DHCP com servidor de autenticação externa
O servidor local DHCP estendido e o agente de transmissão DHCP estendido oferecem suporte ao uso de serviços externos de autenticação AAA, como o RADIUS, para autenticar clientes DHCP. Para obter mais informações, leia este tópico.
Este tópico usa o termo aplicativo DHCP estendido para consultar tanto o servidor local DHCP estendido quanto o agente de transmissão DHCP estendido.
Usando serviços externos de autenticação AAA para autenticar clientes DHCP
A estrutura de serviços de autenticação, autorização e contabilidade (AAA) oferece um único ponto de contato para toda a autenticação, autorização, contabilidade, atribuição de endereços e serviços de solicitação dinâmica que o roteador oferece suporte para acesso à rede.
Em aplicativos DHCP estendidos, tanto o servidor DHCP quanto o agente de transmissão DHCP oferecem suporte ao uso de serviços externos de autenticação AAA, como o RADIUS, para autenticar clientes DHCP. A id de suporte disponível para servidor local DHCPv6 e agente de transmissão DHCPv6.
Os dispositivos Junos OS usam a infraestrutura AAA para autenticação (o cliente DHCP para serviços DHCP com o servidor DHCP atribuído. As seguintes etapas de alto nível estão envolvidas na autenticação do cliente DHCP:
Servidor local de DHCP ou agente de retransmissão recebe uma PDU descoberta de um cliente
O serviço DHCP entra em contato com o servidor AAA para autenticar o cliente DHCP.
O serviço DHCP pode obter endereços do cliente e opções de configuração DHCP a partir do servidor externo de autenticação AAA.
O recurso de autenticação externa também oferece suporte ao logotipo dirigido por AAA. Se o serviço AAA externo oferece suporte a uma diretiva de logotipo de usuário, o aplicativo DHCP estendido honra o logotipo e o visualiza como se fosse solicitado por um comando de gerenciamento CLI.
Todas as informações do estado do cliente e os recursos alocados são excluídos no logotipout. O aplicativo DHCP estendido oferece suporte ao logotipo direcionado usando a lista de servidores de autenticação configurados que você especifica com a authentication-server declaração no nível de [edit access profile profile-name] hierarquia.
Etapas para configurar DHCP com servidor de autenticação externa
Para configurar o servidor local DHCP e o agente de transmissão DHCP para suporte de autenticação:
- Especifique se deseja configurar a autenticação incluindo palavras-chave de autenticação em respectivos níveis de hierarquia.
- (Opcional) Configure recursos opcionais para criar um nome de usuário único.
- (Opcional) Configure uma senha que autentica o nome de usuário para o serviço de autenticação externa.
Exemplo:
authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Informações de configuração do cliente trocadas entre o servidor de autenticação externa, o aplicativo DHCP e o cliente DHCP
Quando o aplicativo DHCP recebe uma resposta de um servidor de autenticação externo, a resposta pode incluir informações, além do endereço IP e máscara de sub-rede. O serviço DHCP usa as informações e as envia para o cliente DHCP.
O aplicativo DHCP pode enviar as informações em sua forma original ou o aplicativo pode mesclar as informações com especificações de configuração locais.
Por exemplo, se a resposta de autenticação incluir um nome do pool de endereços e uma configuração local especificar atributos DHCP para esse pool, o serviço DHCP mescla os resultados de autenticação e os atributos na resposta que o servidor envia ao cliente.
Uma configuração local é opcional — um cliente pode ser totalmente configurado pelo serviço de autenticação externa. No entanto, se o serviço de autenticação externa não fornecer a configuração do cliente, você deve configurar o pool de atribuição de endereços local para fornecer a configuração para o cliente.
Quando uma configuração local especifica opções, o aplicativo DHCP estendido adiciona as opções de configuração local à PDU de oferta que o servidor envia para o cliente. Se os dois conjuntos de opções se sobreporem, as opções na resposta de autenticação do serviço externo prevalecerão.
Quando você usa o RADIUS para fornecer a autenticação, as informações adicionais podem estar na forma de atributos RADIUS e VSAs da Juniper Networks. A Tabela 1 lista as informações que o RADIUS pode incluir na concessão de autenticação. Veja atributos RADIUS e VSAs da Juniper Networks com o suporte da estrutura de serviço AAA para uma lista completa de atributos RADIUS e VSAs da Juniper Networks que os aplicativos DHCP estendidos suportam para gerenciamento de acesso de assinantes ou gerenciamento DHCP.
Número do atributo |
Nome do atributo |
Descrição |
|---|---|---|
Atributo RADIUS 8 |
Endereço IP emoldurado |
Endereço IP do cliente |
Atributo RADIUS 9 |
Massa de rede IP emoldurada |
Máscara de sub-rede para endereço IP do cliente (opção DHCP 1) |
Juniper Networks VSA 26-4 |
DNS primária |
Servidor de domínio primário (opção DHCP 6) |
Juniper Networks VSA 26-5 |
DNS secundária |
Servidor de domínio secundário (opção DHCP 6) |
Juniper Networks VSA 26-6 |
Vitórias primárias |
Servidor WINS primário (opção DHCP 44) |
Juniper Networks VSA 26-7 |
Ganhos secundários |
Servidor WINS secundário (opção DHCP 44) |
Atributo RADIUS 27 |
Tempo limite de sessão |
Tempo de locação |
Atributo RADIUS 88 |
Grupo emoldurado |
Nome do pool de atribuição de endereços |
Juniper Networks VSA 26-109 |
Servidor de transmissão guiado por DHCP |
Servidor de retransmissão DHCP |
Configuração de exemplo dhcp com servidor de autenticação externa
Para configurar a autenticação no servidor local DHCP, servidor local DHCPv6, agente de retransmissão DHCP e níveis de agente de retransmissão DHCPv6.
O exemplo a seguir mostra uma configuração de amostra que cria um nome de usuário único. O nome de usuário é mostrado após a configuração.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
O nome de usuário exclusivo resultante é:
wallybrown.2001:db8::/32.enet@example.com
Especificando o suporte para autenticação
Inclua a authentication declaração em níveis de hierarquia dados na Tabela 2. Você pode configurar o suporte de autenticação global ou o suporte específico do grupo.
Nível de hierarquia suportado |
Nível de hierarquia |
|---|---|
Servidor local DHCP |
|
Agente de retransmissão DHCP |
|
Servidor local DHCPv6 |
|
Agente de retransmissão DHCPv6 |
|
Criação de nomes de usuário exclusivos para clientes DHCP
Você pode configurar o aplicativo DHCP estendido para incluir informações adicionais no nome de usuário que são passadas para o serviço externo de autenticação AAA quando o cliente DHCP faz login. Essas informações adicionais permitem que você construa nomes de usuário que identifiquem exclusivamente os assinantes (clientes DHCP).
Para configurar nomes de usuário exclusivos, use a username-include declaração. Você pode incluir qualquer uma das declarações adicionais.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Se você não incluir um nome de usuário na configuração de autenticação, o roteador (ou switch) não realizará autenticação; no entanto, o endereço IP é fornecido pelo pool local se estiver configurado.
Ao usar o servidor local DHCPv6, você deve configurar a autenticação e o nome de usuário do cliente; caso contrário, o login do cliente falha.
A lista a seguir descreve as informações opcionais que você pode incluir como parte do nome de usuário:
circuit-type— O tipo de circuito usado pelo cliente DHCP, por exemploenet.client-id— A opção de identificador de cliente (opção 1). (Somente agente de transmissão DHCPv6 de servidor local DHCPv6)delimiter— O personagem delimiter que separa componentes que compõem o nome de usuário concatenado. O delimiter padrão é um período (.). O ponto e vírgula (;) não é suportado como um personagem delimiter.domain-name— O nome de domínio do cliente como string. O roteador adiciona o @ delimiter ao nome de usuário.interface-description— A descrição da interface do dispositivo (física) ou da interface lógica.interface-name— O nome da interface, incluindo o dispositivo de interface e IDs VLAN associados.logical-system-name— O nome do sistema lógico, se a interface de recebimento estiver em um sistema lógico.mac-address— O endereço MAC do cliente, em uma sequência do formatoxxxx.xxxx.xxxx.option-60— A parte da opção 60 payload que segue o campo de comprimento. (Sem suporte para servidor local DHCPv6)option-82 <circuit-id> <remote-id>— O conteúdo especificado da opção 82 payload. (Sem suporte para servidor local DHCPv6)circuit-id— A carga da subopção de ID do Circuito do Agente.remote-id— A carga da subopção de ID remoto do agente.Ambos
circuit-ideremote-id— as cargas de ambas as subopções, no formato:circuit-id[delimiter]remote-id. .Nem
circuit-idnemremote-id— A carga bruta da opção 82 da PDU é concatenada ao nome de usuário.
Nota:Para o agente de retransmissão DHCP, o valor de opção 82 usado na criação do nome de usuário é baseado no valor de opção 82 codificado na PDU de saída (retransmitida).
relay-agent-interface-id— A opção interface-ID (opção 18). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)relay-agent-remote-id— A opção de ID remoto do agente de retransmissão DHCPv6 (opção 37). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)relay-agent-subscriber-id—(Apenas em roteadores) A opção DHCPv6 Relay Agent Subscriber-ID (opção 38). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)routing-instance-name— O nome da instância de roteamento, se a interface de recebimento estiver em uma instância de roteamento.user-prefix— Uma corda que indica o prefixo do usuário.vlan-tags— As tags VLAN para assinantes. Inclui a tag VLAN externa e, se presente, a tag VLAN interna. Você pode usar essa opção em vez da opçãointerface-namequando a tag VLAN externa é única em todo o sistema e você não precisa do nome da interface física subjacente para fazer parte do formato.
Para clientes DHCPv6, como o formato de pacote DHCPv6 não tem campo específico para o endereço MAC do cliente, o endereço MAC é derivado de várias fontes com a seguinte prioridade:
Cliente DUID Tipo 1 ou Tipo 3.
Opção 79 (endereço da camada de link do cliente), se presente.
O endereço fonte do pacote se o cliente estiver conectado diretamente.
O endereço local do link.
O roteador (switch) cria o nome de usuário único, incluindo as informações adicionais especificadas na ordem a seguir, com os campos separados por um delimiter.
Para servidor local DHCP e agente de transmissão DHCP:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Para servidor local DHCPv6:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Interfaces de agrupamento com configurações comuns de DHCP
Você usa o recurso do grupo para agrupar um conjunto de interfaces e, em seguida, aplicar uma configuração DHCP comum ao grupo de interface nomeado. O servidor local DHCP estendido, servidor local DHCPv6, agente de transmissão DHCP e agente de transmissão DHCPv6 todos os grupos de interface de suporte.
As etapas a seguir criam um grupo de servidores locais DHCP; as etapas são semelhantes para o servidor local DHCPv6, agente de transmissão DHCP e agente de retransmissão DHCPv6.
Para configurar um grupo de interface de servidor local DHCP:
Example- 2
Para configurar um grupo de interface, use a group declaração.
Você pode especificar os nomes de uma ou mais interfaces nas quais o aplicativo DHCP estendido está habilitado. Você pode repetir a interface interface-name declaração para especificar várias interfaces dentro de um grupo, mas não pode especificar a mesma interface em mais de um grupo. Por exemplo:
Os aplicativos DHCP estendidos permitem que você agrupar um conjunto de interfaces e aplicar uma configuração DHCP comum ao grupo de interface nomeado.
group boston { interface 192.168.10.1; interface 192.168.15.5; }Você pode usar a opção upto para especificar uma variedade de interfaces nas quais o aplicativo DHCP estendido está habilitado. Por exemplo:
group quebec { interface 192.168.10.1 upto 192.168.10.255; }Você pode usar a opção
excludede excluir uma interface específica ou uma gama especificada de interfaces do grupo. Por exemplo:group paris { interface 192.168.100.1 exclude; interface 192.168.100.100 upto 192.168.100.125 exclude; }
Example:
group group-name { authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } } interface interface-name <upto upto-interface-name> <exclude>; }