3.1. Общие сведения о аутентификации IGMP Snooping
Функционал аутентификации для IGMP Snooping используется для контроля доступа пользователей к multicast-группам. При попытке пользователя запросить доступ к multicast-группе, коммутатор запрашивает аутентификацию у RADIUS-сервера. Если коммутатор получит Request-Accept от сервера, он добавит подписку пользователя на группу.
Включить IGMP Snooping
Включить аутентификацию для IGMP Snooping
Настроить аутентификацию для IGMP Snooping
Настроить RADIUS
Включить IGMP Snooping:
Команда | Описание |
|---|---|
ip igmp snooping no ip igmp snooping ! В режиме глобальной конфигурации | Включить IGMP Snooping Отключить IGMP Snooping |
2. Включить аутентификацию для IGMP Snooping:
Команда | Описание |
|---|---|
igmp snooping authentication enable
! В режиме глобальной конфигурации | Включить функцию аутентификации IGMP Snooping. После включения этой функции коммутатор запросит аутентификацию для всех существующих записей клиент-группа. Записи, не прошедшие аутентификацию, будут удалены. Отключить функцию аутентификации IGMP Snooping |
3. Настроить аутентификацию для IGMP Snooping:
Команда | Описание |
|---|---|
igmp snooping authentication free-rule access-list <6000-7999> no igmp snooping authentication free-rule access-list <6000-7999> ! В режиме конфигурирования интерфейса | Задать группы в виде ACL, аутентификация пользователей для которых не потребуется. Команда no отменяет это действие. |
ip igmp snooping authentication radius none no ip igmp snooping authentication radius none ! В режиме глобальной конфигурации | Разрешить добавление подписки на группу, если RADIUS-сервер не отвечает. Команда no отменяет это действие. |
ip igmp snooping authentication forwarding-first no ip igmp snooping authentication forwarding-first ! В режиме глобальной конфигурации | Настроить порядок процессов процедуры аутентификации. После применения команды запись в таблицу IGMP-snooping будет добавлена перед аутентификацией, если аутентификация будет неуспешна, запись будет удалена. Команда no возвращает конфигурацию по-умолчанию - аутентификация выполняется перед добавлением записи. |
ip igmp snooping authentication timeout <30-30000> no ip igmp snooping authentication timeout ! В режиме глобальной конфигурации | Задать время жизни записи аутентификации <30-30000> в секундах. Восстановить значение по-умолчанию (600 секунд). |
4. Настроить RADIUS:
Команда | Описание |
|---|---|
aaa enable no aaa enable ! В режиме глобальной конфигурации | Включить функцию AAA Отключить функцию AAA |
radius-server key <word> no radius-server key ! В режиме глобальной конфигурации | Указать ключ key <word> для RADIUS-сервера Удалить настроенный ключ key для RADIUS-сервера |
radius-server authentication host <A.B.C.D> no radius-server authentication host <A.B.C.D> ! В режиме глобальной конфигурации | Задать адрес RADIUS-сервера Удалить адрес RADIUS-сервера |
На коммутаторе настроен VLAN 1 для порта 1/0/1 и VLAN 10 для порта 1/0/2. Пользователь подключен к порту 1/0/1, а RADIUS-сервер к порту 1/0/2. Для контроля многоадресных групп разрешенных пользователю в соответствии с политикой, требуется настроить аутентификацию для IGMP Snooping. RADIUS-сервер имеет адрес 10.1.1.3/24, для связи с ним коммутатору будет назначен адрес из этой подсети.
Конфигурация будет происходить следующим образом:
Switch#config Switch(config)#ip igmp snooping Switch(config)#ip igmp snooping vlan 1 Switch(config)#interface ethernet 1/0/1 Switch(config-if-ethernet1/0/1)#igmp snooping authentication enable Switch(config-if-ethernet1/0/1)# exit Switch(config)#ip igmp snooping authentication radius none Switch(config)#interface vlan 10 Switch(config-if-vlan10)#ip address 10.1.1.2 255.255.255.0 Switch(config-if-vlan10)# exit Switch(config)#radius-server authentication host 10.1.1.3 Switch(config)#radius-server key test Switch(config)#aaa enable |