Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP(외부 인증 서버 포함)

확장된 DHCP 로컬 서버 및 확장된 DHCP 릴레이 에이전트는 RADIUS와 같은 외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트를 인증할 수 있도록 지원합니다. 자세한 내용은 이 주제를 읽어보십시오.

이 항목에서는 확장 DHCP 애플리케이션이라는 용어를 사용하여 확장 DHCP 로컬 서버와 확장 DHCP 릴레이 에이전트를 모두 지칭합니다.

외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트 인증

AAA(Authentication, Authorization, and Accounting) 서비스 프레임워크는 라우터가 네트워크 액세스를 위해 지원하는 모든 인증, 권한 부여, 어카운팅, 주소 할당 및 동적 요청 서비스에 대한 단일 연락 지점을 제공합니다.

확장된 DHCP 애플리케이션에서 DHCP 서버와 DHCP 릴레이 에이전트는 모두 RADIUS와 같은 외부 AAA 인증 서비스를 사용하여 DHCP 클라이언트를 인증할 수 있도록 지원합니다. DHCPv6 로컬 서버 및 DHCPv6 릴레이 에이전트에 사용할 수 있는 지원 ID입니다.

Junos OS 디바이스는 인증(할당된 DHCP 서버가 있는 DHCP 서비스용 DHCP 클라이언트)을 위해 AAA 인프라를 사용합니다. DHCP 클라이언트 인증에는 다음과 같은 개략적인 단계가 포함됩니다.

  • DHCP 로컬 서버 또는 릴레이 에이전트가 클라이언트로부터 검색 PDU를 수신합니다.

  • DHCP 서비스는 AAA 서버에 연결하여 DHCP 클라이언트를 인증합니다.

  • DHCP 서비스는 외부 AAA 인증 서버에서 클라이언트 주소 및 DHCP 구성 옵션을 가져올 수 있습니다.

외부 인증 기능은 AAA 지정 로그아웃도 지원합니다. 외부 AAA 서비스가 사용자 로그아웃 지시문을 지원하는 경우, 확장된 DHCP 애플리케이션은 로그아웃을 존중하고 CLI 관리 명령에 의해 요청된 것처럼 간주합니다.

모든 클라이언트 상태 정보 및 할당된 리소스는 로그아웃 시 삭제됩니다. 확장 DHCP 애플리케이션은 계층 수준에서 명령문으로 authentication-server 지정한 구성된 인증 서버 목록을 사용하여 직접 로그아웃을 [edit access profile profile-name] 지원합니다.

외부 인증 서버를 사용하여 DHCP를 구성하는 단계

인증 지원을 위해 DHCP 로컬 서버 및 DHCP 릴레이 에이전트를 구성하려면 다음을 수행합니다.

  1. 각 계층 수준에서 authentication 키워드를 포함하여 인증을 구성하도록 지정합니다.
  2. (선택 사항) 선택적 기능을 구성하여 고유한 사용자 이름을 만듭니다.
  3. (선택 사항) 외부 인증 서비스에 대해 사용자 이름을 인증하는 비밀번호를 구성합니다.

예제:

외부 인증 서버, DHCP 애플리케이션 및 DHCP 클라이언트 간에 교환되는 클라이언트 구성 정보

DHCP 애플리케이션이 외부 인증 서버로부터 응답을 수신할 때 응답에는 IP 주소 및 서브넷 마스크 외에 정보가 포함될 수 있습니다. DHCP 서비스는 이 정보를 사용하여 DHCP 클라이언트로 보냅니다.

DHCP 응용 프로그램은 정보를 원래 형식으로 보내거나 응용 프로그램이 정보를 로컬 구성 사양과 병합할 수 있습니다.

예를 들어 인증 응답에 주소 풀 이름이 포함되어 있고 로컬 구성이 해당 풀에 대한 DHCP 특성을 지정하는 경우 DHCP 서비스는 인증 결과와 서버가 클라이언트에 보내는 회신의 특성을 병합합니다.

로컬 구성은 선택 사항이며, 외부 인증 서비스를 통해 클라이언트를 완전히 구성할 수 있습니다. 그러나 외부 인증 서비스가 클라이언트 구성을 제공하지 않는 경우 로컬 주소 할당 풀을 구성하여 클라이언트에 대한 구성을 제공해야 합니다.

로컬 구성이 옵션을 지정하면 확장된 DHCP 애플리케이션은 서버가 클라이언트에 보내는 오퍼 PDU에 로컬 구성 옵션을 추가합니다. 두 옵션 집합이 겹치면 외부 서비스의 인증 응답에 있는 옵션이 우선합니다.

RADIUS를 사용하여 인증을 제공하는 경우 RADIUS 속성 및 주니퍼 네트웍스 VSA의 형태로 추가 정보가 제공될 수 있습니다. 표 1 에는 RADIUS가 인증 부여에 포함할 수 있는 정보가 나와 있습니다. 확장된 DHCP 애플리케이션이 가입자 액세스 관리 또는 DHCP 관리를 위해 지원하는 주니퍼 네트웍스 VSA와 RADIUS 속성의 전체 목록은 RADIUS 속성 및 AAA 서비스 프레임워크가 지원하는 주니퍼 네트웍스 VSA 를 참조하십시오.

표 1: 인증 권한 부여 정보

속성 번호

속성 이름

설명

RADIUS 속성 8

프레임 IP 주소

클라이언트 IP 주소

RADIUS 속성 9

Framed-IP-넷마스크

클라이언트 IP 주소의 서브넷 마스크(DHCP 옵션 1)

주니퍼 네트웍스 VSA 26-4

기본-DNS

주 도메인 서버(DHCP 옵션 6)

주니퍼 네트웍스 VSA 26-5

보조-DNS

보조 도메인 서버(DHCP 옵션 6)

주니퍼 네트웍스 VSA 26-6

기본-WINS

주 WINS 서버(DHCP 옵션 44)

주니퍼 네트웍스 VSA 26-7

보조 WINS

보조 WINS 서버(DHCP 옵션 44)

RADIUS 속성 27

세션 시간 초과

임대 시간

RADIUS 속성 88

프레임 풀

주소 할당 풀 이름

주니퍼 네트웍스 VSA 26-109

DHCP-Guided-Relay-서버

DHCP 릴레이 서버

예 - 외부 인증 서버를 사용하여 DHCP 구성

DHCP 로컬 서버, DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트 수준에서 인증을 구성합니다.

  1. 인증을 구성할 것임을 지정합니다.
  2. (선택 사항) 사용자 이름에 포함할 선택적 정보를 지정합니다.
  3. 지정된 사용자 이름을 인증하기 위해 확장된 DHCP 애플리케이션이 외부 AAA 인증 서비스에 제공하는 선택적 암호를 구성합니다.

다음 예제에서는 고유한 사용자 이름을 만드는 샘플 구성을 보여 줍니다. 구성 후 사용자 이름이 표시됩니다.

그 결과 고유한 사용자 이름은 다음과 같습니다.

인증 지원 지정

authentication 표 2에 제공된 계층 수준에서 문을 포함합니다. 글로벌 인증 지원 또는 그룹별 지원을 구성할 수 있습니다.

표 2: 인증 지원을 위해 지원되는 계층 수준

지원되는 계층 수준

계층 수준

DHCP 로컬 서버

[edit system services dhcp-local-server]

DHCP 릴레이 에이전트

[edit forwarding-options dhcp-relay]

DHCPv6 로컬 서버

[edit system services dhcp-local-server dhcpv6]

DHCPv6 릴레이 에이전트

[edit forwarding-options dhcp-relay dhcpv6]

DHCP 클라이언트에 대한 고유 사용자 이름 만들기

DHCP 클라이언트가 로그인할 때 외부 AAA 인증 서비스로 전달되는 사용자 이름에 추가 정보를 포함하도록 확장된 DHCP 애플리케이션을 구성할 수 있습니다. 이 추가 정보를 통해 가입자(DHCP 클라이언트)를 고유하게 식별하는 사용자 이름을 구성할 수 있습니다.

고유한 사용자 이름을 구성하려면 문을 사용합니다 username-include . 추가 문의 일부 또는 전부를 포함할 수 있습니다.

참고:

인증 구성에 사용자 이름을 포함하지 않으면 라우터(또는 스위치)가 인증을 수행하지 않습니다. 그러나 IP 주소가 구성된 경우 로컬 풀에서 IP 주소를 제공합니다.

DHCPv6 로컬 서버를 사용하는 경우 인증 및 클라이언트 사용자 이름을 구성해야 합니다. 그렇지 않으면 클라이언트 로그인이 실패합니다.

다음 목록에서는 사용자 이름의 일부로 포함할 수 있는 선택적 정보에 대해 설명합니다.

  • circuit-type- DHCP 클라이언트가 사용하는 회선 유형(예: enet)입니다.

  • client-id- 클라이언트 식별자 옵션(옵션 1). (DHCPv6 로컬 서버, DHCPv6 릴레이 에이전트만 해당)

  • delimiter- 연결된 사용자 이름을 구성하는 구성 요소를 구분하는 구분 기호 문자입니다. 기본 구분 기호는 마침표(.)입니다. 세미콜론(;)은 구분 기호 문자로 지원되지 않습니다.

  • domain-name- 클라이언트 도메인 이름(문자열)입니다. 라우터는 사용자 이름에 @ 구분 기호를 추가합니다.

  • interface-description- 디바이스(물리적) 인터페이스 또는 논리적 인터페이스에 대한 설명입니다.

  • interface-name- 인터페이스 디바이스 및 관련 VLAN ID를 포함한 인터페이스 이름입니다.

  • logical-system-name- 수신 인터페이스가 논리적 시스템에 있는 경우 논리적 시스템의 이름입니다.

  • mac-address- 형식의 xxxx.xxxx.xxxx문자열로 된 클라이언트 MAC 주소입니다.

