Функционал IGMP RADIUS Authentication позволяет производить проверку прав пользователей на подключение к тем или иным группам multicast-трафика с помощью серверов RADIUS. Данный функционал позволяет операторам связи вводить гибкие тарифы для пользователей услуг IPTV, ограничивая доступ к каналам еще на уровне доступа к сети, не загружая при этом агрегацию и ядро.
IGMP Authentication через RADIUS работает следующим образом. Когда хост посылает сообщение о присоединении к интересующей его multicast-группе (IGMP Join), коммутатор должен провести аутентификацию. В процессе аутентификации коммутатор посылает RADIUS-серверу запрос на доступ, содержащий номер порта коммутатора, IP-адрес коммутатора, IP-адрес multicast-группы и MAC-адрес хоста, который запросил доступ к группе. Если сервер аутентификации дает положительный ответ на запрос, то коммутатор добавляет соответствующую запись в процесс IGMP Snooping и продвигает IGMP Join дальше. Если же ответ на запрос отрицательный, то ни записи группа/порт, ни продвижения IGMP Join коммутатором не осуществляется. При отсутствии ответа от сервера аутентификации коммутатор отправляет повторный запрос. Если ответа не поступает после нескольких повторных запросов, ответ считается отрицательным.
Положительные результаты всех запросов к RADIUS-серверу кэшируются, таким образом аутентификация осуществляется лишь при первом успешном подключении конкретным клиентом к конкретной группе, всех неудачных подключениях и по истечении времени жизни таблицы кэша аутентификаций.
Для настройки функционала достаточно провести минимальную конфигурацию коммутатора:
! radius-server key 0 security_key radius-server authentication host <radius_ip> radius-server accounting host <radius_ip> aaa enable ! vlan <vlan_id> ! Interface Ethernet1/0/1 switchport access vlan <vlan_id> igmp snooping authentication enable ! ip igmp snooping no ip igmp snooping proxy ip igmp snooping authentication forwarding-first ip igmp snooping vlan <vlan_id> !
Можно разрешить пользователям подключение к любой multicast-группе, если RADIUS-сервер перестает отвечать на запросы:
ip igmp snooping authentication radius none
Также есть возможность указать список групп, для которых аутентификация средствами RADIUS не требуется:
igmp snooping authentication free-rule access-list <6000-7999>
Работает только при включенной аутентификации на порте. Все группы, попадающие в ACL под правило permit, будут разрешены, а для прочих, попавших под правило deny или неуказанных в ACL, будет запущен процесс аутентификации.
Конфигурация RADIUS users:
client_mac_addr Cleartext-Password := client_mac_addr, Framed-IP-Address == allowed_multicast_group