DHCP con servidor de autenticación externo
El servidor local DHCP extendido y el agente de retransmisión DHCP extendido admiten el uso de servicios de autenticación AAA externos, como RADIUS, para autenticar clientes DHCP. Para obtener más información, lea este tema.
En este tema se utiliza el término aplicación DHCP extendida para hacer referencia tanto al servidor local DHCP extendido como al agente de retransmisión DHCP extendido.
Uso de servicios de autenticación AAA externos para autenticar clientes DHCP
El marco de servicio de autenticación, autorización y contabilidad (AAA) proporciona un único punto de contacto para todos los servicios de autenticación, autorización, contabilidad, asignación de direcciones y solicitudes dinámicas que admite el enrutador para el acceso a la red.
En las aplicaciones DHCP extendidas, tanto el servidor DHCP como el agente de retransmisión DHCP admiten el uso de servicios de autenticación AAA externos, como RADIUS, para autenticar clientes DHCP. El identificador de soporte disponible para el servidor local DHCPv6 y el agente de retransmisión DHCPv6.
Los dispositivos Junos OS utilizan la infraestructura AAA para autenticarse (el cliente DHCP para el servicio DHCP con el servidor DHCP asignado. La autenticación del cliente DHCP implica los siguientes pasos de alto nivel:
El servidor local DHCP o el agente de retransmisión reciben una PDU de detección de un cliente
El servicio DHCP se pone en contacto con el servidor AAA para autenticar el cliente DHCP.
El servicio DHCP puede obtener direcciones de cliente y opciones de configuración DHCP del servidor de autenticación AAA externo.
La función de autenticación externa también admite el cierre de sesión dirigido AAA. Si el servicio AAA externo admite una directiva de cierre de sesión de usuario, la aplicación DHCP extendida respeta el cierre de sesión y lo ve como si lo hubiera solicitado un comando de administración de CLI.
Toda la información del estado del cliente y los recursos asignados se eliminan al cerrar la sesión. La aplicación DHCP extendida admite el cierre de sesión dirigido mediante la lista de servidores de autenticación configurados que especifique con la authentication-server
instrucción en el [edit access profile profile-name]
nivel de jerarquía.
Pasos para configurar DHCP con un servidor de autenticación externo
Para configurar el servidor local DHCP y el agente de retransmisión DHCP para que admitan autenticación:
- Especifique que desea configurar la autenticación incluyendo la palabra clave authentication en los niveles jerárquicos respectivos.
- (Opcional) Configure características opcionales para crear un nombre de usuario único.
- (Opcional) Configure una contraseña que autentique el nombre de usuario en el servicio de autenticación externo.
Ejemplo:
authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Información de configuración del cliente intercambiada entre el servidor de autenticación externo, la aplicación DHCP y el cliente DHCP
Cuando la aplicación DHCP recibe una respuesta de un servidor de autenticación externo, la respuesta puede incluir información además de la dirección IP y la máscara de subred. El servicio DHCP utiliza la información y la envía al cliente DHCP.
La aplicación DHCP puede enviar la información en su forma original o la aplicación puede combinar la información con las especificaciones de configuración local.
Por ejemplo, si la respuesta de autenticación incluye un nombre de grupo de direcciones y una configuración local especifica atributos DHCP para ese grupo, el servicio DHCP combina los resultados de la autenticación y los atributos de la respuesta que el servidor envía al cliente.
Una configuración local es opcional: el servicio de autenticación externo puede configurar completamente un cliente. Sin embargo, si el servicio de autenticación externo no proporciona la configuración del cliente, debe configurar el grupo de asignación de direcciones local para proporcionar la configuración para el cliente.
Cuando una configuración local especifica opciones, la aplicación DHCP extendida agrega las opciones de configuración local a la PDU de oferta que el servidor envía al cliente. Si los dos conjuntos de opciones se superponen, las opciones de la respuesta de autenticación del servicio externo tienen prioridad.
Cuando utilice RADIUS para proporcionar la autenticación, la información adicional puede adoptar la forma de atributos RADIUS y VSA de Juniper Networks. En la Tabla 1 se enumera la información que RADIUS podría incluir en la concesión de autenticación. Consulte Atributos RADIUS y VSA de Juniper Networks compatibles con AAA Service Framework para obtener una lista completa de los atributos RADIUS y VSA de Juniper Networks que las aplicaciones DHCP extendidas admiten para la administración de acceso de suscriptores o DHCP.
Número de atributo |
Nombre del atributo |
Descripción |
---|---|---|
Atributo RADIUS 8 |
Dirección IP enmarcada |
Dirección IP del cliente |
Atributo RADIUS 9 |
Máscara de red IP enmarcada |
Máscara de subred para la dirección IP del cliente (opción 1 de DHCP) |
Juniper Networks VSA 26-4 |
DNS primario |
Servidor de dominio principal (opción 6 de DHCP) |
Juniper Networks VSA 26-5 |
DNS secundario |
Servidor de dominio secundario (opción 6 de DHCP) |
Juniper Networks VSA 26-6 |
VICTORIAS PRIMARIAS |
Servidor WINS principal (opción 44 de DHCP) |
Juniper Networks VSA 26-7 |
Ganancias secundarias |
Servidor WINS secundario (opción 44 de DHCP) |
Atributo RADIUS 27 |
Tiempo de espera de sesión |
Tiempo de arrendamiento |
Atributo RADIUS 88 |
Piscina enmarcada |
Nombre del grupo de asignación de direcciones |
Juniper Networks VSA 26-109 |
Servidor de relé guiado por DHCP |
Servidor de retransmisión DHCP |
Ejemplo: configuración de DHCP con un servidor de autenticación externo
Para configurar la autenticación en los niveles de servidor local DHCP, servidor local DHCPv6, agente de retransmisión DHCP y agente de retransmisión DHCPv6.
En el ejemplo siguiente se muestra una configuración de ejemplo que crea un nombre de usuario único. El nombre de usuario se muestra después de la configuración.
authentication { username-include { circuit-type; domain-name example.com; mac-address 2001:db8::/32; user-prefix wallybrown; } }
El nombre de usuario único resultante es:
wallybrown.2001:db8::/32.enet@example.com
Especificación de la compatibilidad con autenticación
Incluya la declaración en los niveles jerárquicos que figuran en la authentication
Tabla 2. Puede configurar la compatibilidad con autenticación global o con compatibilidad específica de grupo.
Nivel de jerarquía admitido |
Nivel jerárquico |
---|---|
Servidor local DHCP |
|
Agente de retransmisión DHCP |
|
Servidor local DHCPv6 |
|
Agente de retransmisión DHCPv6 |
|
Creación de nombres de usuario únicos para clientes DHCP
Puede configurar la aplicación DHCP extendida para que incluya información adicional en el nombre de usuario que se pasa al servicio de autenticación AAA externo cuando el cliente DHCP inicia sesión. Esta información adicional le permite crear nombres de usuario que identifiquen de forma exclusiva a los suscriptores (clientes DHCP).
Para configurar nombres de usuario únicos, utilice la username-include
instrucción. Puede incluir cualquiera o todas las declaraciones adicionales.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Si no incluye un nombre de usuario en la configuración de autenticación, el enrutador (o conmutador) no realiza la autenticación; sin embargo, el grupo local proporciona la dirección IP si está configurada.
Cuando utilice el servidor local DHCPv6, debe configurar la autenticación y el nombre de usuario del cliente; de lo contrario, se producirá un error en el inicio de sesión del cliente.
En la lista siguiente se describe la información opcional que puede incluir como parte del nombre de usuario:
circuit-type
: el tipo de circuito utilizado por el cliente DHCP, por ejemploenet
.client-id
: la opción identificador de cliente (opción 1). (Solo agente de retransmisión DHCPv6 del servidor local DHCPv6)delimiter
: carácter delimitador que separa los componentes que componen el nombre de usuario concatenado. El delimitador predeterminado es un punto (.). El punto y coma (;) no se admite como carácter delimitador.domain-name
: el nombre de dominio del cliente como una cadena. El enrutador agrega el delimitador @ al nombre de usuario.interface-description
: la descripción de la interfaz (física) del dispositivo o de la interfaz lógica.interface-name
: el nombre de la interfaz, incluido el dispositivo de interfaz y los ID de VLAN asociados.logical-system-name
: el nombre del sistema lógico, si la interfaz receptora está en un sistema lógico.mac-address
: la dirección MAC del cliente, en una cadena con el formatoxxxx.xxxx.xxxx
.option-60
: la parte de la carga de la opción 60 que sigue al campo de longitud. (No compatible con el servidor local DHCPv6)option-82 <circuit-id> <remote-id>
: el contenido especificado de la carga de la opción 82. (No compatible con el servidor local DHCPv6)circuit-id
: la carga útil de la subopción ID de circuito del agente.remote-id
: la carga útil de la subopción ID remoto del agente.Ambos
circuit-id
yremote-id
—Las cargas de ambas subopciones, en el formato:circuit-id[delimiter]remote-id
.Ninguno
circuit-id
oremote-id
—La carga sin procesar de la opción 82 de la PDU se concatena al nombre de usuario.
Nota:Para el agente de retransmisión DHCP, el valor de la opción 82 utilizado para crear el nombre de usuario se basa en el valor de la opción 82 que está codificado en la PDU saliente (retransmitida).
relay-agent-interface-id
: opción ID de interfaz (opción 18). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)relay-agent-remote-id
: opción de ID remoto del agente de retransmisión DHCPv6 (opción 37). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)relay-agent-subscriber-id
—(Solo en enrutadores) La opción ID de suscriptor del agente de retransmisión DHCPv6 (opción 38). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)routing-instance-name
: el nombre de la instancia de enrutamiento, si la interfaz receptora se encuentra en una instancia de enrutamiento.user-prefix
: una cadena que indica el prefijo de usuario.vlan-tags
: las etiquetas VLAN del suscriptor. Incluye la etiqueta VLAN externa y, si está presente, la etiqueta VLAN interna. Puede usar esta opción en lugar de lainterface-name
opción cuando la etiqueta VLAN externa es única en todo el sistema y no necesita que el nombre de interfaz física subyacente forme parte del formato.
Para los clientes DHCPv6, dado que el formato de paquete DHCPv6 no tiene un campo específico para la dirección MAC del cliente, la dirección MAC se deriva de entre varios orígenes con la siguiente prioridad:
DUID de cliente tipo 1 o tipo 3.
Opción 79 (dirección de la capa de vínculo del cliente), si existe.
La dirección de origen del paquete si el cliente está conectado directamente.
La dirección local del vínculo.
El enrutador (conmutador) crea el nombre de usuario único al incluir la información adicional especificada en el siguiente orden, con los campos separados por un delimitador.
Para el servidor local DHCP y el agente de retransmisión DHCP:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Para el servidor local DHCPv6:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Interfaces de agrupación con configuraciones DHCP comunes
Utilice la característica de grupo para agrupar un conjunto de interfaces y, a continuación, aplicar una configuración DHCP común al grupo de interfaces con nombre. El servidor local DHCP extendido, el servidor local DHCPv6, el agente de retransmisión DHCP y el agente de relé DHCPv6 admiten grupos de interfaces.
Los pasos siguientes crean un grupo de servidores locales DHCP; los pasos son similares para el servidor local DHCPv6, el agente de retransmisión DHCP y el agente de retransmisión DHCPv6.
Para configurar un grupo de interfaz de servidor local DHCP:
Example- 2
Para configurar un grupo de interfaces, utilice la group
instrucción.
Puede especificar los nombres de una o más interfaces en las que está habilitada la aplicación DHCP extendida. Puede repetir la interface interface-name
instrucción para especificar varias interfaces dentro de un grupo, pero no puede especificar la misma interfaz en más de un grupo. Por ejemplo:
Las aplicaciones DHCP extendidas permiten agrupar un conjunto de interfaces y aplicar una configuración DHCP común al grupo de interfaces con nombre.
group boston { interface 192.168.10.1; interface 192.168.15.5; }
Puede utilizar la opción para especificar un rango de interfaces en las upto que está habilitada la aplicación DHCP extendida. Por ejemplo:
group quebec { interface 192.168.10.1 upto 192.168.10.255; }
Puede utilizar la
exclude
opción para excluir una interfaz específica o un rango especificado de interfaces del grupo. Por ejemplo:group paris { interface 192.168.100.1 exclude; interface 192.168.100.100 upto 192.168.100.125 exclude; }
Example:
group group-name { authentication { password password-string; username-include { circuit-type; delimiter delimiter-character; domain-name domain-name-string; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } } interface interface-name <upto upto-interface-name> <exclude>; }