Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

DHCP mit externem Authentifizierungsserver

Der lokale erweiterte DHCP-Server und der erweiterte DHCP-Relay-Agent unterstützen die Verwendung externer AAA-Authentifizierungsdienste wie RADIUS zur Authentifizierung von DHCP-Clients. Weitere Informationen finden Sie in diesem Thema.

In diesem Thema wird der Begriff "erweiterte DHCP-Anwendung" verwendet, um sich sowohl auf den lokalen erweiterten DHCP-Server als auch auf den erweiterten DHCP-Relay-Agent zu beziehen.

Verwenden externer AAA-Authentifizierungsdienste zur Authentifizierung von DHCP-Clients

Das AAA-Service-Framework (Authentication, Authorization, Accounting) bietet einen zentralen Ansprechpartner für alle Authentifizierungs-, Autorisierungs-, Accounting-, Adresszuweisungs- und dynamischen Anforderungsservices, die der Router für den Netzwerkzugriff unterstützt.

In erweiterten DHCP-Anwendungen unterstützen sowohl der DHCP-Server als auch der DHCP-Relay-Agent die Verwendung externer AAA-Authentifizierungsdienste wie RADIUS zur Authentifizierung von DHCP-Clients. Die Support-ID, die für den lokalen DHCPv6-Server und den DHCPv6-Relay-Agent verfügbar ist.

Junos OS-Geräte verwenden die AAA-Infrastruktur für die Authentifizierung (der DHCP-Client für den DHCP-Dienst mit dem zugewiesenen DHCP-Server. Bei der DHCP-Clientauthentifizierung sind die folgenden allgemeinen Schritte erforderlich:

  • Der lokale DHCP-Server oder der Relay-Agent empfängt eine Erkennungs-PDU von einem Client

  • Der DHCP-Dienst kontaktiert den AAA-Server, um den DHCP-Client zu authentifizieren.

  • Der DHCP-Dienst kann Clientadressen und DHCP-Konfigurationsoptionen vom externen AAA-Authentifizierungsserver abrufen.

Die externe Authentifizierungsfunktion unterstützt auch die AAA-gesteuerte Abmeldung. Wenn der externe AAA-Dienst eine Benutzerabmeldeanweisung unterstützt, berücksichtigt die erweiterte DHCP-Anwendung die Abmeldung und betrachtet sie so, als ob sie von einem CLI-Verwaltungsbefehl angefordert worden wäre.

Alle Clientstatusinformationen und zugeordneten Ressourcen werden beim Abmelden gelöscht. Die erweiterte DHCP-Anwendung unterstützt die gerichtete Abmeldung über die Liste der konfigurierten Authentifizierungsserver, die Sie mit der authentication-server Anweisung auf Hierarchieebene [edit access profile profile-name] angeben.

Schritte zum Konfigurieren von DHCP mit externem Authentifizierungsserver

So konfigurieren Sie den lokalen DHCP-Server und den DHCP-Relay-Agent für die Authentifizierungsunterstützung:

  1. Geben Sie an, dass Sie die Authentifizierung konfigurieren möchten, indem Sie das Authentifizierungsschlüsselwort auf den entsprechenden Hierarchieebenen einschließen.
  2. (Optional) Konfigurieren Sie optionale Funktionen, um einen eindeutigen Benutzernamen zu erstellen.
  3. (Optional) Konfigurieren Sie ein Kennwort, mit dem der Benutzername für den externen Authentifizierungsdienst authentifiziert wird.

Beispiel:

Clientkonfigurationsinformationen, die zwischen dem externen Authentifizierungsserver, der DHCP-Anwendung und dem DHCP-Client ausgetauscht werden

Wenn die DHCP-Anwendung eine Antwort von einem externen Authentifizierungsserver empfängt, kann die Antwort neben der IP-Adresse und der Subnetzmaske auch Informationen enthalten. Der DHCP-Dienst verwendet die Informationen und sendet sie an den DHCP-Client.

Die DHCP-Anwendung kann die Informationen entweder in ihrer ursprünglichen Form senden oder die Anwendung kann die Informationen mit lokalen Konfigurationsspezifikationen zusammenführen.

Wenn die Authentifizierungsantwort z. B. einen Adresspoolnamen enthält und eine lokale Konfiguration DHCP-Attribute für diesen Pool angibt, führt der DHCP-Dienst die Authentifizierungsergebnisse und die Attribute in der Antwort zusammen, die der Server an den Client sendet.

Eine lokale Konfiguration ist optional – ein Client kann vom externen Authentifizierungsdienst vollständig konfiguriert werden. Wenn der externe Authentifizierungsdienst jedoch keine Clientkonfiguration bereitstellt, müssen Sie den lokalen Adresszuweisungspool so konfigurieren, dass die Konfiguration für den Client bereitgestellt wird.

Wenn eine lokale Konfiguration Optionen angibt, fügt die erweiterte DHCP-Anwendung die lokalen Konfigurationsoptionen zu der Angebots-PDU hinzu, die der Server an den Client sendet. Wenn sich die beiden Sätze von Optionen überschneiden, haben die Optionen in der Authentifizierungsantwort des externen Dienstes Vorrang.

Wenn Sie RADIUS zum Bereitstellen der Authentifizierung verwenden, können die zusätzlichen Informationen in Form von RADIUS-Attributen und VSAs von Juniper Networks vorliegen. In Tabelle 1 sind die Informationen aufgeführt, die RADIUS in die Authentifizierungsgewährung aufnehmen kann. Eine vollständige Liste der RADIUS-Attribute und VSAs von Juniper Networks, die von den erweiterten DHCP-Anwendungen für die Verwaltung des Teilnehmerzugriffs oder der DHCP-Verwaltung unterstützt werden, finden Sie unter Vom AAA Service Framework unterstützte RADIUS-Attribute und VSAs von Juniper Networks .

Tabelle 1: Informationen in der Authentifizierungserteilung

Attributnummer

Attributname

Beschreibung

RADIUS-Attribut 8

Framed-IP-Adresse

Client-IP-Adresse

RADIUS-Attribut 9

Gerahmte-IP-Netzmaske

Subnetzmaske für Client-IP-Adresse (DHCP-Option 1)

Juniper Networks VSA 26-4

Primär-DNS

Primärer Domänenserver (DHCP-Option 6)

Juniper Networks VSA 26-5

Sekundäres DNS

Sekundärer Domänenserver (DHCP-Option 6)

Juniper Networks VSA 26-6

Primär-WINS

Primärer WINS-Server (DHCP-Option 44)

Juniper Networks VSA 26-7

Sekundär-WINS

Sekundärer WINS-Server (DHCP-Option 44)

RADIUS-Attribut 27

Sitzungs-Timeout

Leasingdauer

RADIUS-Attribut 88

Gerahmter Pool

Name des Adresszuweisungspools

Juniper Networks VSA 26-109

DHCP-geführter-Relais-Server

DHCP-Relay-Server

Beispiel: DHCP mit externem Authentifizierungsserver konfigurieren

So konfigurieren Sie die Authentifizierung auf den Ebenen lokaler DHCP-Server, lokaler DHCPv6-Server, DHCP-Relay-Agent und DHCPv6-Relay-Agent.

  1. Geben Sie an, dass Sie die Authentifizierung konfigurieren möchten.
  2. (Optional) Geben Sie die optionalen Informationen an, die Sie in den Benutzernamen aufnehmen möchten.
  3. Konfigurieren Sie ein optionales Kennwort, das die erweiterte DHCP-Anwendung dem externen AAA-Authentifizierungsdienst zur Authentifizierung des angegebenen Benutzernamens präsentiert.

Das folgende Beispiel zeigt eine Beispielkonfiguration, mit der ein eindeutiger Benutzername erstellt wird. Der Benutzername wird nach der Konfiguration angezeigt.

Der daraus resultierende eindeutige Benutzername lautet:

Angeben der Authentifizierungsunterstützung

Fügen Sie die authentication Anweisung auf den in Tabelle 2 angegebenen Hierarchieebenen ein. Sie können entweder die globale Authentifizierungsunterstützung oder die gruppenspezifische Unterstützung konfigurieren.

Tabelle 2: Unterstützte Hierarchieebenen für die Authentifizierungsunterstützung

UnterstÃ1/4tzte Hierarchieebene

Hierarchieebene

Lokaler DHCP-Server

[edit system services dhcp-local-server]

DHCP-Relay-Agent

[edit forwarding-options dhcp-relay]

Lokaler DHCPv6-Server

[edit system services dhcp-local-server dhcpv6]

DHCPv6-Relay-Agent

[edit forwarding-options dhcp-relay dhcpv6]

Erstellen eindeutiger Benutzernamen für DHCP-Clients

Sie können die erweiterte DHCP-Anwendung so konfigurieren, dass sie zusätzliche Informationen in den Benutzernamen einschließt, der bei der Anmeldung des DHCP-Clients an den externen AAA-Authentifizierungsdienst übergeben wird. Mit diesen zusätzlichen Informationen können Sie Benutzernamen erstellen, die Abonnenten (DHCP-Clients) eindeutig identifizieren.

Um eindeutige Benutzernamen zu konfigurieren, verwenden Sie die username-include Anweisung. Sie können einzelne oder alle zusätzlichen Anweisungen einschließen.

Hinweis:

Wenn Sie keinen Benutzernamen in die Authentifizierungskonfiguration aufnehmen, führt der Router (oder Switch) keine Authentifizierung durch. Die IP-Adresse wird jedoch vom lokalen Pool bereitgestellt, wenn dieser konfiguriert ist.

Wenn Sie den lokalen DHCPv6-Server verwenden, müssen Sie die Authentifizierung und den Benutzernamen des Clients konfigurieren. Andernfalls schlägt die Clientanmeldung fehl.

In der folgenden Liste werden die optionalen Informationen beschrieben, die Sie als Teil des Benutzernamens angeben können:

  • circuit-type– Der Verbindungstyp, der vom DHCP-Client verwendet wird, z. B enet. .

  • client-id– Die Client-ID-Option (Option 1). (DHCPv6, lokaler Server, DHCPv6, nur DHCPv6-Relay-Agent)

  • delimiter– Das Trennzeichen, das die Komponenten trennt, aus denen der verkettete Benutzername besteht. Das Standardtrennzeichen ist ein Punkt (.). Das Semikolon (;) wird als Trennzeichen nicht unterstützt.

  • domain-name– Der Name der Clientdomäne als Zeichenfolge. Der Router fügt dem Benutzernamen das Trennzeichen @ hinzu.

  • interface-description– Die Beschreibung der (physischen) Geräteschnittstelle oder der logischen Schnittstelle.

  • interface-name- Der Schnittstellenname, einschließlich des Schnittstellengeräts und der zugehörigen VLAN-IDs.

  • logical-system-name– Der Name des logischen Systems, wenn sich die empfangende Schnittstelle in einem logischen System befindet.

  • mac-address– Die MAC-Adresse des Clients in einer Zeichenfolge im Format xxxx.xxxx.xxxx.

  • option-60– Der Teil der Nutzlast der Option 60, der auf das Längenfeld folgt. (Wird für lokale DHCPv6-Server nicht unterstützt)

  • option-82 <circuit-id> <remote-id>– Der angegebene Inhalt der Nutzlast Option 82. (Wird für lokale DHCPv6-Server nicht unterstützt)

    • circuit-id– Die Nutzlast der Unteroption Agent Circuit ID.

    • remote-id– Die Nutzlast der Unteroption Agent-Remote-ID.

    • Both circuit-id and remote-id—Die Nutzdaten beider Unteroptionen im Format: circuit-id[delimiter]remote-id.

    • Neither circuit-id or remote-id—Die Rohnutzlast der Option 82 aus der PDU wird mit dem Benutzernamen verkettet.

    Hinweis:

    Für den DHCP-Relay-Agent basiert der Wert der Option 82, der beim Erstellen des Benutzernamens verwendet wird, auf dem Wert der Option 82, der in der ausgehenden (weitergeleiteten) PDU codiert ist.

  • relay-agent-interface-id– Die Option "Interface-ID" (Option 18). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • relay-agent-remote-id– Die DHCPv6 Relay Agent Remote-ID-Option (Option 37). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • relay-agent-subscriber-id—(Nur auf Routern) Die Option "DHCPv6 Relay Agent Subscriber-ID" (Option 38). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • routing-instance-name– Der Name der Routing-Instanz, wenn sich die empfangende Schnittstelle in einer Routing-Instanz befindet.

  • user-prefix– Eine Zeichenfolge, die das Benutzerpräfix angibt.

  • vlan-tags– Die Abonnenten-VLAN-Tags. Enthält das äußere VLAN-Tag und, falls vorhanden, das innere VLAN-Tag. Sie können diese Option anstelle der interface-name Option verwenden, wenn das äußere VLAN-Tag systemweit eindeutig ist und der zugrunde liegende Name der physischen Schnittstelle nicht Teil des Formats sein muss.

Da das DHCPv6-Paketformat bei DHCPv6-Clients kein spezifisches Feld für die Client-MAC-Adresse enthält, wird die MAC-Adresse aus mehreren Quellen mit der folgenden Priorität abgeleitet:

  • Client-DUID Typ 1 oder Typ 3.

  • Option 79 (Client-Link-Layer-Adresse), falls vorhanden.

  • Die Paketquelladresse, wenn der Client direkt verbunden ist.

  • Die lokale Adresse des Links.

Der Router (Switch) erstellt den eindeutigen Benutzernamen, indem er die angegebenen zusätzlichen Informationen in der folgenden Reihenfolge einfügt, wobei die Felder durch ein Trennzeichen getrennt sind.

Für lokalen DHCP-Server und DHCP-Relay-Agenten:

Für lokalen DHCPv6-Server:

Gruppieren von Schnittstellen mit gängigen DHCP-Konfigurationen

Mit der Gruppenfunktion gruppieren Sie eine Gruppe von Schnittstellen und wenden dann eine gemeinsame DHCP-Konfiguration auf die benannte Schnittstellengruppe an. Der lokale erweiterte DHCP-Server, der lokale DHCPv6-Server, der DHCP-Relay-Agent und der DHCPv6-Relay-Agent unterstützen alle Schnittstellengruppen.

Mit den folgenden Schritten wird eine lokale DHCP-Servergruppe erstellt. Die Schritte sind für den lokalen DHCPv6-Server, den DHCP-Relay-Agent und den DHCPv6-Relay-Agent ähnlich.

So konfigurieren Sie eine lokale DHCP-Serverschnittstellengruppe:

  1. Geben Sie an, dass Sie den lokalen DHCP-Server konfigurieren möchten.
  2. Erstellen Sie die Gruppe und vergeben Sie einen Namen.

  3. Geben Sie die Namen einer oder mehrerer Schnittstellen an, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Sie können die interface-Anweisung interface-name wiederholen, um mehrere Schnittstellen innerhalb der Gruppe anzugeben, aber Sie können dieselbe Schnittstelle nicht in mehr als einer Gruppe verwenden.
  4. (Optional) Sie können die upto Option verwenden, um einen Bereich von Schnittstellen für eine Gruppe anzugeben.
  5. (Optional) Sie können die exclude Option verwenden, um eine bestimmte Schnittstelle oder einen bestimmten Bereich von Schnittstellen aus der Gruppe auszuschließen. Zum Beispiel:

Example- 2

Um eine Schnittstellengruppe zu konfigurieren, verwenden Sie die group Anweisung.

Sie können die Namen einer oder mehrerer Schnittstellen angeben, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Sie können die interface interface-name Anweisung wiederholen, um mehrere Schnittstellen innerhalb einer Gruppe anzugeben, aber Sie können dieselbe Schnittstelle nicht in mehr als einer Gruppe angeben. Zum Beispiel:

  1. Die erweiterten DHCP-Anwendungen ermöglichen es Ihnen, eine Gruppe von Schnittstellen zu gruppieren und eine gemeinsame DHCP-Konfiguration auf die benannte Schnittstellengruppe anzuwenden.

  2. Sie können die upto Option verwenden, um einen Bereich von Schnittstellen anzugeben, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Zum Beispiel:

  3. Sie können die exclude Option verwenden, um eine bestimmte Schnittstelle oder einen bestimmten Bereich von Schnittstellen aus der Gruppe auszuschließen. Zum Beispiel:

Example:

Zugehörige Dokumentation