Autenticação de cliente DHCP com um serviço de autenticação AAA externo
Especificando o suporte à autenticação
Inclua a authentication declaração nos níveis de hierarquia fornecidos na Tabela 1. Você pode configurar o suporte à autenticação global ou o suporte específico do grupo.
Nível de hierarquia suportado |
Nível de hierarquia |
|---|---|
Servidor local DHCP |
|
Agente de transmissão DHCP |
|
Servidor local DHCPv6 |
|
Agente de transmissão DHCPv6 |
|
Criação de nomes de usuário exclusivos para clientes DHCP
Você pode configurar o aplicativo DHCP estendido para incluir informações adicionais no nome de usuário que é passado para o serviço de autenticação AAA externo quando o cliente DHCP faz login. Essas informações adicionais permitem que você construa nomes de usuário que identificam exclusivamente assinantes (clientes DHCP).
Para configurar nomes de usuário exclusivos, use a username-include declaração. Você pode incluir qualquer uma ou todas as declarações adicionais.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (DHCP Local Server) (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Se você não incluir um nome de usuário na configuração de autenticação, o roteador (ou switch) não executará a autenticação; no entanto, o endereço IP é fornecido pelo pool local se estiver configurado.
Ao usar o servidor local DHCPv6, você deve configurar a autenticação e o nome de usuário do cliente; caso contrário, o login do cliente falhará.
A lista a seguir descreve as informações opcionais que você pode incluir como parte do nome de usuário:
circuit-type— O tipo de circuito usado pelo cliente DHCP, por exemploenet.client-id— A opção de identificador de cliente (opção 1). (servidor local DHCPv6, somente agente de retransmissão DHCPv6)delimiter— O caractere delimitador que separa os componentes que compõem o nome de usuário concatenado. O delimitador padrão é um ponto (.). O ponto-e-vírgula (;) não é suportado como um caractere delimitador.domain-name— O nome de domínio do cliente como uma cadeia de caracteres. O roteador adiciona o delimitador @ ao nome de usuário.interface-description— A descrição da interface (física) do dispositivo ou da interface lógica.interface-name— O nome da interface, incluindo o dispositivo de interface e os IDs VLAN associados.logical-system-name— O nome do sistema lógico, se a interface receptora estiver em um sistema lógico.mac-address— O endereço MAC do cliente, em uma string do formatoxxxx.xxxx.xxxx.option-60— A parte do payload da opção 60 que segue o campo de comprimento. (Não suportado para servidor local DHCPv6)option-82 <circuit-id> <remote-id>— O conteúdo especificado do payload da opção 82. (Não suportado para servidor local DHCPv6)circuit-id— O payload da subopção Agent Circuit ID.remote-id— O payload da subopção ID Remoto do Agente.Ambos
circuit-ideremote-id—Os payloads de ambas as subopções, no formato:circuit-id[delimiter]remote-id.Nem
circuit-idouremote-id— A carga bruta da opção 82 da PDU é concatenada ao nome de usuário.
Observação:Para o agente de retransmissão DHCP, o valor da opção 82 usado na criação do nome de usuário é baseado no valor da opção 82 codificado na PDU de saída (retransmitida).
relay-agent-interface-id— A opção Interface-ID (opção 18). (Somente servidor local DHCPv6 ou agente de retransmissão DHCPv6)relay-agent-remote-id— A opção de ID remoto do agente de transmissão DHCPv6 (opção 37). (Somente servidor local DHCPv6 ou agente de retransmissão DHCPv6)relay-agent-subscriber-id— (Somente em roteadores) A opção de ID de assinante do agente de retransmissão DHCPv6 (opção 38). (Somente servidor local DHCPv6 ou agente de retransmissão DHCPv6)routing-instance-name— O nome da instância de roteamento, se a interface de recebimento estiver em uma instância de roteamento.user-prefix— Uma string indicando o prefixo do usuário.vlan-tags— As tags VLAN do assinante. Inclui a marca VLAN externa e, se presente, a marca VLAN interna. Você pode usar essa opção em vez da opção quando a marca VLANinterface-nameexterna é exclusiva em todo o sistema e você não precisa do nome da interface física subjacente para fazer parte do formato.
Para clientes DHCPv6, como o formato de pacote DHCPv6 não tem campo específico para o endereço MAC do cliente, o endereço MAC é derivado de várias fontes com a seguinte prioridade:
DUID do cliente Tipo 1 ou Tipo 3.
Opção 79 (endereço da camada de enlace do cliente), se houver.
O endereço de origem do pacote se o cliente estiver conectado diretamente.
O endereço local do link.
O roteador (switch) cria o nome de usuário exclusivo incluindo as informações adicionais especificadas na ordem a seguir, com os campos separados por um delimitador.
Para servidor local DHCP e agente de transmissão DHCP:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Para servidor local DHCPv6:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Exemplo de configuração de DHCP com servidor de autenticação externo
Para configurar a autenticação nos níveis de servidor local DHCP, servidor local DHCPv6, agente de retransmissão DHCP e agente de retransmissão DHCPv6.
O exemplo a seguir mostra uma configuração de exemplo que cria um nome de usuário exclusivo. O nome de usuário é mostrado após a configuração.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
O nome de usuário exclusivo resultante é:
wallybrown.2001:db8::/32.enet@example.com