Reautenticación RADIUS como alternativa al CoA RADIUS para suscriptores DHCP
Los mensajes de cambio de autorización (CoA) de RADIUS, especificados en RFC 5176, Extensiones de autorización dinámica para el servicio de usuario de marcado de autenticación remota (RADIUS), se utilizan para activar o desactivar servicios de cliente y para cambiar ciertas características de la sesión de cliente sin cerrar la sesión del cliente, evitando así la interrupción del suscriptor. En algunas circunstancias, puede ser preferible utilizar la reautenticación del suscriptor como método para modificar los servicios y las características de la sesión de cliente sin interrupción.
Por ejemplo, los siguientes modos de implementación de cliente requieren cambios en los atributos durante la duración de una sesión.
Suscriptores residenciales: los suscriptores residenciales pueden cambiar de plan de servicio a lo largo de la vida de una sesión mediante la selección de servicios en línea o llamadas directas al proveedor. El cambio en el plan de servicio se propaga al servidor local DHCP cambiando el valor del ID remoto del agente del cliente DHCP. El ID remoto del agente se transmite en la opción 82, subopción 2, para clientes DHCPv4 y en la opción 37 para clientes DHCPv6.
Cuando se configura la reautenticación, se detecta el cambio en el plan de servicio, lo que desencadena la reautenticación; el nuevo plan de servicio y cualquier atributo modificado son devueltos por el servidor RADIUS e implementados para el suscriptor.
Suscriptores empresariales: los suscriptores empresariales a menudo necesitan cambios en los atributos (especialmente rutas enmarcadas) durante una sesión determinada. El cambio deseado en los atributos no se inicia por un cambio en los planes de servicio.
Cuando se configura la reautenticación, la negociación de la renovación de la concesión desencadena la reautenticación. Cualquier cambio en los atributos o servicios se proporciona en el mensaje de acceso-aceptación del servidor RADIUS y se implementa para el suscriptor.
Dos alternativas al uso de la reautenticación pueden cambiar muchas más características de la sesión de las que son posibles con la reautenticación. Las solicitudes de CoA cambian las características sin interrumpir al suscriptor. Cerrar la sesión del suscriptor y luego volver a entrar puede cambiar muchas más características de la sesión, pero obviamente es perjudicial.
Beneficios de la reautenticación
Actualice o modifique los atributos de sesión del suscriptor y los planes de servicio sin usar una solicitud de CoA.
Simplifique la activación de los servicios resultantes de cambios frecuentes iniciados por los suscriptores.
Habilite la reautenticación por familia en configuraciones de doble pila y de sesión única.
Controle la reautenticación mediante la configuración de CLI o un VSA de RADIUS.
Funcionalidad
La reautenticación es compatible con DHCPv4 y DHCPv6. Se puede activar cuando el servidor local DHCP recibe un mensaje de renovación, reenlace, descubrimiento o solicitud de un cliente DHCP. Los mensajes de detección y solicitud admiten la reautenticación a partir de Junos OS versión 18.1R1. La compatibilidad con los mensajes de descubrimiento y solicitud significa que si un CPE con un cliente enlazado se reinicia y el cliente envía uno de esos mensajes para restablecer la sesión, la reautenticación permite a authd obtener las actualizaciones que se hayan realizado para el suscriptor.
El comportamiento de reautenticación se determina de la siguiente manera:
La
reauthenticate lease-renewalinstrucción especifica que la reautenticación se activa cuando se recibe alguno de los cuatro mensajes admitidos.La
reauthenticate remote-id-mismatchinstrucción especifica que la reautenticación sólo se activa cuando el mensaje recibido incluye un cambio en el valor del identificador remoto del agente del cliente DHCP. El valor del atributo incluye el nombre del plan de servicio del suscriptor, por lo que un cambio en el valor significa un cambio en el servicio para el suscriptor.El VSA (26-206) de Juniper Networks
reauthentication-on-renew, cuando se devuelve con un valor de 1 en el mensaje de acceso-aceptación del servidor RADIUS para el suscriptor al iniciar sesión, activa la reautenticación al recibir cualquiera de los cuatro mensajes. Un valor de 0 deshabilita la reautenticación. El valor VSA se almacena en la base de datos de sesión cada vez que se recibe. Después de que este VSA haya habilitado la reautenticación, se comprueba en cada intento de reautenticación. Si el valor ha cambiado a 0, es decir, si un Access-Accept posterior devuelve el VSA con un valor de 0, el proceso de reautenticación se detiene para ese suscriptor.La configuración de CLI (
reauthenticateinstrucción) y el comportamiento Reauthenticate-On-Renew son aditivos. La desactivación de la reautenticación con VSA sólo surte efecto cuando lareauthenticateinstrucción no está configurada. Cuando lareauthenticateinstrucción se configura con cualquiera de las opciones, invalida un valor VSA de 0. En ausencia de la configuración de CLI, el VSA puede habilitar la reautenticación por sí mismo.
El proceso de reautenticación es casi idéntico al proceso de autenticación original. Cuando se activa la reautenticación, el proceso jdhcpd en el servidor local envía una solicitud de autenticación a authd, que a su vez envía un mensaje de solicitud de acceso al servidor RADIUS para solicitar una segunda autenticación.
Se produce un error en la solicitud de reautenticación para cualquier orden de autenticación distinta de radius o none. El proceso de autenticación devuelve un acuse de recibo negativo (NAK) para cualquier solicitud de este tipo.
Esta solicitud de acceso incluye atributos de estado y clase RADIUS que se devolvieron en el mensaje Access-Accept original. Estos atributos permiten al servidor RADIUS distinguir la solicitud de reautenticación de las solicitudes de inicio de sesión (autenticación).
El servidor RADIUS devuelve un mensaje de aceptación de acceso a authd con nuevos atributos para el suscriptor. El proceso authd envía una confirmación (ACK) con los cambios a jdhcpd, que envía una oferta DHCP al cliente DHCP con atributos modificados. La negociación DHCP continúa como de costumbre, como se muestra en la figura 1, y la sesión del suscriptor continúa con los nuevos valores de atributo. Cuando la nueva autenticación incluye un cambio en el plan de servicio, el servidor RADIUS devuelve el nuevo plan con cualquier otro atributo modificado, si acepta la solicitud, como se muestra en la figura 2. Si la CPE que aloja el cliente DHCP se reinicia durante el proceso de cambio de un plan de servicio, se admite la reautenticación con el nuevo plan sin interrupciones en el servicio.
Si el servidor RADIUS rechaza una solicitud de reautenticación o agota el tiempo de espera, authd envía un NAK a jdhcpd, que revisa el código de error incluido. Si el código de error indica un tiempo de espera, jdhcpd envía una ACK al cliente DHCP y la sesión del suscriptor se mantiene con los atributos y el servicio originales. Para cualquier otro código de error, jdhcpd envía un NAK DHCPv4 o DHCPv6 REPLY (con el valor de duración establecido en 0) como un NAK lógico, inicia el cierre de sesión del suscriptor y elimina el suscriptor de la base de datos de sesión.
En la Tabla 1 se describe cómo el authd procesa las solicitudes cuando ya está en curso un tipo de solicitud diferente para el mismo suscriptor.
Solicitud en curso |
Solicitud adicional recibida para el mismo suscriptor |
Acción |
|---|---|---|
Reautenticación |
CoA |
authd responde al CoA con un NAK. |
CoA |
Reautenticación |
authd pone en cola la solicitud de reautenticación hasta que se procesa el CoA y, a continuación, procesa la solicitud de reautenticación. |
Reautenticación |
Desconectar |
authd responde a la desconexión con un NAK. |
Desconectar |
Reautenticación |
authd responde a la solicitud de reautenticación con un NAK y continúa cerrando la sesión del suscriptor. |
Dado que la familia de red no termina ni se reinicia como parte de la reautenticación, el contenido del suscriptor no se reevalúa con respecto a la creación de reflejo de la política segura del suscriptor. No utilice como desencadenador para la política segura del suscriptor reflejando ningún atributo que pueda cambiar durante el procesamiento de la reautenticación.
Cuando la reautenticación da como resultado un cambio en la dirección IP o IPv6 de un suscriptor DHCPv6 después de enlazar un cliente, el servidor DHCPv6 evalúa la solicitud de cambio de dirección. El servidor devuelve un código de estado al cliente en la asociación de identidad (IA) de la PDU de respuesta. A partir de Junos OS versión 18.4R1, cuando el servidor DHCPv6 descubre un problema con la dirección, se admite un código de estado para NotOnLink además de los códigos admitidos anteriormente para NoAddrsAvail y NoPrefixAvail. Estos códigos de estado se definen de la siguiente manera:
NoAddrsAvail (2): el servidor no puede asignar ninguna dirección para el IA en la solicitud del cliente. Devuelve el IA sin direcciones y NoAddrsAvail.
NotOnLink (4): el servidor determina que el prefijo para una o más direcciones en cualquier IA en la solicitud de cliente no es apropiado para el enlace que conecta con el cliente. Este código también se utiliza en caso de que se produzca un error de reautenticación (RADIUS Access-Reject).
NoPrefixAvail (6): el servidor no tiene prefijos disponibles para el IA en la solicitud del cliente.
Si el cliente recibe el código de estado NotOnLink, puede enviar otra solicitud sin ninguna dirección o puede reiniciar el proceso de negociación. Si envía una solicitud, el serer local DHCPv6 ignora la solicitud, esperando que comience una nueva renegociación.
Suscriptores de doble pila
En versiones anteriores a Junos OS versión 18.1R1, los suscriptores DHCP de doble pila se tratan como sesiones de cliente independientes. Cada pila se renueva y obtiene nuevos servicios de forma independiente.
A partir de Junos OS versión 18.1R1, la autenticación por familia y la reautenticación son compatibles para los suscriptores de doble pila y una sola sesión. Un suscriptor de sesión única de doble pila suele ser un hogar con su propia VLAN en un modelo de acceso 1:1. El hogar se representa como un único suscriptor con una sola sesión en la base de datos de sesión, pero tiene dos enlaces DHCP separados, uno para cada familia, DHCPv4 y DHCPv6. En consecuencia, authd envía solicitudes de acceso separadas a medida que cada familia en la sesión inicia sesión o intenta volver a autenticarse:
La autenticación por familia se produce cuando se recibe un mensaje de descubrimiento o solicitud mientras una sesión de suscriptor está en el estado de inicio DHCP.
La reautenticación por familia se produce cuando la reautenticación y la asignación de direcciones a petición están configuradas y se recibe un mensaje de renovación, reenlace, descubrimiento o solicitud para la sesión familiar mientras se encuentra en el estado enlazado a DHCP.
La asignación de direcciones a petición hace que se asigne una dirección por separado para cada familia a medida que inicia sesión. La asignación de direcciones a petición debe configurarse para suscriptores de doble pila y de sesión única o para la autenticación por familia, y no se puede habilitar la reautenticación. Para la reautenticación, esto es cierto tanto si está configurada en la CLI como con el VSA Reauthenticate-On-Renew (26-206).
Tanto la autenticación como la reautenticación se procesan por familia. La primera familia que desencadena el proceso es atendida antes de que la otra (segunda) familia active la autenticación o reautenticación. Los mensajes de la segunda familia se ignoran hasta que la primera familia está enlazada. Luego se procesa la segunda solicitud de familia.
Si solo inicia sesión una familia de sesión única de doble pila, solo se procesa una autenticación. Las reautenticaciones se procesan solo para una familia de clientes.
El proceso authd clasifica los atributos como pertenecientes a la familia DHCPv4 o DHCPv6 y los etiqueta en consecuencia. Tanto para la autenticación como para la reautenticación, dependiendo de la familia que inicie la solicitud, authd incluye DHCP-Options VSA (26-55) o DHCPv6-Options VSA (26-65). Según su configuración, es posible que el servidor RADIUS devuelva información solo para la familia que inició la solicitud (la familia solicitante) o para ambas familias.
Cuando authd recibe atributos en el mensaje Access-Accept, las etiquetas family permiten que authd determine qué atributos corresponden a la familia solicitante o a la otra familia (no solicitante). Sólo los atributos de la familia solicitante se escriben en la base de datos de sesión.
Para las solicitudes de reautenticación, authd compara los atributos devueltos con la base de datos de sesión para determinar si se realizaron cambios en el servidor RADIUS. Una vez más, solo los cambios que corresponden a la familia solicitante se escriben en la base de datos de sesión, sobrescribiendo los valores antiguos.
Los cambios durante la reautenticación se procesan de la siguiente manera:
Atributo (distinto de la dirección): cuando authd determina que uno o más de estos atributos han cambiado para la familia solicitante, almacena los nuevos valores en la base de datos de sesión. Después de que authd notifica a jdhcpd, envía un ACK al cliente DHCP con los nuevos valores de atributo.
Direcciones o grupo de direcciones: cuando authd detecta un cambio para la familia solicitante, notifica al servidor local DHCP, que a su vez envía un NAK (DHCPv4) o un NAK lógico (DHCPv6) al cliente DHCP.
Si la familia solicitante es la única familia que está vinculada, jdhcpd cierra correctamente la sesión del suscriptor. Si la familia no solicitante también está vinculada, jdhcpd desactiva a la familia solicitante, pero deja intacta la unión de la familia no solicitante, sin interrupción en el servicio a la familia no solicitante. La desactivación de la familia solicitante no tiene ningún efecto en la activación posterior de la reautenticación por parte de la familia no solicitante.
Cuando la familia desactivada envía posteriormente un mensaje de descubrimiento o solicitud para volver a iniciar sesión, se envía una solicitud de acceso para volver a autenticarse como de costumbre, y la nueva dirección recibida en la aceptación de acceso se aplica al suscriptor.
Si el servidor RADIUS responde a una solicitud de autenticación o reautenticación con un mensaje de rechazo de acceso, authd notifica al servidor local DHCP, que a su vez envía un NAK (DHCPv4) o un NAK lógico (DHCPv6) al cliente DHCP. La familia solicitante es terminada con gracia; La familia se desactiva y el suscriptor cierra sesión. A continuación, la familia no solicitante se desactiva y se cierra la sesión, pero no se notifica al cliente sobre la terminación.
Si la detección de vida se está ejecutando en la familia que no solicita, el cliente detecta la pérdida de conexión cuando finaliza la familia y, posteriormente, envía un mensaje de descubrimiento o solicitud al servidor local DHCP. Sin embargo, si la detección de vida no se está ejecutando, el cliente no detecta la pérdida de conexión hasta que expira el tiempo de reenlace (T2, opción 59) y se pierde el servicio. Dependiendo de la duración del arrendamiento, esto podría llevar mucho tiempo.
Configure la detección de vida para ambas familias de direcciones a fin de reducir el tiempo necesario para detectar la pérdida de conexión. Consulte Descripción general de la detección de vida DHCP para obtener información acerca de cómo configurar la detección de vida.
Flujo de paquetes
En la figura siguiente se describe la secuencia de negociación inicial de una sesión de suscriptor entre un cliente DHCP, un servidor DHCP y el servidor RADIUS. El plan de servicio del cliente se especifica en la segunda subcadena del ID remoto contenido en la opción 82 de DHCPv4, subopción 2, o DHCPv6 opción 37.
Negociación inicial
La figura 1 ilustra la secuencia de pasos en la negociación inicial entre un cliente DHCP, un servidor DHCP y el servidor RADIUS. En la figura se utilizan los siguientes términos:
CPE: equipo en las instalaciones del cliente (funciona como cliente o suscriptor DHCP).
OLT: terminador de línea óptica: por ejemplo, un multiplexor de acceso DSL (DSLAM) u otro dispositivo de agregación.
Dispositivo de la serie MX: funciona como el servidor DHCP.
inicial
Cambio en el plan de servicio
La figura 2 ilustra la secuencia de pasos en un cambio de planes de servicio, de un plan de 100 Mbps a un plan de 1 Gbps.:
de servicio
Atributos RADIUS admitidos para la reautenticación
En la Tabla 2 se enumeran los atributos estándar de RADIUS y los VSA que se pueden procesar durante la reautenticación cuando se reciben en el mensaje de aceptación de acceso de RADIUS, y se describe cómo la autenticación controla los cambios en los atributos. El procesamiento de atributos es coherente con el procesamiento de solicitudes de CoA. Las características de la sesión de suscriptor que se vuelve a autenticar sólo cambian si se reciben nuevos valores o atributos nuevos en el mensaje Access-Accept.
Número de atributo |
Nombre del atributo |
Resultado del procesamiento |
|---|---|---|
8 |
Dirección IP enmarcada |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
22 |
Ruta enmarcada |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Se adjuntan los datos antiguos. |
24 |
Estado |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
25 |
Clase |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-4 |
DNS primario |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-5 |
DNS secundario |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-6 |
VICTORIAS PRIMARIAS |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-7 |
Ganancias secundarias |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-55 |
Opciones de DHCP |
El valor se envía al servidor local DHCP para procesar los cambios en la configuración DHCP del suscriptor. |
26-65 |
Activar servicio |
El proceso authd compara la lista de servicios en el VSA con los servicios que ya están activos para esa sesión de suscriptor.
Por ejemplo, supongamos que los servicios A y B están activos en la sesión, pero el VSA incluye sólo los servicios B y C. El servicio A no está en la lista VSA y está desactivado. El servicio C está en la lista pero no está activo actualmente, por lo que authd activa C. El servicio B ya está activo y en la lista, por lo que permanece activo. |
26-161 |
IPv6-Delegated-Pool-Name |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
26-206 |
Volver a autenticarse al renovar |
Si el valor es 1 (habilitar), authd agrega el valor a la base de datos de sesión del suscriptor si aún no está presente. Si el valor es 0 (deshabilitar) y un valor de 1 ya está presente en la base de datos, authd establece el valor de la base de datos en 0. Si el valor del mensaje falta o no es válido, y un valor ya está presente en la base de datos, authd elimina el valor de la base de datos. |
26-207 |
Opciones de DHCPv6 |
El valor se envía al servidor local DHCPv6 para procesar los cambios en la configuración DHCP del suscriptor. |
88 |
Piscina enmarcada |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
97 |
Prefijo IPv6 enmarcado |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
100 |
Conjunto IPv6 enmarcado |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
123 |
Prefijo IPv6 delegado |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
168 |
Dirección IPv6 enmarcada |
Se almacena un nuevo valor en la base de datos de sesión del suscriptor; Los datos antiguos se sobrescriben. |
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.