Возраст: 35 лет
Офис: Новосибирск
Выполненные проекты:
- Проект по сопровождение сдачи СОРМ для Акционерного общества Ижевский Электромеханический Завод "Купол" Замена коммутаторов доступа в Акционерном обществе "Особое Конструкторское Бюро Московского Энергетического Института"
- Подбор и поставка оборудования по созданию сетей для Акционерного общества "Конструкторское Бюро "Кунцево" Проект по созданию локальной системы оповещения населения «Гидротехнические сооружения обогатительной фабрики АО «Урупский ГОК»
Настройка IGMP-авторизации через RADIUS сервер MES14xx/24xx/3400-xx/37xx
Время прочтения 4 минуты
Функционал позволяет выполнять регистрацию IGMP-report'ов на основании ответов от Radius-сервера. Пример базовой конфигурации коммутатора для работы функционала:
! vlan 2-100 vlan active! snooping multicast-forwarding-mode ipsnooping authenticationsnooping authentication cache-time 60!ip igmp snooping!radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage login igmp ! vlan 10 ip igmp snooping ip igmp snooping mrouter te 0/1 ip igmp snooping sparse-mode enable!interface vlan 20 description "MGMT" ip address 10.252.10.254 255.255.255.0! interface gigabitethernet 0/1 description "IGMP-client" switchport mode access switchport access vlan 10 ip igmp snooping authentication radius! interface tengigabitethernet 0/1 description "Server" switchport general allowed vlan add 10,20 switchport forbidden default-vlan ! endОпции конфигурирования порта:
|
ip igmp snooping authentication radius [required] |
Если указан параметр required , то в случае недоступности всех RADIUS-серверов IGMP-report-ы игнорируются. В противном случае IGMP-report'ы обрабатываются. |
|
ip igmp snooping authentication forwarding-first |
Включает предварительную регистрацию Multicast-группы на порту до ответа RADIUS-сервера. В случае положительного ответа сервера подписка остается, в случае отрицательного — удаляется. |
|
ip igmp snooping authentication exception mcast profile <profile id> |
Позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. |
|
ip igmp snooping authentication none |
Отключает авторизацию на интерфейсе. Параметр по умолчанию. |
Для уменьшения нагрузки коммутатор использует кэш, представляющий собой таблицу с полями: MAC, PORT, IGMP-group, Client-IP, Radius-IP, Lifetime (время, в течение которого запись хранится в кэше), status. По истечении времени хранения записи она удаляется. Запись в кэше можно посмотреть командой sh ip igmp snooping authentication cache:
console#sh ip igmp snooping authentication cachePort Client MAC Client IP Group IP Server Type Lifetime Status------ ----------------- ---------------- ---------------- ----------- -------- -------gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.3.16 RADIUS 58 FORWARDgi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.5.17 RADIUS 58 FORWARD
Для резервирования можно задавать несколько Radius-серверов, сервер выбирается поочередно в заданном списке, т.е первый доступный сервер для типа авторизации. Пример:
radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage igmpradius-server host 10.252.10.2 key encrypted aKcepjEhS20= usage igmpЕсли сервер не ответил, он помечается как нерабочий и перестает участвовать в механизме опроса на определенный период, а запрос отсылается на следующий сервер в списке.
Настройки на Radius-сервере:
«client-mac-address» Cleartext-Password
:=«client-mac-address», Framed-IP-Address ==«igmp allowed group
address», NAS-Port:= «acess-port», NAS-IP-Address:=«client-ip-address»