Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP con servidor de autenticación externo

El servidor local DHCP extendido y el agente de retransmisión DHCP extendido admiten el uso de servicios de autenticación AAA externos, como RADIUS, para autenticar clientes DHCP. Para obtener más información, lea este tema.

En este tema se utiliza el término aplicación DHCP extendida para hacer referencia tanto al servidor local DHCP extendido como al agente de retransmisión DHCP extendido.

Uso de servicios de autenticación AAA externos para autenticar clientes DHCP

El marco de servicio de autenticación, autorización y contabilidad (AAA) proporciona un único punto de contacto para todos los servicios de autenticación, autorización, contabilidad, asignación de direcciones y solicitudes dinámicas que admite el enrutador para el acceso a la red.

En las aplicaciones DHCP extendidas, tanto el servidor DHCP como el agente de retransmisión DHCP admiten el uso de servicios de autenticación AAA externos, como RADIUS, para autenticar clientes DHCP. El identificador de soporte disponible para el servidor local DHCPv6 y el agente de retransmisión DHCPv6.

Los dispositivos Junos OS utilizan la infraestructura AAA para autenticarse (el cliente DHCP para el servicio DHCP con el servidor DHCP asignado. La autenticación del cliente DHCP implica los siguientes pasos de alto nivel:

  • El servidor local DHCP o el agente de retransmisión reciben una PDU de detección de un cliente

  • El servicio DHCP se pone en contacto con el servidor AAA para autenticar el cliente DHCP.

  • El servicio DHCP puede obtener direcciones de cliente y opciones de configuración DHCP del servidor de autenticación AAA externo.

La función de autenticación externa también admite el cierre de sesión dirigido AAA. Si el servicio AAA externo admite una directiva de cierre de sesión de usuario, la aplicación DHCP extendida respeta el cierre de sesión y lo ve como si lo hubiera solicitado un comando de administración de CLI.

Toda la información del estado del cliente y los recursos asignados se eliminan al cerrar la sesión. La aplicación DHCP extendida admite el cierre de sesión dirigido mediante la lista de servidores de autenticación configurados que especifique con la authentication-server instrucción en el [edit access profile profile-name] nivel de jerarquía.

Pasos para configurar DHCP con un servidor de autenticación externo

Para configurar el servidor local DHCP y el agente de retransmisión DHCP para que admitan autenticación:

  1. Especifique que desea configurar la autenticación incluyendo la palabra clave authentication en los niveles jerárquicos respectivos.
  2. (Opcional) Configure características opcionales para crear un nombre de usuario único.
  3. (Opcional) Configure una contraseña que autentique el nombre de usuario en el servicio de autenticación externo.

Ejemplo:

Información de configuración del cliente intercambiada entre el servidor de autenticación externo, la aplicación DHCP y el cliente DHCP

Cuando la aplicación DHCP recibe una respuesta de un servidor de autenticación externo, la respuesta puede incluir información además de la dirección IP y la máscara de subred. El servicio DHCP utiliza la información y la envía al cliente DHCP.

La aplicación DHCP puede enviar la información en su forma original o la aplicación puede combinar la información con las especificaciones de configuración local.

Por ejemplo, si la respuesta de autenticación incluye un nombre de grupo de direcciones y una configuración local especifica atributos DHCP para ese grupo, el servicio DHCP combina los resultados de la autenticación y los atributos de la respuesta que el servidor envía al cliente.

Una configuración local es opcional: el servicio de autenticación externo puede configurar completamente un cliente. Sin embargo, si el servicio de autenticación externo no proporciona la configuración del cliente, debe configurar el grupo de asignación de direcciones local para proporcionar la configuración para el cliente.

Cuando una configuración local especifica opciones, la aplicación DHCP extendida agrega las opciones de configuración local a la PDU de oferta que el servidor envía al cliente. Si los dos conjuntos de opciones se superponen, las opciones de la respuesta de autenticación del servicio externo tienen prioridad.

Cuando utilice RADIUS para proporcionar la autenticación, la información adicional puede adoptar la forma de atributos RADIUS y VSA de Juniper Networks. En la Tabla 1 se enumera la información que RADIUS podría incluir en la concesión de autenticación. Consulte Atributos RADIUS y VSA de Juniper Networks compatibles con AAA Service Framework para obtener una lista completa de los atributos RADIUS y VSA de Juniper Networks que las aplicaciones DHCP extendidas admiten para la administración de acceso de suscriptores o DHCP.

Tabla 1: Información en la concesión de autenticación

Número de atributo

Nombre del atributo

Descripción

Atributo RADIUS 8

Dirección IP enmarcada

Dirección IP del cliente

Atributo RADIUS 9

Máscara de red IP enmarcada

Máscara de subred para la dirección IP del cliente (opción 1 de DHCP)

Juniper Networks VSA 26-4

DNS primario

Servidor de dominio principal (opción 6 de DHCP)

Juniper Networks VSA 26-5

DNS secundario

Servidor de dominio secundario (opción 6 de DHCP)

Juniper Networks VSA 26-6

VICTORIAS PRIMARIAS

Servidor WINS principal (opción 44 de DHCP)

Juniper Networks VSA 26-7

Ganancias secundarias

Servidor WINS secundario (opción 44 de DHCP)

Atributo RADIUS 27

Tiempo de espera de sesión

Tiempo de arrendamiento

Atributo RADIUS 88

Piscina enmarcada

Nombre del grupo de asignación de direcciones

Juniper Networks VSA 26-109

Servidor de relé guiado por DHCP

Servidor de retransmisión DHCP

Ejemplo: configuración de DHCP con un servidor de autenticación externo

Para configurar la autenticación en los niveles de servidor local DHCP, servidor local DHCPv6, agente de retransmisión DHCP y agente de retransmisión DHCPv6.

  1. Especifique que desea configurar la autenticación.
  2. (Opcional) Especifique la información opcional que desea incluir en el nombre de usuario.
  3. Configure una contraseña opcional que la aplicación DHCP extendida presente al servicio de autenticación AAA externo para autenticar el nombre de usuario especificado.

En el ejemplo siguiente se muestra una configuración de ejemplo que crea un nombre de usuario único. El nombre de usuario se muestra después de la configuración.

El nombre de usuario único resultante es:

Especificación de la compatibilidad con autenticación

Incluya la declaración en los niveles jerárquicos que figuran en la authentication Tabla 2. Puede configurar la compatibilidad con autenticación global o con compatibilidad específica de grupo.

Tabla 2: Niveles de jerarquía admitidos para la compatibilidad con autenticación

Nivel de jerarquía admitido

Nivel jerárquico

Servidor local DHCP

[edit system services dhcp-local-server]

Agente de retransmisión DHCP

[edit forwarding-options dhcp-relay]

Servidor local DHCPv6

[edit system services dhcp-local-server dhcpv6]

Agente de retransmisión DHCPv6

[edit forwarding-options dhcp-relay dhcpv6]

Creación de nombres de usuario únicos para clientes DHCP

Puede configurar la aplicación DHCP extendida para que incluya información adicional en el nombre de usuario que se pasa al servicio de autenticación AAA externo cuando el cliente DHCP inicia sesión. Esta información adicional le permite crear nombres de usuario que identifiquen de forma exclusiva a los suscriptores (clientes DHCP).

Para configurar nombres de usuario únicos, utilice la username-include instrucción. Puede incluir cualquiera o todas las declaraciones adicionales.

Nota:

Si no incluye un nombre de usuario en la configuración de autenticación, el enrutador (o conmutador) no realiza la autenticación; sin embargo, el grupo local proporciona la dirección IP si está configurada.

Cuando utilice el servidor local DHCPv6, debe configurar la autenticación y el nombre de usuario del cliente; de lo contrario, se producirá un error en el inicio de sesión del cliente.

En la lista siguiente se describe la información opcional que puede incluir como parte del nombre de usuario:

  • circuit-type: el tipo de circuito utilizado por el cliente DHCP, por ejemplo enet.

  • client-id: la opción identificador de cliente (opción 1). (Solo agente de retransmisión DHCPv6 del servidor local DHCPv6)

  • delimiter: carácter delimitador que separa los componentes que componen el nombre de usuario concatenado. El delimitador predeterminado es un punto (.). El punto y coma (;) no se admite como carácter delimitador.

  • domain-name: el nombre de dominio del cliente como una cadena. El enrutador agrega el delimitador @ al nombre de usuario.

  • interface-description: la descripción de la interfaz (física) del dispositivo o de la interfaz lógica.

  • interface-name: el nombre de la interfaz, incluido el dispositivo de interfaz y los ID de VLAN asociados.

  • logical-system-name: el nombre del sistema lógico, si la interfaz receptora está en un sistema lógico.

  • mac-address: la dirección MAC del cliente, en una cadena con el formato xxxx.xxxx.xxxx.

  • option-60: la parte de la carga de la opción 60 que sigue al campo de longitud. (No compatible con el servidor local DHCPv6)

  • option-82 <circuit-id> <remote-id>: el contenido especificado de la carga de la opción 82. (No compatible con el servidor local DHCPv6)

    • circuit-id: la carga útil de la subopción ID de circuito del agente.

    • remote-id: la carga útil de la subopción ID remoto del agente.

    • Ambos circuit-id y remote-id—Las cargas de ambas subopciones, en el formato: circuit-id[delimiter]remote-id.

    • Ninguno circuit-id o remote-id—La carga sin procesar de la opción 82 de la PDU se concatena al nombre de usuario.

    Nota:

    Para el agente de retransmisión DHCP, el valor de la opción 82 utilizado para crear el nombre de usuario se basa en el valor de la opción 82 que está codificado en la PDU saliente (retransmitida).

  • relay-agent-interface-id: opción ID de interfaz (opción 18). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

  • relay-agent-remote-id: opción de ID remoto del agente de retransmisión DHCPv6 (opción 37). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

  • relay-agent-subscriber-id—(Solo en enrutadores) La opción ID de suscriptor del agente de retransmisión DHCPv6 (opción 38). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

  • routing-instance-name: el nombre de la instancia de enrutamiento, si la interfaz receptora se encuentra en una instancia de enrutamiento.

  • user-prefix: una cadena que indica el prefijo de usuario.

  • vlan-tags: las etiquetas VLAN del suscriptor. Incluye la etiqueta VLAN externa y, si está presente, la etiqueta VLAN interna. Puede usar esta opción en lugar de la interface-name opción cuando la etiqueta VLAN externa es única en todo el sistema y no necesita que el nombre de interfaz física subyacente forme parte del formato.

Para los clientes DHCPv6, dado que el formato de paquete DHCPv6 no tiene un campo específico para la dirección MAC del cliente, la dirección MAC se deriva de entre varios orígenes con la siguiente prioridad:

  • DUID de cliente tipo 1 o tipo 3.

  • Opción 79 (dirección de la capa de vínculo del cliente), si existe.

  • La dirección de origen del paquete si el cliente está conectado directamente.

  • La dirección local del vínculo.

El enrutador (conmutador) crea el nombre de usuario único al incluir la información adicional especificada en el siguiente orden, con los campos separados por un delimitador.

Para el servidor local DHCP y el agente de retransmisión DHCP:

Para el servidor local DHCPv6:

Interfaces de agrupación con configuraciones DHCP comunes

Utilice la característica de grupo para agrupar un conjunto de interfaces y, a continuación, aplicar una configuración DHCP común al grupo de interfaces con nombre. El servidor local DHCP extendido, el servidor local DHCPv6, el agente de retransmisión DHCP y el agente de relé DHCPv6 admiten grupos de interfaces.

Los pasos siguientes crean un grupo de servidores locales DHCP; los pasos son similares para el servidor local DHCPv6, el agente de retransmisión DHCP y el agente de retransmisión DHCPv6.

Para configurar un grupo de interfaz de servidor local DHCP:

  1. Especifique que desea configurar el servidor local DHCP.
  2. Cree el grupo y asigne un nombre.

  3. Especifique los nombres de una o más interfaces en las que está habilitada la aplicación DHCP extendida. Puede repetir la instrucción de interfaz interface-name para especificar varias interfaces dentro del grupo, pero no puede utilizar la misma interfaz en más de un grupo.
  4. (Opcional) Puede utilizar la upto opción para especificar un rango de interfaces para un grupo.
  5. (Opcional) Puede utilizar la exclude opción para excluir una interfaz específica o un rango especificado de interfaces del grupo. Por ejemplo:

Example- 2

Para configurar un grupo de interfaces, utilice la group instrucción.

Puede especificar los nombres de una o más interfaces en las que está habilitada la aplicación DHCP extendida. Puede repetir la interface interface-name instrucción para especificar varias interfaces dentro de un grupo, pero no puede especificar la misma interfaz en más de un grupo. Por ejemplo:

  1. Las aplicaciones DHCP extendidas permiten agrupar un conjunto de interfaces y aplicar una configuración DHCP común al grupo de interfaces con nombre.

  2. Puede utilizar la opción para especificar un rango de interfaces en las upto que está habilitada la aplicación DHCP extendida. Por ejemplo:

  3. Puede utilizar la exclude opción para excluir una interfaz específica o un rango especificado de interfaces del grupo. Por ejemplo:

Example: