info Функционал IGMP Authentification на коммутаторах SNR

 

Функционал IGMP RADIUS Authentication позволяет производить проверку прав пользователей на подключение к тем или иным группам мультикаст трафика с помощью серверов RADIUS. Данный функционал позволяет операторам связи вводить гибкие тарифы для пользователей услуг IPTV, ограничивая доступ к каналам еще на уровне доступе к сети, не загружая при этом агрегацию и ядро.

На данный момент функционал поддерживается коммутаторами доступа серий SNR S2965, S2985G, S2990G, а также архивных серий S2940, S2950, S2960.
Ближайшим и единственным существующим аналогом является функция IGMP Access Control коммутаторов Dlink (IGMP-AC).

 

 

IGMP Authentication через RADIUS работает следующим образом. Когда хост посылает сообщение о присоединении к интересующей его multicast группе (igmp join), коммутатор должен провести аутентификацию. В процессе аутентификации коммутатор посылает RADIUS-серверу запрос на доступ, содержащий номер порта коммутатора, IP-адрес коммутатора, IP-адрес multicast группы и MAC-адрес хоста, запросившего доступ к группе. Если сервер аутентификации дает положительный ответ на запрос, то коммутатор добавляет соответствующую запись в процесс igmp snooping и продвигает igmp join дальше. Если же ответ на запрос отрицательный, то ни записи группа/порт, ни продвижения igmp join коммутатором не осуществляется. При отсутствии ответа от сервер аутентификации коммутатор отправляет повторный запрос. Если ответа не поступает после нескольких повторных запросов, ответ считается отрицательным.

Положительные результаты всех запросов к RADIUS-серверу кешируются, таким образом аутентификации осуществляется лишь при первом успешном подключении конекретным клиентом к конкретной группе, всех неудачных подключениях и по истечении времени жизни таблицы кеша аутентификаций.

 

Для настройки функционала достаточно провести минимальную конфигурацию коммутатора:

!
radius-server key 0 security_key
radius-server authentication host radius_ip
radius-server accounting host radius_ip
aaa enable
!
vlan vlan_id
!
Interface Ethernet1/0/1
  switchport access vlan vlan_id
  igmp snooping authentication enable
!
ip igmp snooping
no ip igmp snooping proxy
ip igmp snooping authentication forwarding-first
ip igmp snooping vlan vlan_id
!

 

Конфигурация RADIUS users:

client_mac_addr Cleartext-Password := client_mac_addr, Framed-IP-Address == allowed_multicast_group

 

Дополнение:

ip igmp snooping authentication radius none - команда позволяет разрешить пользователям подключение к любой мультикаст группе, в случае если Radius сервер перестает отвечать на запросы.

igmp snooping authentication free-rule access-list <6000-7999> - работает только в случае если включен режим аутентификации на порту. Данная команда позволяет указать список групп, для которых аутентификация средствами RADIUS не требуется. Все группы, попадающие в ACL под правило permit, будут разрешены, а для прочих, попавших под правило deny или неуказанных в ACL, будет запущен процесс аутентификации.