Настройка IGMP-авторизации через RADIUS сервер MES14xx/24xx/3400-xx/37xx
Функционал позволяет выполнять регистрацию IGMP-report'ов на основании ответов от Radius-сервера. Пример базовой конфигурации коммутатора для работы функционала:
!
vlan 2-100
vlan active
!
snooping multicast-forwarding-mode ip
snooping authentication
snooping authentication cache-time 60
!
ip igmp snooping
!
radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage login igmp
!
vlan 10
ip igmp snooping
ip igmp snooping mrouter te 0/1
ip igmp snooping sparse-mode enable
!
interface vlan 20
description "MGMT"
ip address 10.252.10.254 255.255.255.0
!
interface gigabitethernet 0/1
description "IGMP-client"
switchport mode access
switchport access vlan 10
ip igmp snooping authentication radius
!
interface tengigabitethernet 0/1
description "Server"
switchport general allowed vlan add 10,20
switchport forbidden default-vlan
!
end
Опции конфигурирования порта:
ip igmp snooping authentication radius [required] |
Если указан параметр required , то в случае недоступности всех RADIUS-серверов IGMP-report-ы игнорируются. В противном случае IGMP-report'ы обрабатываются. |
ip igmp snooping authentication forwarding-first |
Включает предварительную регистрацию Multicast-группы на порту до ответа RADIUS-сервера. В случае положительного ответа сервера подписка остается, в случае отрицательного — удаляется. |
ip igmp snooping authentication exception mcast profile <profile id> |
Позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. |
ip igmp snooping authentication none |
Отключает авторизацию на интерфейсе. Параметр по умолчанию. |
Для уменьшения нагрузки коммутатор использует кэш, представляющий собой таблицу с полями: MAC, PORT, IGMP-group, Client-IP, Radius-IP, Lifetime (время, в течение которого запись хранится в кэше), status. По истечении времени хранения записи она удаляется. Запись в кэше можно посмотреть командой sh ip igmp snooping authentication cache:
console#sh ip igmp snooping authentication cache
Port Client MAC Client IP Group IP Server Type Lifetime Status
------ ----------------- ---------------- ---------------- ----------- -------- -------
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.3.16 RADIUS 58 FORWARD
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.5.17 RADIUS 58 FORWARD
Для резервирования можно задавать несколько Radius-серверов, сервер выбирается поочередно в заданном списке, т.е первый доступный сервер для типа авторизации. Пример:
radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage igmp
radius-server host 10.252.10.2 key encrypted aKcepjEhS20= usage igmp
«client-mac-address» Cleartext-Password
:=«client-mac-address», Framed-IP-Address ==«igmp allowed group
address», NAS-Port:= «acess-port», NAS-IP-Address:=«client-ip-address»
Источник:
docs.eltex-co.ru