Configuration centralisée des options DHCP sur un serveur RADIUS

Options provenant de RADIUS

La gestion des abonnés (sur les routeurs) ou la gestion DHCP (sur les commutateurs) vous permet de configurer les options DHCP de manière centralisée sur un serveur RADIUS, puis de distribuer les options par abonné ou par client DHCP. Cette méthode permet d’obtenir des options DHCP provenant de RADIUS : les options DHCP proviennent du serveur RADIUS et sont envoyées à l’abonné (ou au client DHCP). Cela diffère de la méthode traditionnelle source client (également appelée source DHCP) de configuration des options DHCP, dans laquelle les options proviennent du client et sont envoyées au serveur RADIUS. La gestion des abonnés (gestion DHCP) Les options DHCP fournies par RADIUS sont également considérées comme opaques, car le serveur local DHCP effectue un traitement minimal et vérifie les erreurs pour la chaîne d’options DHCP avant de transmettre les options à l’abonné (client DHCP).

La gestion des abonnés (ou gestion DHCP) utilise VSA 26-55 de Juniper Networks (options DHCP) pour distribuer les options DHCP provenant de RADIUS. Le serveur RADIUS inclut VSA 26-55 dans le message Accès-Acceptation que le serveur renvoie lors de l’authentification de l’abonné ou de l’authentification du client DHCP. Le serveur RADIUS envoie le message Accès-Acceptation au client RADIUS, puis au serveur local DHCP pour qu’il le renvoie à l’abonné DHCP. Le serveur RADIUS peut inclure plusieurs instances de VSA 26-55 dans un seul message d’accès-acceptation. Le client RADIUS concatène les instances multiples et utilise le résultat comme une seule instance.

Aucune configuration CLI n’est requise pour permettre à la gestion des abonnés (gestion DHCP) d’utiliser les options DHCP configurées de manière centralisée : la procédure est déclenchée par la présence de VSA 26-55 dans le message d’accès-acceptation RADIUS.

Lors de la création du paquet d’offre pour le client DHCP, le serveur local DHCP utilise la séquence suivante :

1. Traite tous les paramètres configurés par RADIUS qui sont passés en tant qu’attributs RADIUS distincts ; par exemple, l’attribut RADIUS 27 (Délai d’expiration de la session).

2. Traite tous les paramètres fournis par le client ; par exemple, les attributs RADIUS 53 (type de message DHCP) et 54 (identificateur de serveur).

3. Ajoute (sans effectuer de traitement) la chaîne d’options DHCP opaque contenue dans le VSA 26-55 reçu du serveur RADIUS.

Configuration des options provenant du client

Outre la prise en charge de la configuration centralisée des options DHCP directement sur le serveur RADIUS (options fournies par RADIUS), la gestion des abonnés (gestion DHCP) prend également en charge la configuration traditionnelle des options fournies par le client, dans laquelle le composant DHCP du routeur (commutateur) envoie les options au serveur RADIUS. La méthode des options DHCP provenant du client est prise en charge à la fois pour le serveur local DHCP et pour l’agent de relais DHCP ; Toutefois, la méthode de configuration centralisée RADIUS n’est prise en charge que sur les serveurs locaux DHCP. Les méthodes RADIUS et client prennent en charge les abonnés DHCPv4 et DHCPv6 (clients).

Note:

Vous pouvez utiliser les méthodes RADIUS et client-source simultanément sur le serveur local DHCP. Toutefois, vous devez vous assurer que la méthode de configuration centrale n’inclut pas d’options qui remplacent les options DHCP fournies par le client, car cela peut créer des résultats imprévisibles.

Flux de données pour les options DHCP sources RADIUS

La figure 1 illustre la procédure utilisée par la gestion des abonnés (gestion DHCP) lors de la configuration des options DHCP pour les abonnés (clients DHCP).

La séquence générale suivante décrit le flux de données lorsque la gestion des abonnés (gestion DHCP) utilise les options DHCP sources RADIUS et VSA 26-55 pour configurer un abonné DHCP (client) :

1. L’abonné (client DHCP) envoie un message de découverte DHCP (ou message de sollicitation DHCPv6) au serveur local DHCP. Le message inclut des options DHCP provenant du client.

2. Le serveur local DHCP lance l’authentification avec le client RADIUS de Junos OS.

3. Le client RADIUS envoie un message de demande d’accès au nom de l’abonné (client DHCP) au serveur RADIUS externe. Le message inclut les options DHCP fournies par le client de l’abonné (client DHCP).

4. Le serveur RADIUS externe répond en envoyant un message d’accès-acceptation au client RADIUS. Le message d’accès-acceptation inclut les options DHCP opaques d’origine RADIUS dans VSA 26-55.

5. Le client RADIUS envoie la chaîne d’options DHCP au serveur local DHCP. S’il existe plusieurs instances VSA 26-55, le client RADIUS les assemble d’abord en une seule chaîne d’options.

6. Le serveur local DHCP traite toutes les options dans le message d’offre DHCP (ou de réponse DHCPv6), à l’exception des options DHCP VSA 26-55 fournies par RADIUS. Après avoir traité toutes les autres options, le serveur local DHCP ajoute les options DHCP VSA 26-55 non modifiées au message et envoie le message à l’abonné (client DHCP).

7. L’abonné (client DHCP) est configuré avec les options DHCP.

8. Les opérations suivantes se produisent une fois que l’abonné (client DHCP) reçoit les options DHCP :

   • Comptabilité : le client RADIUS envoie des demandes Acct-Start et Interim-Accounting au serveur RADIUS, y compris les options DHCP fournies par RADIUS dans VSA 26-55. Par défaut, les options DHCP sont incluses dans les demandes de comptabilité.

   • Renouvellement : lorsque l’abonné (client DHCP) renouvelle, la valeur des options DHCP mises en cache est renvoyée dans le message de renouvellement DHCP (ou d’accusé de réception DHCPv6). Les options DHCP attribuées à l’origine ne peuvent pas être modifiées au cours d’un cycle de renouvellement.

   • Déconnexion : lorsque l’abonné (client DHCP) se déconnecte, le client RADIUS envoie un message Acct-Stop au serveur RADIUS, y compris le VSA 26-55 fourni par RADIUS.

Configuration de plusieurs instances VSA 26-55

VSA 26-55 prend en charge une taille maximale de 247 octets. Si la taille de votre champ d’options DHCP provenant de RADIUS est supérieure à 247 octets, vous devez le diviser et configurer manuellement plusieurs instances de VSA 26-55 pour que le serveur RADIUS les renvoie. Lorsque vous utilisez plusieurs instances pour un champ d’options, vous devez placer les instances dans le paquet dans l’ordre dans lequel les fragments doivent être réassemblés par le client RADIUS. Les fragments peuvent être de n’importe quelle taille de 247 octets ou moins.

Bonne pratique :

Pour faciliter la configuration et la gestion de vos options DHCP, vous souhaiterez peut-être disposer d’une option DHCP par instance VSA 26-55, quelle que soit la taille du champ d’option.

Lorsque le client RADIUS renvoie un champ d’options opaques réassemblé dans une demande de comptabilité au serveur RADIUS, le client utilise des fragments de 247 octets. Si vous aviez initialement créé des instances de moins de 247 octets, les fragments renvoyés peuvent ne pas être les mêmes que ceux que vous avez configurés à l’origine sur le serveur RADIUS.

Note:

Si vous configurez Steel-Belted Radius (SBR) pour prendre en charge plusieurs instances VSA 26-55, veillez à spécifier VSA 26-55 à l’aide RO des indicateurs du fichier de dictionnaire RADIUS de gestion des abonnés. La R valeur indique un attribut de réponse à valeurs multiples et la O valeur indique un attribut ordonné.

Options DHCP qui ne peuvent pas être configurées de manière centralisée

Le Tableau 1 présente les options DHCP que vous ne devez pas configurer de manière centralisée sur le serveur RADIUS.

Tableau 1 : options DHCP opaques non prises en charge

DHCP Option	Nom de l’option	Commentaires
Méthode 0	Option de tampon	Non pris en charge.
Option 51	Durée de location des adresses IP	La valeur est fournie par l’attribut RADIUS 27 (Session-Timeout).
Option 52	Surcharge d’options	Non pris en charge.
Option 53	DHCP Message Type	La valeur est fournie par le serveur local DHCP.
Option 54	Identificateur de serveur	La valeur est fournie par le serveur local DHCP.
Option 55	Liste des demandes de paramètres	La valeur est fournie par le serveur local DHCP.
Option 255	Fin	La valeur est fournie par le serveur local DHCP.
–	Cookie magique DHCP	Non pris en charge.