[sashulya83]

Alpha-A28F

 

user login radius-local

enable login radius-local

radius 172.16.3.254

radius-key TambovRadiusKey

 

Легкие возникли проблемы при поднятии линков оптических с оборудованием разных вендеров, но легко исправляется жестким назначением скорости. IGMP, MVR все отлично и фильтрация мультикаста. Остался один вопрос. Я не смогла победить аутентификацию по радиусу. Точнее она настроена, но переход в режим админа все равно требует локального пароля - что не так в моем конфиге? Ведь если есть вариант enable login radius-user (когда делаю так, то в режим админа вооще нет возможности попасть) значит точно можно не только аутентификацию проходить через радиус но и авторизовываться админом. Какой из параметров радиуса я забыла?

 

 

 

чтобы понятнее было что я хочу вот пример настройки снр

authentication line console login local radius

authentication line vty login local radius

authentication line web login local radius

authentication enable radius

authorization line console exec local radius

authorization line vty exec local radius

authorization line web exec local radius

аутентификация отвечает за вход на свич, авторизация за вход в режим админа, для радиус сервера задан ип хоста, ключ и ааа энейбл все, и все работвет.

 

Как мне сделать так же на орионе.

[sashulya83]

Я не туда обратилась? с проблемой отдельную тему лучше создавать, а не в теме про конфиги постить?

[Mikhail Burnin]

для проверки пароля enable через radius-сервер, заведите на radius сервере пользователя с логином admin с паролем для перехода в привилегированный режим

[Helios]

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

перепрошивка из boot меню только по протоколу ftp(!) tftp не понимает..

[Mikhail Burnin]

по tacacs+ авторизация не работает. Коммутатор не понимает ответов от Сisco acs-5.4/

покажите конфиг коммутатора

[metalsoft]

Приветствую!

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

[Mikhail Burnin]

Может ли кто подсказать, как реализовать аналог DLink'овского IP-MAC-Port binding?

для A28E/A10E :

сначала на аплинке и на тех портах, где не нужен биндинг надо указать "ip verify source trust "

затем создаем статические привязки, например "ip source binding 192.168.188.1 d485.64ed.02e0 port 1"

и включаем "ip verify source" .

[metalsoft]

Наверно, стоило уточнить модель: Orion Alpha A26

Orion Alpha A26(config)#interface Ethernet1/21 
Orion Alpha A26(config-if-ethernet1/21)#ip ?   
 access-group  Apply access-list to interface
 dhcp          DHCP server and relay agent
 multicast     IP Multicast config

Orion Alpha A26(config-if-ethernet1/21)#ip

verify нету. Или я где-то не там ищу?

Orion Alpha A26(config)#ip sou?
% Unrecognized command
Orion Alpha A26(config)#ip veri?
% Unrecognized command
Orion Alpha A26(config)#ip veri

Edited July 14, 2014 by metalsoft

[Mikhail Burnin]

Для Orion A26

Включаем DHCP Snooping и bindning

ip dhcp snooping enable

ip dhcp snooping vlan 10

ip dhcp snooping binding enable

 

На порту , где хотим запретить работу пользователей без привязки, включаем user-control

Interface Ethernet1/1

switchport access vlan 10

ip dhcp snooping binding user-control

 

создаем статическую запись

ip dhcp snooping binding user 00-22-15-a4-86-2d address 192.168.188.2 vlan 10 interface Ethernet1/1

[metalsoft]

Благодарю,так работает. Теперь не могу найти, как мониторить маки - валидный ли ip у пользака. Создаю статическую связку ip-mac-port-vlan, пакеты у клиента ходят. Меняю ip на клиенте - пакеты не ходят, но где найти запись на свитче, что мак заблокирован? Как узнать, какой в данный момент ip у пользака?

Edited July 15, 2014 by metalsoft

[Mikhail Burnin]

не совсем понятно , что Вы имеете в виду , mac-notification ?

[metalsoft]

MAC-notification, насколько я понимаю, отсылает snmp trap при появлении или исчезновении мака на порту. Я имею ввиду следующую ситуацию. Клиент выставил себе вручную неправильный ip адрес. Свитч клиента заблокировал. Клиент звонит в техподдержку: "У меня не работает интернет". И вот дальше было бы неплохо, чтоб техподдержка зашла на свитч через web и обнаружила, что мак этого клиента заблокирован, т.к. его ip адрес в данный момент - такой-то, не правильный. На Des-3526/3528 об этом появляется запись в сислоге вида:

Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.0.1>, MAC:<00-24-54-B4-E6-CA>, Port<1>)

Возможно ли реализовать данный функционал на A26?

Edited July 15, 2014 by metalsoft

[Mikhail Burnin]

Возможно ли реализовать данный функционал на A26?

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

[Mikhail Burnin]

в shop.nag.ru появилась новая статья с ответами на часто задаваемые вопросы по коммутаторам Orion - FAQ по коммутаторам Orion A10E/A18E/A28E

[metalsoft]

на A26 сообщения в лог о несоответствии мак и ip адресов не пишутся.

Я так понимаю, что и сам факт того, что мак заблокирован, тоже нигде не найти?

[Mikhail Burnin]

Фактически маки не блокируются, просто не пропускаются пакеты с тех маков и ip, которых нет в привязке, и информация в логи не попадает.

[metalsoft]

Печально... В А28 это тоже так?

Edited July 16, 2014 by metalsoft

[metalsoft]

В догонку... Блин, дык эт че, если связка для определеного мака создана, даже нельзя посмотреть, присутствует ли мак на порту?

Независимо от того, подключен ли кабель в порт, всегда выдает:

Orion Alpha A26#sh mac-address-table interface Ethernet1/21        
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    50-af-73-14-fa-ca           STATIC  App      Ethernet1/21
Orion Alpha A26#

[Mikhail Burnin]

привязанный dhcp snooping'ом мак висит в FDB статически, однако если на порт придет другой мак, то его будет видно .

 

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

включаем его глобально

am enable

затем включем его на порту и создаем привязку

Interface Ethernet1/1

am port

am mac-ip-pool 00-00-11-11-22-22 192.168.1.1

в этом случае статической записи в fdb не появляется

 

По поводу отображения в логе информации о невалидных пакетах, для того, чтобы она попала в лог, все дропнутые пакеты должны обрабатываться CPU, что может привести к неприятным последствиям, например в случае флуда от клиента.

[metalsoft]

Если dhcp snooping не нужен, то на A26 можно использовать функционал am:

Таким образом работает нормально, если ip у клиента выставлен статически. Только ставлю динамически - пакеты до клиента уже не доходят. Т.е. ip адрес от dhcp сервера клиент получить не может.

[VVSina]

правильно, надо ещё и ойпи 0.0.0.0 добавить с тем же маком

[metalsoft]

А не добавляется:

Orion Alpha A26# config t
Orion Alpha A26(config)# interface Ethernet1/21
Orion Alpha A26(config-if-ethernet1/21)# am mac-ip-pool 50-af-73-14-fa-c9 0.0.0.0
Error: IP address 0.0.0.0 is not available

[Mikhail Burnin]

Если для назначения Ip-адресов используется dhcp, то никаких статических привязок делать не надо, просто включите dhcp-snooping и binding, а на порту укажите ip dhcp snooping binding user-control, тогда ip-адреса и маки будут биндиться автоматически, на основании информации из dhcp пакета

[metalsoft]

Да, это правильный путь. Спасибо!

[Mikhail Burnin]

В магазине shop.nag.ru, в раздел техническая информация по коммутаторам Orion, добавлена новая статья по настройке DHCP Option 82 на коммутаторах Orion Alpha A10E/A18E/A28E .