Configure centralmente as opções de DHCP em um servidor RADIUS

Opções de origem RADIUS

O gerenciamento de assinantes (nos roteadores) ou gerenciamento de DHCP (nos switches) permite que você configure centralmente as opções de DHCP em um servidor RADIUS e depois distribua as opções por assinante ou por DHCP-cliente. Esse método resulta em opções de DHCP de origem RADIUS — as opções de DHCP se originam no servidor RADIUS e são enviadas ao assinante (ou cliente DHCP). Isso difere do método tradicional de origem do cliente (também chamado de DHCP-sourced) de configurar opções de DHCP, nas quais as opções se originam no cliente e são enviadas para o servidor RADIUS. As opções de DHCP de gerenciamento de assinantes (gerenciamento DHCP) de origem RADIUS também são consideradas opacas, pois o servidor local DHCP realiza processamento mínimo e verificação de erro para a seqüência de opções de DHCP antes de passar as opções para o assinante (cliente DHCP).

O gerenciamento de assinantes (ou gerenciamento de DHCP) usa o VSA 26-55 (DHCP-Options) da Juniper Networks para distribuir as opções DHCP de origem RADIUS. O servidor RADIUS inclui VSA 26-55 na mensagem de aceitação de acesso que o servidor retorna durante a autenticação do assinante ou autenticação do cliente DHCP. O servidor RADIUS envia a mensagem de aceitação de acesso para o cliente RADIUS e, em seguida, para o servidor local DHCP para o retorno ao assinante DHCP. O servidor RADIUS pode incluir várias instâncias do VSA 26-55 em uma única mensagem de aceitação de acesso. O cliente RADIUS concatena as múltiplas instâncias e usa o resultado como uma única instância.

Não há configuração CLI necessária para permitir que o gerenciamento de assinantes (gerenciamento DHCP) use as opções de DHCP configuradas centralmente — o procedimento é desencadeado pela presença do VSA 26-55 na mensagem RADIUS Access-Accept.

Ao construir o pacote de oferta para o cliente DHCP, o servidor local DHCP usa a seguinte sequência:

1. Processa quaisquer parâmetros configurados por RADIUS que são passados como atributos RADIUS separados; por exemplo, atributo RADIUS 27 (Tempo de sessão).

2. Processa quaisquer parâmetros de origem cliente; por exemplo, atributos RADIUS 53 (Tipo de mensagem DHCP) e 54 (Identificador de servidor).

3. Apêndice (sem realizar nenhum processamento) a corda opaca de opções DHCP contida no VSA 26-55 recebido do servidor RADIUS.

Configuração de opções de origem do cliente

Além de oferecer suporte à configuração central das opções de DHCP diretamente no servidor RADIUS (opções de origem RADIUS), o gerenciamento de assinantes (gerenciamento DHCP) também oferece suporte à configuração tradicional de opções de origem cliente, na qual o componente DHCP do roteador (switch) envia as opções para o servidor RADIUS. O método de opções de DHCP de origem cliente é compatível com servidor local DHCP e agente de transmissão DHCP; no entanto, o método de configuração central de origem RADIUS é suportado apenas no servidor local DHCP. Ambos os métodos de origem RADIUS e de origem do cliente oferecem suporte aos assinantes DHCPv4 e DHCPv6 (clientes).

Nota:

Você pode usar os métodos de origem RADIUS e de origem cliente simultaneamente no servidor local DHCP. No entanto, você deve garantir que o método de configuração central não inclua opções que substituem as opções de DHCP de origem do cliente, pois isso pode criar resultados imprevisíveis.

Fluxo de dados para opções de DHCP de origem RADIUS

A Figura 1 mostra o procedimento que o gerenciamento de assinantes (gerenciamento DHCP) usa ao configurar opções de DHCP para assinantes (clientes DHCP).

A sequência geral a seguir descreve o fluxo de dados quando o gerenciamento de assinantes (gerenciamento DHCP) usa opções DHCP de origem RADIUS e VSA 26-55 para configurar um assinante DHCP (cliente):

1. O assinante (cliente DHCP) envia uma mensagem de descoberta dhcp (ou mensagem de solicitação DHCPv6) para o servidor local DHCP. A mensagem inclui opções de DHCP de origem do cliente.

2. O servidor local DHCP inicia a autenticação com o cliente Junos OS RADIUS.

3. O cliente RADIUS envia uma mensagem de solicitação de acesso em nome do assinante (cliente DHCP) para o servidor RADIUS externo. A mensagem inclui as opções de DHCP do cliente (DHCP do cliente) do assinante.

4. O servidor RADIUS externo responde enviando uma mensagem de aceitação de acesso ao cliente RADIUS. A mensagem de aceitação de acesso inclui as opções DHCP opacas de origem RADIUS no VSA 26-55.

5. O cliente RADIUS envia a string de opções DHCP para o servidor local DHCP. Se houver várias instâncias VSA 26-55, o cliente RADIUS primeiro as montará em uma única seqüência de opções.

6. O servidor local DHCP processa todas as opções na mensagem de oferta DHCP (ou resposta DHCPv6), com exceção das opções VSA 26-55 DHCP de origem RADIUS. Depois de processar todas as outras opções, o servidor local DHCP então aplica as opções VSA 26-55 DHCP nãomodificadas para a mensagem e envia a mensagem para o assinante (cliente DHCP).

7. O assinante (cliente DHCP) está configurado com as opções DHCP.

8. As operações a seguir ocorrem após o assinante (cliente DHCP) receber as opções de DHCP:

   • Contabilidade — O cliente RADIUS envia solicitações de acct-start e contabilidade provisória para o servidor RADIUS, incluindo as opções DHCP de origem RADIUS no VSA 26-55. Por padrão, as opções de DHCP estão incluídas em solicitações de contabilidade.

   • Renovação — Quando o assinante (cliente DHCP) renova, o valor das opções de DHCP em cache é devolvido na mensagem DHCP renew (ou DHCPv6 ACK). As opções de DHCP originalmente atribuídas não podem ser modificadas durante um ciclo de renovação.

   • Logout — Quando o assinante (cliente DHCP) faz login, o cliente RADIUS envia uma mensagem Acct-Stop para o servidor RADIUS, incluindo o VSA 26-55 de origem RADIUS.

Configuração de múltiplas instâncias VSA 26-55

O VSA 26-55 oferece suporte a um tamanho máximo de 247 bytes. Se o seu campo de opções DHCP de origem RADIUS for superior a 247 bytes, você deve interromper o campo e configurar manualmente várias instâncias do VSA 26-55 para que o servidor RADIUS retorne. Ao usar várias instâncias para um campo de opções, você deve colocar as instâncias no pacote na ordem em que os fragmentos devem ser remontados pelo cliente RADIUS. Os fragmentos podem ser de qualquer tamanho de 247 bytes ou menos.

Melhores práticas:

Para facilitar a configuração e o gerenciamento de suas opções de DHCP, você pode querer ter uma opção DHCP por instância VSA 26-55, independentemente do tamanho do campo de opção.

Quando o cliente RADIUS retorna um campo de opções opacas remontada em uma solicitação de contabilidade ao servidor RADIUS, o cliente usa fragmentos de 247 byte. Se você tivesse criado originalmente instâncias com menos de 247 bytes, os fragmentos devolvidos poderiam não ser os mesmos que você configurou originalmente no servidor RADIUS.

Nota:

Se você estiver configurando o Steel-Belted Radius (SBR) para oferecer suporte a várias instâncias VSA 26-55, certifique-se de especificar o VSA 26-55 com as RO bandeiras no arquivo de caracteres RADIUS de gerenciamento de assinantes. O R valor indica um atributo de resposta multivalorizado e o O valor indica um atributo ordenado.

Opções de DHCP que não podem ser configuradas centralmente

A Tabela 1 mostra as opções de DHCP que você não deve configurar centralmente no servidor RADIUS.

Tabela 1: Opções de DHCP opacas sem suporte

Opção DHCP	Nome da opção	Comentários
Opção 0	Opção pad	Não suportado.
Opção 51	Tempo de locação de endereço IP	O valor é fornecido pelo atributo RADIUS 27 (Session-Timeout).
Opção 52	Sobrecarga de opção	Não suportado.
Opção 53	Tipo de mensagem DHCP	O valor é fornecido pelo servidor local DHCP.
Opção 54	Identificador de servidor	O valor é fornecido pelo servidor local DHCP.
Opção 55	Lista de solicitações de parâmetros	O valor é fornecido pelo servidor local DHCP.
Opção 255	Final	O valor é fornecido pelo servidor local DHCP.
–	Cookie mágico de DHCP	Não suportado.