Autenticação de cliente DHCP com um serviço externo de autenticação AAA
Especificando o suporte para autenticação
Inclua a authentication declaração em níveis de hierarquia dados na Tabela 1. Você pode configurar o suporte de autenticação global ou o suporte específico do grupo.
Nível de hierarquia suportado |
Nível de hierarquia |
|---|---|
Servidor local DHCP |
|
Agente de retransmissão DHCP |
|
Servidor local DHCPv6 |
|
Agente de retransmissão DHCPv6 |
|
Criação de nomes de usuário exclusivos para clientes DHCP
Você pode configurar o aplicativo DHCP estendido para incluir informações adicionais no nome de usuário que são passadas para o serviço externo de autenticação AAA quando o cliente DHCP faz login. Essas informações adicionais permitem que você construa nomes de usuário que identifiquem exclusivamente os assinantes (clientes DHCP).
Para configurar nomes de usuário exclusivos, use a username-include declaração. Você pode incluir qualquer uma das declarações adicionais.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Se você não incluir um nome de usuário na configuração de autenticação, o roteador (ou switch) não realizará autenticação; no entanto, o endereço IP é fornecido pelo pool local se estiver configurado.
Ao usar o servidor local DHCPv6, você deve configurar a autenticação e o nome de usuário do cliente; caso contrário, o login do cliente falha.
A lista a seguir descreve as informações opcionais que você pode incluir como parte do nome de usuário:
circuit-type— O tipo de circuito usado pelo cliente DHCP, por exemploenet.client-id— A opção de identificador de cliente (opção 1). (Somente agente de transmissão DHCPv6 de servidor local DHCPv6)delimiter— O personagem delimiter que separa componentes que compõem o nome de usuário concatenado. O delimiter padrão é um período (.). O ponto e vírgula (;) não é suportado como um personagem delimiter.domain-name— O nome de domínio do cliente como string. O roteador adiciona o @ delimiter ao nome de usuário.interface-description— A descrição da interface do dispositivo (física) ou da interface lógica.interface-name— O nome da interface, incluindo o dispositivo de interface e IDs VLAN associados.logical-system-name— O nome do sistema lógico, se a interface de recebimento estiver em um sistema lógico.mac-address— O endereço MAC do cliente, em uma sequência do formatoxxxx.xxxx.xxxx.option-60— A parte da opção 60 payload que segue o campo de comprimento. (Sem suporte para servidor local DHCPv6)option-82 <circuit-id> <remote-id>— O conteúdo especificado da opção 82 payload. (Sem suporte para servidor local DHCPv6)circuit-id— A carga da subopção de ID do Circuito do Agente.remote-id— A carga da subopção de ID remoto do agente.Ambos
circuit-ideremote-id— as cargas de ambas as subopções, no formato:circuit-id[delimiter]remote-id. .Nem
circuit-idnemremote-id— A carga bruta da opção 82 da PDU é concatenada ao nome de usuário.
Nota:Para o agente de retransmissão DHCP, o valor de opção 82 usado na criação do nome de usuário é baseado no valor de opção 82 codificado na PDU de saída (retransmitida).
relay-agent-interface-id— A opção interface-ID (opção 18). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)relay-agent-remote-id— A opção de ID remoto do agente de retransmissão DHCPv6 (opção 37). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)relay-agent-subscriber-id—(Apenas em roteadores) A opção DHCPv6 Relay Agent Subscriber-ID (opção 38). (Apenas servidor local DHCPv6 ou agente de transmissão DHCPv6)routing-instance-name— O nome da instância de roteamento, se a interface de recebimento estiver em uma instância de roteamento.user-prefix— Uma corda que indica o prefixo do usuário.vlan-tags— As tags VLAN para assinantes. Inclui a tag VLAN externa e, se presente, a tag VLAN interna. Você pode usar essa opção em vez da opçãointerface-namequando a tag VLAN externa é única em todo o sistema e você não precisa do nome da interface física subjacente para fazer parte do formato.
Para clientes DHCPv6, como o formato de pacote DHCPv6 não tem campo específico para o endereço MAC do cliente, o endereço MAC é derivado de várias fontes com a seguinte prioridade:
Cliente DUID Tipo 1 ou Tipo 3.
Opção 79 (endereço da camada de link do cliente), se presente.
O endereço fonte do pacote se o cliente estiver conectado diretamente.
O endereço local do link.
O roteador (switch) cria o nome de usuário único, incluindo as informações adicionais especificadas na ordem a seguir, com os campos separados por um delimiter.
Para servidor local DHCP e agente de transmissão DHCP:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Para servidor local DHCPv6:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Configuração de exemplo dhcp com servidor de autenticação externa
Para configurar a autenticação no servidor local DHCP, servidor local DHCPv6, agente de retransmissão DHCP e níveis de agente de retransmissão DHCPv6.
O exemplo a seguir mostra uma configuração de amostra que cria um nome de usuário único. O nome de usuário é mostrado após a configuração.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
O nome de usuário exclusivo resultante é:
wallybrown.2001:db8::/32.enet@example.com