aaa port-access web-based на Procurve 2510-24 (J9019B)

Эта одна из опций для увеличения безопасности на портах коммутатора. Основана она на web-auth, которая в свою очередь основана на ChapRadius (по дефолту). Полностью, все методы аутентификации выглядят так:

# show authentication 

 Status and Counters - Authentication Information

  Login Attempts : 3 
  Respect Privilege : Disabled 

              | Login      Login      Enable     Enable    
  Access Task | Primary    Secondary  Primary    Secondary 
  ----------- + ---------- ---------- ---------- ----------
  Console     | Local      None       Local      None      
  Telnet      | Local      None       Local      None      
  Port-Access | Local                                    
  Webui       | Local      None       Local      None      
  SSH         | Local      None       Local      None      
  Web-Auth    | ChapRadius                               
  MAC-Auth    | ChapRadius

В итоге, если кто-то включит эту штуку и не настроит аутентификацию по Radius’y то коммутатор заблокирует все порты, в итоге свитч останется недоступным. Правда есть небольшая защита: оно включается только на 100 мбитных портах. Так что, если ваш свитч подключён через гигабит, то вы хоть не потеряете доступ к свичу. И так, приступим к отключении этой злостной штуки. В моём случае в конфиге была такая строчка:

aaa port-access web-based 1-24

Банальная команда

no aaa port-access web-based 1-24

а так же все подобные

no aaa
no aaa port-access
no aaa port-access web-based

не работали и была ругань на неправильное использование. Решение оказалось не столь очевидным: сначала нужно удалить хотя бы один порт (если вы хотите снять для всего диапазона) и только потом можно удалять. В моём случае это выглядело так (3 команды):

no aaa port-access web-based 7
no aaa port-access web-based 1-6
no aaa port-access web-based 8-24

То есть удалить сразу весь диапазон 1-24 — нельзя. Нужно удалить сначала хотя бы один порт и потом уже всё остальное.

aaa port-access web-based на Procurve 2510-24 (J9019B): 2 комментария

  1. Pavel

    Здраствуйте, другими словами доступ к комутатору по web без радиуса не настроить?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *