Будет рассмотрено:
Имеется vlan для точек доступа, которым в опции 43 необходимо передать адрес wifi-контроллера. Для этого на соответствующем интерфейсе ASA запускается dhcpd:
Контроллер находится в той же сети, что и точки доступа, которым выдаются адреса из диапазона 10.0.0.20-10.0.0.100.
Для каждой беспроводной сети необходим отдельный пул, так как они создаются в разных vlan'ах.
Со стороны LAN коммутаторов настроены транковые порты. Два оператора связи подключаются в WAN коммутатор каждый в свой vlan. На ASA создаются подинтерфейсы для каждого их них:
Настраивается NAT для обоих операторов и для беспроводной сети:
Оператор ISP1 будет основным. Его работоспособность будет проверяться по доступности адреса 8.8.8.8:
Добавляются два статических маршрута по-умолчанию. В первом будет учитываться track 1 и метрика по-умолчанию (1), а второй маршрут будет иметь бОльшую метрику (10) и будет доступен как только первый пропадет.
Необходимо разрешить только http,https,dns. Для корректного получения ip-адресов клиентами от dhcp-сервера на ASA требуется первое правило в ACL:
- DHCP-сервер для беспроводного доступа;
- резервирование каналов связи;
- ограничение скорости.
О DHCP.
Реализация на ASA потребовалась по причине отсутствия DHCP-сервера на wifi-контроллере.Имеется vlan для точек доступа, которым в опции 43 необходимо передать адрес wifi-контроллера. Для этого на соответствующем интерфейсе ASA запускается dhcpd:
dhcpd option 43 ascii "10.0.0.10"
dhcpd address 10.0.0.20-10.0.0.100 wifi
dhcpd enable wifi
Контроллер находится в той же сети, что и точки доступа, которым выдаются адреса из диапазона 10.0.0.20-10.0.0.100.
Для каждой беспроводной сети необходим отдельный пул, так как они создаются в разных vlan'ах.
dhcpd dns 8.8.8.8
dhcpd address 172.16.0.10-172.16.0.200 ssid1
dhcpd enable ssid1
О резервировании.
Со стороны LAN межсетевой экран подключается двумя интерфейсами в два LAN коммутатора, объединенных в виртуальное шасси. На ASA настраивается Redundant интерфейс с подинтерфейсами:
interface Redundant1
description LAN
member-interface Ethernet0/0
member-interface Ethernet0/3
no nameif
no security-level
allow-ssc-mgmt
no ip address
!
interface Redundant1.120
vlan 120
nameif wifi
security-level 50
ip address 10.0.0.254 255.255.255.0
!
interface Redundant1.121
vlan 121
nameif ssid1
security-level 10
ip address 172.16.0.254 255.255.255.0
Со стороны LAN коммутаторов настроены транковые порты. Два оператора связи подключаются в WAN коммутатор каждый в свой vlan. На ASA создаются подинтерфейсы для каждого их них:
interface Ethernet0/1
no nameif
security-level 0
no ip address
!
interface Ethernet0/1.101
description ISP1
vlan 101
nameif isp1
security-level 0
ip address 999.999.999.1 255.255.255.252
!
interface Ethernet0/1.102
description ISP2
vlan 102
nameif isp2
security-level 0
ip address 888.888.888.1 255.255.255.252
Настраивается NAT для обоих операторов и для беспроводной сети:
global (isp1) 1 interface
global (isp2) 1 interface
nat (wifi) 0 10.0.0.0 255.255.255.0 ! сеть управления не NATим
nat (ssid1) 1 172.16.0.0 255.255.255.0
Оператор ISP1 будет основным. Его работоспособность будет проверяться по доступности адреса 8.8.8.8:
sla monitor 1
type echo protocol ipIcmpEcho 8.8.8.8 interface isp1
num-packets 5
sla monitor schedule 1 life forever start-time now
track 1 rtr 1 reachability
Добавляются два статических маршрута по-умолчанию. В первом будет учитываться track 1 и метрика по-умолчанию (1), а второй маршрут будет иметь бОльшую метрику (10) и будет доступен как только первый пропадет.
route isp1 0.0.0.0 0.0.0.0 999.999.999.2 1 track 1
route isp2 0.0.0.0 0.0.0.0 888.888.888.2 10
Об ограничении скорости.
Необходимо добавить ограничение скорости для интерфейса ssid1, используемого беспроводной сетью:
access-list SSID extended permit ip any any
!
class-map SSID
match access-list SSID
policy-map WIFI
class SSID
police output 2000000
!
service-policy WIFI interface ssid1
Необходимо разрешить только http,https,dns. Для корректного получения ip-адресов клиентами от dhcp-сервера на ASA требуется первое правило в ACL:
object-group network INTERNAL
network-object 172.16.0.0 255.240.0.0
network-object 192.168.0.0 255.255.0.0
network-object 10.0.0.0 255.0.0.0
!
access-list SSID1 extended permit udp any any eq bootps
access-list SSID1 extended deny ip any object-group INTERNAL
access-list SSID1 extended permit udp any any eq domain
access-list SSID1 extended permit tcp any any eq www
access-list SSID1 extended permit tcp any any eq https
!
access-group SSID1 in interface ssid1