...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования. | wlc(config)# radius-server host wlc(config-radius-server)# | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <VRF> – имя экземпляра VRF, задается строкой до 31 символа. |
2 | Задать пароль для аутентификации на удаленном RADIUS-сервере. | wlc(config-radius-server)# key ascii-text | <TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов. |
3 | Создать профиль ААА. | wlc(config)# aaa radius-profile <NAME> | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
4 | В профиле AAA указать RADIUS-сервер. | wlc(config-aaa-radius-profile)# radius-server host | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. |
5 | Создать DAS-сервер. | wlc(config)# das-server <NAME> | <NAME> – имя DAS-сервера, задается строкой до 31 символа. |
6 | Задать пароль для аутентификации на удаленном DAS-сервере. | wlc(config-das-server)# key ascii-text | <TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов. |
7 | Создать AAA DAS-профиль. | wlc(config)# aaa das-profile <NAME> | <NAME> – имя DAS-профиля, задается строкой до 31 символа. |
8 | Указать DAS-сервер в DAS-профиле. | wlc(config-aaa-das-profile)# das-server <NAME> | <NAME> – имя DAS-сервера, задается строкой до 31 символа. |
9 | Сконфигурировать BRAS. | wlc(config)# subscriber-control [ vrf <VRF> ] | <VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать контроль пользователей. |
10 | Выбрать профиль серверов динамической авторизации (DAS), на которые будут приходить CoA-запросы от PCRF. | wlc(config-subscriber-control)# aaa das-profile <NAME> | <NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа. |
11 | Выбрать профиль RADIUS-серверов для получения параметров сервисов пользователя. | wlc(config-subscriber-control)# aaa services-radius-profile | <NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа. |
12 | Выбрать профиль RADIUS-серверов для получения параметров сессии пользователя. | wlc(config-subscriber-control)# aaa sessions-radius-profile | <NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа. |
13 | Определить IP-адрес контроллера, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. | wlc(config-subscriber-control)# nas-ip-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
14 | Включить аутентификацию сессий по MAC-адресу (не обязательно). | wlc(config-subscriber-control)# session mac-authentication | |
15 | Организовать прозрачное пропускание служебного трафика (DHCP, DNS и т.д.) на основе фильтров. | wlc(config-subscriber-control)# bypass-traffic-a с l <NAME> | <NAME> – имя привязываемого ACL, задается строкой до 31 символа. |
16 | Перейти в режим конфигурирования сервиса по умолчанию. | wlc(config-subscriber-control)# default-service | |
17 | Привязать указанный QoS-класс к сервису по умолчанию. | wlc(config-subscriber-default-service)# class-map <NAME> | <NAME> – имя привязываемого класса, задается строкой до 31 символа. |
18 | Указать имя списка URL, который будет использоваться для фильтрации HTTP/HTTPS-трафика не аутентифицированных пользователей. | wlc(config-subscriber-default-service)# filter-name | <LOCAL-NAME> – имя профиля URL, задаётся строкой до 31 символа; <REMOTE-NAME> – имя списка URL на удаленном сервере, задаётся строкой до 31 символа. |
19 | Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых входит в список URL, назначенных командой «filter-name». | wlc(config-subscriber-default-service)# filter-action<ACT> | <ACT> – назначаемое действие:
redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов. |
20 | Указать действия, которые должны быть применены для HTTP/HTTPS-пакетов, URL которых не входит в список URL, назначенных командой «filter-name». | wlc(config-subscriber-default-service)# default -action<ACT> | <ACT> – назначаемое действие:
redirect <URL> – будет выполнен редирект на указанный URL, задается строкой до 255 символов. |
21 | Активировать профиль контроля пользователей. | wlc(config-subscriber-control)# enable | |
22 | Изменить идентификатор сетевого интерфейса (физического, саб-интерфейса или сетевого моста) (не обязательно). | wlc(config-if)# location <ID> | <ID> – идентификатор сетевого интерфейса, задаётся строкой до 220 символов. |
23 | Включить контроль пользователей на интерфейсе. | wlc(config-if-gi)# service-subscriber-control | <NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. |
24 | Включить перезапрос значения квоты при ее истечении для сервисов пользователя с настроенным ограничением по объему трафика или времени (не обязательно). | wlc(config-subscriber-control)# quota-expired-reauth | |
25 | Включить аутентификацию сессий по IP-адресу (не обязательно). | wlc(config-subscriber-control)# session ip-authentication | |
26 | Включить прозрачное пропускание трафика в состоянии backup для BRAS (не обязательно). | wlc(config-subscriber-control)# backup traffic-processing | |
27 | Задать интервал, по истечении которого с устройства будут удалены неиспользуемые в текущий момент списки URL (не обязательно). | wlc(config)# subscriber-control unused-filters-remove-delay | <DELAY> – временной интервал в секундах, принимает значения [10800..86400]. |
28 | Задать интервал, по истечении которого, если не было пакетов от пользователя, сессия считается устаревшей и удаляется с устройства (не обязательно). | wlc(config-subscriber-default-service)# session-timeout | <SEC> – период времени в секундах, принимает значения [120..3600]. |
29 | Определить VRRP-группу, на основе которой определяется состояние сервиса контроля абонентов (основной/резервный) (не обязательно). | wlc(config-subscriber-control)# vrrp-group <GRID> | <GRID> – идентификатор группы VRRP-контроллера, принимает значения [1..32]. |
30 | Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTP Proxy-сервер контроллера (не обязательно). | wlc(config-subscriber-control)# ip proxy http listen-ports <NAME> | <NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. |
31 | Определить порт HTTP Proxy-сервера на контроллере (не обязательно). | wlc(config-subscriber-control)# ip proxy http redirect-port <PORT> | <PORT> – номер порта, указывается в диапазоне [1..65535]. |
32 | Определить с каких TCP-портов назначения трафик будет перенаправлен на HTTPS Proxy-сервер контроллера (не обязательно). | wlc(config-subscriber-control)# ip proxy https listen-ports <NAME> | <NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. |
33 | Определить порт HTTPS Proxy-сервера на контроллере (не обязательно). | wlc(config-subscriber-control)# ip proxy https redirect-port <PORT> | <PORT> – номер порта, указывается в диапазоне [1..65535]. |
34 | Определить IP-адрес контроллера, который будет использоваться в качестве IP-адреса источника в отправляемых Proxy-сервером HTTP/HTTPS пакетах (не обязательно). | wlc(config-subscriber-control)# ip proxy source-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
35 | Задать URL-адрес сервера, предоставляющего списки приложений для фильтрации трафика (не обязательно). | wlc(config)# subscriber-control apps-server-url <URL> | <URL> – адрес ссылки, задаётся строкой от 8 до 255 символов. |
36 | Включить контроль приложений на интерфейсе (не обязательно). | wlc(config-if-gi)# subscriber-control application-filter <NAME> | <NAME> – имя профиля приложений, задаётся строкой до 31 символа. |
37 | Установить/сбросить верхнюю границу количества сессий BRAS (не обязательно). | wlc(config-subscriber-control)# thresholds sessions-number high <Threshold> | <Threshold> – количество сессий BRAS:
|
38 | Установить/сбросить нижнюю границу количества сессий BRAS (не обязательно). | wlc(config-subscriber-control)# thresholds sessions-number low <Threshold> | <Threshold> – количество сессий BRAS:
|
| Scroll Pagebreak |
|---|
Пример настройки с SoftWLC
...
За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер SoftWLC. Информацию по установке и настройке сервера SoftWLC можно найти по ссылкам ниже:
Установка SoftWLC из репозиториев.
Для контроллера необходимо наличие лицензии BRAS, после ее активации можно переходить к конфигурированию устройства.
...
| Блок кода |
|---|
wlc(config)# object-group network server wlc(config-object-group-network)# ip address-range 192.0.2.20 wlc(config-object-group-network)# exit wlc(config)# das-server CoA wlc(config-das-server)# key ascii-text password wlc(config-das-server)# port 3799 wlc(config-das-server)# clients object-group server wlc(config-das-server)# exit wlc(config)# aaa das-profile CoA wlc(config-aaa-das-profile)# das-server CoA wlc(config-aaa-das-profile)# exit |
| Scroll Pagebreak |
|---|
До аутентификации весь аутентификации весь трафик из зоны trusted блокируется, в том числе DHCP- и DNS-запросы. Необходимо настроить разрешающие правила для пропуска DHCP- и DNS-запросов:
| Блок кода |
|---|
wlc(config)# ip access-list extended DHCP wlc(config-acl)# rule 10 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol udp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port port-range 68 wlc(config-acl-rule)# match destination-port port-range 67 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# rule 11 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol udp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 53 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit |
...
| Блок кода |
|---|
wlc(config)# security zone-pair trusted dmz wlc(config-zone-pair)# rule 10 wlc(config-zone-pair-rule)# action permit wlc(config-zone-pair-rule)# match protocol udp wlc(config-zone-pair-rule)# match source-address any wlc(config-zone-pair-rule)# match destination-address any wlc(config-zone-pair-rule)# match source-port object-group dhcp_client wlc(config-zone-pair-rule)# match destination-port object-group dhcp_server wlc(config-zone-pair-rule)# enable wlc(config-zone-pair-rule)# exit wlc(config-zone-pair)# exit |
...
| Блок кода |
|---|
wlc(config)# object-group service bras
wlc(config-object-group-service)# port-range 3129
wlc(config-object-group-service)# port-range 3128
wlc(config-object-group-service)# exit
wlc(config)# security zone-pair trusted self
wlc(config-zone-pair)# rule 10
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match source-address any
wlc(config-zone-pair-rule)# match destination-address any
wlc(config-zone-pair-rule)# match source-port any
wlc(config-zone-pair-rule)# match destination-port object-group bras
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# match source-address any
wlc(config-zone-pair-rule)# match destination-address any
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair-rule)# exit
wlc(config)# security zone-pair dmz self
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# match source-address any
wlc(config-zone-pair-rule)# match destination-address any
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair-rule)# exit
wlc(config)# security zone-pair untrusted self
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# match source-address any
wlc(config-zone-pair-rule)# match destination-address any
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair-rule)# exit |
...
| Блок кода |
|---|
wlc(config)# nat source wlc(config-snat)# ruleset inet wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1 wlc(config-snat-ruleset)# rule 10 wlc(config-snat-rule)# match source-address any wlc(config-snat-rule)# action source-nat interface wlc(config-snat-rule)# enable wlc(config-snat-rule)# end |
| Scroll Pagebreak |
|---|
...
| Блок кода |
|---|
wlc(config)# ip access-list extended BYPASS wlc(config-acl)# rule 1 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol udp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port port-range 68 wlc(config-acl-rule)# match destination-port port-range 67 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# rule 2 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol udp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 53 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config)# ip access-list extended INTERNET wlc(config-acl)# rule 1 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol any wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config)# ip access-list extended WELCOME wlc(config-acl)# rule 10 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol tcp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 443 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# rule 20 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol tcp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 8443 |
| Блок кода |
|---|
wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# rule 30 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol tcp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 80 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# rule 40 wlc(config-acl-rule)# action permit wlc(config-acl-rule)# match protocol tcp wlc(config-acl-rule)# match source-address any wlc(config-acl-rule)# match destination-address any wlc(config-acl-rule)# match source-port any wlc(config-acl-rule)# match destination-port port-range 8080 wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit |
...
| Блок кода |
|---|
wlc(config)# subscriber-control
wlc(config-subscriber-control)# aaa das-profile bras_das
wlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius
wlc(config-subscriber-control)# aaa services-radius-profile bras_radius_servers
wlc(config-subscriber-control)# nas-ip-address 192.168.1.1
wlc(config-subscriber-control)# session mac-authentication
wlc(config-subscriber-control)# bypass-traffic-acl BYPASS
wlc(config-subscriber-control)# default-service
wlc(config-subscriber-default-service)# class-map BYPASS
wlc(config-subscriber-default-service)# filter-name local defaultserv
wlc(config-subscriber-default-service)# filter-action permit
wlc(config-subscriber-default-service)# default-action redirect http://192.
168.1.2:8080/eltex_portal
wlc(config-subscriber-default-service)# session-timeout 121
wlc(config-subscriber-default-service)# exit
wlc(config-subscriber-control)# enable
wlc(config-subscriber-control)# exit |
...
На интерфейсах, для которых требуется работа BRAS, произвести настройку (для успешного запуска требуется как минимум один интерфейс):
| Блок кода |
|---|
wlc(config)# bridge 10 wlc(config-bridge)# vlan 10 wlc(config-bridge)# ip firewall disable wlc(config-bridge)# ip address 10.10.0.1/16 wlc(config-bridge)# ip helper-address 192.168.1.2 wlc(config-bridge)# service-subscriber-control any wlc(config-bridge)# location USER wlc(config-bridge)# protected-ports wlc(config-bridge)# protected-ports exclude vlan wlc(config-bridge)# enable wlc(config-bridge)# exit |
| Scroll Pagebreak |
|---|
Сконфигурируем порт в сторону RADIUS-сервера:
...
| Блок кода |
|---|
wlc(config) # do commit wlc(config) # do confirm |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
wlc# sh subscriber-control sessions status Session id User name IP address MAC address Interface Domain -------------------- --------------- --------------- ----------------- 1729382256910270473 Bras_user 10.10.0.3 54:e1:ad:8f:37:35 gi1/0/3.10 -- |
| Scroll Pagebreak |
|---|