Настройка IGMP Authentication на коммутаторе

Для настройки аутентификации подписок через RADIUS необходимо:

1. Настроить на коммутаторе RADIUS-server и включить AAA:

radius-server authentication host 172.16.2.10 key 0 qtech primary

aaa enable

2. Включить IGMP snooping в клиентском VLAN (или Multicast VLAN, если используется).

ip igmp snooping

ip igmp snooping vlan 3006

3. В режиме конфигурации порта включить режим IGMP authentication.

Interface Ethernet1/1  

switchport access vlan 3006 

igmp snooping authentication enable

Опция "igmp snooping authentication free-rule" позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. Например, при схеме описанной ниже, если абонент подпишется на группу 239.2.2.2, коммутатор не будет обращаться к RADIUS-серверу для аутентификации. Обрабатываются ACL с правилом permit.

access-list 6001 permit ip any-source host-destination 239.2.2.2 
!
Interface Ethernet1/1 
switchport access vlan 3006 
igmp snooping authentication enable 
igmp snooping authentication free-rule access-list 6001

QSW-3400-28T-AC#show ip igmp snooping vlan 3006 groups | include Ethernet1/1
239.2.2.2       *                   Ethernet1/1         00:03:08 V2
         
QSW-3400-28T-AC#show ip igmp snooping vlan 3006 groups authentication-tables | include Ethernet1/1
3006            Ethernet1/1         225.1.1.1           B0:48:7A:DB:66:7C  deny  

IGMP snooping authentication timeout определяет время жизни authentication table. Когда ageing time у таблицы истекает, вновь пришедшие запросы на присоединение к группе, снова будут аутентифицироваться через RADIUS. По умолчанию составляет 600 секунд.

ip igmp snooping authentication timeout 300 

Опция, настраивающая поведение коммутатора при недоступности RADIUS-сервера. Если прописать эту команду, то при получении запроса на присоединение к группе, коммутатор не получив ответа от RADIUS-сервера, разрешает подписку на группу. По умолчанию коммутатор не подписывает на группу при отсутствии ответа от RADIUS-сервера.

ip igmp snooping authentication radius none 

Коммутатор сразу создает подписку в тот момент, когда еще отправляется запрос на RADIUS. В случае положительного ответа подписка остается, в случае неудачного - удаляется.

ip igmp snooping authentication forwarding-first

Дебаг IGMP authentication:

debug igmp snooping authentication (event|timer|all)
 

Просмотр таблицы подписок IGMP snooping / IGMP snooping authentication-table:

show ip igmp snooping vlan <1-4094> groups (A.B.C.D|) (authentication-table | )

Очистка таблицы подписок IGMP snooping / IGMP snooping authentication-table:

clear ip igmp snooping vlan <1-4094> groups (A.B.C.D|) ((authentication-port (port-channel IFNAME|ethernet IFNAME|IFNAME)) |)

Просмотр сконфигурированных free-rule ACL:

show ip igmp snooping authentication free-rule ((interface (port-channel IFNAME|ethernet IFNAME|IFNAME))|)