В данной статье изложен мой опыт настройки облегченной точки доступа (Cisco Lightweight Access Point) и ее регистрация на контроллере (Cisco Wireless LAN Controller).
Содержание:
Часть 1. Начальная конфигурация контроллера.
Не так давно контроллер и облегченная точка доступа взаимодействовали друг с другом на втором уровне модели OSI, что заставляло сетевых архитекторов размещать их в одной сети. Тогда можно было даже не говорить о какой-либо мобильности данного рода решения.
Спустя некоторое время, разработчики из Cisco предложили новую модель взаимодействия облегченных точек доступа с контроллером и предоставили функционал взаимодействия на третьем уровне модели OSI. С тех пор контроллер мог располагаться хоть на другом конце света, успешно управляя точками доступа через VPN сеть.
Первоначальная настройка контроллера осуществляется через консольный кабель. Подробнее о консольном доступе можно прочитать здесь. После подключения к контроллеру нужно ввести имя пользователя admin и пароль admin, после чего мастер первоначальной настройки задаст несколько основных вопросов, на которые необходимо ответить.
Прежде чем отвечать на них, необходимо разобрать некоторые понятия, присущие контроллерам:
- 1. Management Interface IP Address — адрес, через который осуществляется непосредственная настройка контроллера.
- 2. LAG – Link Aggregation, агрегация портов. Доступна только на контроллерах серии 4400 и выше. Позволяет объединить все порты на контроллере в один логический интерфейс. Для подключения к портам коммутатора, их необходимо объединить в одну channel-group (EtherChannel).
- 3. Management Interface Port Num [1 to …] — если функция LAG отключена, тогда необходимо выбрать порт, через который будет осуществляться управление контроллером, порт к которому будет присвоен Management Interface IP Address.
- 4. Management Interface DHCP Server IP Address — адрес DHCP сервера в сети, на который контроллер будет перенаправлять все DHCP запросы от точек доступа. Если сам контроллер выступает в качестве DHCP сервера, то Management Interface DHCP Server IP Address будет таким же как и Management Interface IP Address.
- 5. Transport Mode [layer2][LAYER3] – собственно тот самый транспортный уровень, о котором я говорил. Рекомендуется выбрать Layer 3.
- 6. AP Manager Interface IP Address – адрес, через который контроллер управляет точками доступа. Cisco рекомендует указывать адрес из той же подсети, в которой задан Management Interface IP Address.
Адрес AP Manager Interface IP не будет пинговаться из сети, так что не пытайтесь проверить его доступность. По этому адресу могут обращаться только облегченные точки доступа.
- 7. AP Manager Interface DHCP Server — адрес DHCP сервера в сети, который будет выдавать динамические адреса беспроводным пользователям сети. Если на контроллере поднят DHCP сервер, то этим адресом может выступать тот, что указан в пункте Management Interface IP Address.
- 8. Virtual Gateway IP Address – виртуальный адрес, используется для реализации DHCP запросов от беспроводных пользователей, обычно ставят 1.1.1.1.
- 9. Mobility/RF Group Name – мобильная группа контроллера. Если в сети несколько контроллеров, то поместив их в одну группу они объединяются в один логический кластер, что позволяет им синхронизировать данные между собой, в том числе, обеспечивать функцию роуминга беспроводных пользователей.
Пример:
Welcome to the Cisco Wizard Configuration Tool Use the '?' character to backup System Name [Cisco_43:eb:22]: WLC-DIS-TMN00 Enter Administrative User Name (24 characters max): cisco Enter Administrative Password (24 characters max): ***** Service Interface IP Address Configuration [none][DHCP]: none Enable Link Aggregation (LAG) [yes][NO]: No Management Interface IP Address: 192.168.1.1 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 192.168.1.254 Management Interface VLAN Identifier (0 = untagged): 500 Management Interface Port Num [1 to 2]: 1 Management Interface DHCP Server IP Address: 192.168.1.1 ( AP Transport Mode [layer2][LAYER3]: LAYER3 AP Manager Interface IP Address: 192.168.1.10 AP?Manager is on Management subnet, using same values AP Manager Interface DHCP Server (192.168.50.3): 192.168.1.1 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: telecombook Network Name (SSID): telecombookSSID Allow Static IP Addresses [YES][no]: yes Configure a RADIUS Server now? [YES][no]: no Enter Country Code (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto?RF [YES][no]: yes
Часть 2. Регистрация точек доступа на контроллере.
Настройка контроллера уже позади. Теперь нужно ассоциировать точки доступа с контроллером. Здесь возможны два варианта развития событий:
- Точки доступа расположены в одной сети с контроллером.
- Точки доступа расположены в отличной от контроллера сети.
В первом случае, никаких проблем по объединению облегченной точки доступа и контроллера не должно возникнуть. Точке доступа достаточно получить адрес по DHCP из той же подсети и она автоматически найдет контроллер используя широковещательный запрос и присоединиться к нему.
Во втором случае, успешное подключение к контроллеру используя широковещательный запрос исключается, так как известно, что в другие подсети такие пакеты не проходят. Чтобы обойти данное ограничение, точке доступа необходимо сообщить IP контроллера на который она отправит запрос. Для этого на DHCP сервере необходимо задать две опции – 43 и 60. Опция 60 добавляет к DHCP пакету поле Vendor Class Identifier (VCI), которое определяет тип устройства, которому предназначается пакет. Опция 43 добавляет еще одно поле, в котором содержится один или несколько IP адресов. В нашем случае этими адресами будут адреса контроллеров в сети.
После добавления опции 43 и опции 60 к DHCP пакетам, обычные сетевые устройства, которые не умеют обрабатывать данного типа DHCP пакеты не смогут получить IP адрес.
Информацию о базовой конфигурации DHCP сервера на оборудовании Cisco можно найти в разделе Справочник Cisco в статье DHCP.
Минимально необходимая конфигурация DHCP сервера, заточенная под облегченные точки доступа, выглядит следующим образом:
telecombook(config)#ip dhcp pool LWAP telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0 telecombook(config-dhcp)#default-router 192.168.2.254
Теперь добавим к представленной конфигурации две опции. Для добавления опции 60 необходимо использовать следующий синтаксис: option 60 ascii “VCI string”, вместо VCI string используйте соответствующее значение из таблицы обязательно в кавычках:
| Access Point | VCI String |
| Cisco Aironet 1130 Series | Cisco AP c1130 |
| Cisco Aironet 1140 Series | Cisco AP c1140 |
| Cisco Aironet 1200 Series | Cisco AP c1200 |
| Cisco Aironet 1240 Series | Cisco AP c1240 |
| Cisco Aironet 1250 Series | Cisco AP c1250 |
| Cisco Cisco AP801 Embedded Access Point | Cisco AP801 |
Для примера конфигурации опции 43 предположим, что в сети два контроллера беспроводных точек доступа. Поле опции 43 заполняется в шестнадцатеричными значениями, поэтому нам понадобится встроенный инженерный калькулятор Windows. Напомню, что в этом поле прописываются все IP адреса контроллеров (Management Interface IP Address) в сети. Допустим это адреса 192.168.1.1 и 192.168.1.2.
Поле опции 43 представляет из себя:
Тип + Длина + Значение
Тип всегда будет f1. Длина = Количество контроллеров*4. Следовательно в нашем примере она будет равна 2*4=8 или 08. Значения адресов в шестнадцатеричном виде будут равны C0A80101 и C0A80102. Конечный синтаксис будет выглядеть так: option 43 hex f108C0A80101C0A80102.
Пример:
telecombook(config)#ip dhcp pool LWAP telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0 telecombook(config-dhcp)#default-router 192.168.2.254 telecombook(config-dhcp)#option 60 ascii “Cisco AP c1140” telecombook(config-dhcp)#option 43 hex f108.C0A8.0101.C0A8.0102
Часть 3. Траблшутинг.
Ничего странного нет в том, что что-то не работает так, как надо. В данной главе речь пойдет о возникшей проблеме ассоциации облегченной точки доступа с контроллером. Когда точка доступа присоединяется к контроллеру, а потом через 5 секунд вновь отключается от него, начинаешь задумываться, что тут что-то не так. В очередной раз прочитав руководство к Wireless LAN Controller объемом 950 страниц, я так и не нашел ответ на вопрос «Почему?». Единственная полезная команда, которая помогла мне сдвинуться с мертвой точки, это команда debug lwap events enable прописанная на контроллере.
Результатом было следующее:
Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Received LWAPP DISCOVERY REQUEST from AP 00:22:90:90:d4:77 to ff:ff:ff:ff:ff:ff on port '29' Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Discovery Response to AP 00:22:90:90:d4:77 on port 29 debug lwapp events enable Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Received LWAPP JOIN REQUEST from AP 00:22:90:90:d4:77 to 06:0a:00:00:00:00 on port '29' Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 AP AP0022.9090.d477: txNonce 00:00:00:00:00:00 rxNonce 00:00:00:00:00:00 Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 LWAPP Join Request MTU path from AP 00:22:90:90:d4:77 is 1500, remote debug mode is 0 Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successfully added NPU Entry for AP 00:22:90:90:d4:77 (index 0) Switch IP: 172.16.148.3, Switch Port: 12223, intIfNum 29, vlanId 500 AP IP: 172.16.148.6, AP Port: 3399, next hop MAC: 00:22:90:90:d4:77 Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Join Reply to AP 00:22:90:90:d4:77 Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 spam_lrad.c:1792 - Operation State 0 ===> 4Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Refusing image download to AP 00:22:90:90:d4:77 - unable to open image file /bsn/ap//c1140 Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Decoding of Image Data failed from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77 sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7 key 3b.83.54.7b.5a.72.af.68 84.82.5f.37.ee.53.71.4c Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 rxN 00.22.bd.7a.f8.00.00.00 00.00.00.00.00 txN 00.00.00.00.00.00.00.00 00.00.00.00.00 Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77 Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77 Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77 sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7 key 3b.83.54.7b.5a.72.af.68 84.82.5f.37.ee.53.71.4cThu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 rxN 00.22.bd.7a.f8.00.00.00 00.00.00.00.00 txN 00.00.00.00.00.00.00.00 00.00.00.00.00 Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77 Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77 Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77 sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7 key 3b.83.54.7b.5a.72.af.68 84.82.5f.37.ee.53.71.4cThu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 rxN 00.22.bd.7a.f8.00.00.00 00.00.00.00.00 txN 00.00.00.00.00.00.00.00 00.00.00.00.00Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77 Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77 Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77 sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7 key 3b.83.54.7b.5a.72.af.68 84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 rxN 00.22.bd.7a.f8.00.00.00 00.00.00.00.00 txN 00.00.00.00.00.00.00.00 00.00.00.00.00 Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77 Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77 Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77 Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77 sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7 key 3b.83.54.7b.5a.72.af.68 84.82.5f.37.ee.53.71.4c Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 rxN 00.22.bd.7a.f8.00.00.00 00.00.00.00.00 txN 00.00.00.00.00.00.00.00 00.00.00.00.00 Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77 Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Поиск в Интернете привел меня на один зарубежный форум, где человек пояснял, что «Security processing of Image Data failed from AP» означает, что в контроллере отсутствует образ точки доступа, которая пытается с ним ассоциироваться. «Error decrypting packet from AP» и «Decryption of message from AP failed» означает, что контроллер и точка доступа попросту разговаривают на разных языках.
Зайдя на официальный сайт Cisco я открыл data sheet на интересующую меня модель точки доступа. Прочитав информацию, я заметил, что для нормальной работы контроллера с этой точкой доступа нужен софт на контроллере не ниже версии 5.2. К слову, на контроллере стояла версия 4.2. Осталось скачать нужный софт и установить его.
Софт с официального сайта Cisco можно скачивать только при условии, что на личном аккаунте зарегистрирован как минимум один сервисный контракт SmartNet.
После обновления, все точки доступа успешно зарегистрировались на контроллере.
Часть 4. Создание SSID и настройка динамического интерфейса.
Спустя некоторое время и проронив несколько капель пота занимаясь настройкой комплекса устройств, обеспечивающих беспроводной доступ к сети, в число которых входит Wireless LAN Controller (WLC), Wireless Control System (WCS) ну конечно же Lightweight Access Point (LWAP), я хотел бы поделится некоторым опытом. Wireless Control System (WCS) представляет из себя приложение, которое устанавливается на отдельный сервер и управляет связкой WLC(s)+LWAP(s). Использование WCS оправдано, если в сети используются несколько WLC, которыми необходимо централизованно управлять. Так, например, если у в сети 100 WLCs, которые управляют 1000 LWAPs, то без WCS уж точно не обойтись.