  • option-60- 옵션 60 페이로드에서 길이 필드를 따르는 부분입니다. (DHCPv6 로컬 서버에서는 지원되지 않음)

  • option-82 <circuit-id> <remote-id>- 옵션 82 페이로드의 지정된 내용입니다. (DHCPv6 로컬 서버에서는 지원되지 않음)

    • circuit-id- Agent Circuit ID 서브옵션의 페이로드입니다.

    • remote-id- Agent Remote ID 하위 옵션의 페이로드입니다.

    • Both circuit-idremote-id- 두 하위 옵션의 페이로드(형식 circuit-id[delimiter]remote-id): .

    • 어느 쪽도 아님 circuit-id 또는 remote-id- PDU에서 옵션 82의 원시 페이로드가 사용자 이름에 연결됩니다.

    참고:

    DHCP 릴레이 에이전트의 경우, 사용자 이름 생성에 사용되는 옵션 82 값은 발신(릴레이) PDU에 인코딩된 옵션 82 값을 기반으로 합니다.

  • relay-agent-interface-id- Interface-ID 옵션(옵션 18). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)

  • relay-agent-remote-id- DHCPv6 릴레이 에이전트 Remote-ID 옵션(옵션 37). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)

  • relay-agent-subscriber-id—(라우터에서만) DHCPv6 릴레이 에이전트 가입자 ID 옵션(옵션 38). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)

  • routing-instance-name- 수신 인터페이스가 라우팅 인스턴스에 있는 경우 라우팅 인스턴스의 이름입니다.

  • user-prefix- 사용자 접두사를 나타내는 문자열입니다.

  • vlan-tags- 가입자 VLAN 태그. 외부 VLAN 태그 및 내부 VLAN 태그(있는 경우)를 포함합니다. 외부 VLAN 태그가 interface-name 시스템 전체에서 고유하고 기본 물리적 인터페이스 이름이 형식의 일부가 될 필요가 없는 경우 옵션 대신 이 옵션을 사용할 수 있습니다.

DHCPv6 클라이언트의 경우 DHCPv6 패킷 형식에 클라이언트 MAC 주소에 대한 특정 필드가 없기 때문에 MAC 주소는 다음과 같은 우선 순위를 가진 여러 소스 중에서 파생됩니다.

  • 클라이언트 DUID 유형 1 또는 유형 3.

  • 옵션 79(클라이언트 링크 레이어 주소), 있는 경우.

  • 클라이언트가 직접 연결된 경우 패킷 원본 주소입니다.

  • 링크 로컬 주소입니다.

라우터(스위치)는 구분 기호로 구분된 필드와 함께 지정된 추가 정보를 다음 순서로 포함하여 고유한 사용자 이름을 생성합니다.

DHCP 로컬 서버 및 DHCP 릴레이 에이전트의 경우:

DHCPv6 로컬 서버의 경우:

공통 DHCP 구성으로 인터페이스 그룹화

그룹 기능을 사용하여 인터페이스 집합을 그룹화한 다음 명명된 인터페이스 그룹에 공통 DHCP 구성을 적용합니다. 확장된 DHCP 로컬 서버, DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트는 모두 인터페이스 그룹을 지원합니다.

다음 단계에서는 DHCP 로컬 서버 그룹을 만듭니다. 단계는 DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트와 유사합니다.

DHCP 로컬 서버 인터페이스 그룹을 구성하려면 다음을 수행합니다.

  1. DHCP 로컬 서버를 구성하도록 지정합니다.
  2. 그룹을 만들고 이름을 지정합니다.

  3. 확장 DHCP 응용 프로그램을 사용할 수 있는 하나 이상의 인터페이스 이름을 지정합니다. 인터페이스 interface-name 문을 반복하여 그룹 내에서 여러 인터페이스를 지정할 수 있지만 둘 이상의 그룹에서 동일한 인터페이스를 사용할 수는 없습니다.
  4. (선택 사항) 옵션을 사용하여 upto 그룹의 인터페이스 범위를 지정할 수 있습니다.
  5. (선택 사항) 옵션을 사용하여 exclude 그룹에서 특정 인터페이스 또는 지정된 인터페이스 범위를 제외할 수 있습니다. 예를 들어:

Example- 2

인터페이스 그룹을 구성하려면 문을 사용합니다 group .

확장 DHCP 응용 프로그램을 사용할 수 있는 하나 이상의 인터페이스 이름을 지정할 수 있습니다. 명령문을 반복 interface interface-name 하여 그룹 내에서 여러 인터페이스를 지정할 수 있지만 둘 이상의 그룹에서 동일한 인터페이스를 지정할 수는 없습니다. 예를 들어:

  1. 확장된 DHCP 애플리케이션을 사용하면 인터페이스 집합을 함께 그룹화하고 명명된 인터페이스 그룹에 공통 DHCP 구성을 적용할 수 있습니다.

  2. 옵션을 사용하여 upto 확장된 DHCP 애플리케이션이 활성화되는 인터페이스 범위를 지정할 수 있습니다. 예를 들어:

  3. 옵션을 사용하여 exclude 그룹에서 특정 인터페이스 또는 지정된 인터페이스 범위를 제외할 수 있습니다. 예를 들어:

Example: