DHCP-Clientauthentifizierung mit einem externen AAA-Authentifizierungsdienst

Fügen Sie die authentication Anweisung auf den in Tabelle 1 angegebenen Hierarchieebenen ein. Sie können entweder die globale Authentifizierungsunterstützung oder die gruppenspezifische Unterstützung konfigurieren.

Tabelle 1: Unterstützte Hierarchieebenen für die Authentifizierungsunterstützung

UnterstÃ1/4tzte Hierarchieebene	Hierarchieebene
Lokaler DHCP-Server	[edit system services dhcp-local-server]
DHCP-Relay-Agent	[edit forwarding-options dhcp-relay]
Lokaler DHCPv6-Server	[edit system services dhcp-local-server dhcpv6]
DHCPv6-Relay-Agent	[edit forwarding-options dhcp-relay dhcpv6]

Sie können die erweiterte DHCP-Anwendung so konfigurieren, dass sie zusätzliche Informationen in den Benutzernamen einschließt, der bei der Anmeldung des DHCP-Clients an den externen AAA-Authentifizierungsdienst übergeben wird. Mit diesen zusätzlichen Informationen können Sie Benutzernamen erstellen, die Abonnenten (DHCP-Clients) eindeutig identifizieren.

Um eindeutige Benutzernamen zu konfigurieren, verwenden Sie die username-include Anweisung. Sie können einzelne oder alle zusätzlichen Anweisungen einschließen.

Hinweis:

Wenn Sie keinen Benutzernamen in die Authentifizierungskonfiguration aufnehmen, führt der Router (oder Switch) keine Authentifizierung durch. Die IP-Adresse wird jedoch vom lokalen Pool bereitgestellt, wenn dieser konfiguriert ist.

Wenn Sie den lokalen DHCPv6-Server verwenden, müssen Sie die Authentifizierung und den Benutzernamen des Clients konfigurieren. Andernfalls schlägt die Clientanmeldung fehl.

In der folgenden Liste werden die optionalen Informationen beschrieben, die Sie als Teil des Benutzernamens angeben können:

• circuit-type– Der Verbindungstyp, der vom DHCP-Client verwendet wird, z. B enet. .

• client-id– Die Client-ID-Option (Option 1). (DHCPv6, lokaler Server, DHCPv6, nur DHCPv6-Relay-Agent)

• delimiter– Das Trennzeichen, das die Komponenten trennt, aus denen der verkettete Benutzername besteht. Das Standardtrennzeichen ist ein Punkt (.). Das Semikolon (;) wird als Trennzeichen nicht unterstützt.

• domain-name– Der Name der Clientdomäne als Zeichenfolge. Der Router fügt dem Benutzernamen das Trennzeichen @ hinzu.

• interface-description– Die Beschreibung der (physischen) Geräteschnittstelle oder der logischen Schnittstelle.

• interface-name- Der Schnittstellenname, einschließlich des Schnittstellengeräts und der zugehörigen VLAN-IDs.

• logical-system-name– Der Name des logischen Systems, wenn sich die empfangende Schnittstelle in einem logischen System befindet.

• mac-address– Die MAC-Adresse des Clients in einer Zeichenfolge im Format xxxx.xxxx.xxxx.

• option-60– Der Teil der Nutzlast der Option 60, der auf das Längenfeld folgt. (Wird für lokale DHCPv6-Server nicht unterstützt)

• option-82 <circuit-id> <remote-id>– Der angegebene Inhalt der Nutzlast Option 82. (Wird für lokale DHCPv6-Server nicht unterstützt)

  • circuit-id– Die Nutzlast der Unteroption Agent Circuit ID.

  • remote-id– Die Nutzlast der Unteroption Agent-Remote-ID.

  • Both circuit-id and remote-id—Die Nutzdaten beider Unteroptionen im Format: circuit-id[delimiter]remote-id.

  • Neither circuit-id or remote-id—Die Rohnutzlast der Option 82 aus der PDU wird mit dem Benutzernamen verkettet.

  Hinweis:

  Für den DHCP-Relay-Agent basiert der Wert der Option 82, der beim Erstellen des Benutzernamens verwendet wird, auf dem Wert der Option 82, der in der ausgehenden (weitergeleiteten) PDU codiert ist.

• relay-agent-interface-id– Die Option "Interface-ID" (Option 18). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

• relay-agent-remote-id– Die DHCPv6 Relay Agent Remote-ID-Option (Option 37). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

• relay-agent-subscriber-id—(Nur auf Routern) Die Option "DHCPv6 Relay Agent Subscriber-ID" (Option 38). (Nur DHCPv6 lokaler Server oder DHCPv6 Relay Agent)

• routing-instance-name– Der Name der Routing-Instanz, wenn sich die empfangende Schnittstelle in einer Routing-Instanz befindet.

• user-prefix– Eine Zeichenfolge, die das Benutzerpräfix angibt.

• vlan-tags– Die Abonnenten-VLAN-Tags. Enthält das äußere VLAN-Tag und, falls vorhanden, das innere VLAN-Tag. Sie können diese Option anstelle der interface-name Option verwenden, wenn das äußere VLAN-Tag systemweit eindeutig ist und der zugrunde liegende Name der physischen Schnittstelle nicht Teil des Formats sein muss.

Da das DHCPv6-Paketformat bei DHCPv6-Clients kein spezifisches Feld für die Client-MAC-Adresse enthält, wird die MAC-Adresse aus mehreren Quellen mit der folgenden Priorität abgeleitet:

• Client-DUID Typ 1 oder Typ 3.

• Option 79 (Client-Link-Layer-Adresse), falls vorhanden.

• Die Paketquelladresse, wenn der Client direkt verbunden ist.

• Die lokale Adresse des Links.

Der Router (Switch) erstellt den eindeutigen Benutzernamen, indem er die angegebenen zusätzlichen Informationen in der folgenden Reihenfolge einfügt, wobei die Felder durch ein Trennzeichen getrennt sind.

Für lokalen DHCP-Server und DHCP-Relay-Agenten:

Für lokalen DHCPv6-Server:

So konfigurieren Sie die Authentifizierung auf den Ebenen lokaler DHCP-Server, lokaler DHCPv6-Server, DHCP-Relay-Agent und DHCPv6-Relay-Agent.