Я не буду вдаваться в детали, а лишь опишу общие принципы создания Wireless LAN (WLAN) и его взаимосвязи с динамическим интерфейом на WLC. Дополнительную информацию можно найти в официальных гайдах, которые находятся на сайте www.cisco.com.
После того, как точки доступа получили IP адреса и нашли контроллер можно приступать к настройке беспроводной связи. Зайдя на контроллер через интернет браузер, для чего в адресной строке нужно набрать IP адрес контроллера с приставкой https://, затем зайти в раздел «Controller» – «Interfaces», где можно будет увидеть как минимум три интерфейса: ap-manager, management и virtual. По умолчанию, если вы создадите сеть WLAN с уникальным SSID, эта сеть привяжется к management интерфейсу, чего нам в принципе не нужно, если подходить с точки зрения правильной топологии сети, т.к. management интерфейс должен использоваться исключительно точками доступа, администраторами для удаленного доступа, другими WLC, которые находятся в одной группе, а также WCS.
Создадим виртуальный динамический интерфейс для беспроводных пользователей. Для этого необходимо заранее обдумать, какую IP подсеть использовать для беспроводных пользователей.
Окно создания динамического интерфейса представлено на рисунке:
Основные поля, которые необходимо заполнить: VLAN Identifier, IP Address, Netmask, Gateway, Primary DHCP Server. В качестве Primary DHCP Server может выступать IP адрес management интерфейса (если на контроллере сконфигрирован DHCP Scope для соответствующей подсети), либо иной DHCP сервер. Также необходимо задать имя интерфейсу.
После создания динамического интерфейса для беспроводных пользователей, можно приступать к настройке беспроводной сети в разделе WLAN. В данном разделе нужно создать SSID, задать параметры безопасности и повесить созданный WLAN на динамический интерфейс. Подробнее об SSID и безопасности в беспроводных сетях написано в статье Знакомимся с беспроводными сетями.
Окно создания WLAN:
Обратите внмание на выбранный интерфес. В нашем случае вместо management необходимо выбрать наш недавно созданный динамический интерфейс для беспроводных пользователей. Также не забудьте поставить галочку статуса enabled.
Простейшая конфигурация одного WLAN привязанного к одному динамическому интерфейсу на этом заканчивается. Можно включать Wi-Fi адаптер и подключаться к беспроводной сети.
В следующей главе будет рассмотрена более сложная конфигурация, которая описывает процесс использования одного SSID сразу на нескольких динамических интерфейсах с различными IP подсетями, используя прием объединения точек доступа в группы.
Часть 5. Разделение точек доступа на группы.
С помощью объединения точек доступа в группы можно достаточно гибко регулировать IP адресацию, безопасность и другие параметры, согласно которым будут функционировать точки доступа в группе.
Здесь важно знать, что принцип подключения клиента к облегченной точке доступа сильно отличается от обычной. Поначалу мне понадобилось время, чтобы изменить мой взгляд на устройство и функционирование системы LWAP + WLC. Суть в том, что, когда клиент подключается к обычной точке доступа, он ассоциируется с ней и в дальнейшем она будет для него являться своего рода мостом к тому коммутатору, к которому она физически подключена. В случае подключения клиента к LWAP, клиент не ассоциируется с точкой доступа, поэтому для него уже не важно к какому коммутатору подключена облегченная точка доступа, чтобы от него прокинуть VLAN до шлюза. Клиент ассоциируется с контроллером беспроводных точек доступа, соответственно он будет являться отправной точкой до шлюза. Другими словами, облегченная точка доступа создает прозрачный для клиента туннель между собой и контроллером.
Итак, исходя из того, что контроллер точек доступа является вратами для клиента, следовательно между контроллером и коммутатором необходимо поднять транк в который помимо менеджмент VLAN нужно поместить столько VLAN, сколько планируется групп точек доступа.
Точки доступа можно разделять по группам исходя из любого угодного душе принципа, например, для распределения одной беспроводной сети на два здания, можно сделать так, чтобы в зависимости от того, в каком здании будет находится клиент, он будет получать IP адрес из соответствующей подсети. Если у вас огромное здание в котором необходимо распределить одну беспроводную сеть (один SSID) по всем этажам, можно также поместить беспроводные точки доступа в группы согласно этажу, таким образом будет реализован такой функционал контроллера, который позволит ему проследить, чтобы подключившийся через точку доступа клиент, например, второго этажа получил IP адрес из подсети предназначенной для беспроводных пользователей именно второго этажа.
Определитесь сколько групп вам необходимо и создайте по динамическому интерфейсу для каждой группы. Каждой группе должен соответствовать один динамический интерфейс (см. «Часть 4. Создание SSID и настройка динамического интерфейса»). Естественно каждый динамический интерфейс нужно поместить в уникальный VLAN.
Чтобы создать группу следуйте “WLANs – AP Groups VLAN”. Создайте столько групп, сколько вам нужно, например:
Теперь необходимо зайти в детальную конфигурацию каждой группы и выбрать SSID, который будет ассоциирован с группой, например это будет guestvlan. У вас получится что-то вроде следующего:
| Группа | SSID | Interface | IP подсеть |
| 1_ floor | guestvlan | 1st_floor_guestvlan | 192.168.1.0 |
| 2_ floor | guestvlan | 2st_floor_guestvlan | 192.168.2.0 |
| 3_ floor | guestvlan | 3st_floor_guestvlan | 192.168.3.0 |
Вы наверное обратили внимание, что в зависимости от группы для одного и того же SSID назначены разные интерфейсы. Тогда у вас мог возникнуть вопрос, что делать с тем интерфейсом, который мы указывали при создании SSID в разделе WLAN? Ответ прост, контроллер будет его игнорировать.
Завершающим шагом будет ассоциация точек доступа с нужной группой. Для этого вам понадобиться знать как минимум MAC-адреса беспроводных точек доступа на первом, втором и третьем этажах, чтобы их не перепутать.
Часть 6. Создание списка доступа для гостей WLAN.
Многие из тех, у кого есть опыт администрирования оборудования Cisco, относящегося к линейке Routing & Switching не раз настраивали списки доступа ACL. Как правило, любой список доступа закрепляется за интерфейсом и разрешает трафик в одном из двух направлений: входящем и/или исходящем. На интерфейсе коммутатора/маршрутизатора может находиться до двух списков доступа (по одному в каждом направлении), тогда как на интерфейсе WLC может быть всего один список доступа и конечно же с «implicit deny» в конце списка. Поэтому при создании списка доступа на WLC необходимо указывать разрешенный трафик как во входящем направлении, так и в исходящем, чтобы он смог вернуться.
В качестве примера можно привести список доступа для гостевого WLAN, который разрешает получение IP адреса с сервера по протоколу DHCP, запрещает доступ во все внутренние подсети и разрешает доступ во все оставшиеся (внешние) сети Интернет. Для создания списка доступа следуйте Security — Access Lists. Дайте название списку доступа и приступайте к редактированию.
Чтобы клиент получил IP адрес, необходимо разрешить UDP порты 67 и 68. Запрос от клиента к серверу идет через порт 67, а трафик от сервера к клиенту – через 68. В настройке списка доступа на WLC все проще – вместо номеров портов можно выбрать в графах Source Port и Dest Port, соответствующие пункты DHCP Client и DHCP Server. Укажем направление Inbound. При желании можно указать конкретный адрес DHCP сервера. Пример:
Теперь, чтобы трафик вернулся к клиенту необходимо нарисовать дополнительную строчку в списке, которая разрешит обратный DHCP трафик от сервера к клиенту. Пример (см. Seq 2):
Далее в нашем плане запретить любой входящий трафик во все локальные подсети. Принцип тот же, только вместо протокола UDP мы укажем any и добавим конкретные IP адреса в пункт Destination IP/Mask. Пример:
Осталось разрешить весь оставшийся трафик. Если вы планируете разрешить конкретный протокол, например IP, тогда не забудьте заранее открыть UDP порт 53, через который будет проходить DNS трафик. В нашем примере мы разрешим весь оставшийся трафик по всем протоколам и портам. Мы также укажем, что трафик будет разрешен в обоих направлениях. Пример:
На этом простейший список доступа для гостей создан. Мы закрыли доступ гостям ко всем локальным ресурсам сети, оставив единственную дверь только в сеть Интернет.
Осталось зайти на динамический интерфейс, созданный под гостевой WLAN и в поле Access Control List выбрать название списка доступа.
