Отправить запрос

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Настройка IGMP Authentication на коммутаторе

    Для настройки аутентификации подписок через RADIUS необходимо:


    1. Настроить на коммутаторе RADIUS-server и включить AAA:

    radius-server authentication host 172.16.2.10 key 0 qtech primary
    
    aaa enable
    

    2. Включить IGMP snooping в клиентском VLAN (или Multicast VLAN, если используется).

    ip igmp snooping
    
    ip igmp snooping vlan 3006
    

    3. В режиме конфигурации порта включить режим IGMP authentication.

    Interface Ethernet1/1  
    
    switchport access vlan 3006 
    
    igmp snooping authentication enable
    
    
    

    Опция "igmp snooping authentication free-rule" позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. Например, при схеме описанной ниже, если абонент подпишется на группу 239.2.2.2, коммутатор не будет обращаться к RADIUS-серверу для аутентификации. Обрабатываются ACL с правилом permit.

    access-list 6001 permit ip any-source host-destination 239.2.2.2 
    !
    Interface Ethernet1/1 
    switchport access vlan 3006 
    igmp snooping authentication enable 
    igmp snooping authentication free-rule access-list 6001
    
    QSW-3400-28T-AC#show ip igmp snooping vlan 3006 groups | include Ethernet1/1
    239.2.2.2       *                   Ethernet1/1         00:03:08 V2
             
    QSW-3400-28T-AC#show ip igmp snooping vlan 3006 groups authentication-tables | include Ethernet1/1
    3006            Ethernet1/1         225.1.1.1           B0:48:7A:DB:66:7C  deny  
    
    

    IGMP snooping authentication timeout определяет время жизни authentication table. Когда ageing time у таблицы истекает, вновь пришедшие запросы на присоединение к группе, снова будут аутентифицироваться через RADIUS. По умолчанию составляет 600 секунд.


    ip igmp snooping authentication timeout 300 
    

    Опция, настраивающая поведение коммутатора при недоступности RADIUS-сервера. Если прописать эту команду, то при получении запроса на присоединение к группе, коммутатор не получив ответа от RADIUS-сервера, разрешает подписку на группу. По умолчанию коммутатор не подписывает на группу при отсутствии ответа от RADIUS-сервера.


    ip igmp snooping authentication radius none 
    
    

    Коммутатор сразу создает подписку в тот момент, когда еще отправляется запрос на RADIUS. В случае положительного ответа подписка остается, в случае неудачного - удаляется.

    ip igmp snooping authentication forwarding-first
    
    

    Дебаг IGMP authentication:

    debug igmp snooping authentication (event|timer|all)
     
    

    Просмотр таблицы подписок IGMP snooping / IGMP snooping authentication-table:


    show ip igmp snooping vlan <1-4094> groups (A.B.C.D|) (authentication-table | )
    

    Очистка таблицы подписок IGMP snooping / IGMP snooping authentication-table:


    clear ip igmp snooping vlan <1-4094> groups (A.B.C.D|) ((authentication-port (port-channel IFNAME|ethernet IFNAME|IFNAME)) |)
    
    

    Просмотр сконфигурированных free-rule ACL:


    show ip igmp snooping authentication free-rule ((interface (port-channel IFNAME|ethernet IFNAME|IFNAME))|)


    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку