Authentification du client DHCP avec un service d’authentification AAA externe

Inclure l’énoncé au niveau hiérarchique donné dans le authentication tableau 1. Vous pouvez configurer la prise en charge de l’authentification globale ou la prise en charge spécifique à un groupe.

Tableau 1 : niveaux hiérarchiques pris en charge pour la prise en charge de l’authentification

Niveau hiérarchique pris en charge	Niveau hiérarchique
Serveur local DHCP	[edit system services dhcp-local-server]
Agent de relais DHCP	[edit forwarding-options dhcp-relay]
Serveur local DHCPv6	[edit system services dhcp-local-server dhcpv6]
Agent de relais DHCPv6	[edit forwarding-options dhcp-relay dhcpv6]

Vous pouvez configurer l’application DHCP étendue pour inclure des informations supplémentaires dans le nom d’utilisateur transmis au service d’authentification AAA externe lorsque le client DHCP se connecte. Ces informations supplémentaires vous permettent de construire des noms d’utilisateur qui identifient de manière unique les abonnés (clients DHCP).

Pour configurer des noms d’utilisateur uniques, utilisez l’instruction username-include . Vous pouvez inclure tout ou partie des déclarations supplémentaires.

Remarque :

Si vous n’incluez pas de nom d’utilisateur dans la configuration d’authentification, le routeur (ou le commutateur) n’effectue pas l’authentification ; cependant, l’adresse IP est fournie par le pool local si elle est configurée.

Lorsque vous utilisez le serveur local DHCPv6, vous devez configurer l’authentification et le nom d’utilisateur du client ; Sinon, la connexion client échoue.

La liste suivante décrit les informations facultatives que vous pouvez inclure dans le nom d’utilisateur :

• circuit-type: type de circuit utilisé par le client DHCP, par exemple enet.

• client-id: option d’identifiant client (option 1). (serveur local DHCPv6, agent de relais DHCPv6 uniquement)

• delimiter: caractère de délimitation qui sépare les composants qui composent le nom d’utilisateur concaténé. Le délimiteur par défaut est un point (.). Le point-virgule (;) n’est pas pris en charge comme caractère de délimitation.

• domain-name: nom de domaine du client sous forme de chaîne. Le routeur ajoute le délimiteur @ au nom d’utilisateur.

• interface-description: description de l’interface (physique) ou logique du périphérique.

• interface-name: nom de l’interface, y compris le périphérique d’interface et les ID de VLAN associés.

• logical-system-name: nom du système logique, si l’interface de réception se trouve dans un système logique.

• mac-address: l’adresse MAC du client, dans une chaîne de format xxxx.xxxx.xxxx.

• option-60: partie de la charge utile de l’option 60 qui suit le champ longueur. (Non pris en charge pour le serveur local DHCPv6)

• option-82 <circuit-id> <remote-id>: contenu spécifié de la charge utile de l’option 82. (Non pris en charge pour le serveur local DHCPv6)

  • circuit-id: charge utile de la sous-option ID de circuit de l’agent.

  • remote-id: charge utile de la sous-option ID à distance de l’agent.

  • Both circuit-id and remote-id: charges utiles des deux sous-options, au format : circuit-id[delimiter]remote-id.

  • Ni l’un ni l’autre circuit-id remote-id: la charge utile brute de l’option 82 de la PDU est concaténée au nom d’utilisateur.

  Remarque :

  Pour l’agent de relais DHCP, la valeur de l’option 82 utilisée pour créer le nom d’utilisateur est basée sur la valeur de l’option 82 qui est codée dans la PDU sortante (relayée).

• relay-agent-interface-id: l’option ID d’interface (option 18). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• relay-agent-remote-id: l’option ID à distance de l’agent de relais DHCPv6 (option 37). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• relay-agent-subscriber-id: (sur les routeurs uniquement) L’option ID d’abonné de l’agent de relais DHCPv6 (option 38). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• routing-instance-name: nom de l’instance de routage, si l’interface de réception se trouve dans une instance de routage.

• user-prefix: chaîne indiquant le préfixe utilisateur.

• vlan-tags: les balises VLAN de l’abonné. Comprend la balise VLAN externe et, le cas échéant, la balise VLAN interne. Vous pouvez utiliser cette option à la place de l’option interface-name lorsque la balise VLAN externe est unique dans le système et que vous n’avez pas besoin que le nom de l’interface physique sous-jacente fasse partie du format.

Pour les clients DHCPv6, étant donné que le format de paquet DHCPv6 n’a pas de champ spécifique pour l’adresse MAC du client, l’adresse MAC est dérivée de plusieurs sources avec la priorité suivante :

• DUID client de type 1 ou 3.

• Option 79 (adresse de la couche liaison client), si elle existe.

• Adresse source du paquet si le client est directement connecté.

• L’adresse locale du lien.

Le routeur (commutateur) crée le nom d’utilisateur unique en incluant les informations supplémentaires spécifiées dans l’ordre suivant, avec les champs séparés par un délimiteur.

Pour le serveur local DHCP et l’agent de relais DHCP :

Pour le serveur local DHCPv6 :

Pour configurer l’authentification au niveau du serveur local DHCP, du serveur local DHCPv6, de l’agent de relais DHCP et de l’agent de relais DHCPv6.