v.1.15.3. Управление сервисами

wlc-30(config)# nat source

2

Создать пул IP-адресов и/или TCP/UDP-портов с определённым именем (не обязательно).

wlc-30(config-snat)# pool <NAME>

<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа.

3

Установить диапазон IP-адресов, для которых будет заменяться IP-адрес отправителя.

wlc-30(config-snat-pool)# ip address-range <IP>[-<ENDIP>]

<IP> – IP-адрес начала диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.

4

Задать диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP-порт отправителя.

wlc-30(config-snat-pool)# ip port-range <PORT>[-<ENDPORT>]

<PORT> – TCP/UDP-порт начала диапазона, принимает значения [1..65535];

<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.

5

Установить внутренний TCP/UDP-порт, на который будет заменяться TCP/UDP-порт отправителя.

wlc-30(config-snat-pool)# ip port <PORT>

<PORT> – TCP/UDP-порт, принимает значения [1..65535].

6

Включить функции NAT persistent.

wlc-30(config-snat-pool)# persistent

7

Создать группу правил с определённым именем.

wlc-30(config-snat)# ruleset <NAME>

<NAME> – имя группы правил, задаётся строкой до 31 символа.

8

Указать экземпляр VRF, в котором будет работать данная группа правил (не обязательно).

wlc-30(config-snat-ruleset)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

9

Задать область применения группы правил. Правила будут применяться только для трафика, идущего в определенную зону или интерфейс.

wlc-30(config-snat-ruleset)# to { zone <NAME> |
interface <IF> tunnel <TUN> | | default }

<NAME> – имя зоны изоляции;

<IF> – имя интерфейса устройства;

<TUN> – имя туннеля устройства;
default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.

10

Задать правило c определённым номером. Правила обрабатываются в порядке возрастания.

wlc-30(config-snat-ruleset)# rule <ORDER>

<ORDER> – номер правила, принимает значения [1..10000].

11

Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило.

wlc-30(config-snat-rule)# match [not]
{source|destination}-address <OBJ-GROUP-NETWORK-NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Значение «any» указывает на любой IP-адрес отправителя.

12

Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило (не обязательно).

wlc-30(config-snat-rule)# match [not]
{source | destination}-port <PORT-SET-NAME>

<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. Значение «any» указывает на любой TCP/UDP-порт отправителя.

13

Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно).

wlc-30(config-snat-rule)# match [not]
{protocol|protocol-id} <TYPE>

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. Значение «any» указывает на любой тип протокола;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

14

Задать тип и код сообщений протокола ICMP, для которых должно срабатывать правило (не обязательно).

wlc-30(config-snat-rule)# match [not]
icmp {<ICMP_TYPE><ICMP_CODE> | <TYPE-NAME>}

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. Значение «any» указывает на любой код сообщения;

<TYPE-NAME> – имя типа ICMP-сообщения.

15

Задать действие «трансляция адреса и порта отправителя» для трафика, удовлетворяющего критериям, заданным командами «match»

wlc-30(config-snat-rule)# action source-nat { off |
pool <NAME> | netmap <ADDR/LEN> [static] |
interface [FIRST_PORT – LAST_PORT] }

off – трансляция отключена;

pool<NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP-портов;

netmap <ADDR/LEN> – IP-адрес и маска подсети, используемые при трансляции; static – опция для организации статического NAT.

Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить только для TCP/UDP- портов отправителя, входящих в указанный диапазон.

16

Активировать конфигурируемое правило.

wlc-30(config-snat-rule)# enable

wlc-30(config)# ip firewall sessions tracking

{<PROTOCOL> |  sip [ port <OBJECT-GROUP-SERVICE> ] | all}

all – включает функцию отслеживания сессий уровня приложений для всех доступных протоколов

<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns].

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.

wlc-30(config)# nat alg {<PROTOCOL> | all}

all – включает трансляцию IP-адресов в заголовках всех доступных протоколов.

<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].

1

Cоздать объект с URL.

wlc-30(config)# object-group url <NAME>

2

Указать набор.

wlc-30(config-object-group-url)# url <URL>

<URL> – адрес веб страницы, сайта.

3

Создать профиль проксирования.

wlc-30(config)# ip http profile <NAME>

<NAME> – название профиля.

4

Выбрать действие по умолчанию.

wlc-30(config-profile)# default action {deny|permit|redirect}
[redirect-url <URL>]

<URL> – адрес хоста, на который будут передаваться запросы.

5

Указать описание (не обязательно).

wlc-30(config-profile)# description <description>

<description> – до 255 символов.

6

Указать удаленный или локальный список URL и тип операции (блокировка/ пропуск трафика/ перенаправление) (не обязательно).

wlc-30(config-profile)# urls {local|remote} <URL_OBJ_GROUP_NAME>
action {deny|permit|redirect} [redirect-url <URL>]

<URL_OBJ_GROUP_NAME> – указать название объекта, содержащего набор URL.

7

Указать удаленный сервер, где лежат необходимые списки URL (не обязательно).

wlc-30(config)# ip http proxy server-url <URL> 

<URL> – адрес сервера, откуда будут брать удалённые списки url.

8

Указать прослушиваемый порт для проксирования (не обязательно).

wlc-30(config)# ip http proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.

9

Указать прослушиваемый порт для проксирования (не обязательно).

wlc-30(config)# ip https proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.

Указать базовый порт для проксирования (не обязательно).

wlc-30(config)# ip https proxy redirect-port <PORT>

<PORT> – номер порта, указывается в диапазоне [1..65535].

Значение по умолчанию 3128.

11

Включить проксирование на интерфейсе на основе выбранного HTTP-профиля.

wlc-30(config-if)# ip http proxy <PROFILE_NAME>

<PROFILE_NAME> – название профиля.

12

Включить проксирование на интерфейсе на основе выбранного HTTPS-профиля.

wlc-30(config-if)# ip https proxy <PROFILE_NAME>     

<PROFILE_NAME> – название профиля.

13

Создать списки сервисов, которые будут использоваться при фильтрации.

wlc-30(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

14

Задать описание списка сервисов (не обязательно).

wlc-30(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

15

Внести необходимые сервисы (tcp/udp-порты) в список.

wlc-30(config-object-group-service)# port-range 3128-3135

Прокси-сервер WLC-30 использует для своей работы порты, начиная с базового порта, определённого на 10-м шаге.

Для http proxy используются порты, начиная с базового порта по базовый порт + количество cpu WLC-30 - 1

Для https proxy используются порты, начиная с базового порта + количество cpu WLC-30 по базовый порт + количество cpu WLC-30* 2 - 1

16

Создать набор правил межзонового взаимодействия.

wlc-30(config)# security zone-pair <src-zone-name1> self

<src-zone-name> – зона безопасности, в которой находятся интерфейсы с функцией ip http proxy или ip https proxy.

self – предопределенная зона безопасности для трафика, поступающего на сам wlc-30.

17

Создать правило межзонового взаимодействия.

wlc-30(config-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

18

Задать описание правила (не обязательно).

wlc-30(config-zone-rule)# description <description>

<description> – до 255 символов.

19

Указать действие данного правила.

wlc-30(config-zone-rule)# action <action> [ log ]

<action> – permit

log – ключ для активации логирования сессий, которые устанавливаются согласно данному правилу.

20

Установить имя IP-протокола, для которого должно срабатывать правило

wlc-30(config-zone-rule)# match protocol <protocol-type>

<protocol-type> – tcp

Прокси-сервер WLC-30 работает по протоколу WLC-30.

21

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

wlc-30(config-zone-rule)# match [not]
destination-port <obj-group-name>

<obj-group-name> – имя профиля сервисов, созданного на шаге №12

22

Включить правило межзонового взаимодействия.

wlc-30(config-zone-rule)# enable

1

Включить NTP.

wlc-30(config)# ntp enable

2

Задать IP-адрес NTP-сервера, либо участника NTP-синхронизации.

wlc-30(config)# ntp { server | peer } { <IP> }

<IP> – IP-адрес назначения (шлюз), задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

3

Задать ключ для аутентификации (не обязательно).

wlc-30(config-ntp)# key <ID>

<ID> – идентификатор ключа, задается в диапазоне [1..255].

4

Установить максимальное значение интервала времени между отправкой сообщений NTP-серверу (не обязательно).

wlc-30(config-ntp)# maxpoll <INTERVAL>

<INTERVAL> – максимальное значение интервала опроса. Параметр команды используется как показатель степени двойки при вычислении длительности интервала в секундах, вычисляется путем возведения двойки в степень, заданную параметром команды, принимает значение [10..17].

Значение по умолчанию:
10 (2¹⁰= 1024 секунды или 17 минут 4 секунды).

5

Установить минимальное значение интервала времени между отправкой сообщений NTP-серверу (не обязательно).

wlc-30(config-ntp)# minpoll <INTERVAL>

<INTERVAL> – минимальное значение интервала опроса в секундах вычисляется путем возведения двойки в степень, заданную параметром команды, принимает значение [4..6].

Значение по умолчанию:

6 (2⁶= 64 секунды или 1 минута 4 секунды).

6

Отметить данный NTP-сервер как предпочтительный (не обязательно).

wlc-30(config-ntp)# prefer

7

Определить список доверенных IP-адресов, с которыми может происходить обмен ntp-пакетами (не обязательно).

wlc-30(config)# ntp access-addresses <NAME>

<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

8

Указать идентификатор ключа из профиля связки ключей (не обязательно).

wlc-30(config)# ntp authentication trusted-key <ID>

<ID> – идентификатор ключа из профиля связки ключей.

9

Указать имя профиля связки ключей (не обязательно).

wlc-30(config)# ntp authentication key-chain <WORD>

<WORD> – имя профиля связки ключей.

10

Активировать аутентификацию для NTP по ключу (не обязательно).

wlc-30(config)# ntp authentication enable

11

Включить режим приёма широковещательных сообщений NTP-серверов для глобальной конфигурации и всех существующих VRF (не обязательно).

wlc-30(config)# ntp broadcast-client enable

12

Задать значение кода DSCP для использования в IP-заголовке исходящих пакетов NTP-сервера (не обязательно).

wlc-30(config)# ntp dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 46

13

Включить режим query-only, ограничивающий взаимодействие по NTP для определенного профиля IP-адресов (не обязательно).

wlc-30(config)# ntp object-group query-only <NAME>

<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

14

Включить режим serve-only, ограничивающий взаимодействие по NTP для определенного профиля IP-адресов (не обязательно).

wlc-30(config)# ntp object-group serve-only <NAME>

<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

15

Указать source-IP-адреса для NTP-пакетов для всех peer (не обязательно).

wlc-30(config)# ntp source address <ADDR>

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

16

Задать текущее время и дату в ручном режиме (не обязательно).

wlc-30# set date <TIME> [<DAY> <MONTH> [ <YEAR> ] ]

<TIME> – устанавливаемое системное время, задаётся в виде HH:MM:SS, где:

• HH – часы, принимает значение [0..23];
• MM – минуты, принимает значение [0 .. 59];
•  SS – секунды, принимает значение [0 .. 59].
• <DAY> – день месяца, принимает значения [1..31];

<MONTH> – месяц, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December];

<YEAR> – год, принимает значения [2001..2037].