Jump to content
Калькуляторы

Примеры настроек коммутаторов Orion Networks Примеры настроек коммутаторов Orion Networks

Alpha-A28F

 

user login radius-local

enable login radius-local

radius 172.16.3.254

radius-key TambovRadiusKey

 

Легкие возникли проблемы при поднятии линков оптических с оборудованием разных вендеров, но легко исправляется жестким назначением скорости. IGMP, MVR все отлично и фильтрация мультикаста. Остался один вопрос. Я не смогла победить аутентификацию по радиусу. Точнее она настроена, но переход в режим админа все равно требует локального пароля - что не так в моем конфиге? Ведь если есть вариант enable login radius-user (когда делаю так, то в режим админа вооще нет возможности попасть) значит точно можно не только аутентификацию проходить через радиус но и авторизовываться админом. Какой из параметров радиуса я забыла?

 

 

 

чтобы понятнее было что я хочу вот пример настройки снр

authentication line console login local radius

authentication line vty login local radius

authentication line web login local radius

authentication enable radius

authorization line console exec local radius

authorization line vty exec local radius

authorization line web exec local radius

аутентификация отвечает за вход на свич, авторизация за вход в режим админа, для радиус сервера задан ип хоста, ключ и ааа энейбл все, и все работвет.

 

Как мне сделать так же на орионе.

Share this post


Link to post
Share on other sites

Я не туда обратилась? с проблемой отдельную тему лучше создавать, а не в теме про конфиги постить?

Share this post


Link to post
Share on other sites

для проверки пароля enable через radius-сервер, заведите на radius сервере пользователя с логином admin с паролем для перехода в привилегированный режим

Share this post


Link to post
Share on other sites

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

перепрошивка из boot меню только по протоколу ftp(!) tftp не понимает..

Share this post


Link to post
Share on other sites

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

покажите конфиг коммутатора

Share this post


Link to post
Share on other sites

Приветствую!

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

Share this post


Link to post
Share on other sites

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

для A28E/A10E :

сначала на аплинке и на тех портах, где не нужен биндинг надо указать "ip verify source trust "

затем создаем статические привязки, например "ip source binding 192.168.188.1 d485.64ed.02e0 port 1"

и включаем "ip verify source" .

Share this post


Link to post
Share on other sites

Наверно, стоило уточнить модель: Orion Alpha A26

Orion Alpha A26(config)#interface Ethernet1/21 
Orion Alpha A26(config-if-ethernet1/21)#ip ?   
 access-group  Apply access-list to interface
 dhcp          DHCP server and relay agent
 multicast     IP Multicast config

Orion Alpha A26(config-if-ethernet1/21)#ip

verify нету. Или я где-то не там ищу?

Orion Alpha A26(config)#ip sou?
% Unrecognized command
Orion Alpha A26(config)#ip veri?
% Unrecognized command
Orion Alpha A26(config)#ip veri

Edited by metalsoft

Share this post


Link to post
Share on other sites

Для Orion A26

Включаем DHCP Snooping и bindning

ip dhcp snooping enable

ip dhcp snooping vlan 10

ip dhcp snooping binding enable

 

На порту , где хотим запретить работу пользователей без привязки, включаем user-control

Interface Ethernet1/1

switchport access vlan 10

ip dhcp snooping binding user-control

 

создаем статическую запись

ip dhcp snooping binding user 00-22-15-a4-86-2d address 192.168.188.2 vlan 10 interface Ethernet1/1

Share this post


Link to post
Share on other sites

Благодарю,так работает. Теперь не могу найти, как мониторить маки - валидный ли ip у пользака. Создаю статическую связку ip-mac-port-vlan, пакеты у клиента ходят. Меняю ip на клиенте - пакеты не ходят, но где найти запись на свитче, что мак заблокирован? Как узнать, какой в данный момент ip у пользака?

Edited by metalsoft

Share this post


Link to post
Share on other sites

MAC-notification, насколько я понимаю, отсылает snmp trap при появлении или исчезновении мака на порту. Я имею ввиду следующую ситуацию. Клиент выставил себе вручную неправильный ip адрес. Свитч клиента заблокировал. Клиент звонит в техподдержку: "У меня не работает интернет". И вот дальше было бы неплохо, чтоб техподдержка зашла на свитч через web и обнаружила, что мак этого клиента заблокирован, т.к. его ip адрес в данный момент - такой-то, не правильный. На Des-3526/3528 об этом появляется запись в сислоге вида:

Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.0.1>, MAC:<00-24-54-B4-E6-CA>, Port<1>)

Возможно ли реализовать данный функционал на A26?

Edited by metalsoft

Share this post


Link to post
Share on other sites

Возможно ли реализовать данный функционал на A26?

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

Share this post


Link to post
Share on other sites

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

Я так понимаю, что и сам факт того, что мак заблокирован, тоже нигде не найти?

Share this post


Link to post
Share on other sites

Фактически маки не блокируются, просто не пропускаются пакеты с тех маков и ip, которых нет в привязке, и информация в логи не попадает.

Share this post


Link to post
Share on other sites

Печально... В А28 это тоже так?

Edited by metalsoft

Share this post


Link to post
Share on other sites

В догонку... Блин, дык эт че, если связка для определеного мака создана, даже нельзя посмотреть, присутствует ли мак на порту?

Независимо от того, подключен ли кабель в порт, всегда выдает:

Orion Alpha A26#sh mac-address-table interface Ethernet1/21        
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    50-af-73-14-fa-ca           STATIC  App      Ethernet1/21
Orion Alpha A26#

Share this post


Link to post
Share on other sites

привязанный dhcp snooping'ом мак висит в FDB статически, однако если на порт придет другой мак, то его будет видно .

 

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

включаем его глобально

am enable

затем включем его на порту и создаем привязку

Interface Ethernet1/1

am port

am mac-ip-pool 00-00-11-11-22-22 192.168.1.1

в этом случае статической записи в fdb не появляется

 

По поводу отображения в логе информации о невалидных пакетах, для того, чтобы она попала в лог, все дропнутые пакеты должны обрабатываться CPU, что может привести к неприятным последствиям, например в случае флуда от клиента.

Share this post


Link to post
Share on other sites

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

Таким образом работает нормально, если ip у клиента выставлен статически. Только ставлю динамически - пакеты до клиента уже не доходят. Т.е. ip адрес от dhcp сервера клиент получить не может.

Share this post


Link to post
Share on other sites

правильно, надо ещё и ойпи 0.0.0.0 добавить с тем же маком

Share this post


Link to post
Share on other sites

А не добавляется:

Orion Alpha A26# config t
Orion Alpha A26(config)# interface Ethernet1/21
Orion Alpha A26(config-if-ethernet1/21)# am mac-ip-pool 50-af-73-14-fa-c9 0.0.0.0
Error: IP address 0.0.0.0 is not available

Share this post


Link to post
Share on other sites

Если для назначения Ip-адресов используется dhcp, то никаких статических привязок делать не надо, просто включите dhcp-snooping и binding, а на порту укажите ip dhcp snooping binding user-control, тогда ip-адреса и маки будут биндиться автоматически, на основании информации из dhcp пакета

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now