Функционал IGMP Authentification на сетевых коммутаторах SNR-2940/50/60 серии
Функционал IGMP Authentification на сетевых коммутаторах SNR-2940/50/60 серии
Функционал IGMP RADIUS Authentication позволяет производить проверку прав пользователей на подключение к тем или иным группам мультикаст трафика с помощью серверов RADIUS. Данный функционал позволяет операторам связи настраивать гибкие тарифы по подключению пользователей к услугам IP-TV, ограничивая разрешенные каналы еще на доступе к сети, и не загружая ядро или агрегацию. На данный момент функционал поддерживается коммутаторами доступа SNR-2940/50/60 серии и протестирован в лаборатории . Ближайшим и единственным существующим аналогом является функция IGMP Access Control коммутаторов Dlink (IGMP-AC).
Если IGMP RADIUS Authentication включена, и коммутатор получает запрос на присоединение, коммутатор отправляет IGMP запрос на доступ к RADIUS серверу для проведения аутентификации.
IGMP Authentication через RADIUS работает следующим образом. Когда хост посылает сообщение о присоединении к интересующей его multicast группе, коммутатор должен провести аутентификацию перед тем, как добавить multicast группу/порт.
Коммутатор посылает RADIUS серверу запрос на доступ, а также MAC-адрес хоста, номер порта коммутатора, IP-адрес коммутатора, IP-адрес мультикаст группы. Если сервер аутентификации дает положительный ответ на запрос, то коммутатор записывает данные мультикаст группу/порт. Если же ответ на запрос отрицательный, то коммутатор не записывает multicast группу/порт и не обрабатывает пакет дальше. Если сервер аутентификации не отвечает в течение некоторого времен, то коммутатор отправляет повторный запрос. Если ответа не поступает после нескольких повторных запросов, ответ считается отрицательным.
В дальнейшем, когда multicast группы/порт уже известны коммутатору, то IGMP RADIUS Authentication больше не проводится. Обрабатываются только пакеты.
Для настройки функционала достаточно провести минимальную конфигурацию:
!
radius-server key 0 хххххх
radius-server authentication host хх.хх.хх.хх
radius-server accounting host хх.хх.хх.хх
aaa enable
!
vlan хх
!
Interface Ethernet0/0/1
switchport access vlan хх
igmp snooping authentication enable
!
ip igmp snooping
ip igmp snooping authentication forwarding-first
ip igmp snooping authentication radius none
ip igmp snooping vlan хх
!
Конфигурация радиус сервера:
RADIUS users:
«client-mac-address» Cleartext-Password := «client-mac-address», Framed-IP-Address == «igmp allowed group address»
Это минимальные настройки.
На коммутаторе указываются координаты радиус сервера, согласно документации по настройке аутентификации. Так же необходимо включить аутентификацию в режиме интерфейса, и настроить собственно функционал IGMP RADIUS Authentification. Рассмотрим команды.
ip igmp snooping authentication radius none - команда позволяет разрешить пользователям подключение к любой мультикаст группе, в случае если Radius сервер перестает отвечать на запросы.
ip igmp snooping authentication forwarding-first - включение режима IGMP Authentification
igmp snooping authentication free-rule access-list <6000-7999> - работает только в случае если включен режим аутентификации на порту. Данная команда позволяет осуществить аутентификацию групп мультикаста без функционала RADIUS. Все группы которые входят в ACL будут разрешены/запрещены, если группа отстствует в ACL то будет запущен процесс аутентификации с использованием RADIUS.
igmp snooping authentication enable - в режиме порта, включает аутентификацию мультикаст групп на абонентском порту.