Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

RADIUSサーバーでDHCPオプションを一元的に構成する

Junos OSデバイスにおけるDHCP管理は、RADIUSサーバー上で直接使用するDHCPオプションの一元的な設定(RADIUSソースのオプション)と、従来のクライアントソースのオプション設定をサポートします。RADIUS サーバー上の DHCP オプションの一元的な構成については、以下のセクションを参照してください。

RADIUSソースのオプション

加入者管理(ルーター上)またはDHCP管理(スイッチ上)により、RADIUSサーバーでDHCPオプションを一元的に設定し、加入者単位またはDHCPクライアント単位でオプションを配布できます。この方法では、RADIUS ソースの DHCP オプション(DHCP オプションは RADIUS サーバで発信され、加入者(または DHCP クライアント)に送信されます。これは、DHCPオプションを設定する従来のクライアントソースの方法(DHCPソースとも呼ばれます)とは異なり、オプションはクライアントで発信され、RADIUSサーバーに送信されます。加入者管理(DHCP 管理)RADIUS ソースの DHCP オプションも不 透明と見なされます。これは、DHCP ローカル サーバーが、オプションをサブスクライバ(DHCP クライアント)に渡す前に、DHCP オプション文字列の処理とエラー チェックを最小限に抑えるためです。

加入者管理(またはDHCP管理)は、ジュニパーネットワークスVSA 26-55(DHCP-Options)を使用して、RADIUSソースのDHCPオプションを配信します。RADIUSサーバーは、加入者認証またはDHCPクライアント認証中にサーバーが返すAccess-AcceptメッセージにVSA 26-55を含みます。RADIUS サーバーは Access-Accept メッセージを RADIUS クライアントに送信し、次に DHCP ローカル サーバーに送信して DHCP サブスクライバに返します。RADIUSサーバーは、1つのAccess-AcceptメッセージにVSA 26-55の複数のインスタンスを含めることができます。RADIUSクライアントは、複数のインスタンスを連結し、その結果を単一のインスタンスとして使用します。

加入者管理(DHCP 管理)が一元的に設定された DHCP オプションを使用できるようにするために CLI 設定は必要ありません。RADIUS Access-Accept メッセージに VSA 26-55 が存在することでプロシージャがトリガーされます。

DHCP クライアントのオファー パケットを作成する場合、DHCP ローカル サーバーは次のシーケンスを使用します。

  1. 個別のRADIUS属性として渡されたRADIUS設定パラメータを処理します。例えば、RADIUS属性27(セッションタイムアウト)です。

  2. クライアントソースのパラメーターを処理します。たとえば、RADIUS 属性 53(DHCP メッセージ タイプ)や 54(サーバー識別子)です。

  3. RADIUSサーバーから受け取ったVSA 26-55に含まれる不透明なDHCPオプション文字列を(処理を実行せずに)追加します。

クライアントソースのオプションの設定

加入者管理(DHCP 管理)は、RADIUS サーバー上で直接 DHCP オプションの一元的設定(RADIUS ソースのオプション)をサポートするだけでなく、ルーターの(スイッチの)DHCP コンポーネントがオプションを RADIUS サーバーに送信する従来のクライアントソースのオプション構成もサポートします。クライアントソースのDHCPオプション方式は、DHCPローカルサーバーとDHCPリレーエージェントの両方でサポートされています。ただし、RADIUS ソースの中央設定方式は、DHCP ローカル サーバーでのみサポートされます。RADIUS ソース方式とクライアントソース方式はどちらも、DHCPv4 および DHCPv6 サブスクライバ(クライアント)をサポートします。

メモ:

RADIUS ソースのメソッドとクライアントソースのメソッドは、DHCP ローカルサーバーで同時に使用できます。ただし、クライアントソースのDHCPオプションを上書きするオプションが中央の設定方法に含まれていないことを確認する必要があります。

RADIUS ソースの DHCP オプションのデータ フロー

図 1 は、加入者(DHCP クライアント)の DHCP オプションを設定する際に、加入者管理(DHCP 管理)が使用する手順を示しています。

図1: DHCPオプションのデータフロー DHCP Options Data Flow

以下の一般的なシーケンスは、加入者管理(DHCP 管理)が RADIUS ソースの DHCP オプションと VSA 26-55 を使用して DHCP 加入者(クライアント)を設定する場合のデータフローを説明しています。

  1. サブスクライバ(DHCP クライアント)は、DHCP 検出メッセージ(または DHCPv6 送信請求メッセージ)を DHCP ローカル サーバーに送信します。メッセージには、クライアントからの DHCP オプションが含まれています。

