为 DHCP 订阅者配置 RADIUS 重新身份验证
您可以将重新身份验证配置为 RADIUS CoA 消息的替代方法,以更改订阅者会话的特征,例如激活或更改服务计划,或者更改 DHCP 订阅者属性。配置后,当 DHCP 本地服务器从 DHCP 客户端收到续订、重新绑定、发现或请求消息时,将触发重新身份验证。消息会触发 jdhcpd 向已验证者请求重新身份验证,进而重新发出 RADIUS 访问请求以用于第二个订阅者身份验证。DHCPv4、DHCPv6 和双堆栈订阅者可通过重新验证。
从 Junos OS 18.1R1 版开始,除了之前支持的续订和重新绑定消息外,还可以通过发现和请求消息来触发重新身份验证。此外,该版本还引入了对双堆栈、单会话订阅者的重新身份验证支持。
您可以使用语句 reauthenticate 配置重新验证,以响应所有 DHCP 续订、重新绑定、发现或请求消息,或仅在包括 DHCP 客户端的不同代理远程 ID 时响应这些消息。代理远程 ID 携带有关订阅者服务计划的信息,因此 ID 值的变化与订阅者服务计划的更改相对应。代理远程 ID 在选项 82、子选项 2(适用于 DHCPv4 客户端)和选项 37(适用于 DHCPv6 客户端)中传达。
您还可以使用瞻博网络 VSA-Reauthentication-On-Renew (26-206) 作为 CLI 配置的替代项,以启用重新身份验证。VSA 在订阅者登录时在 RADIUS Access-Accept 消息中传达,必须在 RADIUS 服务器上进行配置。当 VSA 存在禁用值时,语句 reauthenticate 将覆盖 VSA。
为非双堆栈、单会话 DHCP 订阅者配置重新验证:
(可选)指定在收到每条续订、重新绑定、发现和请求消息时触发的重新身份验证。
对于 DHCPv4 订阅者:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
对于 DHCPv6 订阅者:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(可选)指定仅在收到的发现或请求消息中代理远程 ID 发生变化时,才会触发重新身份验证。
对于 DHCPv4 订阅者:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
对于 DHCPv6 订阅者:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
为双堆栈、单会话 DHCP 订阅者配置重新验证:
在配置语句时remote-id-mismatch,代理远程 ID 中的更改还可以在续订期间发起服务更改,并重新绑定操作。您不能在remote-id-mismatch全局级别[edit system services dhcp-local-server]同时配置语句和reauthenticate语句。但是,DHCP 优先级规则允许您在两种语句处于不同级别时配置这两种语句。例如,您可以在全局级别配置 remote-id-mismatch DHCPv6,在[edit system services dhcp-local-server dhcpv6]层次结构级别上为 DHCPv6 配置,或者在层次结构级别上为特定组[edit system services dhcp-local-server group name]配置reauthenticate,等等。