Accton Edge Core ES 3528M: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
 
(не показано 17 промежуточных версий 2 участников)
Строка 1: Строка 1:
  +
[[Категория:EdgeCore]]
  +
[[Категория:Networking]]
  +
[[Категория:SNMP]]
  +
[[Категория:Switch]]
  +
 
==Загрузка==
 
==Загрузка==
 
Очень похоже на 3528XA
 
Очень похоже на 3528XA
Строка 159: Строка 164:
 
Console#conf
 
Console#conf
 
Console(config)#interface ethernet 1/28
 
Console(config)#interface ethernet 1/28
Console(config-if)# switchport mode trunk
+
Console(config-if)#switchport mode hybrid
Console(config-if)# switchport mode hybrid
 
 
Console(config-if)#switchport allowed vlan add 4090 untagged
 
Console(config-if)#switchport allowed vlan add 4090 untagged
 
Console(config-if)#switchport native vlan 4090
 
Console(config-if)#switchport native vlan 4090
Строка 174: Строка 178:
 
switchport allowed vlan add 1001,4090 tagged
 
switchport allowed vlan add 1001,4090 tagged
 
switchport mode trunk
 
switchport mode trunk
  +
</PRE>
  +
==DHCP Snooping + IP SOURCE GUARD==
  +
===Введение===
  +
Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом. <BR>
  +
  +
Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)
  +
# Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
  +
# Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
  +
# Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.
  +
  +
  +
Авторизация:
  +
* Клиент получил IP из гостевого пула.
  +
* Перенаправле на станичку авторизации.
  +
* Ввел свой логин и пароль.
  +
* Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
  +
* На основании этих данных сделать привязку.
  +
* клиент переполучит IP уже из пула "нормальных"
  +
* поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard
  +
  +
===Настройка коммутатора===
  +
  +
Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана.
  +
<PRE>
  +
!
  +
ip dhcp snooping
  +
ip dhcp snooping vlan 2001
  +
ip dhcp snooping information option
  +
!
  +
</PRE>
  +
  +
<PRE>
  +
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
  +
Source port: 68 (68)
  +
Destination port: 67 (67)
  +
Length: 328
  +
Checksum: 0xf8f3 [validation disabled]
  +
[Good Checksum: False]
  +
[Bad Checksum: False]
  +
Bootstrap Protocol
  +
Message type: Boot Request (1)
  +
Hardware type: Ethernet
  +
Hardware address length: 6
  +
Hops: 0
  +
Transaction ID: 0x5e7c1cd3
  +
Seconds elapsed: 26
  +
[Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian]
  +
[Message: Seconds elapsed (26) appears to be encoded as little-endian]
  +
[Severity level: Note]
  +
[Group: Malformed]
  +
Bootp flags: 0x0000 (Unicast)
  +
0... .... .... .... = Broadcast flag: Unicast
  +
.000 0000 0000 0000 = Reserved flags: 0x0000
  +
Client IP address: 0.0.0.0 (0.0.0.0)
  +
Your (client) IP address: 0.0.0.0 (0.0.0.0)
  +
Next server IP address: 0.0.0.0 (0.0.0.0)
  +
Relay agent IP address: 0.0.0.0 (0.0.0.0)
  +
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
  +
Client hardware address padding: 00000000000000000000
  +
Server host name not given
  +
Boot file name not given
  +
Magic cookie: (OK)
  +
Option: (t=53,l=1) DHCP Message Type = DHCP Discover
  +
Option: (53) DHCP Message Type
  +
Length: 1
  +
Value: 01
  +
Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
  +
Option: (116) DHCP Auto-Configuration [TODO]
  +
Length: 1
  +
Value: 01
  +
Option: (t=61,l=7) Client identifier
  +
Option: (61) Client identifier
  +
Length: 7
  +
Value: 01525400123456
  +
Hardware type: Ethernet
  +
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
  +
Option: (t=12,l=4) Host Name = "chat"
  +
Option: (12) Host Name
  +
Length: 4
  +
Value: 63686174
  +
Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
  +
Option: (60) Vendor class identifier
  +
Length: 8
  +
Value: 4D53465420352E30
  +
Option: (t=55,l=11) Parameter Request List
  +
Option: (55) Parameter Request List
  +
Length: 11
  +
Value: 010F03062C2E2F1F21F92B
  +
1 = Subnet Mask
  +
15 = Domain Name
  +
3 = Router
  +
6 = Domain Name Server
  +
44 = NetBIOS over TCP/IP Name Server
  +
46 = NetBIOS over TCP/IP Node Type
  +
47 = NetBIOS over TCP/IP Scope
  +
31 = Perform Router Discover
  +
33 = Static Route
  +
249 = Private/Classless Static Route (Microsoft)
  +
43 = Vendor-Specific Information
  +
Option: (t=82,l=18) Agent Information Option
  +
Option: (82) Agent Information Option
  +
Length: 18
  +
Value: 0106000407D10101020800067072CF1AFE8F
  +
Agent Circuit ID: 000407D10101
  +
Agent Remote ID: 00067072CF1AFE8F
  +
End Option
  +
Padding
  +
</PRE>
  +
  +
<PRE>
  +
Next server IP address: 0.0.0.0 (0.0.0.0)
  +
Relay agent IP address: 0.0.0.0 (0.0.0.0)
  +
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
  +
Client hardware address padding: 00000000000000000000
  +
Server host name not given
  +
Boot file name not given
  +
Magic cookie: (OK)
  +
Option: (t=53,l=1) DHCP Message Type = DHCP Discover
  +
Option: (53) DHCP Message Type
  +
Length: 1
  +
Value: 01
  +
Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
  +
Option: (116) DHCP Auto-Configuration [TODO]
  +
Length: 1
  +
Value: 01
  +
Option: (t=61,l=7) Client identifier
  +
Option: (61) Client identifier
  +
Length: 7
  +
Value: 01525400123456
  +
Hardware type: Ethernet
  +
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
  +
Option: (t=12,l=4) Host Name = "chat"
  +
Option: (12) Host Name
  +
Length: 4
  +
Value: 63686174
  +
Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
  +
Option: (60) Vendor class identifier
  +
Length: 8
  +
Value: 4D53465420352E30
  +
Option: (t=55,l=11) Parameter Request List
  +
Option: (55) Parameter Request List
  +
Length: 11
  +
Value: 010F03062C2E2F1F21F92B
  +
1 = Subnet Mask
  +
15 = Domain Name
  +
3 = Router
  +
6 = Domain Name Server
  +
44 = NetBIOS over TCP/IP Name Server
  +
46 = NetBIOS over TCP/IP Node Type
  +
47 = NetBIOS over TCP/IP Scope
  +
31 = Perform Router Discover
  +
33 = Static Route
  +
249 = Private/Classless Static Route (Microsoft)
  +
43 = Vendor-Specific Information
  +
Option: (t=82,l=22) Agent Information Option
  +
Option: (82) Agent Information Option
  +
Length: 22
  +
Value: 0106000407D10101020C030A3137322E33312E302E32
  +
Agent Circuit ID: 000407D10101
  +
Agent Remote ID: 030A3137322E33312E302E32
  +
End Option
  +
Padding
 
</PRE>
 
</PRE>
   
Строка 187: Строка 353:
 
это пример копирования running-config в startupconfig
 
это пример копирования running-config в startupconfig
 
</PRE>
 
</PRE>
  +
  +
==Полезности==
  +
===Сброс настроек в default===
  +
<PRE>
  +
Console(config)#boot system config: Factory_Default_Config.cfg
  +
Success.
  +
Console(config)#reload
  +
</PRE>
  +
=== Перезагрузка в назначенное время ===
  +
Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.
  +
<PRE>
  +
Console(config)#reload ?
  +
at Configures reloading switch at time
  +
cancel Cancels the specified reload setting
  +
in Configures reloading switch in time
  +
regularity Configures reloading switch at periodic intervals
  +
Console(config)#reload in ?
  +
</PRE>
  +
===Авторизация через радиус===
  +
Так как <s>я не собираюсь жить вечно</s> время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
  +
<BR>
  +
На коммутаторе
  +
<PRE>
  +
!
  +
radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo
  +
!
  +
authentication login radius local
  +
authentication enable radius local
  +
!
  +
aaa authorization exec default group RADIUS-GROUP
  +
!
  +
!
  +
aaa group server radius RADIUS-GROUP
  +
server 1
  +
!
  +
</PRE>
  +
На радиус-сервере:<BR>
  +
users:
  +
<PRE>
  +
DEFAULT Auth-Type = Local
  +
Fall-Through = 1
  +
  +
adminuser Cleartext-Password := "<ТутПароль>"
  +
User-Service-Type = Shell-User,
  +
cisco-avpair += "shell:priv-lvl=1"
  +
  +
$enab15$ Cleartext-Password := "<ТутENABLEПароль>"
  +
Cisco-AVPair = "shell:priv-lvl=15"
  +
  +
</PRE>
  +
adminuser имеет привилении enable сразу.
  +
  +
Запускаю так (у меня несколько экземпляров radiusd c разными конфигами:
  +
{{Root|<nowiki>LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/</nowiki>}}
  +
  +
===Ссылки на полезности===
  +
http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70 <BR>
  +
http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E <BR>

Текущая версия на 15:12, 5 мая 2020


Загрузка

Очень похоже на 3528XA

--- Performing Power-On Self Tests (POST) ---
DUMMY Test 1 ................. PASS
UART Loopback Test ........... PASS
DRAM Test .................... PASS
Timer Test ................... PASS
Done All Pass.
------------------ DONE ---------------------


Loading Runtime Image File : ES3528_52M_opcode_V1.3.4.0.bix
Runtime 1.3.4.0

DNS_ResolverInit..OK
DNS_Proxy_init ....OK
root init done

Set Transition mode ...
[get stackingMac done ret_val] = 1
Assigned Unit ID:[1]
stacking DB: unit = 0, module type = 0

Finish Set Transition mode ...
Enter Transition mode ...
Finish Transition mode ...
Enter Master mode ...
Load certificate files : Starting
Load certificate files : Finished

Finish Master mode ...

Performing startup provision ...
CLI enter main (PROVISION)

..............................................................................................................................................................
CLI provision has been completed

Notify provision complete


Provision Complete ...
Finish Provision Complete ...
[get stackingMac done ret_val] = 1
XFER: End of config sync.
***************************************************************

WARNING - MONITORED ACTIONS AND ACCESSES



Station's information:


Floor / Row / Rack / Sub-Rack
 /  /  /
DC power supply:
Power Source A: Floor / Row / Rack / Electrical circuit
 /  /  /

Number of LP:
Position MUX:
IP LAN:
Note:
***************************************************************
 CTRL-A Z for help |  9600 8N1 | NOR | Minicom 2.4    | VT102 |      Offline




User Access Verification

Username: admin
Password:

      CLI session with the ES3528M is opened.
      To end the CLI session, enter [Exit].

No configured settings for reloading.
Console#


Обновляю прошивку

Console#copy tftp file
TFTP server IP address: 172.31.0.1
Choose file type:
 1. config:  2. opcode:  4. diag:  5. loader: <1,2,4,5>: 2
Source file name: ES3528_52M_opcode_V1.3.7.10.bix
Destination file name: ES3528_52M_opcode_V1.3.7.10.bix
Write to flash programming.
Programming flash started.
Success.

Console#dir
          File name                        File type       Startup Size (byte)
 -------------------------------------     --------------  ------- -----------
 Unit1:
          ES3528_52M_diag_V1.2.0.1.bix     Boot-Rom Image  Y          1406420
          ES3528_52M_opcode_V1.3.4.0.bix   Operation Code  Y          4413192
          ES3528_52M_opcode_V1.3.7.10.bix  Operation Code  N          4484284
          Factory_Default_Config.cfg       Config File     N              455
          Fixup-ip                         Config File     N             3891
          startup1.cfg                     Config File     Y             3984
 ---------------------------------------------------------------------------
                                                  Total free space:   4718592
Console#


Выбрать новый образ как основной:

Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix

Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя
На момент написания статьи последняя прошивка:

ES3528_52M_opcode_V1.4.8.0.bix

После обновления:

Console#sh ver
Unit 1
 Serial Number:           034002803
 Hardware Version:        R01
 Chip Device ID:          Marvell 98DX106-B0, 88E6095[F]
 EPLD Version:            0.07
 Number of Ports:         28
 Main Power Status:       Up
 Redundant Power Status:  Not present

Agent (Master)
 Unit ID:                 1
 Loader Version:          1.0.2.0
 Boot ROM Version:        1.2.0.1
 Operation Code Version:  1.4.8.0

Субъективно кажется, что эта прошивка загружалась дольше чем другие.

Конфигурирование VLANs

Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).
Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.
Имеем, например:

Console#sh run int ethernet 1/28
interface ethernet 1/28
 description ---=== UPLINK ===--
 switchport allowed vlan add 1 untagged
 switchport allowed vlan add 1,1001 tagged
 switchport mode trunk

VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком.

Console#conf
Console(config)#interface ethernet 1/28
Console(config-if)#switchport mode  hybrid
Console(config-if)#switchport allowed vlan add  4090 untagged
Console(config-if)#switchport native vlan 4090
Console(config-if)#switchport allowed vlan  remove 1
Console(config-if)#switchport  mode trunk
Console(config-if)#
Console#sh run int e 1/28
interface ethernet 1/28
 description ---=== UPLINK ===--
 switchport allowed vlan add 4090 untagged
 switchport native vlan 4090
 switchport allowed vlan remove 1
 switchport allowed vlan add 1001,4090 tagged
 switchport mode trunk

DHCP Snooping + IP SOURCE GUARD

Введение

Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом.

Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)

  1. Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
  2. Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
  3. Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.


Авторизация:

  • Клиент получил IP из гостевого пула.
  • Перенаправле на станичку авторизации.
  • Ввел свой логин и пароль.
  • Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
  • На основании этих данных сделать привязку.
  • клиент переполучит IP уже из пула "нормальных"
  • поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard

Настройка коммутатора

Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана.

!
ip dhcp snooping
ip dhcp snooping vlan 2001
ip dhcp snooping information option
!
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source port: 68 (68)
    Destination port: 67 (67)
    Length: 328
    Checksum: 0xf8f3 [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
Bootstrap Protocol
    Message type: Boot Request (1)
    Hardware type: Ethernet
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x5e7c1cd3
    Seconds elapsed: 26
        [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian]
            [Message: Seconds elapsed (26) appears to be encoded as little-endian]
            [Severity level: Note]
            [Group: Malformed]
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0 (0.0.0.0)
    Your (client) IP address: 0.0.0.0 (0.0.0.0)
    Next server IP address: 0.0.0.0 (0.0.0.0)
    Relay agent IP address: 0.0.0.0 (0.0.0.0)
    Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: (OK)
    Option: (t=53,l=1) DHCP Message Type = DHCP Discover
        Option: (53) DHCP Message Type
        Length: 1
        Value: 01
    Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
        Option: (116) DHCP Auto-Configuration [TODO]
        Length: 1
        Value: 01
    Option: (t=61,l=7) Client identifier
        Option: (61) Client identifier
        Length: 7
        Value: 01525400123456
        Hardware type: Ethernet
        Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Option: (t=12,l=4) Host Name = "chat"
        Option: (12) Host Name
        Length: 4
        Value: 63686174
    Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
        Option: (60) Vendor class identifier
        Length: 8
        Value: 4D53465420352E30
    Option: (t=55,l=11) Parameter Request List
        Option: (55) Parameter Request List
        Length: 11
        Value: 010F03062C2E2F1F21F92B
        1 = Subnet Mask
        15 = Domain Name
        3 = Router
        6 = Domain Name Server
        44 = NetBIOS over TCP/IP Name Server
        46 = NetBIOS over TCP/IP Node Type
        47 = NetBIOS over TCP/IP Scope
        31 = Perform Router Discover
        33 = Static Route
        249 = Private/Classless Static Route (Microsoft)
        43 = Vendor-Specific Information
    Option: (t=82,l=18) Agent Information Option
        Option: (82) Agent Information Option
        Length: 18
        Value: 0106000407D10101020800067072CF1AFE8F
        Agent Circuit ID: 000407D10101
        Agent Remote ID: 00067072CF1AFE8F
    End Option
    Padding
    Next server IP address: 0.0.0.0 (0.0.0.0)
    Relay agent IP address: 0.0.0.0 (0.0.0.0)
    Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: (OK)
    Option: (t=53,l=1) DHCP Message Type = DHCP Discover
        Option: (53) DHCP Message Type
        Length: 1
        Value: 01
    Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
        Option: (116) DHCP Auto-Configuration [TODO]
        Length: 1
        Value: 01
    Option: (t=61,l=7) Client identifier
        Option: (61) Client identifier
        Length: 7
        Value: 01525400123456
        Hardware type: Ethernet
        Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Option: (t=12,l=4) Host Name = "chat"
        Option: (12) Host Name
        Length: 4
        Value: 63686174
    Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
        Option: (60) Vendor class identifier
        Length: 8
        Value: 4D53465420352E30
    Option: (t=55,l=11) Parameter Request List
        Option: (55) Parameter Request List
        Length: 11
        Value: 010F03062C2E2F1F21F92B
        1 = Subnet Mask
        15 = Domain Name
        3 = Router
        6 = Domain Name Server
        44 = NetBIOS over TCP/IP Name Server
        46 = NetBIOS over TCP/IP Node Type
        47 = NetBIOS over TCP/IP Scope
        31 = Perform Router Discover
        33 = Static Route
        249 = Private/Classless Static Route (Microsoft)
        43 = Vendor-Specific Information
    Option: (t=82,l=22) Agent Information Option
        Option: (82) Agent Information Option
        Length: 22
        Value: 0106000407D10101020C030A3137322E33312E302E32
        Agent Circuit ID: 000407D10101
        Agent Remote ID: 030A3137322E33312E302E32
    End Option
    Padding

SNMP

Man of Honour Пн окт 11 2010 12:16:57
1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running
1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup
1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать
Man of Honour Пн окт 11 2010 12:17:06
1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус
Man of Honour Пн окт 11 2010 12:17:30
это пример копирования running-config в startupconfig

Полезности

Сброс настроек в default

Console(config)#boot system config: Factory_Default_Config.cfg
Success.
Console(config)#reload

Перезагрузка в назначенное время

Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.

Console(config)#reload ?
  at          Configures reloading switch at time
  cancel      Cancels the specified reload setting
  in          Configures reloading switch in time
  regularity  Configures reloading switch at periodic intervals
Console(config)#reload in ?

Авторизация через радиус

Так как я не собираюсь жить вечно время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
На коммутаторе

!
radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo
!
authentication login radius local
authentication enable radius local
!
aaa authorization exec default group RADIUS-GROUP
!
!
aaa group server radius RADIUS-GROUP
server 1
!

На радиус-сервере:
users:

DEFAULT         Auth-Type = Local
                Fall-Through = 1

adminuser       Cleartext-Password := "<ТутПароль>"
                User-Service-Type = Shell-User,
                cisco-avpair += "shell:priv-lvl=1"

$enab15$        Cleartext-Password := "<ТутENABLEПароль>"
                Cisco-AVPair = "shell:priv-lvl=15"

adminuser имеет привилении enable сразу.

Запускаю так (у меня несколько экземпляров radiusd c разными конфигами:

LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/

Ссылки на полезности

http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70
http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E