...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования. | esrwlc(config)# radius-server host esrwlc(config-radius-server)# | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <VRF> – имя экземпляра VRF, задается строкой до 31 символа. |
2 | Задать пароль для аутентификации на удаленном RADIUS-сервере. | esrwlc(config-radius-server)# key ascii-text | <TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов. |
3 | Создать профиль ААА. | esrwlc(config)# aaa radius-profile <NAME> | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
4 | В профиле AAA указать RADIUS-сервер. | esrwlc(config-aaa-radius-profile)# radius-server host | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. |
5 | Создать DAS-сервер. | esrwlc(config)# das-server <NAME> | <NAME> – имя DAS-сервера, задается строкой до 31 символа. |
6 | Задать пароль для аутентификации на удаленном DAS-сервере. | esrwlc(config-das-server)# key ascii-text | <TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT>–зашифрованный TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов. |
7 | Создать AAA DAS-профиль. | esrwlc(config)# aaa das-profile <NAME> | <NAME> – имя DAS-профиля, задается строкой до 31 символа. |
8 | Указать DAS-сервер в DAS-профиле. | esrwlc(config-aaa-das-profile)# das-server <NAME> | <NAME> – имя DAS-сервера, задается строкой до 31 символа. |
9 | Сконфигурировать BRAS. | esrwlc(config)# subscriber-control [ vrf <VRF> ] | <VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать контроль пользователей. |
10 | Выбрать профиль серверов динамической авторизации (DAS), на которые будут приходить CoA-запросы от PCRF. | esrwlc(config-subscriber-control)# aaa das-profile <NAME> | <NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа. |
11 | Выбрать профиль RADIUS-серверов для получения параметров сервисов пользователя. | esrwlc(config-subscriber-control)# aaa services-radius-profile | <NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа. |
12 | Выбрать профиль RADIUS-серверов для получения параметров сессии пользователя. | esrwlc(config-subscriber-control)# aaa sessions-radius-profile | <NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа. |
13 | Определить IP-адрес маршрутизатораконтроллера, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. | esrwlc(config-subscriber-control)# nas-ip-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
14 | Включить аутентификацию сессий по MAC-адресу (не обязательно). | esrwlc(config-subscriber-control)# session mac-authentication | |
15 | Организовать прозрачное пропускание служебного трафика (DHCP, DNS и т.д.) на основе фильтров. | esrwlc(config-subscriber-control)# bypass-traffic-a с l <NAME> | <NAME> – имя привязываемого ACL, задается строкой до 31 символа. |
16 | Перейти в режим конфигурирования сервиса по умолчанию. | esrwlc(config-subscriber-control)# default-service | |
17 | Привязать указанный QoS-класс к сервису по умолчанию. | esrwlc(config-subscriber-default-service)# class-map <NAME> | <NAME> – имя привязываемого класса, задается строкой до 31 символа. |
18 | Указать имя списка URL, который будет использоваться для фильтрации HTTP/HTTPS-трафика не аутентифицированных пользователей. | esrwlc(config-subscriber-default-service)# filter-name | <LOCAL-NAME> – имя профиля URL, задаётся строкой до 31 символа; <REMOTE-NAME> – имя списка URL на удаленном сервере, задаётся строкой до 31 символа. |
19 | Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых входит в список URL, назначенных командой «filter-name». | esrwlc(config-subscriber-default-service)# filter-action<ACT> | <ACT> – назначаемое действие:
redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов. |
20 | Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых не входит в список URL, назначенных командой «filter-name». | esrwlc(config-subscriber-default-service)# default -action<ACT> | <ACT> – назначаемое действие:
redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов. |
21 | Активировать профиль контроля пользователей. | esrwlc(config-subscriber-control)# enable | |
22 | Изменить идентификатор сетевого интерфейса (физического, саб-интерфейса или сетевого моста) (не обязательно). | esrwlc(config-if)# location <ID> | <ID> – идентификатор сетевого интерфейса, задаётся строкой до 220 символов. |
23 | Включить контроль пользователей на интерфейсе. | esrwlc(config-if-gi)# service-subscriber-control | <NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. |
24 | Включить перезапрос значения квоты при ее истечении для сервисов пользователя с настроенным ограничением по объему трафика или времени (не обязательно). | esrwlc(config-subscriber-control)# quota-expired-reauth | |
25 | Включить аутентификацию сессий по IP-адресу (не обязательно). | esrwlc(config-subscriber-control)# session ip-authentication | |
26 | Включить прозрачное пропускание трафика в состоянии backup для BRAS (не обязательно). | esrwlc(config-subscriber-control)# backup traffic-processing | |
27 | Задать интервал, по истечении которого с устройства будут удалены неиспользуемые в текущий момент списки URL (не обязательно). | esrwlc(config)# subscriber-control unused-filters-remove-delay | <DELAY> – временной интервал в секундах, принимает значения [10800..86400]. |
28 | Задать интервал, по истечении которого, если не было пакетов от пользователя, сессия считается устаревшей и удаляется с устройства (не обязательно). | esrwlc(config-subscriber-default-service)# session-timeout | <SEC> – период времени в секундах, принимает значения [120..3600]. |
29 | Определить VRRP-группу, на основе которой определяется состояние сервиса контроля абонентов (основной/резервный) (не обязательно). | esrwlc(config-subscriber-control)# vrrp-group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатораконтроллера, принимает значения [1..32]. |
30 | Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTP Proxy-сервер маршрутизатора сервер контроллера (не обязательно). | esrwlc(config-subscriber-control)# ip proxy http listen-ports <NAME> | <NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. |
31 | Определить порт HTTP Proxy-сервера на маршрутизаторе на контроллере (не обязательно). | esrwlc(config-subscriber-control)# ip proxy http redirect-port <PORT> | <PORT> – номер порта, указывается в диапазоне [1..65535]. |
32 | Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTPS Proxy-сервер маршрутизатора контроллера (не обязательно). | esrwlc(config-subscriber-control)# ip proxy https listen-ports <NAME> | <NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. |
33 | Определить порт HTTPS Proxy-сервера на маршрутизаторе на контроллере (не обязательно). | esrwlc(config-subscriber-control)# ip proxy https redirect-port <PORT> | <PORT> – номер порта, указывается в диапазоне [1..65535]. |
34 | Определить IP-адрес маршрутизатораконтроллера, который будет использоваться в качестве IP-адреса источника в отправляемых Proxy-сервером HTTP/HTTPS пакетах (не обязательно). | esrwlc(config-subscriber-control)# ip proxy source-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
35 | Задать URL-адрес сервера, предоставляющего списки приложений для фильтрации трафика (не обязательно). | esrwlc(config)# subscriber-control apps-server-url <URL> | <URL> – адрес ссылки, задаётся строкой от 8 до 255 символов. |
36 | Включить контроль приложений на интерфейсе (не обязательно). | esrwlc(config-if-gi)# subscriber-control application-filter <NAME> | <NAME> – имя профиля приложений, задаётся строкой до 31 символа. |
37 | Установить/сбросить верхнюю границу количества сессий BRAS (не обязательно). | esrwlc(config-subscriber-control)# thresholds sessions-number high <Threshold> | <Threshold> – количество сессий BRAS:
|
38 | Установить/сбросить нижнюю границу количества сессий BRAS (не обязательно). | esrwlc(config-subscriber-control)# thresholds sessions-number low <Threshold> | <Threshold> – количество сессий BRAS:
|
| Scroll Pagebreak |
|---|
...
За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер SoftWLC. Информацию по установке и настройке сервера SoftWLC можно найти по ссылкам ниже:
Установка SoftWLC из репозиториев.
Для маршрутизатора Для контроллера необходимо наличие лицензии BRAS, после ее активации можно переходить к конфигурированию устройства.
Создадим три зоны безопасности на устройстве, согласно схеме сети:
| Блок кода |
|---|
esr#wlc# configure esrwlc(config)# security zone trusted esrwlc(config-zone)# exit esrwlc(config)# security zone untrusted esrwlc(config-zone)# exit esrwlc(config)# security zone dmz esrwlc(config-zone)# exit |
Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию:
| Блок кода |
|---|
esrwlc(config)# interface gigabitethernet 1/0/1 esrwlc(config-if-gi)# security-zone untrusted esrwlc(config-if-gi)# ip address 203.0.113.2/30 esrwlc(config-if-gi)# service-policy dynamic upstream esrwlc(config-if-gi)# exit esrwlc(config)# ip route 0.0.0.0/0 203.0.113.1 |
Сконфигурируем порт в сторону сервера SoftWLC:
| Блок кода |
|---|
esrwlc(config)# interface gigabitethernet 1/0/24 esrwlc(config-if-gi)# security-zone dmz esrwlc(config-if-gi)# ip address 192.0.2.1/24 esrwlc(config-if-gi)# exit |
| Scroll Pagebreak |
|---|
Сконфигурируем порт для подключения Wi-Fi точки доступа:
| Блок кода |
|---|
esrwlc(config)# bridge 2 esrwlc(config-bridge)# security-zone trusted esrwlc(config-bridge)# ip address 192.168.0.254/24 esrwlc(config-bridge)# ip helper-address 192.0.2.20 esrwlc(config-bridge)# service-subscriber-control object-group users esrwlc(config-bridge)# location ssid1 esrwlc(config-bridge)# enable esrwlc(config-bridge)# exit esrwlc(config)# interface gigabitethernet 1/0/2.2000 esrwlc(config-subif)# bridge-group 1 esrwlc(config-subif)# exit esrwlc(config)# interface gigabitethernet 1/0/2 esrwlc(config-if-gi)# service-policy dynamic downstream esr (config-if-gi)# exit |
...
Зададим параметры для взаимодействия с этим модулем:
| Блок кода |
|---|
esrwlc(config)# radius-server host 192.0.2.20 esrwlc(config-radius-server)# key ascii-text password esrwlc(config-radius-server)# auth-port 31812 esrwlc(config-radius-server)# acct-port 31813 esrwlc(config-radius-server)# exit |
Создадим профиль AAA:
| Блок кода |
|---|
esrwlc(config)# aaa radius-profile RADIUS esrwlc(config-aaa-radius-profile)# radius-server host 192.0.2.20 esrwlc(config-aaa-radius-profile)# exit |
Укажем параметры доступа к DAS (Direct-attached storage)-серверу:
| Блок кода |
|---|
esrwlc(config)# object-group network server esrwlc(config-object-group-network)# ip address-range 192.0.2.20 esrwlc(config-object-group-network)# exit esrwlc(config)# das-server CoA esrwlc(config-das-server)# key ascii-text password esrwlc(config-das-server)# port 3799 esrwlc(config-das-server)# clients object-group server esrwlc(config-das-server)# exit esrwlc(config)# aaa das-profile CoA esrwlc(config-aaa-das-profile)# das-server CoA esrwlc(config-aaa-das-profile)# exit |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esrwlc(config)# ip access-list extended DHCP esrwlc(config-acl)# rule 10 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol udp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port 68 esrwlc(config-acl-rule)# match destination-port 67 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# rule 11 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol udp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 53 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# exit |
Далее создаем правила для редиректа на портал и пропуска трафика в Интернет:
| Блок кода |
|---|
esrwlc(config)# ip access-list extended WELCOME esrwlc(config-acl)# rule 10 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol any esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# exit esrwlc(config)# ip access-list extended INTERNET esrwlc(config-acl)# rule 10 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol any esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# exit |
Зададим web-ресурсы доступные без авторизации:
| Блок кода |
|---|
esrwlc(config)# object-group url defaultservice esrwlc(config-object-group-url)# url http://eltex.nsk.ru esrwlc(config-object-group-url)# exit |
Списки фильтрации по URL находятся на сервере SoftWLC (меняется только IP-адрес сервера SoftWLC, если используется адресация отличная от данного примера, все остальное в URL следует оставить без изменения):
| Блок кода |
|---|
esrwlc(config)# subscriber-control filters-server-url http://192.0.2.20:7070/Filters/file/ |
Сконфигурируем и включим BRAS, в качестве NAS IP указываем адрес интерфейса на стыке с SoftWLC, в данном примере – это IP-адрес интерфейса gigabitethernet 1/0/24:
| Блок кода |
|---|
esrwlc(config)# subscriber-control esrwlc(config-subscriber-control)# aaa das-profile CoA esrwlc(config-subscriber-control)# aaa sessions-radius-profile RADIUS esrwlc(config-subscriber-control)# nas-ip-address 192.0.2.1 esrwlc(config-subscriber-control)# session mac-authentication esrwlc(config-subscriber-control)# bypass-traffic-acl DHCP esrwlc(config-subscriber-control)# default-service esrwlc(config-subscriber-default-service)# class-map INTERNET esrwlc(config-subscriber-default-service)# filter-name local defaultservice esrwlc(config-subscriber-default-service)# filter-action permit esrwlc(config-subscriber-default-service)# default-action redirect http://192.0.2.20:8080/eltex_portal/ esrwlc(config-subscriber-default-service)# session-timeout 3600 esrwlc(config-subscriber-default-service)# exit esrwlc(config-subscriber-control)# enable esrwlc(config-subscriber-control)# exit |
Далее необходимо сконфигурировать правила перехода между зонами безопасности:
| Блок кода |
|---|
esrwlc(config)# object-group service telnet esrwlc(config-object-group-service)# port-range 23 esrwlc(config-object-group-service)# exit esrwlc(config)# object-group service ssh esrwlc(config-object-group-service)# port-range 22 esrwlc(config-object-group-service)# exit esrwlc(config)# object-group service dhcp_server esrwlc(config-object-group-service)# port-range 67 esrwlc(config-object-group-service)# exit esrwlc(config)# object-group service dhcp_client esrwlc(config-object-group-service)# port-range 68 esrwlc(config-object-group-service)# exit esrwlc(config)# object-group service ntp esrwlc(config-object-group-service)# port-range 123 esrwlc(config-object-group-service)# exit |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esrwlc(config)# security zone-pair trusted untrusted esrwlc(config-zone-pair)# rule 10 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol any esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair)# exit esrwlc(config)# security zone-pair dmz untrusted esrwlc(config-zone-pair)# rule 10 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol any esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair)# exit esrwlc(config)# security zone-pair dmz trusted esrwlc(config-zone-pair)# rule 10 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol any esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair)# exit |
Разрешим прохождение DHCP из trusted в dmz:
| Блок кода |
|---|
esrwlc(config)# security zone-pair trusted dmz esrwlc(config-zone-pair)# rule 10 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol udp esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# match source-port dhcp_client esrwlc(config-zone-pair-rule)# match destination-port dhcp_server esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair)# exit |
| Scroll Pagebreak |
|---|
Разрешим прохождение ICMP к устройству, для работы BRAS необходимо открыть порты для веб-проксирования – TCP 3129/3128 (NetPort Discovery Port/Active API Server Port):
| Блок кода |
|---|
esrwlc(config)# object-group service bras esrwlc(config-object-group-service)# port-range 3129 esrwlc(config-object-group-service)# port-range 3128 esrwlc(config-object-group-service)# exit esrwlc(config)# security zone-pair trusted self esrwlc(config-zone-pair)# rule 10 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol tcp esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# match source-port any esrwlc(config-zone-pair-rule)# match destination-port bras esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair)# rule 20 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol icmp esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair-rule)# exit esrwlc(config)# security zone-pair dmz self esrwlc(config-zone-pair)# rule 20 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol icmp esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair-rule)# exit esrwlc(config)# security zone-pair untrusted self esrwlc(config-zone-pair)# rule 20 esrwlc(config-zone-pair-rule)# action permit esrwlc(config-zone-pair-rule)# match protocol icmp esrwlc(config-zone-pair-rule)# match source-address any esrwlc(config-zone-pair-rule)# match destination-address any esrwlc(config-zone-pair-rule)# enable esrwlc(config-zone-pair-rule)# exit esrwlc(config-zone-pair-rule)# exit |
Активируем DHCP-Relay:
| Блок кода |
|---|
esrwlc(config)# ip dhcp-relay |
Настроим SNAT в порт gigabitethernet 1/0/1:
| Блок кода |
|---|
esrwlc(config)# nat source esrwlc(config-snat)# ruleset inet esrwlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1 esrwlc(config-snat-ruleset)# rule 10 esrwlc(config-snat-rule)# match source-address any esrwlc(config-snat-rule)# action source-nat interface esrwlc(config-snat-rule)# enable esrwlc(config-snat-rule)# end |
| Scroll Pagebreak |
|---|
...
Для настройки функционала BRAS необходимо наличие лицензии BRAS:
| Блок кода |
|---|
esrwlc(config)# do sh licence Licence information ------------------- Name: Eltex Version: 1.0 Type: ESR-X S/N: NP00000000 MAC: XX:XX:XX:XX:XX:XX Features: BRAS – Broadband Remote Access Server |
Настройка параметров для взаимодействия с RADIUS-сервером:
| Блок кода |
|---|
esrwlc(config)# radius-server host 192.168.1.2 esrwlc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esrwlc(config-radius-server)# source-address 192.168.1.1 esrwlc(config-radius-server)# exit |
Создадим профиль AAA:
| Блок кода |
|---|
esrwlc(config)# aaa radius-profile bras_radius esrwlc(config-aaa-radius-profile)# radius-server host 192.168.1.2 esrwlc(config-aaa-radius-profile)# exit esrwlc(config)# aaa radius-profile bras_radius_servers esrwlc(config-aaa-radius-profile)# radius-server host 192.168.1.2 esrwlc(config-aaa-radius-profile)# exit |
Укажем параметры к DAS-серверу:
| Блок кода |
|---|
esrwlc(config)# das-server das esrwlc(config-das-server)# key ascii-text encrypted 8CB5107EA7005AFF esrwlc(config-das-server)# exit esrwlc(config)# aaa das-profile bras_das esrwlc(config-aaa-das-profile)# das-server das esrwlc(config-aaa-das-profile)# exit esrwlc(config)# vlan 10 esrwlc(config-vlan)# exit |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esrwlc(config)# ip access-list extended BYPASS esrwlc(config-acl)# rule 1 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol udp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port 68 esrwlc(config-acl-rule)# match destination-port 67 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# rule 2 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol udp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 53 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config)# ip access-list extended INTERNET esrwlc(config-acl)# rule 1 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol any esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config)# ip access-list extended WELCOME esrwlc(config-acl)# rule 10 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol tcp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 443 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# rule 20 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol tcp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 8443 |
| Блок кода |
|---|
esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# rule 30 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol tcp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 80 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit esrwlc(config-acl)# rule 40 esrwlc(config-acl-rule)# action permit esrwlc(config-acl-rule)# match protocol tcp esrwlc(config-acl-rule)# match source-address any esrwlc(config-acl-rule)# match destination-address any esrwlc(config-acl-rule)# match source-port any esrwlc(config-acl-rule)# match destination-port 8080 esrwlc(config-acl-rule)# enable esrwlc(config-acl-rule)# exit |
Настройка действия фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
| Блок кода |
|---|
esrwlc(config)# object-group url defaultserv esrwlc(config-object-group-url)# url http://eltex.nsk.ru esrwlc(config-object-group-url)# url http://ya.ru esrwlc(config-object-group-url)# url https://ya.ru esrwlc(config-object-group-url)# exit |
Сконфигурируем и включим BRAS, в качестве NAS IP указываем адрес интерфейса на стыке с RADIUS-сервером в данном примере – это IP-адрес интерфейса gigabitethernet 1/0/2:
| Блок кода |
|---|
esrwlc(config)# subscriber-control esrwlc(config-subscriber-control)# aaa das-profile bras_das esrwlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius esrwlc(config-subscriber-control)# aaa services-radius-profile bras_radius_servers esrwlc(config-subscriber-control)# nas-ip-address 192.168.1.1 esrwlc(config-subscriber-control)# session mac-authentication esrwlc(config-subscriber-control)# bypass-traffic-acl BYPASS esrwlc(config-subscriber-control)# default-service esrwlc(config-subscriber-default-service)# class-map BYPASS esrwlc(config-subscriber-default-service)# filter-name local defaultserv esrwlc(config-subscriber-default-service)# filter-action permit esrwlc(config-subscriber-default-service)# default-action redirect http://192. 168.1.2:8080/eltex_portal esrwlc(config-subscriber-default-service)# session-timeout 121 esrwlc(config-subscriber-default-service)# exit esrwlc(config-subscriber-control)# enable esrwlc(config-subscriber-control)# exit |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esrwlc(config)# bridge 10 esrwlc(config-bridge)# vlan 10 esrwlc(config-bridge)# ip firewall disable esrwlc(config-bridge)# ip address 10.10.0.1/16 esrwlc(config-bridge)# ip helper-address 192.168.1.2 esrwlc(config-bridge)# service-subscriber-control any esrwlc(config-bridge)# location USER esrwlc(config-bridge)# protected-ports esrwlc(config-bridge)# protected-ports exclude vlan esrwlc(config-bridge)# enable esrwlc(config-bridge)# exit |
Сконфигурируем порт в сторону RADIUS-сервера:
| Блок кода |
|---|
esrwlc(config)# interface gigabitethernet 1/0/2 esrwlc(config-if-gi)# ip firewall disable esrwlc(config-if-gi)# ip address 192.168.1.1/24 esrwlc(config-if-gi)# exit |
Порт в сторону клиента:
| Блок кода |
|---|
esrwlc(config)# interface gigabitethernet 1/0/3.10 esrwlc(config-subif)# bridge-group 10 esrwlc(config-subif)# ip firewall disable esrwlc(config-subif)# exit |
Настройка SNAT в порт gigabitethernet 1/0/2:
| Блок кода |
|---|
esrwlc(config)# nat source esrwlc(config-snat)# ruleset factory esrwlc(config-snat-ruleset)# to interface gigabitethernet 1/0/2 esrwlc(config-snat-ruleset)# rule 10 esrwlc(config-snat-rule)# description "replace 'source ip' by outgoing interface ip address" esrwlc(config-snat-rule)# match protocol any esrwlc(config-snat-rule)# match source-address any esrwlc(config-snat-rule)# match destination-address any esrwlc(config-snat-rule)# action source-nat interface esrwlc(config-snat-rule)# enable esrwlc(config-snat-rule)# exit esrwlc(config-snat-ruleset)# exit esrwlc(config-snat)# exit esrwlc(config)# ip route 0.0.0.0/0 192.168.1.2 |
Изменения конфигурации вступят в действие после применения:
| Блок кода |
|---|
esrwlc(config) # do commit esrwlc(config) # do confirm |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esrwlc# # sh subscriber-control sessions status Session id User name IP address MAC address Interface Domain -------------------- --------------- --------------- ----------------- 1729382256910270473 Bras_user 10.10.0.3 54:e1:ad:8f:37:35 gi1/0/3.10 -- |
...