1. Главная
  2. База знаний
  3. Коммутаторы
  4. SNR
  5. Функционал IGMP Authentification на сетевых коммутаторах SNR-2940/50/60 серии

Функционал IGMP Authentification на сетевых коммутаторах SNR-2940/50/60 серии

Функционал IGMP Authentification на сетевых коммутаторах SNR-2940/50/60 серии

Функционал IGMP RADIUS Authentication позволяет производить проверку прав пользователей на подключение к тем или иным группам мультикаст трафика с помощью серверов RADIUS. Данный функционал позволяет операторам связи  настраивать гибкие тарифы по подключению пользователей к услугам IP-TV, ограничивая разрешенные каналы еще на доступе к сети, и не загружая ядро или агрегацию. На данный момент функционал поддерживается коммутаторами доступа SNR-2940/50/60 серии и протестирован в лаборатории . Ближайшим и единственным существующим аналогом является функция IGMP Access Control коммутаторов Dlink (IGMP-AC).

Если IGMP RADIUS Authentication включена, и коммутатор получает запрос на присоединение, коммутатор отправляет IGMP запрос на доступ к RADIUS серверу для проведения аутентификации.

IGMP Authentication через RADIUS работает следующим образом. Когда хост посылает сообщение о присоединении к интересующей его multicast группе, коммутатор должен провести аутентификацию перед тем, как добавить multicast группу/порт.

Коммутатор посылает RADIUS серверу запрос на доступ, а также MAC-адрес хоста, номер порта коммутатора, IP-адрес коммутатора, IP-адрес мультикаст группы. Если сервер аутентификации дает положительный ответ на запрос, то коммутатор записывает данные мультикаст группу/порт. Если же ответ на запрос отрицательный, то коммутатор не записывает multicast группу/порт и не обрабатывает пакет дальше. Если сервер аутентификации не отвечает в течение некоторого времен, то коммутатор отправляет повторный запрос. Если ответа не поступает после нескольких повторных запросов, ответ считается отрицательным.

В дальнейшем, когда multicast группы/порт уже известны коммутатору, то IGMP RADIUS Authentication больше не проводится. Обрабатываются только пакеты.

Для настройки функционала достаточно провести минимальную конфигурацию:

!

radius-server key 0 хххххх

radius-server authentication host хх.хх.хх.хх

radius-server accounting host хх.хх.хх.хх

aaa enable

!

vlan хх

!

Interface Ethernet0/0/1

 switchport access vlan хх

 igmp snooping authentication enable

!

ip igmp snooping

ip igmp snooping authentication forwarding-first

 ip igmp snooping authentication radius none

ip igmp snooping vlan хх

!

Конфигурация радиус сервера:

RADIUS users:

«client-mac-address» Cleartext-Password := «client-mac-address», Framed-IP-Address == «igmp allowed group address»

Это минимальные настройки.

На коммутаторе указываются координаты радиус сервера, согласно документации по настройке аутентификации. Так же необходимо включить аутентификацию в режиме интерфейса, и настроить собственно функционал IGMP RADIUS Authentification. Рассмотрим команды.

ip igmp snooping authentication radius none - команда позволяет разрешить пользователям подключение к любой мультикаст группе, в случае если Radius сервер перестает отвечать на запросы.

ip igmp snooping authentication forwarding-first - включение режима IGMP Authentification

igmp snooping authentication free-rule access-list <6000-7999> - работает только в случае если включен режим аутентификации на порту. Данная команда позволяет осуществить аутентификацию групп мультикаста без функционала RADIUS. Все группы которые входят в ACL будут разрешены/запрещены, если группа отстствует в ACL то будет запущен процесс аутентификации с использованием RADIUS.

igmp snooping authentication enable - в режиме порта, включает аутентификацию мультикаст групп на абонентском порту.