RADIUS 서버에서 DHCP 옵션 수신
RADIUS 서버에서 DHCP 옵션을 중앙에서 구성
Junos OS 디바이스의 DHCP 관리는 RADIUS 서버에서 직접 DHCP 옵션의 중앙 구성(RADIUS 소싱 옵션) 및 기존 클라이언트 소싱 옵션 구성을 지원합니다. RADIUS 서버에서 DHCP 옵션의 중앙 구성에 대한 자세한 내용은 다음 섹션을 참조하십시오.
- RADIUS 소스 옵션
- 클라이언트 소스 옵션 구성
- RADIUS 소스 DHCP 옵션에 대한 데이터 플로우
- 여러 VSA 26-55 인스턴스 구성
- 중앙에서 구성할 수 없는 DHCP 옵션
RADIUS 소스 옵션
가입자 관리(라우터에서) 또는 DHCP 관리(스위치에서)를 사용하면 RADIUS 서버에서 DHCP 옵션을 중앙에서 구성한 다음 가입자별 또는 DHCP 클라이언트별로 옵션을 배포할 수 있습니다. 이 방법을 사용하면 RADIUS 소스 DHCP 옵션 - DHCP 옵션은 RADIUS 서버에서 시작하여 가입자(또는 DHCP 클라이언트)로 전송됩니다. 이는 옵션이 클라이언트에서 시작되어 RADIUS 서버로 전송되는 DHCP 옵션을 구성하는 기존의 클라이언트 소싱 방법(DHCP 소싱이라고도 함)과 다릅니다. DHCP 로컬 서버가 가입자(DHCP 클라이언트)에게 옵션을 전달하기 전에 DHCP 옵션 문자열에 대해 최소한의 처리 및 오류 검사를 수행하기 때문에 가입자 관리(DHCP 관리) RADIUS 소싱 DHCP 옵션도 불투명한 것으로 간주됩니다.
가입자 관리(또는 DHCP 관리)는 주니퍼 네트웍스 VSA 26-55(DHCP-Options)를 사용하여 RADIUS 소싱 DHCP 옵션을 배포합니다. RADIUS 서버는 가입자 인증 또는 DHCP 클라이언트 인증 중에 서버가 반환하는 Access-Accept 메시지에 VSA 26-55를 포함합니다. RADIUS 서버는 Access-Accept 메시지를 RADIUS 클라이언트로 보낸 다음 DHCP 가입자에게 반환하기 위해 DHCP 로컬 서버로 보냅니다. RADIUS 서버는 단일 Access-Accept 메시지에 여러 VSA 26-55 인스턴스를 포함할 수 있습니다. RADIUS 클라이언트는 여러 인스턴스를 연결하고 그 결과를 단일 인스턴스로 사용합니다.
가입자 관리(DHCP 관리)가 중앙에서 구성된 DHCP 옵션을 사용하도록 설정하는 데 CLI 구성이 필요하지 않습니다. 이 절차는 RADIUS Access-Accept 메시지에 VSA 26-55가 존재할 때 트리거됩니다.
DHCP 클라이언트에 대한 오퍼 패킷을 구축할 때 DHCP 로컬 서버는 다음 시퀀스를 사용합니다.
별도의 RADIUS 속성으로 전달되는 모든 RADIUS 구성 매개 변수를 처리합니다. 예를 들어, RADIUS 속성 27(세션 시간 초과)입니다.
모든 클라이언트 소스 매개 변수를 처리합니다. 예를 들어 RADIUS 속성 53(DHCP 메시지 유형) 및 54(서버 식별자)입니다.
RADIUS 서버에서 수신한 VSA 26-55에 포함된 불투명 DHCP 옵션 문자열을 처리하지 않고 추가합니다.
클라이언트 소스 옵션 구성
가입자 관리(DHCP 관리)는 RADIUS 서버에서 직접 DHCP 옵션의 중앙 구성을 지원(RADIUS 소싱 옵션)할 뿐만 아니라 라우터(스위치)의 DHCP 구성 요소가 RADIUS 서버로 옵션을 전송하는 기존 클라이언트 소싱 옵션 구성도 지원합니다. 클라이언트 소스 DHCP 옵션 방법은 DHCP 로컬 서버 및 DHCP 릴레이 에이전트 모두에서 지원됩니다. 그러나 RADIUS 소스 중앙 구성 방법은 DHCP 로컬 서버에서만 지원됩니다. RADIUS 소싱 방법과 클라이언트 소싱 방법 모두 DHCPv4 및 DHCPv6 가입자(클라이언트)를 지원합니다.
DHCP 로컬 서버에서 RADIUS 소스 방법과 클라이언트 소스 방법을 동시에 사용할 수 있습니다. 그러나 중앙 구성 방법은 예기치 않은 결과를 초래할 수 있으므로 클라이언트 원본 DHCP 옵션을 재정의하는 옵션을 포함하지 않도록 해야 합니다.
RADIUS 소스 DHCP 옵션에 대한 데이터 플로우
그림 1 은 가입자(DHCP 클라이언트)에 대한 DHCP 옵션을 구성할 때 가입자 관리(DHCP 관리)가 사용하는 절차를 보여줍니다.
다음의 일반 시퀀스는 가입자 관리(DHCP 관리)가 RADIUS 소스 DHCP 옵션 및 VSA 26-55를 사용하여 DHCP 가입자(클라이언트)를 구성할 때의 데이터 흐름을 설명합니다.
가입자(DHCP 클라이언트)는 DHCP 검색 메시지(또는 DHCPv6 간청 메시지)를 DHCP 로컬 서버로 보냅니다. 메시지에는 클라이언트 원본 DHCP 옵션이 포함됩니다.
DHCP 로컬 서버는 Junos OS RADIUS 클라이언트로 인증을 시작합니다.
RADIUS 클라이언트는 가입자(DHCP 클라이언트)를 대신하여 외부 RADIUS 서버에 Access-Request 메시지를 보냅니다. 메시지에는 가입자(DHCP 클라이언트)의 클라이언트 소스 DHCP 옵션이 포함됩니다.
외부 RADIUS 서버는 RADIUS 클라이언트에 Access-Accept 메시지를 전송하여 응답합니다. Access-Accept 메시지에는 VSA 26-55의 RADIUS 소스 불투명 DHCP 옵션이 포함됩니다.
RADIUS 클라이언트는 DHCP 옵션 문자열을 DHCP 로컬 서버로 보냅니다. VSA 26-55 인스턴스가 여러 개 있는 경우 RADIUS 클라이언트는 먼저 이를 단일 옵션 문자열로 어셈블합니다.
DHCP 로컬 서버는 RADIUS 소스 VSA 26-55 DHCP 옵션을 제외한 모든 옵션을 DHCP 제안(또는 DHCPv6 응답) 메시지로 처리합니다. 다른 모든 옵션을 처리한 후 DHCP 로컬 서버는 수정되지 않은 VSA 26-55 DHCP 옵션을 메시지에 추가하고 메시지를 가입자(DHCP 클라이언트)에게 보냅니다.
가입자(DHCP 클라이언트)는 DHCP 옵션으로 구성됩니다.
가입자(DHCP 클라이언트)가 DHCP 옵션을 수신한 후 다음 작업이 발생합니다.
Accounting(어카운팅) - RADIUS 클라이언트는 VSA 26-55의 RADIUS 소스 DHCP 옵션을 포함하여 Acct-Start 및 Interim-Accounting 요청을 RADIUS 서버로 보냅니다. 기본적으로 DHCP 옵션은 계정 요청에 포함됩니다.
갱신 - 가입자(DHCP 클라이언트)가 갱신하면 캐시된 DHCP 옵션 값이 DHCP 갱신(또는 DHCPv6 ACK) 메시지에 반환됩니다. 원래 할당된 DHCP 옵션은 갱신 주기 동안 수정할 수 없습니다.
로그아웃—가입자(DHCP 클라이언트)가 로그아웃하면 RADIUS 클라이언트는 RADIUS 소싱 VSA 26-55를 포함하여 RADIUS 서버에 Acct-Stop 메시지를 보냅니다.
여러 VSA 26-55 인스턴스 구성
VSA 26-55는 최대 247바이트 크기를 지원합니다. RADIUS 소스 DHCP 옵션 필드가 247바이트보다 큰 경우, 필드를 분할하고 RADIUS 서버가 반환할 VSA 26-55의 여러 인스턴스를 수동으로 구성해야 합니다. 옵션 필드에 여러 인스턴스를 사용할 때, RADIUS 클라이언트가 조각을 리어셈블하는 순서대로 패킷에 인스턴스를 배치해야 합니다. 조각은 247바이트 이하의 크기일 수 있습니다.
DHCP 옵션을 쉽게 구성하고 관리할 수 있도록 옵션 필드의 크기에 관계없이 VSA 26-55 인스턴스당 하나의 DHCP 옵션을 사용하는 것이 좋습니다.
RADIUS 클라이언트가 RADIUS 서버에 대한 계정 요청에서 리어리어셈블된 불투명 옵션 필드를 반환하면 클라이언트는 247바이트 조각을 사용합니다. 처음에 247바이트 미만의 인스턴스를 생성한 경우 반환되는 조각은 RADIUS 서버에서 원래 구성한 것과 동일하지 않을 수 있습니다.
여러 VSA 26-55 인스턴스를 지원하도록 SBR(Steel-Belted Radius)을 구성하는 경우 가입자 관리 RADIUS 사전 파일의 플래그와 함께 RO
VSA 26-55를 지정해야 합니다. value는 R
다중값 응답 속성을 나타내고 value는 O
정렬된 속성을 나타냅니다.
중앙에서 구성할 수 없는 DHCP 옵션
표 1 에는 RADIUS 서버에서 중앙 집중식으로 구성해서는 안 되는 DHCP 옵션이 나와 있습니다.
DHCP 옵션 |
옵션 이름 |
코멘트 |
---|---|---|
옵션 0 |
패드 옵션 |
지원되지 않습니다. |
옵션 51 |
IP 주소 임대 시간 |
값은 RADIUS 속성 27(세션 시간 초과)에 의해 제공됩니다. |
옵션 52 |
Option Overload(옵션 오버로드) |
지원되지 않습니다. |
옵션 53 |
DHCP 메시지 유형 |
값은 DHCP 로컬 서버에서 제공합니다. |
옵션 54 |
서버 식별자 |
값은 DHCP 로컬 서버에서 제공합니다. |
옵션 55 |
매개 변수 요청 목록 |
값은 DHCP 로컬 서버에서 제공합니다. |
옵션 255 |
끝 |
값은 DHCP 로컬 서버에서 제공합니다. |
– |
DHCP 매직 쿠키 |
지원되지 않습니다. |
참조
RADIUS 서버와 DHCPv4 및 DHCPv6 매개 변수 교환 개요
DHCPv4 및 DHCPv6과 독립적으로 구성된 RADIUS 서버는 클라이언트를 인증하고 IPv4 또는 IPv6 접두사 및 클라이언트 구성 매개 변수를 제공합니다. 네트워크에서 클라이언트 세션을 설정하기 위해 DHCPv4 및 DHCPv6 매개 변수가 DHCP(DHCPv4 또는 DHCPv6) 서버를 통해 클라이언트 디바이스에서 RADIUS 서버로 전송되며 그 반대의 경우도 마찬가지입니다. Junos OS 릴리스 17.4R1부터 몇 가지 새로운 VSA(Vendor-Specific Attribute)가 도입되고 기존 DHCP-Options VSA(26-55)가 변경되어 매개 변수 교환이 향상됩니다.
제품군 상태 변경과 같은 구성 가능한 이벤트가 발생하면 즉시 중간 계정 보고서가 RADIUS 서버로 전송됩니다. 이러한 이벤트가 발생할 때 RADIUS 서버는 보고서 이유를 직접 확인할 방법이 없습니다. Acct-Request-Reason VSA(26-210)를 사용하여 시작 계정 보고서와 즉시 중간 계정 보고서에서 이유를 보낼 수 있습니다.
BNG(광대역 네트워크 게이트웨이)는 듀얼 스택 세션(DHCPv4, DHCPv6 또는 PPPoE)의 두 번째 제품군(IPv4 또는 IPv6)이 활성화되거나 듀얼 스택 세션(DHCPv4, DHCPv6 또는 PPPoE)의 첫 번째 제품군(IPv4 또는 IPv6)이 비활성화될 때마다 RADIUS 서버에 중간 계정 보고서를 보냅니다. 즉시 중간 계정 보고서를 전송하려면 계층 수준에서 BNG [edit access profile profile-name accounting]
에 대한 명령문을 구성합니다family-state-change-immediate-update
.
다음 VSA는 RADIUS 서버와 클라이언트 매개 변수를 교환하는 데 사용됩니다.
DHCPv6-옵션 VSA(26-207):
DHCPv6-Options VSA(26-207)는 RADIUS 서버와 DHCPv6 옵션을 교환하는 데 사용됩니다. Junos OS 릴리스 17.4R1 이전 릴리스에서는 DHCPv6 옵션이 DHCP-Options VSA(26-55)의 DHCPv4 옵션과 함께 포함되어 있습니다.
DHCPv6 클라이언트에서 DHCPv6 서버로 전송된 옵션 값은 DHCPv6 서버에서 DHCPv6 클라이언트로 전송된 값과 별도로 세션 데이터베이스에 저장됩니다.
DHCPv6 옵션이 너무 커서 하나의 VSA에 맞지 않는 경우 RADIUS 패킷에서 여러 개의 순차적 VSA로 분할됩니다. 이 경우 옵션은 TLV(type-length-value) 경계가 아닌 VSA 크기 제한에서 분할됩니다.
VSA의 여러 인스턴스가 RADIUS Access-Accept 메시지에 포함되어 있으면 해당 인스턴스가 단일 블록으로 연결되어 TLV의 유효성을 확인하지 않고 세션 데이터베이스에 저장됩니다.
DHCP 옵션 VSA(26-55):
DHCP-Options VSA(26-55)는 RADIUS 서버와 DHCPv4 옵션을 교환하는 데 사용됩니다.
VSA 26-207이 도입되면서 VSA 26-55에는 DHCPv4 옵션만 포함됩니다.
DHCPv4 옵션이 너무 커서 하나의 VSA에 맞지 않을 경우 RADIUS 패킷에서 여러 개의 순차적 VSA로 분할됩니다. 이 경우 옵션은 TLV 경계가 아닌 VSA 크기 제한에서 분할됩니다.
VSA의 여러 인스턴스가 RADIUS Access-Accept 메시지에 포함되어 있으면 해당 인스턴스가 단일 블록으로 연결되어 TLV의 유효성을 확인하지 않고 세션 데이터베이스에 저장됩니다.
DHCP 헤더 VSA(26-208):
DHCP-Header VSA(26-208)는 DHCPv4 패킷 헤더를 RADIUS 서버로 전달합니다. 헤더 정보는 동적 가입자 인터페이스를 인스턴스화하는 데 사용됩니다.
VSA는 RADIUS 액세스 요청 메시지에서만 허용되며 세션 데이터베이스에 저장됩니다.
DHCPv6-헤더 VSA(26-209):
DHCPv6-Header VSA(26-209)는 DHCPv6 패킷 헤더를 RADIUS 서버로 전달합니다. 헤더 정보는 동적 가입자 인터페이스를 인스턴스화하는 데 사용됩니다.
VSA는 RADIUS 액세스 요청 메시지에서만 허용되며 세션 데이터베이스에 저장됩니다.
Acct-request-Reason VSA(26-210):
Acct-Request-Reason VSA(26-210)는 어카운팅 요청을 보내는 이유를 전달합니다. VSA는 RADIUS Acct-Start 및 Interim-Update 메시지에만 포함됩니다. VSA는 가입자 회계 보고서에만 표시됩니다. 서비스 세션 또는 ESSM(Extensible Subscriber Services Manager) 보고서에는 표시되지 않습니다.
Acct-Start 메시지에서 VSA의 일반적인 값은 IP 액티브(0x0004) 또는 IPv6 액티브(0x0010)로, IPv4 또는 IPv6 주소 패밀리가 활성화되었음을 나타냅니다. 레이어 2 도매 VLAN 네트워크의 경우 IPv4 또는 IPv6 제품군이 없기 때문에 값은 세션 활성(0x0040)입니다. 계정 메시지가 번들 세션이 아닌 링크 세션에 대해 전송되기 때문에 MLPPP 값도 세션 활성화입니다. ESSM 세션은 상위 가입자 세션의 하위 세션이며 ESSM 서비스 세션으로 처리됩니다. VSA는 상위 가입자 세션에 대해서만 전송됩니다.
DHCPv6 옵션 17 및 VSA 26-207로 가입자 클래스 차별화
Junos OS 릴리스 18.3R1부터 DHCPv6-Options VSA(26-207)를 사용하여 DHCPv6 릴레이 인증 중에 서로 다른 클래스의 가입자를 구별할 수 있습니다. 예를 들어, 서로 다른 가입자 클래스에 서로 다른 IPv6 접두사를 할당할 수 있습니다.
VSA에 다음 정보를 포함하도록 RADIUS 서버를 구성해야 합니다.
주니퍼 네트웍스 엔터프라이즈 번호, 2636
서브옵션 5, JDHCPD_VS_OPT_CODE_KT_SUBSCRIBER_CLASS
이 정보를 구성하려면 RADIUS 서버 설명서를 참조하십시오. RFC 3315, IPv6용 동적 호스트 구성 프로토콜(DHCPv6)에서 DHCPv6 옵션 형식으로 정보를 인코딩해야 합니다.
구별하려는 각 클래스의 하위 옵션 5에 대해 다른 값을 설정합니다. 값과 클래스 간의 매핑을 결정하기 위해 고유한 체계를 개발합니다.
VSA 26-207은 DHCPv6 가입자 인증 동안 RADIUS 서버가 반환한 Access-Accept 메시지의 가입자 클래스 정보를 전달합니다. VSA의 내용은 세션 데이터베이스 속성 SDB_SERVER_DHCPV6_OPTIONS의 AAA 프로세스에서 DHCP 프로세스로 전달됩니다. DHCPv6 릴레이 에이전트는 SDB 속성에서 정보를 추출하여 DHCPv6 옵션 17에 배치합니다. 릴레이 에이전트는 이후 옵션 17을 Relay-Forward 헤더의 DHCPv6 로컬 서버에 전달합니다. 그런 다음 로컬 서버는 관련 가입자 클래스에 특정한 릴레이 에이전트 구성 및 서비스 정보를 반환할 수 있습니다.
Junos OS 18.3R1 이전 릴리스에서는 DHCP 로컬 서버만 VSA 26-207을 지원합니다. 서브옵션 1(JDHCPD_VS_OPT_CODE_HOST_NAME) 및 서브옵션 4(JDHCPD_VS_OPT_CODE_LOCATION_NAME)만 지원됩니다. 또한 DHCP 릴레이 에이전트는 SDB_SERVER_DHCPV6_OPTIONS 속성이 수신되면 이를 폐기합니다.
RADIUS에서 수신된 하위 옵션은 로컬로 구성된 정보보다 우선 순위가 높습니다. 예를 들어, 호스트 이름과 위치가 계층 수준에서 문 [edit forwarding-options dhcp-relay dhcpv6 relay-option-vendor-specific]
으로 host-name
구성되고 RADIUS에서 하위 옵션 1과 4로 수신된 경우, RADIUS 값이 사용됩니다.
RADIUS 메시지에서 VSA 제외
다음 예제와 같이 문을 사용하여 exclude
이러한 VSA가 전송되지 않도록 제외할 수 있습니다.
[edit access profile profile-name radius attributes] user@host# set exclude acct-request-reason [accounting-start | accounting-stop] user@host# set exclude dhcp-header [access-request] user@host# set exclude dhcpv6-header [access-request] user@host# set exclude dhcpv6-options [access-request | accounting-start | accounting-stop]
DHCPv4 및 DHCPv6 가입자를 위한 전용 세션 데이터베이스 및 벤더별 속성
DHCP(Dynamic Host Configuration Protocol) 서버는 DHCPv4 및 DHCPv6 가입자 모두에 대해 DHCP 로컬 서버, DHCP 클라이언트 또는 DHCP 릴레이 에이전트 역할을 할 수 있습니다.
현재 일부 클라이언트 매개 변수(예: DHCPv4 및 DHCPv6 패킷 헤더)는 RADIUS 서버 측으로 전달될 수 없습니다. Junos OS 릴리스 17.4부터는 DHCP 서버(DHCPv4 및 DHCPv6 모두)와 RADIUS 서버 간의 통신이 개선되었습니다. 클라이언트 매개변수는 세션 데이터베이스에 저장되고 RADIUS 서버로 전송됩니다. 그러면 RADIUS 서버는 클라이언트를 인증하고 해당 클라이언트로 다시 전송되는 옵션으로 응답합니다.
클라이언트 옵션
클라이언트 옵션은 DHCPv4 또는 DHCPv6 서버 또는 RADIUS 서버 등 여러 위치에서 구성할 수 있습니다. 클라이언트 구성을 여러 위치에서 사용할 수 있는 경우 구성 세부 정보의 소스와 관련하여 충돌이 발생할 수 있습니다. 이러한 충돌이 발생할 경우 다음과 같은 기본 설정 순서가 고려됩니다.
VSA(Vendor-Specific Attribute)를 통해 RADIUS 서버에서 수신되는 옵션
각 세션 데이터베이스를 통해 RADIUS 서버에서 수신된 옵션
DHCP 서버에 있는 DHCP 로컬 구성의 옵션
앞서 언급한 기본 설정의 예로, DHCPv4 임대 시간의 경우를 생각해 보십시오. AUTHD_ATTR_SESSION_TIMEOUT
RADIUS 서버에 저장된 VSA인 옵션이 RADIUS 서버에서 반환되면 해당 옵션에 우선권이 부여됩니다. 이 옵션이 반환되지 않으면 DHCPv4의 각 세션 데이터베이스에서 옵션 51에 우선권이 부여됩니다. 해당 옵션도 반환되지 않으면 옵션은 DHCP 로컬 구성에서 제공됩니다.
마찬가지로 DHCPv6 리스 시간의 경우 RADIUS 서버의 VSA에 AUTHD_ATTR_SESSION_TIMEOUT
첫 번째 우선권이 부여됩니다. AUTHD_ATTR_SESSION_TIMEOUT
이 없으면 RADIUS 소스 옵션 valid-lifetime
또는 preferred-lifetime
이 우선합니다. 이러한 방법도 사용할 수 없는 경우 옵션은 DHCPv6 로컬 구성에서 제공됩니다.
DHCPv4 클라이언트, DHCPv4 서버 및 RADIUS 소스 옵션 교환
다음 단계는 DHCPv4 클라이언트, DHCPv4 서버 및 RADIUS 서버 간의 구성 옵션 교환 프로세스를 보여줍니다.
DHCPv4 클라이언트의 검색 메시지가 DHCPv4 서버에서 수신됩니다.
DHCP 옵션은 해당 세션 데이터베이스에 저장됩니다.
17.4R1 이전의 Junos OS 릴리스에서는 DHCPv4 및 DHCPv6 옵션을 저장하는 데 동일한 속성이 사용됩니다. 그러나 단일 세션 DHCP 이중 스택을 지원하므로 DHCPv4 및 DHCPv6에 대한 별도의 세션 데이터베이스 속성이 있습니다.
DHCP 헤더 정보는 세션 데이터베이스에 저장됩니다.
헤더 정보를 저장하기 위해 새로운 세션 데이터베이스 속성이 추가되고 이 정보는 인증을 위해 RADIUS 서버로 전송됩니다.
DHCPv4 서버에서 RADIUS 서버로 액세스 요청 메시지가 전송되고, RADIUS 서버에서 액세스 수락 메시지가 수신되면 DHCPv4 옵션이 해당 세션 데이터베이스 속성에 저장되고 클라이언트로 전송됩니다.
DHCPv4 서버별 옵션이 패킷에 추가됩니다.
메모:DHCPv4 서버는 로컬 구성에서 요청된 옵션과 요청되지 않은 옵션 모두를 소싱할 수 있습니다. 따라서 옵션이 추가되는 동안 중복을 방지하는 것이 중요합니다.
DHCPv4 리스 정보는 RADIUS 소스 DHCP 옵션 51에서 추출됩니다.
각 세션 데이터베이스 속성은 옵션 51(리스 시간)이 RADIUS에 의해 소싱되었는지 여부를 확인하는 데 사용됩니다. 이 경우 속성 값이 추출되어 클라이언트 데이터 구조에 저장됩니다. RADIUS에서 공급되지 않는 경우 속성 값은 로컬 풀 구성 또는 기존 기능인 DHCPv4 속성 구성에서 가져옵니다. 옵션 58(갱신 시간(T1)) 및 옵션 59(리바인딩 시간(T2))에 대해서도 유사한 검사가 수행됩니다.
DHCPv4 서버에서 DHCPv4 클라이언트로 제안 메시지가 전송됩니다.
DHCPv6 클라이언트, DHCPv6 서버 및 RADIUS 소스 옵션 교환
다음 단계는 DHCPv6 클라이언트, DHCPv6 서버 및 RADIUS 서버 간의 구성 옵션 교환 프로세스를 보여줍니다.
DHCP 클라이언트의 요청 메시지가 DHCPv6 서버로 수신됩니다.
DHCPv6 옵션은 DHCPv6 서버의 세션 데이터베이스에 저장됩니다.
17.4R1 이전의 Junos OS 릴리스에서는 DHCPv6 옵션이 해당 세션 데이터베이스 속성에 저장됩니다. 현재 단일 세션 DHCP 이중 스택 지원으로 인해 DHCPv4 및 DHCPv6 옵션을 저장하기 위해 별도의 세션 데이터베이스 속성이 필요합니다. 클라이언트가 단일 세션 이중 스택 구성의 일부인 경우 해당 DHCPv6 옵션 세션 데이터베이스 속성이 사용됩니다. DHCPv6 옵션은 변경 없이 세션 데이터베이스에 직접 복사된 다음 RADIUS 서버로 전송됩니다.
메모:DHCPv6
auth-option
(옵션 11)도 이러한 옵션의 일부입니다.DHCPv6 메시지 헤더가 세션 데이터베이스에 저장됩니다.
DHCPv6 메시지 헤더를 복사하기 위해 새 세션 데이터베이스 속성이 추가됩니다.
DHCPv6 서버에서 액세스 요청 메시지가 전송되고, 이 서버는 RADIUS 서버로부터 액세스 수락 메시지를 수신합니다. 이 메시지에는 새 세션 데이터베이스 속성에 저장된 RADIUS 소스 DHCPv6 옵션이 포함되어 있습니다.
DHCPv6 리스 정보는 RADIUS 소스 DHCPv6 옵션에서 추출됩니다.
DHCPv6의 경우, 리스 시간은 옵션
OPTION_IA_NA
및OPTION_IA_PD
에 포함됩니다. 클라이언트 리스 시간은 RADIUS 서버의 이러한 값으로 시작합니다.IA_ADDRESS
,IA_PREFIX
,IA_NA
또는IA_PD
옵션이 RADIUS에서 제공되지 않는 경우, 이러한 옵션은 로컬 풀 및 위임된 풀 구성에서 가져옵니다.DHCPV6 서버별 옵션이 패킷에 추가됩니다.
메모:DHCPv6 서버는 로컬 구성에서 요청된 옵션과 요청되지 않은 옵션 모두를 소싱할 수 있습니다. 따라서 옵션이 추가되는 동안 중복을 방지하는 것이 중요합니다.
DHCPv6 서버에서 DHCPv6 클라이언트로 광고 메시지가 전송됩니다.
RADIUS 서버에 구성된 DHCP 옵션 모니터링
목적
RADIUS 서버에서 중앙 집중식으로 구성되고 주니퍼 네트웍스 VSA 26-55(DHCP-옵션)를 사용하여 배포되는 DHCP 옵션에 대한 정보를 봅니다.
행동
불투명 DHCP 옵션에 대한 정보를 표시하려면:
user@host> show subscribers detailType: DHCP IP Address: 192.168.9.7 IP Netmask: 255.255.0.0 Logical System: default Routing Instance: default Interface: demux0.1073744127 Interface type: Dynamic Dynamic Profile Name: dhcp-prof-23 MAC Address: 00:00:5E:00:53:98 State: Active Radius Accounting ID: jnpr :2304 Session Timeout (seconds): 3600 Idle Timeout (seconds): 600 Login Time: 2011-08-25 14:43:52 PDT DHCP Options: len 52 35 01 01 39 02 02 40 3d 07 01 00 10 94 00 00 08 33 04 00 00 00 3c 0c 15 63 6c 69 65 6e 74 5f 50 6f 72 74 20 2f 2f 36 2f 33 2d 37 2d 30 37 05 01 06 0f 21 2c
의미
DHCP Options: len 52 35 01 01 39 02 02 40 3d 07 01 00 10 94 00 00 08 33 04 00 00 00 3c 0c 15 63 6c 69 65 6e 74 5f 50 6f 72 74 20 2f 2f 36 2f 33 2d 37 2d 30 37 05 01 06 0f 21 2c
DHCP 옵션 출력은 다음 정보를 제공합니다.
len
필드는 메시지에 있는 16진수 값의 총 개수입니다.16진수 값은 DHCP 옵션의 TLV(유형, 길이 및 값)를 지정하며, RFC 2132에 정의된 대로 DHCP 옵션을 식별하기 위해 10진수로 변환됩니다.
특정 DHCP 옵션을 구성하는 16진수 값의 수는 옵션의 길이에 따라 달라집니다. 예를 들어, 출력에 지정된 첫 번째 DHCP 옵션은 세 세트의 hex 값(35 01 01
)을 포함합니다. 첫 번째 16진수 값(35
)은 옵션 유형을 식별하고, 두 번째 값(01
)은 값 항목의 길이를 나타내며, 이 경우 16진수 값의 한 집합입니다. 세 번째 16진수 값(01
)은 DHCP 옵션의 값을 지정합니다.
두 번째 DHCP 옵션 사양(39 02 02 40
)에서 hex 값은 39
유형이고 의 02
길이는 두 세트의 hex 항목이 옵션의 값을 구성하도록 지정합니다. 따라서 이 옵션 사양은 4개의 16진수 항목 집합을 사용합니다. 하나는 유형(39
), 다른 하나는 길이(02
)를 지정하기 위한 것이고, 다른 하나는 옵션 값(02 40
)을 위한 것입니다.
세 번째 DHCP 옵션은 16진수 값으로 3d 07 01 00 10 94 00 00 08
지정됩니다. hex 값은 3d
유형이고 그 뒤에 length(07
)가 오며, 이는 다음 7개의 hex 항목 집합이 옵션의 값을 구성하도록 지정합니다. 따라서 이 옵션 사양은 총 9개의 16진수 항목 세트를 사용합니다. 하나는 유형(3d
), 다른 하나는 길이(07
)를 지정하기 위한 것이고, 7은 DHCP 옵션(01 00 10 94 00 00 08
)의 값입니다.
표 2 에는 처음 두 옵션이 자세히 설명되어 있습니다.
선택 |
형 |
길이 |
값 |
---|---|---|---|
35 01 01 |
35 = 10진수 53(RFC 2132의 코드 53은 DHCP 메시지 유형 옵션임) |
01 = 옵션의 길이는 16진수 값의 한 세트(목록의 다음 세트)입니다. |
01 = RFC 2132에 설명된 메시지 유형의 값입니다. 코드 01은 DHCPDISCOVER의 메시지 유형을 지정합니다. |
39 02 02 40 |
39 = 10진수 57(코드 57은 최대 DHCP 메시지 크기 옵션) |
02 = 옵션의 길이가 두 개의 16진수 값 집합(목록의 다음 두 집합)입니다. |
0240 = 576 옥텟의 길이로 변환됨 |
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.