faq обучение настройка
Текущее время: Пн авг 04, 2025 16:17

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
СообщениеДобавлено: Вт сен 18, 2012 15:41 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Добрый день.
Имеем:

1. Des-3526 - 6.20.B.12.

2. На нем настроен radius:

Index IP Address Auth-Port Acct-Port Status Key
Number Number
----- ---------------- --------- --------- --------------- ---------------
1 10.100.100.2 1812 1813 Active testing123

3. Включен:

DES-3526:admin#show igmp access_authentication ports all
Command: show igmp access_authentication ports all

Port Authentication State
------ ---------------------
1 Enabled
2 Enabled
3 Enabled
4 Enabled
5 Enabled
6 Enabled
7 Enabled
8 Enabled
9 Enabled
10 Enabled
11 Enabled
12 Enabled
13 Enabled
14 Enabled
15 Enabled
16 Enabled
17 Enabled
18 Enabled
19 Enabled
20 Enabled
21 Enabled
22 Enabled
23 Enabled
24 Enabled
25 Disabled
26 Disabled

От радиус сервера приходит Access-Reject - (уже проверил напрямую wireshark + mirror) явно видно что он приходит от 10.100.100.2 к комутатору.

Но при этом канал переключается.
Как такое может быть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 18, 2012 15:41 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Перешился на 6.20.B17 - ситуация не поменялась.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 18, 2012 17:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Фильтрация мультикаста у Вас настроена?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 10:36 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Command: show config current_config include "filt"
config multicast port_filtering_mode 1-24 filter_unregistered_groups
config multicast port_filtering_mode 25-26 forward_unregistered_groups
enable cpu_interface_filtering

Оно?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 10:37 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Могу выложить конфиг 3526 целиком.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 10:42 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Возможно проблема в конфиге и вы поможете мне ее найти?
Мы под прошивку 6.20.B12 перешили порядка 2000 штук Des-3526, для авторизации по радиусу.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 10:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Должно быть:
Код:
config multicast port_filtering_mode 25-26 filter_unregistered_groups


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 11:31 
Не в сети

Зарегистрирован: Чт ноя 05, 2009 17:24
Сообщений: 46
Точно!
Мы же фильтруем группы с аплинка!
Спасибо большое - помогло.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 19, 2012 11:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Не за что.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 08, 2012 10:01 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
Запустили на сети "config multicast port_filtering_mode 25-26 filter_unregistered_groups" в результате у корпоративных клиентов l2vpn развалились сети, перестал работать протокол eigrp.
Откатились на предыдущие настройки.
Как разрешить работу стандартных протоколов ospf, eigrp,... и управлять ipTV через радиус?

_________________
DES 3526 - флагман DLINKостроения


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 08, 2012 12:02 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Пришлите, пожалуйста, конфигурацию коммутатора целиком мне для анализа.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 09, 2012 09:52 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
Мы пока в качестве временной заплатки поставили forward_unregistered_groups, поскольку появилась более серьёзная проблема: периодически "отваливаются" коммутаторы по управлению.
Коммутатор перестаёт отвечать на ip пакеты, но пропускает трафик через себя исправно. При этом не работает dhcp-relay, igmp snooping, stp. Коммутатор по консоли доступен, загрузка CPU 5-6%.
Появилась вся эта хрень после добавления в конфиг вот таких строк:
Код:
config 802.1x auth_protocol radius_eap
config radius delete 1
config radius delete 2
config radius delete 3
config radius add 1 ----- key ------ auth_port ---- acct_port ----
config radius parameter timeout 9 retransmit 2
config igmp access_authentication ports 11,21,7,2,17,22,1,18,13,16,23,6,3,9,12,15,20,14,8,4,10,19,5 state enable
config multicast port_filtering_mode 25,24,26 filter_unregistered_groups
enable cpu_interface_filtering

_________________
DES 3526 - флагман DLINKостроения


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 09, 2012 11:50 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
Denis Evgraphov отправил вам конфиг на почту

_________________
DES 3526 - флагман DLINKостроения


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт ноя 09, 2012 14:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Ответил Вам в почту.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB