외부 인증 서버가 있는 DHCP
확장 DHCP 로컬 서버 및 확장 DHCP 릴레이 에이전트는 RADIUS와 같은 외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트를 인증할 수 있도록 지원합니다. 자세한 내용은 이 주제를 참조하십시오.
이 주제에서는 확장 DHCP 로컬 서버 및 확장 DHCP 릴레이 에이전트 모두를 언급하기 위해 확장 DHCP 애플리케이션이라는 용어를 사용합니다.
외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트 인증
AAA(Authentication, Authorization, and Accounting) 서비스 프레임워크는 라우터가 네트워크 액세스를 지원하는 모든 인증, 권한 부여, 어카운팅, 주소 할당 및 동적 요청 서비스에 대한 단일 연락 지점을 제공합니다.
확장 DHCP 애플리케이션에서 DHCP 서버와 DHCP 릴레이 에이전트 모두 RADIUS와 같은 외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트를 인증할 수 있습니다. DHCPv6 로컬 서버 및 DHCPv6 릴레이 에이전트에 사용할 수 있는 지원 ID입니다.
Junos OS 디바이스는 인증(할당된 DHCP 서버가 있는 DHCP 서비스용 DHCP 클라이언트)을 위해 AAA 인프라를 사용합니다. DHCP 클라이언트 인증에는 다음과 같은 고급 단계가 포함됩니다.
DHCP 로컬 서버 또는 릴레이 에이전트가 클라이언트로부터 검색 PDU를 수신합니다
DHCP 서비스는 AAA 서버에 연결하여 DHCP 클라이언트를 인증합니다.
DHCP 서비스는 외부 AAA 인증 서버로부터 클라이언트 주소 및 DHCP 구성 옵션을 가져올 수 있습니다.
외부 인증 기능은 AAA 지정 로그아웃도 지원합니다. 외부 AAA 서비스가 사용자 로그아웃 지시문을 지원하는 경우 확장된 DHCP 애플리케이션은 로그아웃을 인식하고 CLI 관리 명령에 의해 요청된 것처럼 간주합니다.
로그아웃 시 모든 클라이언트 상태 정보 및 할당된 리소스가 삭제됩니다. 확장된 DHCP 애플리케이션은 계층 수준에서 명령문으로 지정한 구성된 인증 서버 목록을 사용하여 직접 로그아웃을 authentication-server [edit access profile profile-name] 지원합니다.
외부 인증 서버를 사용하여 DHCP를 구성하는 단계
인증 지원을 위해 DHCP 로컬 서버 및 DHCP 릴레이 에이전트를 구성하려면 다음을 수행합니다.
- 각 계층 수준에서 인증 키워드를 포함하여 인증을 구성하도록 지정합니다.
- (선택 사항) 고유한 사용자 이름을 만들 수 있는 옵션 기능을 구성합니다.
- (선택 사항) 외부 인증 서비스에 대해 사용자 이름을 인증하는 암호를 구성합니다.
본보기:
authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
외부 인증 서버, DHCP 애플리케이션 및 DHCP 클라이언트 간에 교환되는 클라이언트 구성 정보
DHCP 애플리케이션이 외부 인증 서버로부터 응답을 수신하면 응답에 IP 주소 및 서브넷 마스크 외에 정보가 포함될 수 있습니다. DHCP 서비스는 이 정보를 사용하여 DHCP 클라이언트로 보냅니다.
DHCP 응용 프로그램은 정보를 원래 형식으로 보내거나 응용 프로그램에서 정보를 로컬 구성 사양과 병합할 수 있습니다.
예를 들어, 인증 응답에 주소 풀 이름이 포함되어 있고 로컬 구성이 해당 풀에 대한 DHCP 속성을 지정하는 경우, DHCP 서비스는 인증 결과와 서버가 클라이언트에 보내는 응답의 속성을 병합합니다.
로컬 구성은 선택 사항이며, 클라이언트는 외부 인증 서비스에 의해 완전히 구성될 수 있습니다. 그러나 외부 인증 서비스가 클라이언트 구성을 제공하지 않는 경우 클라이언트에 대한 구성을 제공하도록 로컬 주소 할당 풀을 구성해야 합니다.
로컬 구성이 옵션을 지정하면 확장된 DHCP 애플리케이션은 서버가 클라이언트로 보내는 오퍼 PDU에 로컬 구성 옵션을 추가합니다. 두 옵션 집합이 겹치면 외부 서비스의 인증 응답에 있는 옵션이 우선합니다.
RADIUS를 사용하여 인증을 제공하는 경우 추가 정보는 RADIUS 속성 및 주니퍼 네트웍스 VSA 형태일 수 있습니다. 표 1 에는 RADIUS가 인증 부여에 포함할 수 있는 정보가 나와 있습니다. RADIUS 속성 및 확장된 DHCP 애플리케이션이 가입자 액세스 관리 또는 DHCP 관리를 위해 지원하는 주니퍼 네트웍스 VSA의 전체 목록은 AAA 서비스 프레임워크에서 지원하는 RADIUS 속성 및 주니퍼 네트웍스 VSA 를 참조하십시오.
속성 번호 |
속성 이름 |
묘사 |
|---|---|---|
RADIUS 속성 8 |
프레임 IP 주소 |
클라이언트 IP 주소 |
RADIUS 속성 9 |
프레임-IP-넷마스크 |
클라이언트 IP 주소에 대한 서브넷 마스크(DHCP 옵션 1) |
주니퍼 네트웍스 VSA 26-4 |
기본 DNS |
주 도메인 서버(DHCP 옵션 6) |
주니퍼 네트웍스 VSA 26-5 |
보조 DNS |
보조 도메인 서버(DHCP 옵션 6) |
주니퍼 네트웍스 VSA 26-6 |
기본 WINS |
주 WINS 서버(DHCP 옵션 44) |
주니퍼 네트웍스 VSA 26-7 |
보조 WINS |
보조 WINS 서버(DHCP 옵션 44) |
RADIUS 속성 27 |
세션 시간 초과 |
임대 시간 |
RADIUS 특성 88 |
프레임 풀 |
주소 할당 풀 이름 |
주니퍼 네트웍스 VSA 26-109 |
DHCP 가이드 릴레이 서버 |
DHCP 릴레이 서버 |
예-외부 인증 서버를 사용하여 DHCP 구성
DHCP 로컬 서버, DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트 수준에서 인증을 구성합니다.
다음 예는 고유한 사용자 이름을 생성하는 샘플 구성을 보여줍니다. 사용자 이름은 구성 뒤에 표시됩니다.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
결과 고유 사용자 이름은 다음과 같습니다.
wallybrown.2001:db8::/32.enet@example.com
인증 지원 지정
authentication 표 2에 명시된 계층 수준에서 명령문을 포함합니다. 전역 인증 지원 또는 그룹별 지원을 구성할 수 있습니다.
지원되는 계층 수준 |
계층 수준 |
|---|---|
DHCP 로컬 서버 |
|
DHCP 릴레이 에이전트 |
|
DHCPv6 로컬 서버 |
|
DHCPv6 릴레이 에이전트 |
|
DHCP 클라이언트에 대한 고유한 사용자 이름 생성
DHCP 클라이언트가 로그인할 때 외부 AAA 인증 서비스에 전달되는 사용자 이름에 추가 정보를 포함하도록 확장된 DHCP 애플리케이션을 구성할 수 있습니다. 이 추가 정보를 통해 가입자(DHCP 클라이언트)를 고유하게 식별하는 사용자 이름을 구성할 수 있습니다.
고유한 사용자 이름을 구성하려면 문을 사용합니다 username-include . 추가 명령문의 일부 또는 전부를 포함할 수 있습니다.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (DHCP Local Server) (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
인증 구성에 사용자 이름을 포함하지 않으면 라우터(또는 스위치)가 인증을 수행하지 않습니다. 그러나 IP 주소는 로컬 풀이 구성된 경우 로컬 풀에서 제공합니다.
DHCPv6 로컬 서버를 사용하는 경우 인증 및 클라이언트 사용자 이름을 구성해야 합니다. 그렇지 않으면 클라이언트 로그인이 실패합니다.
다음 목록에서는 사용자 이름의 일부로 포함할 수 있는 선택적 정보에 대해 설명합니다.
circuit-type- DHCP 클라이언트에서 사용하는 서킷 유형(예:enet).client-id- 클라이언트 식별자 옵션(옵션 1). (DHCPv6 로컬 서버, DHCPv6 릴레이 에이전트만 해당)delimiter- 연결된 사용자 이름을 구성하는 구성 요소를 구분하는 구분 기호 문자입니다. 기본 구분 기호는 마침표(.)입니다. 세미콜론(;)은 구분 기호 문자로 지원되지 않습니다.domain-name- 문자열로 된 클라이언트 도메인 이름. 라우터는 사용자 이름에 @ 구분 기호를 추가합니다.interface-description- 디바이스(물리적) 인터페이스 또는 논리적 인터페이스에 대한 설명입니다.interface-name- 인터페이스 디바이스 및 관련 VLAN ID를 포함한 인터페이스 이름.logical-system-name- 수신 인터페이스가 논리적 시스템에 있는 경우 논리적 시스템의 이름입니다.mac-address- 형식의xxxx.xxxx.xxxx문자열로 된 클라이언트 MAC 주소입니다.option-60- 옵션 60 페이로드에서 길이 필드 뒤에 오는 부분입니다. (DHCPv6 로컬 서버에는 지원되지 않음)option-82 <circuit-id> <remote-id>- 옵션 82 페이로드의 지정된 내용. (DHCPv6 로컬 서버에는 지원되지 않음)circuit-id- 에이전트 서킷 ID 서브옵션의 페이로드입니다.remote-id- Agent Remote ID 서브옵션의 페이로드입니다.및
remote-id모두circuit-id- 두 하위 옵션의 페이로드(형식:circuit-id[delimiter]remote-id)입니다.또는
remote-id둘 다 아님circuit-id- PDU에서 옵션 82의 원시 페이로드가 사용자 이름에 연결됩니다.
메모:DHCP 릴레이 에이전트의 경우, 사용자 이름 생성에 사용되는 옵션 82 값은 발신(릴레이) PDU에서 인코딩된 옵션 82 값을 기반으로 합니다.
relay-agent-interface-id- Interface-ID 옵션(옵션 18) (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)relay-agent-remote-id- DHCPv6 릴레이 에이전트 원격 ID 옵션(옵션 37). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)relay-agent-subscriber-id—(라우터에서만) DHCPv6 릴레이 에이전트 가입자 ID 옵션(옵션 38). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)routing-instance-name- 수신 인터페이스가 라우팅 인스턴스에 있는 경우 라우팅 인스턴스의 이름입니다.user-prefix- 사용자 접두사를 나타내는 문자열입니다.vlan-tags- 가입자 VLAN 태그입니다. 외부 VLAN 태그 및 내부 VLAN 태그(있는 경우)를 포함합니다. 외부 VLAN 태그가 시스템 전체에서 고유하고 기본 물리적 인터페이스 이름이 형식의 일부가 될 필요가 없는 경우 옵션 대신interface-name이 옵션을 사용할 수 있습니다.
DHCPv6 클라이언트의 경우 DHCPv6 패킷 형식에는 클라이언트 MAC 주소에 대한 특정 필드가 없기 때문에 MAC 주소는 다음과 같은 우선 순위를 가진 여러 소스 중에서 파생됩니다.
클라이언트 DUID 유형 1 또는 유형 3.
옵션 79(클라이언트 링크 레이어 주소)(있는 경우).
클라이언트가 직접 연결된 경우 패킷 소스 주소입니다.
링크 로컬 주소입니다.
라우터(스위치)는 구분 기호로 구분된 필드와 함께 다음 순서로 지정된 추가 정보를 포함하여 고유한 사용자 이름을 생성합니다.
DHCP 로컬 서버 및 DHCP 릴레이 에이전트의 경우:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
DHCPv6 로컬 서버의 경우:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
공통 DHCP 구성으로 인터페이스 그룹화
그룹 기능을 사용하여 인터페이스 집합을 그룹화한 다음 공통 DHCP 구성을 명명된 인터페이스 그룹에 적용할 수 있습니다. 확장된 DHCP 로컬 서버, DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트는 모두 인터페이스 그룹을 지원합니다.
다음 단계에서는 DHCP 로컬 서버 그룹을 만듭니다. 단계는 DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트의 경우와 유사합니다.
DHCP 로컬 서버 인터페이스 그룹을 구성하려면,
Example- 2
인터페이스 그룹을 구성하려면 문을 사용합니다 group .
확장 DHCP 애플리케이션이 활성화된 하나 이상의 인터페이스 이름을 지정할 수 있습니다. 문을 반복 interface interface-name 하여 그룹 내에서 여러 인터페이스를 지정할 수 있지만 둘 이상의 그룹에서 동일한 인터페이스를 지정할 수는 없습니다. 예를 들어:
확장된 DHCP 애플리케이션을 사용하면 인터페이스 집합을 함께 그룹화하고 공통 DHCP 구성을 명명된 인터페이스 그룹에 적용할 수 있습니다.
group boston { interface 192.168.10.1; interface 192.168.15.5; }옵션을 사용하여 upto 확장된 DHCP 애플리케이션이 활성화된 인터페이스 범위를 지정할 수 있습니다. 예를 들어:
group quebec { interface 192.168.10.1 upto 192.168.10.255; }-
옵션을 사용하여
exclude특정 인터페이스 또는 지정된 범위의 인터페이스를 그룹에서 제외할 수 있습니다. 예를 들어:group paris { interface 192.168.100.1 exclude; interface 192.168.100.100 upto 192.168.100.125 exclude; }
Example:
group group-name { authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } } interface interface-name <upto upto-interface-name> <exclude>; }