей, url-адрес для перенаправления авторизации, адрес WNAM-сервера;
   2. Конфигурация bridge - для – для сетевой связности;
   3. Конфигурация vlan;
   4. Конфигурация ACL - – для ограничения доступа к сети для неавторизованных (до авторизации) и авторизованных клиентов (после авторизации);
   5. Конфигурация RADIUS -– для взаимодействия WLC и WNAM;
   6. Конфигурация NAT - для – для доступа в интернет Wi-Fi клиентам;
   7. Конфигурация security zone - для zone – для разрешения редиректа запросов неавторизованных клиентов на WNAM;
   8. Конфигурация SSID - для – для подключения клиентов;
   9. Конфигурация subscriber-control - для – для пересылки неавторизованных клиентов на WNAM.
2. Конфигурирование WNAM:
   1. Создание сервера;
   2. Создание площадки;
   3. Создание группы ваучеров;
   4. Конфигурирование правил аутентификации;
   5. Конфигурирование правил авторизации.

Лицензирование

Для конфигурации взаимодействия Netams WNAM и WLC, необходима лицензия BRAS для WLC.
Детально о том, как установить и применить лицензию описано в статье – Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:

...

Конфигурование  Конфигурование WLC

1. Конфигурация object-group:
   Перейти в конфигурационный режим:

   Блок кода
   wlc# configure wlc(config)#

   Создать группу wnam_servers для последующего создания профиля RADIUS:

   Блок кода
   wlc(config)# object-group network wnam_servers

   Добавить адрес WNAM-сервера:

   Блок кода
   wlc(config-object-group-network)# ip address-range 100.110.1.44 wlc(config-object-group-network)# exit

   Создать группу bras_users:

   Блок кода
   wlc(config)# object-group network bras_users

   Добавить пул адресов клиентов, которые будут попадать авторизоваться через портал (Bridge 1, Vlan 1):

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254 wlc(config-object-group-network)# exit

   Создать группу local:

   Блок кода
   wlc(config)# object-group network local

   Добавить пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254 wlc(config-object-group-network)# exit

   Создать группу defaultService:

   Блок кода
   wlc(config)# object-group url defaultService

   Добавить url с адресом WNAM сервера для работы правила фильтрации авторизации пользователей:

   Блок кода
   wlc(config-object-group-url)# http://100.110.1.44 wlc(config-object-group-url)# exit

   Создаем группу redirect:

   Блок кода
   wlc(config)# object-group service redirect

   Добавляем пул портов для прослушивание http/https трафика:

   Блок кода
   wlc(config-object-group-service)# port-range 3128-3135 wlc(config-object-group-service)# exit

   
   

   Подсказка
   Слушающий порт прокси (HTTP/HTTPS) будет открыт для каждого ядра WLC/ESR.  Порты HTTP начинаются с порта 3128.  На WLC-15/30 4 ядра,  нужно разрешить порты  для HTTP 3128-3131, для HTTPS 3132-3135. На WLC-3200 24 ядра, нужно разрешить порты  для HTTP 3128-3151, для HTTPS 3152-3175.

   
   Полная конфигурация object-group:

   Блок кода
   object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.2.2-192.168.2.254 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit object-group service redirect port-range 3128-3135 exit

   
   

2. Конфигурация Bridge:
   Конфигурация Bridge для uplink:

   Блок кода
   wlc(config)# bridge 2

   Прописать ip-адрес для связности с сервером WNAM:

   Блок кода
   wlc(config-bridge)# ip address 100.110.0.246/23 wlc(config-bridge)# exit

   Конфигурация Bridge для пользователей:

   Блок кода
   wlc(config)# bridge 3

   Добавить location, по нему сервер WNAM определяет площадку для неавторизованных клиентов:

   Блок кода
   wlc(config-bridge)# location data10 wlc(config-bridge)# exit

   Полная конфигурация Bridge:

   Блок кода
   bridge 1 vlan 1 description "MGMT-AP" security-zone trusted ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 vlan 2 description "UPLINK" security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit

   
   

3.  Конфигурация Vlan:
   Конфигурация клиентского Vlan 3 (Bridge 3):

   Блок кода
   wlc(config)# vlan 3

   Добавить параметр force-up, который переводит Vlan в режим постоянного статуса UP:

   Блок кода
   wlc(config-vlan)# force-up wlc(config-vlan)# exit

   Полная конфигурация Vlan:

   Блок кода
   vlan 3 force-up exit

   
   

4. Настройка списков контроля доступа:
   Создание списка контроля доступа для ограничения неавторизованных пользователей в сети. Список разрешает прохождение DNS и DHCP  трафика :

   Блок кода
   wlc(config-acl)# ip access-list extended BYPASS

   Создание правила с номером 10, это правило отвечает за разрешение получение адреса по протоколу DHCP неавторизованным клиентам:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту источника:

   Блок кода
   wlc(config-acl-rule)# match source-port 68

   Добавляем совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 67

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создаем правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:

   Блок кода
   wlc(config-acl)# rule 11

   Добавляем действие правило - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавляем совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавляем совпадение по порту назначения 53:

   Блок кода
   wlc(config-acl-rule)# match destionation-port 53

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Создаем список контроля доступа, который будет применяться после авторизации клиента, он разрешает полный доступ:

   Создание списка:

   Блок кода
   wlc(config)# ip access-list extended INTERNET

   Создаем правило с номером 10, которое разрешает все:

   Блок кода
   wlc(config-acl)# rule 10

   Добавляем действие правила - разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Включаем правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Полная конфигурация списков контроля доступа:

   Блок кода
   ip access-list extended BYPASS rule 10 action permit match protocol udp match source-port 68 match destination-port 67 enable exit rule 11 action permit match protocol udp match destination-port 53 enable exit exit ip access-list extended INTERNET rule 10 action permit enable exit exit

   
   

5. Настройка RADIUS:
   Добавляем RADIUS-сервер с адресом WNAM:

   Блок кода
   wlc(config)# radius-server host 100.110.1.44

   Указываем ключ для взаимодействия:

   Блок кода
   wlc(config-radius-server)# key ascii-text wnampass

   Указываем адрес источник (Bridge 2):

   Блок кода
   wlc(config-radius-server)# source-address 100.110.0.246 wlc(config-radius-server)# exit

   Создаем AAA профиль с адресом WNAM сервера:

   Блок кода
   wlc(config)# aaa radius-profile bras_radius

   Указываем адрес WNAM сервера:

   Блок кода
   wlc(config-aaa-radius-profile)# radius-server host 100.110.1.44 wlc(config-aaa-radius-profile)# exit

   Создаем сервер DAS:

   Блок кода
   wlc(config)# das-server das

   Указываем ключ:

   Блок кода
   wlc(config-das-server)# key ascii-text wnampass

   Указываем порт:

   Блок кода
   wlc(config-das-server)# port 3799

   Добавляем object-group, в которой указан адрес сервера WNAM, запросы с адресов из группы wnam_servers поступят в обработку, остальные будут отброшены:

   Блок кода
   wlc(config-das-server)# clients object-group wnam_servers wlc(config-das-server)# exit

   Создаем AAA профиль для DAS-сервера:

   Блок кода
   wlc(config)# aaa das-profile bras_das

   Указываем имя DAS-сервера, которое создали ранее:

   Блок кода
   wlc(config-aaa-das-server)# das-server das wlc(config-aaa-das-server)# exit

   Полная конфигурация RADIUS:

   Блок кода
   radius-server host 100.110.1.44 key ascii-text wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exit

   
   

6. Настройка NAT:
   Переходим в блок конифгурации конифигурации NAT:

   Блок кода
   wlc(config)# nat source

   Создаем пул, в котором указывается адрес для подмены:

   Блок кода
   wlc(config-snat)# pool translate

   Указываем адрес (Bridge 2):

   Блок кода
   wlc(config-snat-pool)# ip address-range 100.110.0.246 wlc(config-snat-pool)# exit

   Создаем список правил:

   Блок кода
   wlc(config-snat)# ruleset SNAT

   Указываем внешний интерфейс, в который будет происходить трансляция адресов:

   Блок кода
   wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1

   Создаем правило с номером 1:

   Блок кода
   wlc(config-snat-ruleset)# rule 1

   Добавляем совпадение по адресу источника, в качестве которого выступает object-group с пулом адресов клиентов:

   Блок кода
   wlc(config-snat-rule)# match source-address object-group local

   Указываем действие правила - преобразование адресов источника в адрес, указанный в пуле translate:

   Блок кода
   wlc(config-snat-rule)# action source-nat pool translate

    Включаем правило:

   Блок кода
   wlc(config-snat-rule)# enable wlc(config-snat-rule)# exit wlc(config-snat-ruleset)# exit wlc(config-snat)# exit

   Полная конфигурация NAT:

   Блок кода
   nat source pool translate ip address-range 100.110.0.246 exit ruleset SNAT to interface gigabitethernet 1/0/1 rule 1 match source-address object-group local action source-nat pool translate enable exit exit exit

7. Конфигурация security zone-pair:
   Переходим в блок security zone-pair users self, чтобы открыть http/https порты в файрволле для клиентов:

   Блок кода
   wlc(config)# security zone-pair users self

   Добавляем правило с номером 50:

   Блок кода
   wlc(config-security-zone-pair)# rule 50

    Указываем действие для правила - разрешение:

   Блок кода
   wlc(config-security-zone-pair-rule)# action permit

    Добавляем совпадение по протоколу tcp:

   Блок кода
   wlc(config-security-zone-pair-rule)# match protocol tcp

   Добавляем совпадение по пулу портов в object-group:
   

   Блок кода
   wlc(config-security-zone-pair-rule)# match destionation-port object-group redirect

   Включаем правило:
   

   Блок кода
   wlc(config-security-zone-pair-rule)# enable wlc(config-security-zone-pair-rule)# exit wlc(config-security-zone)# exit

   Полная конфигурация security zone-pair:
   

   Блок кода

   security zone-pair trusted untrusted rule 1 action permit enable exit exit security zone-pair trusted trusted rule 1 action permit enable exit exit security zone-pair trusted self rule 10 action permit match protocol tcp match destination-port object-group ssh enable exit rule 20 action permit match protocol icmp enable exit rule 30 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 40 action permit match protocol udp match destination-port object-group ntp enable exit rule 50 action permit match protocol tcp match destination-port object-group dns enable exit rule 60 action permit match protocol udp match destination-port object-group dns enable exit rule 70 action permit match protocol tcp match destination-port object-group netconf enable exit rule 80 action permit match protocol tcp match destination-port object-group sa enable exit rule 90 action permit match protocol udp match destination-port object-group radius_auth enable exit rule 100 action permit match protocol gre enable exit rule 110 action permit match protocol tcp match destination-port object-group airtune enable exit rule 120 action permit match protocol tcp match destination-port object-group web enable exit exit security zone-pair untrusted self rule 1 action permit match protocol udp match source-port object-group dhcp_server match destination-port object-group dhcp_client enable exit exit security zone-pair users self rule 10 action permit match protocol icmp enable exit rule 20 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 30 action permit match protocol tcp match destination-port object-group dns enable exit rule 40 action permit match protocol udp match destination-port object-group dns enable exit rule 50 action permit match protocol tcp match destination-port object-group redirect exit security zone-pair users untrusted rule 1 action permit enable exit exit

8. Настройка SSID:
   Переходим в раздел конфигурации WLC:
   

   Блок кода
   wlc(config)# wlc

   Переходим в конфигурацию SSID:
   

   Блок кода
   wlc(config-wlc)# ssid-profile test-ssid

   Указываем имя SSID, которые будет вещаться для клиентов:
   

   Блок кода
   wlc(config-wlc-ssid)# ssid F.E.freeSSID wlc(config-wlc-ssid)# exit wlc(config-wlc)# exit

   Полная конфигурация SSID:
   

   Блок кода
   wlc ssid-profile test-ssid description F.E.free ssid F.E.freeSSID vlan-id 3 802.11kv band 2g band 5g enable exit exit

9. Включить ssid-profile в локацию.
   Нужно включить созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать данные SSID. В примере ниже ssid-profile включен в локацию default-location.

   Блок кода
   language vb theme Eclipse
   ap-location default-location ssid-profile test-ssid exit

10. Конфигурация редиректа клиентов:
    Переходим в блок настроек редиректа:
    

    Блок кода
    wlc(config)# subscriber-control

    Добавляем профиль AAA das-сервера:
    

    Блок кода
    wlc(config-subscriber-control)# aaa das-profile bras_das

    Добавляем профиль AAA RADIUS  для создания сессий:
    

    Блок кода
    wlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius

    Добавляем профиль AAA RADIUS для доступа к сервисам:
    

    Блок кода
    wlc(config-subscriber-control)# aaa services-radius-profile bras_radius

    Указываем внешний  IP WLC (Bridge 2), который будет выступать атрибутом NAS-IP-Address в RADIUS-запросах на WNAM:
    

    Блок кода
    wlc(config-subscriber-control)# nas-ip-address 100.110.0.246

    Включаем аутентификацию сессий по мак-адресам:
    

    Блок кода
    wlc(config-subscriber-control)# session mac-authentication

    Указываем список контроля доступа для неавторизованных клиентов:
    

    Блок кода
    wlc(config-subscriber-control)# bypass-traffic-acl BYPASS

    Переходим в блок конифгурации сервиса:
    

    Блок кода
    wlc(config-subscriber-control)# default-service

    Указываем список контроля доступа, который будет применяться для неавторизованных клиентов:
    

    Блок кода
    wlc(config-subscriber-default-service)# class-map BYPASS

    Указываем локальный белый список URL, доступ к этим адресам по протоколам HTTP/HTTPS будет работать до авторизации:  
    

    Блок кода
    wlc(config-subscriber-default-service)# filter-name local defaultService

    Указываем действие сервиса - разрешить:
    

    Блок кода
    wlc(config-subscriber-default-service)# filter-action permit

    Указываем url адрес, куда будет перенаправлять неавторизованных клиентов:
    

    Блок кода
    wlc(config-subscriber-default-service)# default-action redirect http://100.110.1.44/cp/eltexwlc

    Указываем время таймаута сессии:
    

    Блок кода
    wlc(config-subscriber-default-service)# session-timeout 600 wlc(config-subscriber-default-service)# exit

    Включаем работу редиректа:
    

    Блок кода
    wlc(config-subscriber-control)# enable wlc(config-subscriber-control)# exit

    Полная конфигурация настроек редиректа:
    

    Блок кода
    subscriber-control aaa das-profile bras_das aaa sessions-radius-profile bras_radius aaa services-radius-profile bras_radius nas-ip-address 100.110.0.246 session mac-authentication bypass-traffic-acl BYPASS default-service class-map BYPASS filter-name local defaultService filter-action permit default-action redirect http://100.110.1.44/cp/eltexwlc session-timeout 600 exit enable exit

    Подсказка
    title Важно!
    При конфигурации default-action redirect всегда используется шаблон "http://<address WNAM>/cp/eltexwlc", где <address WNAM> сетевой адрес сервера Netams WNAM. В случае указания другого url авторизация работать не будет.

Полная конфигурация WLC

#!/usr/bin/clish
#260
#1.26.1
#06/08/2024
#17:35:15
hostname wlc

object-group service airtune
  port-range 8099
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service ntp
  port-range 123
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service ssh
  port-range 22
exit
object-group service https
  port-range 443
exit
object-group service redirect
  port-range 3128-3131
exit

object-group network wnam_servers
  ip address-range 100.110.1.44
exit
object-group network bras_users
  ip address-range 192.168.2.2-192.168.2.254
exit
object-group network local
  ip address-range 192.168.2.1-192.168.2.254
exit
exit
object-group url defaultService
  url http://100.110.1.44
exit

syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas ap
    key ascii-text encrypted testing123
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text encrypted testing123
    network 127.0.0.1/32
  exit
  domain default
    user admin
      password ascii-text encrypted admin
    exit
    user test
      password ascii-text encrypted test
    exit
  exit
  virtual-server default
    enable
  exit
  enable
exit
username admin
  password encrypted password
exit

radius-server host 100.110.1.44
  key ascii-text encrypted wnampass
  source-address 100.110.0.246
exit
radius-server host 127.0.0.1
  key ascii-text encrypted testing123
exit
aaa radius-profile bras_radius
  radius-server host 100.110.1.44
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

das-server das
  key ascii-text encrypted wnampass
  port 3799
  clients object-group wnam_servers
exit
aaa das-profile bras_das
  das-server das
exit


boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone dmz
exit

ip access-list extended BYPASS
  rule 10
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 11
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit
ip access-list extended INTERNET
  rule 10
    action permit
    enable
  exit
exit

subscriber-control
  aaa das-profile bras_das
  aaa sessions-radius-profile bras_radius
  aaa services-radius-profile bras_radius
  nas-ip-address 100.110.0.246
  session mac-authentication
  bypass-traffic-acl BYPASS
  default-service
    class-map BYPASS
    filter-name local defaultService
    filter-action permit
    default-action redirect http://100.110.1.44/cp/eltexwlc
    session-timeout 600
  exit
  enable
exit

bridge 1
  vlan 1
  description "MGMT-AP"
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  description "UPLINK"
  security-zone untrusted
  ip address 100.110.0.246/23
  no spanning-tree
  enable
exit
bridge 3
  description "BRAS-users"
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  location data10
  enable
exit

interface gigabitethernet 1/0/1
  description "UPLINK"
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  description "AP-MGMT"
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  lldp receive
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80
    action permit
    match protocol tcp
    match destination-port object-group sa
    enable
  exit
  rule 90
    action permit
    match protocol udp
    match destination-port object-group radius_auth
    enable
  exit
  rule 100
    action permit
    match protocol gre
    enable
  exit
  rule 110
    action permit
    match protocol tcp
    match destination-port object-group airtune
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match destination-port object-group http
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  pool translate
    ip address-range 100.110.0.246
  exit
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
  ruleset SNAT
    to interface gigabitethernet 1/0/1
    rule 1
      match source-address object-group local
      action source-nat pool translate
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

ip route 0.0.0.0/0 100.110.0.1

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3
  enable
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile default-ssid
  exit
  ssid-profile default-ssid
    description F.E.free
    ssid F.E.freeSSID
    vlan-id 3
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ap-profile default-ap
    password ascii-text encrypted testing123
    services
      ip ssh server
      ip http server
    exit
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text encrypted testing123
    domain default
  exit
  ip-pool default-ip-pool
    description default-ip-pool
    ap-location default-location
  exit
  enable
exit

ip ssh server

clock timezone gmt +7

ntp enable
ntp broadcast-client enable
ntp server 194.190.168.1
exit

ip https server

...