DHCP-Client-Authentifizierung mit einem externen AAA-Authentifizierungsservice

Fügen Sie die authentication in Tabelle 1 angegebene Anweisung auf Hierarchieebenen hinzu. Sie können entweder die Unterstützung für die globale Authentifizierung oder für die gruppenspezifische Unterstützung konfigurieren.

Tabelle 1: Unterstützte Hierarchieebenen für die Authentifizierungsunterstützung

Unterstützte Hierarchieebene	Hierarchieebene
Lokaler DHCP-Server	[edit system services dhcp-local-server]
DHCP-Relais-Agent	[edit forwarding-options dhcp-relay]
Lokaler DHCPv6-Server	[edit system services dhcp-local-server dhcpv6]
DHCPv6 Relay-Agent	[edit forwarding-options dhcp-relay dhcpv6]

Sie können die erweiterte DHCP-Anwendung so konfigurieren, dass zusätzliche Informationen in den Benutzernamen aufgenommen werden, der an den externen AAA-Authentifizierungsdienst übergeben wird, wenn sich der DHCP-Client anmeldet. Mit diesen zusätzlichen Informationen können Sie Benutzernamen erstellen, die Abonnenten (DHCP-Clients) eindeutig identifizieren.

Um eindeutige Benutzernamen zu konfigurieren, verwenden Sie die username-include Anweisung. Sie können einige oder alle der zusätzlichen Anweisungen einschließen.

Hinweis:

Wenn Sie keinen Benutzernamen in die Konfiguration der Authentifizierung aufnehmen, führt der Router (oder Switch) keine Authentifizierung durch. Die IP-Adresse wird jedoch vom lokalen Pool bereitgestellt, falls dieser konfiguriert ist.

Wenn Sie den lokalen DHCPv6-Server verwenden, müssen Sie die Authentifizierung und den Clientbenutzernamen konfigurieren. Andernfalls schlägt die Clientanmeldung fehl.

In der folgenden Liste werden die optionalen Informationen beschrieben, die Sie als Teil des Benutzernamens angeben können:

• circuit-type– Der vom DHCP-Client verwendete Verbindungstyp, z. B enet. . .

• client-id– Die Client-ID-Option (Option 1). (DHCPv6, lokaler Server, nur DHCPv6-Relay-Agent)

• delimiter– Das Trennzeichen, das die Komponenten trennt, aus denen der verkettete Benutzername besteht. Das Standardtrennzeichen ist ein Punkt (.). Das Semikolon (;) wird nicht als Trennzeichen unterstützt.

• domain-name– Der Clientdomänenname als Zeichenfolge. Der Router fügt dem Benutzernamen das @-Trennzeichen hinzu.

• interface-description– Die Beschreibung der (physischen) Geräteschnittstelle oder der logischen Schnittstelle.

• interface-name– Der Name der Schnittstelle, einschließlich des Schnittstellengeräts und der zugehörigen VLAN-IDs.

• logical-system-name– Der Name des logischen Systems, wenn sich die empfangende Schnittstelle in einem logischen System befindet.

• mac-address– Die Client-MAC-Adresse in einer Zeichenfolge im Format xxxx.xxxx.xxxx.

• option-60—Der Teil der Nutzlast der Option 60, der auf das Längenfeld folgt. (Nicht unterstützt für DHCPv6 Local Server)

• option-82 <circuit-id> <remote-id>– Der angegebene Inhalt der Nutzlast der Option 82. (Nicht unterstützt für DHCPv6 Local Server)

  • circuit-id– Die Nutzlast der Unteroption Agent Circuit ID.

  • remote-id– Die Nutzlast der Unteroption Agent-Remote-ID.

  • Both circuit-id und remote-id—Die Nutzlasten beider Unteroptionen im Format: circuit-id[delimiter]remote-id.

  • Neither circuit-id or remote-id—Die Rohnutzlast der Option 82 aus der PDU wird mit dem Benutzernamen verkettet.

  Hinweis:

  Für den DHCP-Relay-Agent basiert der Wert der Option 82, der beim Erstellen des Benutzernamens verwendet wird, auf dem Wert der Option 82, der in der ausgehenden (weitergeleiteten) PDU codiert ist.

• relay-agent-interface-id– Die Option Schnittstellen-ID (Option 18). (Nur DHCPv6 Local Server oder DHCPv6 Relay Agent)

• relay-agent-remote-id– Die DHCPv6 Relay Agent Remote-ID-Option (Option 37). (Nur DHCPv6 Local Server oder DHCPv6 Relay Agent)

• relay-agent-subscriber-id– (nur auf Routern) Die DHCPv6 Relay Agent Subscriber-ID-Option (Option 38). (Nur DHCPv6 Local Server oder DHCPv6 Relay Agent)

• routing-instance-name– Der Name der Routing-Instance, wenn sich die empfangende Schnittstelle in einer Routing-Instance befindet.

• user-prefix– Eine Zeichenfolge, die das Benutzerpräfix angibt.

• vlan-tags– Die VLAN-Tags des Anwenders. Enthält das äußere VLAN-Tag und, falls vorhanden, das innere VLAN-Tag. Sie können diese Option anstelle der interface-name Option verwenden, wenn das äußere VLAN-Tag im gesamten System eindeutig ist und der zugrunde liegende Name der physischen Schnittstelle nicht Teil des Formats sein muss.

Da das DHCPv6-Paketformat für DHCPv6-Clients kein spezielles Feld für die Client-MAC-Adresse hat, wird die MAC-Adresse aus mehreren Quellen mit der folgenden Priorität abgeleitet:

• Client-DUID Typ 1 oder Typ 3.

• Option 79 (Client-Link-Layer-Adresse), falls vorhanden.

• Die Adresse der Paketquelle, wenn der Client direkt verbunden ist.

• Die lokale Adresse des Links.

Der Router (Switch) erstellt den eindeutigen Benutzernamen, indem er die angegebenen zusätzlichen Informationen in der folgenden Reihenfolge einfügt, wobei die Felder durch ein Trennzeichen getrennt sind.

Für DHCP Local Server und DHCP Relay Agent:

Für DHCPv6 Local Server:

So konfigurieren Sie die Authentifizierung auf den Ebenen DHCP Local Server, DHCPv6 Local Server, DHCP Relay Agent und DHCPv6 Relay Agent.