3.1. Общие сведения о аутентификации IGMP Snooping
Функционал аутентификации для IGMP Snooping используется для контроля доступа пользователей к multicast-группам. При попытке пользователя запросить доступ к multicast-группе, коммутатор запрашивает аутентификацию у RADIUS-сервера. Если коммутатор получит Request-Accept от сервера, он добавит подписку пользователя на группу.
3.2. Настройка аутентификации IGMP Snooping
Включить IGMP Snooping
Включить аутентификацию для IGMP Snooping
Настроить аутентификацию для IGMP Snooping
Настроить RADIUS
Включить IGMP Snooping:
Команда | Описание |
|---|---|
ip igmp snooping no ip igmp snooping ! В режиме глобальной конфигурации | Включить IGMP Snooping Отключить IGMP Snooping |
2. Включить аутентификацию для IGMP Snooping:
Команда | Описание |
|---|---|
ip igmp snooping authentication enable
! В режиме глобальной конфигурации | Включить функцию аутентификации IGMP Snooping. После включения этой функции коммутатор запросит аутентификацию для всех существующих записей клиент-группа. Записи, не прошедшие аутентификацию, будут удалены. Отключить функцию аутентификации IGMP Snooping |
3. Настроить аутентификацию для IGMP Snooping:
Команда | Описание |
|---|---|
igmp snooping authentication free-rule access-list <6000-7999> no igmp snooping authentication free-rule access-list <6000-7999> ! В режиме конфигурирования интерфейса | Задать группы в виде ACL, аутентификация пользователей для которых не потребуется. Команда no отменяет это действие. |
ip igmp snooping authentication radius none no ip igmp snooping authentication radius none ! В режиме глобальной конфигурации | Разрешить добавление подписки на группу, если RADIUS-сервер не отвечает. Команда no отменяет это действие. |
ip igmp snooping authentication forwarding-first no ip igmp snooping authentication forwarding-first ! В режиме глобальной конфигурации | Настроить порядок процессов процедуры аутентификации. После применения команды запись в таблицу IGMP-snooping будет добавлена перед аутентификацией, если аутентификация будет неуспешна, запись будет удалена. Команда no возвращает конфигурацию по-умолчанию - аутентификация выполняется перед добавлением записи. |
ip igmp snooping authentication timeout <30-30000> no ip igmp snooping authentication timeout ! В режиме глобальной конфигурации | Задать время жизни записи аутентификации <30-30000> в секундах. Восстановить значение по-умолчанию (600 секунд). |
4. Настроить RADIUS:
Команда | Описание |
|---|---|
aaa enable no aaa enable ! В режиме глобальной конфигурации | Включить функцию AAA Отключить функцию AAA |
radius-server key <word> no radius-server key ! В режиме глобальной конфигурации | Указать ключ key <word> для RADIUS-сервера Удалить настроенный ключ key для RADIUS-сервера |
radius-server authentication host <A.B.C.D> no radius-server authentication host <A.B.C.D> ! В режиме глобальной конфигурации | Задать адрес RADIUS-сервера Удалить адрес RADIUS-сервера |
3.3. Пример настройки аутентификации IGMP Snooping
На коммутаторе настроен VLAN 1 для порта 1/0/1 и VLAN 10 для порта 1/0/2. Пользователь подключен к порту 1/0/1, а RADIUS-сервер к порту 1/0/2. Для контроля многоадресных групп разрешенных пользователю в соответствии с политикой, требуется настроить аутентификацию для IGMP Snooping. RADIUS-сервер имеет адрес 10.1.1.3/24, для связи с ним коммутатору будет назначен адрес из этой подсети.
Конфигурация будет происходить следующим образом:
Switch#config Switch(config)#ip igmp snooping Switch(config)#ip igmp snooping vlan 1 Switch(config)#interface ethernet 1/0/1 Switch(config-if-ethernet1/0/1)#igmp snooping authentication enable Switch(config-if-ethernet1/0/1)# exit Switch(config)#ip igmp snooping authentication radius none Switch(config)#interface vlan 10 Switch(config-if-vlan10)#ip address 10.1.1.2 255.255.255.0 Switch(config-if-vlan10)# exit Switch(config)#radius-server authentication host 10.1.1.3 Switch(config)#radius-server key test Switch(config)#aaa enable