  2. DHCP ローカル サーバーは、Junos OS RADIUS クライアントで認証を開始します。

  3. RADIUS クライアントは、加入者(DHCP クライアント)に代わって、外部の RADIUS サーバーに Access-Requestメッセージを送信します。メッセージには、サブスクライバ(DHCP クライアント)のクライアントソースの DHCP オプションが含まれます。

  4. 外部 RADIUS サーバーは、Access-Accept メッセージを RADIUS クライアントに送信して応答します。Access-Acceptメッセージには、VSA 26-55のRADIUSソースの不透明なDHCPオプションが含まれています。

  5. RADIUS クライアントは、DHCP オプション文字列を DHCP ローカル サーバーに送信します。複数のVSA 26-55インスタンスがある場合、RADIUSクライアントはまずそれらを1つのオプション文字列にアセンブルします。

  6. DHCPローカルサーバーは、RADIUSソースのVSA 26-55 DHCPオプションを除くすべてのオプションをDHCPオファー(またはDHCPv6応答)メッセージに処理します。他のすべてのオプションを処理した後、DHCPローカルサーバーは変更されていないVSA 26-55 DHCPオプションをメッセージに追加し、メッセージをサブスクライバ(DHCPクライアント)に送信します。

  7. 加入者(DHCP クライアント)には、DHCP オプションが設定されます。

  8. サブスクライバ(DHCP クライアント)が DHCP オプションを受け取った後、次の操作が発生します。

    • アカウンティング—RADIUSクライアントは、VSA 26-55のRADIUSソースDHCPオプションを含む、アカウンティング開始および仮アカウンティング要求をRADIUSサーバーに送信します。デフォルトでは、DHCP オプションはアカウンティング要求に含まれています。

    • 更新—サブスクライバ(DHCP クライアント)が更新されると、キャッシュされた DHCP オプション値が DHCP 更新(または DHCPv6 ACK)メッセージで返されます。最初に割り当てられた DHCP オプションは、更新サイクル中に変更できません。

    • ログアウト—加入者(DHCPクライアント)がログアウトすると、RADIUSクライアントは、RADIUSソースのVSA 26-55を含むAcct-StopメッセージをRADIUSサーバーに送信します。

複数のVSA 26-55インスタンス構成

VSA 26-55は、247バイトの最大サイズをサポートします。RADIUS ソースの DHCP オプション フィールドが 247 バイトを超える場合、フィールドを分割し、RADIUS サーバーが返す VSA 26-55 の複数のインスタンスを手動で設定する必要があります。オプション フィールドに複数のインスタンスを使用する場合、RADIUS クライアントによってフラグメントが再構成される順序でパケットにインスタンスを配置する必要があります。フラグメントは、247 バイト以下の任意のサイズにすることができます。

ベスト プラクティス:

DHCPオプションの設定と管理を容易にするために、オプションフィールドのサイズに関係なく、VSA 26-55インスタンスごとに1つのDHCPオプションを設定することができます。

RADIUSクライアントがRADIUSサーバーにアカウンティング要求で再構成された不透明オプションフィールドを返すとき、クライアントは247バイトのフラグメントを使用します。最初に 247 バイト未満のインスタンスを作成していた場合、返されるフラグメントは、RADIUS サーバーで最初に設定したものと同じではない可能性があります。

メモ:

複数のVSA 26-55インスタンスをサポートするようにSteel-Belted Radius(SBR)を設定する場合は、加入者管理RADIUSディクショナリファイルでフラグを使用して RO VSA 26-55を指定してください。 R 値は複数値の応答属性を示し、 O 値は順序付けられた属性を示します。

一元的に構成できないDHCPオプション

表1 は、RADIUSサーバー上で集中的に設定してはならないDHCPオプションを示しています。

表1:サポートされていない不透明なDHCPオプション

DHCP オプション

オプション名

コメント

オプション 0

パッドオプション

サポートされていません。

オプション 51

IP アドレスのリース時間

値はRADIUS属性27(セッションタイムアウト)で提供されます。

オプション 52

オプションの過負荷

サポートされていません。

オプション 53

DHCP メッセージ タイプ

値はDHCPローカルサーバーによって提供されます。

オプション 54

サーバー識別子

値はDHCPローカルサーバーによって提供されます。

オプション 55

パラメーター要求リスト

値はDHCPローカルサーバーによって提供されます。

オプション 255

終わり

値はDHCPローカルサーバーによって提供されます。

DHCPマジッククッキー

サポートされていません。

関連ドキュメント