Возраст: 35 лет
Офис: Новосибирск
Выполненные проекты:
- Проект по сопровождение сдачи СОРМ для Акционерного общества Ижевский Электромеханический Завод "Купол" Замена коммутаторов доступа в Акционерном обществе "Особое Конструкторское Бюро Московского Энергетического Института"
- Подбор и поставка оборудования по созданию сетей для Акционерного общества "Конструкторское Бюро "Кунцево" Проект по созданию локальной системы оповещения населения «Гидротехнические сооружения обогатительной фабрики АО «Урупский ГОК»
Настройка IGMP-авторизации через RADIUS сервер на MES14xx/24xx/3400-xx/37xx
Время прочтения 4 минуты
Функционал позволяет выполнять регистрацию IGMP-report'ов на основании ответов от Radius-сервера. Пример базовой конфигурации коммутатора для работы функционала:!
vlan 2-100
vlan active
!
snooping multicast-forwarding-mode ip
snooping authentication
snooping authentication cache-time 60
!
ip igmp snooping
!
radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage login igmp
!
vlan 10
ip igmp snooping
ip igmp snooping mrouter te 0/1
ip igmp snooping sparse-mode enable
!
interface vlan 20
description "MGMT"
ip address 10.252.10.254 255.255.255.0
!
interface gigabitethernet 0/1
description "IGMP-client"
switchport mode access
switchport access vlan 10
ip igmp snooping authentication radius
!
interface tengigabitethernet 0/1
description "Server"
switchport general allowed vlan add 10,20
switchport forbidden default-vlan
!
end
Опции конфигурирования порта:
| ip igmp snooping authentication radius [required] | Если указан параметр required, то в случае недоступности всех RADIUS-серверов IGMP-report-ы игнорируются. В противном случае IGMP-report'ы обрабатываются. |
| ip igmp snooping authentication forwarding-first | Включает предварительную регистрацию Multicast-группы на порту до ответа RADIUS-сервера. В случае положительного ответа сервера подписка остается, в случае отрицательного — удаляется. |
| ip igmp snooping authentication exception mcast profile <profile id> | Позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. |
| ip igmp snooping authentication none | Отключает авторизацию на интерфейсе. Параметр по умолчанию. |
Для уменьшения нагрузки коммутатор использует кэш, представляющий собой таблицу с полями: MAC, PORT, IGMP-group, Client-IP, Radius-IP, Lifetime (время, в течение которого запись хранится в кэше), status. По истечении времени хранения записи она удаляется. Запись в кэше можно посмотреть командой sh ip igmp snooping authentication cache:console#sh ip igmp snooping authentication cache
Port Client MAC Client IP Group IP Server Type Lifetime Status
------ ----------------- ---------------- ---------------- ----------- -------- -------
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.3.16 RADIUS 58 FORWARD
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.5.17 RADIUS 58 FORWARD
Для резервирования можно задавать несколько Radius-серверов, сервер выбирается поочередно в заданном списке, т.е первый доступный сервер для типа авторизации. Пример:radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage igmp
radius-server host 10.252.10.2 key encrypted aKcepjEhS20= usage igmp
Если сервер не ответил, он помечается как нерабочий и перестает участвовать в механизме опроса на определенный период, а запрос отсылается на следующий сервер в списке.
Настройки на Radius-сервере:«client-mac-address» Cleartext-Password :=«client-mac-address», Framed-IP-Address ==«igmp allowed group address», NAS-Port:= «acess-port», NAS-IP-Address:=«client-ip-address»
