Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在 RADIUS 服务器上集中配置 DHCP 选项

Junos OS 设备上的 DHCP 管理支持直接在 RADIUS 服务器上集中配置 DHCP 选项(RADIUS 源选项)和传统客户端源选项配置。有关在 RADIUS 服务器上集中配置 DHCP 选项的信息,请阅读以下部分。

源自 RADIUS 的选项

订阅者管理(在路由器上)或 DHCP 管理(在交换机上)使您能够在 RADIUS 服务器上集中配置 DHCP 选项,然后按订阅者或 DHCP 客户端分发选项。此方法会产生源自 RADIUS 的 DHCP 选项 — DHCP 选项源自 RADIUS 服务器,并发送到订阅者(或 DHCP 客户端)。这与配置 DHCP 选项的传统客户端来源方法(也称为 DHCP 源方法)不同,在这种方法中,选项源自客户端并发送到 RADIUS 服务器。订阅者管理(DHCP 管理)RADIUS 来源的 DHCP 选项也被认为是 不透明的,因为在将选项传递给订阅者(DHCP 客户端)之前,DHCP 本地服务器对 DHCP 选项字符串执行最少的处理和错误检查。

订阅者管理(或 DHCP 管理)使用瞻博网络 VSA 26-55(DHCP 选项)分发源自 RADIUS 的 DHCP 选项。RADIUS 服务器在订阅者身份验证或 DHCP 客户端身份验证期间返回的访问接受消息中包含 VSA 26-55。RADIUS 服务器将访问接受消息发送到 RADIUS 客户端,然后发送到 DHCP 本地服务器以返回到 DHCP 订阅者。RADIUS 服务器可以在单个访问-接受消息中包含 VSA 26-55 的多个实例。RADIUS 客户端连接多个实例,并将结果用作单个实例。

启用订阅者管理(DHCP 管理)即可使用集中配置的 DHCP 选项,无需 CLI 配置,当 RADIUS 访问-接受消息中存在 VSA 26-55 时,将触发该过程。

为 DHCP 客户端构建产品/服务数据包时,DHCP 本地服务器使用以下顺序:

  1. 处理作为单独的 RADIUS 属性传递的任何 RADIUS 配置参数;例如,RADIUS 属性 27(会话超时)。

  2. 处理任何客户端来源的参数;例如,RADIUS 属性 53(DHCP 消息类型)和 54(服务器标识符)。

  3. 追加(不执行任何处理)从 RADIUS 服务器接收的 VSA 26-55 中包含的不透明 DHCP 选项字符串。

客户端来源选项配置

除了支持直接在 RADIUS 服务器上集中配置 DHCP 选项(RADIUS 源选项)外,订阅者管理(DHCP 管理)还支持传统的客户端源选项配置,其中路由器(交换机)的 DHCP 组件将选项发送到 RADIUS 服务器。DHCP 本地服务器和 DHCP 中继代理都支持客户端来源的 DHCP 选项方法;但是,仅 DHCP 本地服务器支持源自 RADIUS 的集中配置方法。RADIUS 源和客户端源方法都支持 DHCPv4 和 DHCPv6 订阅者(客户端)。

注意:

您可以在 DHCP 本地服务器上同时使用 RADIUS 源方法和客户端源方法。但是,必须确保集中配置方法不包括覆盖客户端来源的 DHCP 选项的选项,因为这可能会导致不可预知的结果。

源自 RADIUS 的 DHCP 选项的数据流

图 1 显示了订阅者管理(DHCP 管理)在为订阅者(DHCP 客户端)配置 DHCP 选项时使用的过程。

图 1:DHCP 选项数据流 DHCP Options Data Flow

以下常规顺序介绍了订阅者管理(DHCP 管理)使用 RADIUS 来源的 DHCP 选项和 VSA 26-55 配置 DHCP 订阅者(客户端)时的数据流:

  1. 订阅者(DHCP 客户端)向 DHCP 本地服务器发送 DHCP 发现消息(或 DHCPv6 请求消息)。该消息包括客户端来源的 DHCP 选项。

  2. DHCP 本地服务器通过 Junos OS RADIUS 客户端启动身份验证。

  3. RADIUS 客户端代表订阅者(DHCP 客户端)向外部 RADIUS 服务器发送访问请求消息。该消息包括订阅者(DHCP 客户端)的客户端来源的 DHCP 选项。

  4. 外部 RADIUS 服务器通过向 RADIUS 客户端发送访问接受消息来响应。访问接受消息包括 VSA 26-55 中源自 RADIUS 的不透明 DHCP 选项。

  5. RADIUS 客户端将 DHCP 选项字符串发送到 DHCP 本地服务器。如果有多个 VSA 26-55 实例,RADIUS 客户端会先将它们组装成单个选项字符串。

  6. DHCP 本地服务器将所有选项处理成 DHCP 提供(或 DHCPv6 回复)消息,但源自 RADIUS 的 VSA 26-55 DHCP 选项除外。处理所有其他选项后,DHCP 本地服务器会将未修改的 VSA 26-55 DHCP 选项附加到消息中,并将消息发送到订阅者(DHCP 客户端)。

  7. 订阅者(DHCP 客户端)使用 DHCP 选项进行配置。

  8. 订阅者(DHCP 客户端)收到 DHCP 选项后,将执行以下操作:

    • 记帐 — RADIUS 客户端将 Acct-Start 和临时记帐请求发送到 RADIUS 服务器,包括 VSA 26-55 中源自 RADIUS 的 DHCP 选项。默认情况下,DHCP 选项包含在记帐请求中。

    • 续订 — 当订阅者(DHCP 客户端)续订时,缓存的 DHCP 选项值将在 DHCP 续订(或 DHCPv6 ACK)消息中返回。在续订周期内无法修改最初分配的 DHCP 选项。

    • 注销 — 当订阅者(DHCP 客户端)注销时,RADIUS 客户端会向 RADIUS 服务器发送 Acct-Stop 消息,包括源自 RADIUS 的 VSA 26-55。

多个 VSA 26-55 实例配置

VSA 26-55 支持的最大大小为 247 字节。如果源自 RADIUS 的 DHCP 选项字段大于 247 字节,则必须拆分该字段并手动配置 VSA 26-55 的多个实例,以便 RADIUS 服务器返回。对选项字段使用多个实例时,必须按照 RADIUS 客户端重新组合片段的顺序将实例放入数据包中。片段可以是 247 字节或更小的任何大小。

最佳实践:

为了便于配置和管理 DHCP 选项,无论选项字段的大小如何,您可能希望每个 VSA 26-55 实例都有一个 DHCP 选项。

当 RADIUS 客户端将记帐请求中重新组合的不透明选项字段返回到 RADIUS 服务器时,客户端将使用 247 字节片段。如果最初创建的实例少于 247 个字节,则返回的片段可能与您最初在 RADIUS 服务器上配置的片段不同。

注意:

如果要将钢腰带半径 (SBR) 配置为支持多个 VSA 26-55 实例,请确保使用订阅者管理 RADIUS 字典文件中的标志指定 RO VSA 26-55。该 R 值指示多值回复属性, O 值指示有序属性。

无法集中配置的 DHCP 选项

表 1 显示了不得在 RADIUS 服务器上集中配置的 DHCP 选项。

表 1:不受支持的不透明 DHCP 选项

DHCP 选项

选项名称

评论

选项 0

焊盘选项

不支持。

选项 51

IP 地址租用时间

值由 RADIUS 属性 27(会话超时)提供。

选项 52

选项重载

不支持。

选项 53

DHCP 消息类型

值由 DHCP 本地服务器提供。

选项 54

服务器标识符

值由 DHCP 本地服务器提供。

选项 55

参数请求列表

值由 DHCP 本地服务器提供。

选项 255

结束

值由 DHCP 本地服务器提供。

DHCP 魔术饼干

不支持。