SUR CETTE PAGE
DHCP avec serveur d’authentification externe
Le serveur local DHCP étendu et l’agent de relais DHCP étendu prennent en charge l’utilisation de services d’authentification AAA externes, tels que RADIUS, pour authentifier les clients DHCP. Pour plus d’informations, consultez cette rubrique.
Cette rubrique utilise le terme application DHCP étendu pour désigner à la fois le serveur local DHCP étendu et l’agent de relais DHCP étendu.
Utilisation de services d’authentification AAA externes pour authentifier les clients DHCP
L’infrastructure de services d’authentification, d’autorisation et de comptabilité (AAA) fournit un point de contact unique pour tous les services d’authentification, d’autorisation, de comptabilité, d’attribution d’adresses et de demandes dynamiques que le routeur prend en charge pour l’accès au réseau.
Dans les applications DHCP étendues, le serveur DHCP et l’agent de relais DHCP prennent en charge l’utilisation de services d’authentification AAA externes, tels que RADIUS, pour authentifier les clients DHCP. ID de support disponible pour le serveur local DHCPv6 et l’agent de relais DHCPv6.
Les équipements Junos OS utilisent l’infrastructure AAA pour l’authentification (le client DHCP pour le service DHCP avec le serveur DHCP affecté. Les étapes générales suivantes sont impliquées dans l’authentification du client DHCP :
Le serveur local DHCP ou l’agent de relais reçoit une PDU de découverte d’un client
Le service DHCP contacte le serveur AAA pour authentifier le client DHCP.
Le service DHCP peut obtenir les adresses client et les options de configuration DHCP à partir du serveur d’authentification AAA externe.
La fonctionnalité d’authentification externe prend également en charge la déconnexion dirigée AAA. Si le service AAA externe prend en charge une directive de déconnexion de l’utilisateur, l’application DHCP étendue honore la déconnexion et l’affiche comme si elle avait été demandée par une commande de gestion CLI.
Toutes les informations sur l’état du client et les ressources allouées sont supprimées lors de la déconnexion. L’application DHCP étendue prend en charge la déconnexion dirigée à l’aide de la liste des serveurs d’authentification configurés que vous spécifiez avec l’instruction authentication-server au niveau de la [edit access profile profile-name] hiérarchie.
Étapes de configuration de DHCP avec un serveur d’authentification externe
Pour configurer le serveur local DHCP et l’agent de relais DHCP pour la prise en charge de l’authentification :
- Spécifiez que vous souhaitez configurer l’authentification en incluant le mot-clé authentication aux niveaux hiérarchiques respectifs.
- (Facultatif) Configurez des fonctionnalités facultatives pour créer un nom d’utilisateur unique.
- (Facultatif) Configurez un mot de passe qui authentifie le nom d’utilisateur auprès du service d’authentification externe.
Exemple:
authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Informations de configuration client échangées entre le serveur d’authentification externe, l’application DHCP et le client DHCP
Lorsque l’application DHCP reçoit une réponse d’un serveur d’authentification externe, la réponse peut inclure des informations en plus de l’adresse IP et du masque de sous-réseau. Le service DHCP utilise ces informations et les envoie au client DHCP.
L’application DHCP peut soit envoyer les informations dans leur forme d’origine, soit fusionner les informations avec les spécifications de configuration locales.
Par exemple, si la réponse d’authentification inclut un nom de pool d’adresses et qu’une configuration locale spécifie des attributs DHCP pour ce pool, le service DHCP fusionne les résultats de l’authentification et les attributs de la réponse que le serveur envoie au client.
Une configuration locale est facultative : un client peut être entièrement configuré par le service d’authentification externe. Toutefois, si le service d’authentification externe ne fournit pas de configuration client, vous devez configurer le pool d’affectation d’adresses locales pour fournir la configuration du client.
Lorsqu’une configuration locale spécifie des options, l’application DHCP étendue ajoute les options de configuration locale à la PDU d’offre que le serveur envoie au client. Si les deux ensembles d’options se chevauchent, les options de la réponse d’authentification du service externe sont prioritaires.
Lorsque vous utilisez RADIUS pour fournir l’authentification, les informations supplémentaires peuvent se présenter sous la forme d’attributs RADIUS et de VSA Juniper Networks. Le Tableau 1 répertorie les informations que RADIUS peut inclure dans l’octroi d’authentification. Voir Attributs RADIUS et VSA Juniper Networks pris en charge par AAA Service Framework pour obtenir la liste complète des attributs RADIUS et des VSA Juniper Networks pris en charge par les applications DHCP étendues pour la gestion des accès abonnés ou DHCP.
Numéro d’attribut |
Nom de l’attribut |
Description |
|---|---|---|
Attribut RADIUS 8 |
Adresse IP cadrée |
Adresse IP du client |
Attribut RADIUS 9 |
Masque de réseau IP cadré |
Masque de sous-réseau pour l’adresse IP du client (DHCP option 1) |
Juniper Networks VSA 26-4 |
DNS primaire |
Serveur de domaine principal (DHCP option 6) |
Juniper Networks VSA 26-5 |
DNS secondaire |
Serveur de domaine secondaire (DHCP option 6) |
Juniper Networks VSA 26-6 |
Primary-WINS (Primaire) |
Serveur WINS principal (DHCP option 44) |
Juniper Networks VSA 26-7 |
Secondaires-WINS |
Serveur WINS secondaire (DHCP option 44) |
Attribut RADIUS 27 |
Délai d’expiration de la session |
Durée du bail |
Attribut RADIUS 88 |
Piscine encadrée |
Nom du pool d’affectation d’adresses |
Juniper Networks VSA 26-109 |
Serveur de relais guidé par DHCP |
Serveur relais DHCP |
Exemple de configuration de DHCP avec un serveur d’authentification externe
Pour configurer l’authentification au niveau du serveur local DHCP, du serveur local DHCPv6, de l’agent de relais DHCP et de l’agent de relais DHCPv6.
L’exemple suivant montre un exemple de configuration qui crée un nom d’utilisateur unique. Le nom d’utilisateur s’affiche après la configuration.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
Le nom d’utilisateur unique qui en résulte est le suivant :
wallybrown.2001:db8::/32.enet@example.com
Spécification de la prise en charge de l’authentification
Inclure l’énoncé aux niveaux hiérarchiques indiqués dans le authentication tableau 2. Vous pouvez configurer la prise en charge de l’authentification globale ou la prise en charge spécifique à un groupe.
Niveau hiérarchique pris en charge |
Niveau hiérarchique |
|---|---|
Serveur local DHCP |
|
Agent de relais DHCP |
|
Serveur local DHCPv6 |
|
Agent de relais DHCPv6 |
|
Création de noms d’utilisateur uniques pour les clients DHCP
Vous pouvez configurer l’application DHCP étendue pour inclure des informations supplémentaires dans le nom d’utilisateur transmis au service d’authentification AAA externe lorsque le client DHCP se connecte. Ces informations supplémentaires vous permettent de créer des noms d’utilisateur qui identifient de manière unique les abonnés (clients DHCP).
Pour configurer des noms d’utilisateur uniques, utilisez l’instruction username-include . Vous pouvez inclure tout ou partie des énoncés supplémentaires.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Si vous n’incluez pas de nom d’utilisateur dans la configuration d’authentification, le routeur (ou le commutateur) n’effectue pas l’authentification ; Toutefois, l’adresse IP est fournie par le pool local s’il est configuré.
Lorsque vous utilisez le serveur local DHCPv6, vous devez configurer l’authentification et le nom d’utilisateur du client. Dans le cas contraire, la connexion du client échoue.
La liste suivante décrit les informations facultatives que vous pouvez inclure dans le nom d’utilisateur :
circuit-type: type de circuit utilisé par le client DHCP, par exempleenet.client-id: option d’identificateur de client (option 1). (Serveur local DHCPv6, agent de relais DHCPv6 uniquement)delimiter: caractère de délimitation qui sépare les composants qui composent le nom d’utilisateur concaténé. Le délimiteur par défaut est un point (.). Le point-virgule (;) n’est pas pris en charge comme caractère délimiteur.domain-name: nom de domaine du client sous forme de chaîne. Le routeur ajoute le délimiteur @ au nom d’utilisateur.interface-description: description de l’interface (physique) du périphérique ou de l’interface logique.interface-name: nom de l’interface, y compris le périphérique d’interface et les ID de VLAN associés.logical-system-name: nom du système logique, si l’interface de réception se trouve dans un système logique.mac-address—L’adresse MAC du client, dans une chaîne du formatxxxx.xxxx.xxxx.option-60: partie de la charge utile de l’option 60 qui suit le champ de longueur. (Non pris en charge pour le serveur local DHCPv6)option-82 <circuit-id> <remote-id>: contenu spécifié de la charge utile de l’option 82. (Non pris en charge pour le serveur local DHCPv6)circuit-id: charge utile de la sous-option ID de circuit de l’agent.remote-id: charge utile de la sous-option ID distant de l’agent.Both
circuit-idandremote-id—Les charges utiles des deux sous-options, au format :circuit-id[delimiter]remote-id.Ni l’un ni l’autre
circuit-id:remote-idla charge utile brute de l’option 82 de la PDU est concaténée au nom d’utilisateur.
Note:Pour l’agent de relais DHCP, la valeur de l’option 82 utilisée lors de la création du nom d’utilisateur est basée sur la valeur de l’option 82 encodée dans la PDU sortante (relayée).
relay-agent-interface-id: option Interface-ID (option 18). (Serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)relay-agent-remote-id: option DHCPv6 Relay Agent Remote-ID (option 37). (Serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)relay-agent-subscriber-id—(Sur les routeurs uniquement) L’option ID d’abonné de l’agent de relais DHCPv6 (option 38). (Serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)routing-instance-name: nom de l’instance de routage, si l’interface de réception se trouve dans une instance de routage.user-prefix: chaîne indiquant le préfixe utilisateur.vlan-tags: balises VLAN de l’abonné. Inclut la balise VLAN externe et, le cas échéant, la balise VLAN interne. Vous pouvez utiliser cette option à la place de l’optioninterface-namelorsque la balise VLAN externe est unique sur l’ensemble du système et que vous n’avez pas besoin que le nom de l’interface physique sous-jacente fasse partie du format.
Pour les clients DHCPv6, étant donné que le format de paquet DHCPv6 n’a pas de champ spécifique pour l’adresse MAC cliente, l’adresse MAC est dérivée de plusieurs sources avec la priorité suivante :
DUID client de type 1 ou de type 3.
Option 79 (adresse de couche liaison client), si elle existe.
L’adresse source du paquet si le client est directement connecté.
Adresse locale du lien.
Le routeur (commutateur) crée le nom d’utilisateur unique en incluant les informations supplémentaires spécifiées dans l’ordre suivant, les champs étant séparés par un délimiteur.
Pour le serveur local DHCP et l’agent de relais DHCP :
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Pour le serveur local DHCPv6 :
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Groupement d’interfaces avec des configurations DHCP courantes
La fonctionnalité de groupe permet de regrouper un ensemble d’interfaces, puis d’appliquer une configuration DHCP commune au groupe d’interfaces nommé. Le serveur local DHCP étendu, le serveur local DHCPv6, l’agent de relais DHCP et l’agent de relais DHCPv6 prennent tous en charge des groupes d’interfaces.
Les étapes suivantes créent un groupe de serveurs locaux DHCP ; les étapes sont similaires pour le serveur local DHCPv6, l’agent de relais DHCP et l’agent de relais DHCPv6.
Pour configurer un groupe d’interfaces de serveur local DHCP :
Example- 2
Pour configurer un groupe d’interfaces, utilisez l’instruction group .
Vous pouvez spécifier les noms d’une ou de plusieurs interfaces sur lesquelles l’application DHCP étendue est activée. Vous pouvez répéter l’instruction interface interface-name pour spécifier plusieurs interfaces au sein d’un groupe, mais vous ne pouvez pas spécifier la même interface dans plusieurs groupes. Par exemple :
Les applications DHCP étendues vous permettent de regrouper un ensemble d’interfaces et d’appliquer une configuration DHCP commune au groupe d’interfaces nommé.
group boston { interface 192.168.10.1; interface 192.168.15.5; }Vous pouvez utiliser cette upto option pour spécifier une plage d’interfaces sur lesquelles l’application DHCP étendue est activée. Par exemple :
group quebec { interface 192.168.10.1 upto 192.168.10.255; }Vous pouvez utiliser l’option
excludepermettant d’exclure une interface spécifique ou une plage d’interfaces spécifiée du groupe. Par exemple :group paris { interface 192.168.100.1 exclude; interface 192.168.100.100 upto 192.168.100.125 exclude; }
Example:
group group-name { authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } } interface interface-name <upto upto-interface-name> <exclude>; }