Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

DHCP mit externem Authentifizierungsserver

Der erweiterte lokale DHCP-Server und der erweiterte DHCP-Relay-Agent unterstützen die Verwendung externer AAA-Authentifizierungsdienste wie RADIUS zur Authentifizierung von DHCP-Clients. Weitere Informationen finden Sie in diesem Thema.

In diesem Thema wird der Begriff "erweiterte DHCP-Anwendung" verwendet, um sowohl auf den erweiterten lokalen DHCP-Server als auch auf den erweiterten DHCP-Relay-Agent zu verweisen.

Verwenden externer AAA-Authentifizierungsdienste zum Authentifizieren von DHCP-Clients

Das Authentifizierungs-, Autorisierungs- und Abrechnungsdienst-Framework (AAA) bietet eine zentrale Anlaufstelle für alle Authentifizierungs-, Autorisierungs-, Kontenverwaltungs-, Adresszuweisungs- und dynamischen Anforderungsdienste, die der Router für den Netzwerkzugriff unterstützt.

In erweiterten DHCP-Anwendungen unterstützen sowohl der DHCP-Server als auch der DHCP-Relay-Agent die Verwendung externer AAA-Authentifizierungsdienste wie RADIUS zur Authentifizierung von DHCP-Clients. Die Support-ID, die für den lokalen DHCPv6-Server und den DHCPv6-Relay-Agent verfügbar ist.

Junos OS-Geräte verwenden die AAA-Infrastruktur für die Authentifizierung (der DHCP-Client für den DHCP-Dienst mit dem zugewiesenen DHCP-Server). Die folgenden allgemeinen Schritte sind an der DHCP-Clientauthentifizierung beteiligt:

  • Der lokale DHCP-Server oder -Relay-Agent empfängt eine Ermittlungs-PDU von einem Client

  • Der DHCP-Dienst kontaktiert den AAA-Server, um den DHCP-Client zu authentifizieren.

  • Der DHCP-Dienst kann Clientadressen und DHCP-Konfigurationsoptionen vom externen AAA-Authentifizierungsserver abrufen.

Die externe Authentifizierungsfunktion unterstützt auch die AAA-gerichtete Abmeldung. Wenn der externe AAA-Dienst eine Benutzerabmeldeanweisung unterstützt, berücksichtigt die erweiterte DHCP-Anwendung die Abmeldung und zeigt sie so an, als ob sie von einem CLI-Verwaltungsbefehl angefordert worden wäre.

Alle Clientstatusinformationen und zugeordneten Ressourcen werden bei der Abmeldung gelöscht. Die erweiterte DHCP-Anwendung unterstützt die gerichtete Abmeldung über die Liste der konfigurierten Authentifizierungsserver, die Sie mit der authentication-server Anweisung auf der [edit access profile profile-name] Hierarchieebene angeben.

Schritte zum Konfigurieren von DHCP mit externem Authentifizierungsserver

So konfigurieren Sie den lokalen DHCP-Server und den DHCP-Relay-Agent für die Authentifizierungsunterstützung:

  1. Geben Sie an, dass Sie die Authentifizierung konfigurieren möchten, indem Sie das Authentifizierungsschlüsselwort auf den jeweiligen Hierarchieebenen einschließen.
  2. (Optional) Konfigurieren Sie optionale Funktionen, um einen eindeutigen Benutzernamen zu erstellen.
  3. (Optional) Konfigurieren Sie ein Kennwort, mit dem der Benutzername beim externen Authentifizierungsdienst authentifiziert wird.

Beispiel:

Clientkonfigurationsinformationen, die zwischen dem externen Authentifizierungsserver, der DHCP-Anwendung und dem DHCP-Client ausgetauscht werden

Wenn die DHCP-Anwendung eine Antwort von einem externen Authentifizierungsserver empfängt, kann die Antwort neben der IP-Adresse und der Subnetzmaske auch Informationen enthalten. Der DHCP-Dienst verwendet die Informationen und sendet sie an den DHCP-Client.

Die DHCP-Anwendung kann die Informationen entweder in ihrer ursprünglichen Form senden, oder die Anwendung kann die Informationen mit lokalen Konfigurationsspezifikationen zusammenführen.

Wenn die Authentifizierungsantwort z. B. einen Adresspoolnamen enthält und eine lokale Konfiguration DHCP-Attribute für diesen Pool angibt, führt der DHCP-Dienst die Authentifizierungsergebnisse und die Attribute in der Antwort zusammen, die der Server an den Client sendet.

Eine lokale Konfiguration ist optional – ein Client kann vom externen Authentifizierungsdienst vollständig konfiguriert werden. Wenn der externe Authentifizierungsdienst jedoch keine Clientkonfiguration bereitstellt, müssen Sie den lokalen Adresszuweisungspool so konfigurieren, dass er die Konfiguration für den Client bereitstellt.

Wenn in einer lokalen Konfiguration Optionen angegeben sind, fügt die erweiterte DHCP-Anwendung die lokalen Konfigurationsoptionen der Angebots-PDU hinzu, die der Server an den Client sendet. Wenn sich die beiden Gruppen von Optionen überschneiden, haben die Optionen in der Authentifizierungsantwort des externen Diensts Vorrang.

Wenn Sie RADIUS zum Bereitstellen der Authentifizierung verwenden, können die zusätzlichen Informationen in Form von RADIUS-Attributen und Juniper Networks VSAs vorliegen. Tabelle 1 listet die Informationen auf, die RADIUS in die Authentifizierungsgewährung aufnehmen kann. Eine vollständige Liste der RADIUS-Attribute und Juniper Networks VSAs, die von den erweiterten DHCP-Anwendungen für die Verwaltung des Teilnehmerzugriffs oder DHCP unterstützt werden, finden Sie unter RADIUS-Attribute und Juniper Networks VSAs, die vom AAA Service Framework unterstützt werden.

Tabelle 1: Informationen in der Authentifizierungsgewährung

Attributnummer

Attributname

Beschreibung

RADIUS-Attribut 8

Gerahmte-IP-Adresse

Client-IP-Adresse

RADIUS-Attribut 9

gerahmte-IP-Netzmaske

Subnetzmaske für Client-IP-Adresse (DHCP-Option 1)

Juniper Networks VSA 26-4

Primär-DNS

Primärer Domänenserver (DHCP-Option 6)

Juniper Networks VSA 26-5

Sekundär-DNS

Sekundärer Domänenserver (DHCP-Option 6)

Juniper Networks VSA 26-6

Primary-WINS

Primärer WINS-Server (DHCP-Option 44)

Juniper Networks VSA 26-7

Sekundär-WINS

Sekundärer WINS-Server (DHCP-Option 44)

RADIUS-Attribut 27

Session-Timeout

Leasingdauer

RADIUS-Attribut 88

Gerahmter Pool

Name des Adresszuweisungspools

Juniper Networks VSA 26-109

DHCP-geführter-Relay-Server

DHCP-Relay-Server

Beispiel: Konfigurieren von DHCP mit externem Authentifizierungsserver

So konfigurieren Sie die Authentifizierung auf den Ebenen "Lokaler DHCP-Server", "DHCPv6-Server", "DHCP-Relay-Agent" und "DHCPv6-Relay-Agent".

  1. Geben Sie an, dass Sie die Authentifizierung konfigurieren möchten.
  2. (Optional) Geben Sie die optionalen Informationen an, die Sie in den Benutzernamen aufnehmen möchten.
  3. Konfigurieren Sie ein optionales Kennwort, das die erweiterte DHCP-Anwendung dem externen AAA-Authentifizierungsdienst zur Authentifizierung des angegebenen Benutzernamens vorlegt.

Das folgende Beispiel zeigt eine Beispielkonfiguration, die einen eindeutigen Benutzernamen erstellt. Der Benutzername wird nach der Konfiguration angezeigt.

Der daraus resultierende eindeutige Benutzername lautet:

Angeben der Authentifizierungsunterstützung

Beziehen Sie die in Tabelle 2 angegebene Anweisung auf Hierarchieebenen authentication ein. Sie können entweder die Unterstützung für die globale Authentifizierung oder die gruppenspezifische Unterstützung konfigurieren.

Tabelle 2: Unterstützte Hierarchieebenen für die Authentifizierungsunterstützung

Unterstützte Hierarchieebene

Hierarchieebene

Lokaler DHCP-Server

[edit system services dhcp-local-server]

DHCP-Relay-Agent

[edit forwarding-options dhcp-relay]

Lokaler DHCPv6-Server

[edit system services dhcp-local-server dhcpv6]

DHCPv6-Relay-Agent

[edit forwarding-options dhcp-relay dhcpv6]

Erstellen von eindeutigen Benutzernamen für DHCP-Clients

Sie können die erweiterte DHCP-Anwendung so konfigurieren, dass zusätzliche Informationen in den Benutzernamen aufgenommen werden, der bei der Anmeldung des DHCP-Clients an den externen AAA-Authentifizierungsdienst übergeben wird. Diese zusätzlichen Informationen ermöglichen es Ihnen, Benutzernamen zu erstellen, die Abonnenten (DHCP-Clients) eindeutig identifizieren.

Um eindeutige Benutzernamen zu konfigurieren, verwenden Sie die Anweisung username-include . Sie können einige oder alle zusätzlichen Anweisungen einschließen.

Anmerkung:

Wenn Sie keinen Benutzernamen in die Authentifizierungskonfiguration aufnehmen, führt der Router (oder Switch) keine Authentifizierung durch. Die IP-Adresse wird jedoch vom lokalen Pool bereitgestellt, wenn er konfiguriert ist.

Wenn Sie den lokalen DHCPv6-Server verwenden, müssen Sie die Authentifizierung und den Clientbenutzernamen konfigurieren. Andernfalls schlägt die Clientanmeldung fehl.

In der folgenden Liste werden die optionalen Informationen beschrieben, die Sie als Teil des Benutzernamens angeben können:

  • circuit-type– Der vom DHCP-Client verwendete Verbindungstyp, z. B enet. .

  • client-id– Die Client-ID-Option (Option 1). (Nur DHCPv6 lokaler Server, DHCPv6 Relay Agent)

  • delimiter: Das Trennzeichen, das die Komponenten trennt, aus denen der verkettete Benutzername besteht. Das Standardtrennzeichen ist ein Punkt (.). Das Semikolon (;) wird als Trennzeichen nicht unterstützt.

  • domain-name– Der Name der Clientdomäne als Zeichenfolge. Der Router fügt dem Benutzernamen das @-Trennzeichen hinzu.

  • interface-description– Die Beschreibung der (physischen) Geräteschnittstelle oder der logischen Schnittstelle.

  • interface-name– Der Name der Schnittstelle, einschließlich des Schnittstellengeräts und der zugehörigen VLAN-IDs.

  • logical-system-name– Der Name des logischen Systems, wenn sich die empfangende Schnittstelle in einem logischen System befindet.

  • mac-address– Die MAC-Adresse des Clients in einer Zeichenfolge im Format xxxx.xxxx.xxxx.

  • option-60: Der Teil der Nutzlast der Option 60, der auf das Längenfeld folgt. (Wird für lokale DHCPv6-Server nicht unterstützt)

  • option-82 <circuit-id> <remote-id>: Der angegebene Inhalt der Nutzlast der Option 82. (Wird für lokale DHCPv6-Server nicht unterstützt)

    • circuit-id– Die Nutzlast der Unteroption Agent-Circuit-ID.

    • remote-id– Die Nutzlast der Unteroption Agent Remote ID.

    • Sowohl als remote-idauch circuit-id : Die Nutzlasten beider Unteroptionen im Format: circuit-id[delimiter]remote-id.

    • Weder circuit-id noch – remote-idDie Rohnutzlast der Option 82 von der PDU wird mit dem Benutzernamen verkettet.

    Anmerkung:

    Für den DHCP-Relay-Agent basiert der Wert der Option 82, der beim Erstellen des Benutzernamens verwendet wird, auf dem Wert der Option 82, der in der ausgehenden (weitergeleiteten) PDU codiert ist.

  • relay-agent-interface-id– Die Option Schnittstellen-ID (Option 18). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • relay-agent-remote-id– Die Remote-ID-Option für DHCPv6 Relay Agent (Option 37). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • relay-agent-subscriber-id—(Nur auf Routern) Die Option DHCPv6 Relay Agent Subscriber-ID (Option 38). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

  • routing-instance-name– Der Name der Routing-Instanz, wenn sich die empfangende Schnittstelle in einer Routing-Instanz befindet.

  • user-prefix– Eine Zeichenfolge, die das Benutzerpräfix angibt.

  • vlan-tags– Die VLAN-Tags des Abonnenten. Enthält das äußere VLAN-Tag und, falls vorhanden, das innere VLAN-Tag. Sie können diese Option anstelle der Option verwenden, interface-name wenn das äußere VLAN-Tag im gesamten System eindeutig ist und der zugrunde liegende physische Schnittstellenname nicht Teil des Formats sein muss.

Da das DHCPv6-Paketformat bei DHCPv6-Clients kein spezifisches Feld für die Client-MAC-Adresse enthält, wird die MAC-Adresse aus mehreren Quellen mit der folgenden Priorität abgeleitet:

  • Client-DUID Typ 1 oder Typ 3.

  • Option 79 (Client-Link-Layer-Adresse), falls vorhanden.

  • Die Quelladresse des Pakets, wenn der Client direkt verbunden ist.

  • Die lokale Adresse des Links.

Der Router (Switch) erstellt den eindeutigen Benutzernamen, indem er die angegebenen zusätzlichen Informationen in der folgenden Reihenfolge einfügt, wobei die Felder durch ein Trennzeichen getrennt sind.

Für lokalen DHCP-Server und DHCP-Relay-Agent:

Für lokalen DHCPv6-Server:

Gruppieren von Schnittstellen mit gängigen DHCP-Konfigurationen

Sie verwenden die Gruppenfunktion, um eine Gruppe von Schnittstellen zu gruppieren und dann eine gemeinsame DHCP-Konfiguration auf die benannte Schnittstellengruppe anzuwenden. Der erweiterte lokale DHCP-Server, der lokale DHCPv6-Server, der DHCP-Relay-Agent und der DHCPv6-Relay-Agent unterstützen alle Schnittstellengruppen.

Mit den folgenden Schritten wird eine lokale DHCP-Servergruppe erstellt. Die Schritte sind für den lokalen DHCPv6-Server, den DHCP-Relay-Agent und den DHCPv6-Relay-Agent ähnlich.

So konfigurieren Sie eine lokale DHCP-Serverschnittstellengruppe:

  1. Geben Sie an, dass Sie den lokalen DHCP-Server konfigurieren möchten.
  2. Erstellen Sie die Gruppe und vergeben Sie einen Namen.

  3. Geben Sie die Namen einer oder mehrerer Schnittstellen an, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Sie können die Schnittstellenanweisung interface-name wiederholen, um mehrere Schnittstellen innerhalb der Gruppe anzugeben, aber Sie können dieselbe Schnittstelle nicht in mehr als einer Gruppe verwenden.
  4. (Optional) Sie können die upto Option verwenden, um einen Bereich von Schnittstellen für eine Gruppe anzugeben.
  5. (Optional) Sie können die exclude Option verwenden, um eine bestimmte Schnittstelle oder einen bestimmten Bereich von Schnittstellen aus der Gruppe auszuschließen. Zum Beispiel:

Example- 2

Um eine Schnittstellengruppe zu konfigurieren, verwenden Sie die Anweisung group .

Sie können die Namen einer oder mehrerer Schnittstellen angeben, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Sie können die Anweisung interface interface-name wiederholen, um mehrere Schnittstellen innerhalb einer Gruppe anzugeben, aber Sie können dieselbe Schnittstelle nicht in mehr als einer Gruppe angeben. Zum Beispiel:

  1. Mit den erweiterten DHCP-Anwendungen können Sie eine Gruppe von Schnittstellen gruppieren und eine gemeinsame DHCP-Konfiguration auf die benannte Schnittstellengruppe anwenden.

  2. Mit dieser upto Option können Sie einen Bereich von Schnittstellen angeben, auf denen die erweiterte DHCP-Anwendung aktiviert ist. Zum Beispiel:

  3. Sie können die exclude Option verwenden, um eine bestimmte Schnittstelle oder einen bestimmten Bereich von Schnittstellen aus der Gruppe auszuschließen. Zum Beispiel:

Example:

Zugehörige Dokumentation