Alpha-A28F

 

user login radius-local

enable login radius-local

radius 172.16.3.254

radius-key TambovRadiusKey

 

Легкие возникли проблемы при поднятии линков оптических с оборудованием разных вендеров, но легко исправляется жестким назначением скорости. IGMP, MVR все отлично и фильтрация мультикаста. Остался один вопрос. Я не смогла победить аутентификацию по радиусу. Точнее она настроена, но переход в режим админа все равно требует локального пароля - что не так в моем конфиге? Ведь если есть вариант enable login radius-user (когда делаю так, то в режим админа вооще нет возможности попасть) значит точно можно не только аутентификацию проходить через радиус но и авторизовываться админом. Какой из параметров радиуса я забыла?

 

 

 

чтобы понятнее было что я хочу вот пример настройки снр

authentication line console login local radius

authentication line vty login local radius

authentication line web login local radius

authentication enable radius

authorization line console exec local radius

authorization line vty exec local radius

authorization line web exec local radius

аутентификация отвечает за вход на свич, авторизация за вход в режим админа, для радиус сервера задан ип хоста, ключ и ааа энейбл все, и все работвет.

 

Как мне сделать так же на орионе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не туда обратилась? с проблемой отдельную тему лучше создавать, а не в теме про конфиги постить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

для проверки пароля enable через radius-сервер, заведите на radius сервере пользователя с логином admin с паролем для перехода в привилегированный режим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

перепрошивка из boot меню только по протоколу ftp(!) tftp не понимает..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

покажите конфиг коммутатора

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приветствую!

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

для A28E/A10E :

сначала на аплинке и на тех портах, где не нужен биндинг надо указать "ip verify source trust "

затем создаем статические привязки, например "ip source binding 192.168.188.1 d485.64ed.02e0 port 1"

и включаем "ip verify source" .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Наверно, стоило уточнить модель: Orion Alpha A26

Orion Alpha A26(config)#interface Ethernet1/21 
Orion Alpha A26(config-if-ethernet1/21)#ip ?   
 access-group  Apply access-list to interface
 dhcp          DHCP server and relay agent
 multicast     IP Multicast config

Orion Alpha A26(config-if-ethernet1/21)#ip

verify нету. Или я где-то не там ищу?

Orion Alpha A26(config)#ip sou?
% Unrecognized command
Orion Alpha A26(config)#ip veri?
% Unrecognized command
Orion Alpha A26(config)#ip veri

Изменено пользователем metalsoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для Orion A26

Включаем DHCP Snooping и bindning

ip dhcp snooping enable

ip dhcp snooping vlan 10

ip dhcp snooping binding enable

 

На порту , где хотим запретить работу пользователей без привязки, включаем user-control

Interface Ethernet1/1

switchport access vlan 10

ip dhcp snooping binding user-control

 

создаем статическую запись

ip dhcp snooping binding user 00-22-15-a4-86-2d address 192.168.188.2 vlan 10 interface Ethernet1/1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Благодарю,так работает. Теперь не могу найти, как мониторить маки - валидный ли ip у пользака. Создаю статическую связку ip-mac-port-vlan, пакеты у клиента ходят. Меняю ip на клиенте - пакеты не ходят, но где найти запись на свитче, что мак заблокирован? Как узнать, какой в данный момент ip у пользака?

Изменено пользователем metalsoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не совсем понятно , что Вы имеете в виду , mac-notification ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

MAC-notification, насколько я понимаю, отсылает snmp trap при появлении или исчезновении мака на порту. Я имею ввиду следующую ситуацию. Клиент выставил себе вручную неправильный ip адрес. Свитч клиента заблокировал. Клиент звонит в техподдержку: "У меня не работает интернет". И вот дальше было бы неплохо, чтоб техподдержка зашла на свитч через web и обнаружила, что мак этого клиента заблокирован, т.к. его ip адрес в данный момент - такой-то, не правильный. На Des-3526/3528 об этом появляется запись в сислоге вида:

Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.0.1>, MAC:<00-24-54-B4-E6-CA>, Port<1>)

Возможно ли реализовать данный функционал на A26?

Изменено пользователем metalsoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возможно ли реализовать данный функционал на A26?

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в shop.nag.ru появилась новая статья с ответами на часто задаваемые вопросы по коммутаторам Orion - FAQ по коммутаторам Orion A10E/A18E/A28E

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

Я так понимаю, что и сам факт того, что мак заблокирован, тоже нигде не найти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Фактически маки не блокируются, просто не пропускаются пакеты с тех маков и ip, которых нет в привязке, и информация в логи не попадает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Печально... В А28 это тоже так?

Изменено пользователем metalsoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В догонку... Блин, дык эт че, если связка для определеного мака создана, даже нельзя посмотреть, присутствует ли мак на порту?

Независимо от того, подключен ли кабель в порт, всегда выдает:

Orion Alpha A26#sh mac-address-table interface Ethernet1/21        
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    50-af-73-14-fa-ca           STATIC  App      Ethernet1/21
Orion Alpha A26#

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

привязанный dhcp snooping'ом мак висит в FDB статически, однако если на порт придет другой мак, то его будет видно .

 

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

включаем его глобально

am enable

затем включем его на порту и создаем привязку

Interface Ethernet1/1

am port

am mac-ip-pool 00-00-11-11-22-22 192.168.1.1

в этом случае статической записи в fdb не появляется

 

По поводу отображения в логе информации о невалидных пакетах, для того, чтобы она попала в лог, все дропнутые пакеты должны обрабатываться CPU, что может привести к неприятным последствиям, например в случае флуда от клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

Таким образом работает нормально, если ip у клиента выставлен статически. Только ставлю динамически - пакеты до клиента уже не доходят. Т.е. ip адрес от dhcp сервера клиент получить не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

правильно, надо ещё и ойпи 0.0.0.0 добавить с тем же маком

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А не добавляется:

Orion Alpha A26# config t
Orion Alpha A26(config)# interface Ethernet1/21
Orion Alpha A26(config-if-ethernet1/21)# am mac-ip-pool 50-af-73-14-fa-c9 0.0.0.0
Error: IP address 0.0.0.0 is not available

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если для назначения Ip-адресов используется dhcp, то никаких статических привязок делать не надо, просто включите dhcp-snooping и binding, а на порту укажите ip dhcp snooping binding user-control, тогда ip-адреса и маки будут биндиться автоматически, на основании информации из dhcp пакета

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, это правильный путь. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В магазине shop.nag.ru, в раздел техническая информация по коммутаторам Orion, добавлена новая статья по настройке DHCP Option 82 на коммутаторах Orion Alpha A10E/A18E/A28E .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти