Authentification du client DHCP avec un service d’authentification AAA externe

Incluez l’énoncé aux niveaux hiérarchiques indiqués dans le authentication tableau 1. Vous pouvez configurer la prise en charge de l’authentification globale ou la prise en charge spécifique à un groupe.

Tableau 1 : Niveaux hiérarchiques pris en charge pour la prise en charge de l’authentification

Niveau hiérarchique pris en charge	Niveau hiérarchique
Serveur local DHCP	[edit system services dhcp-local-server]
Agent de relais DHCP	[edit forwarding-options dhcp-relay]
Serveur local DHCPv6	[edit system services dhcp-local-server dhcpv6]
Agent de relais DHCPv6	[edit forwarding-options dhcp-relay dhcpv6]

Vous pouvez configurer l’application DHCP étendue pour inclure des informations supplémentaires dans le nom d’utilisateur transmis au service d’authentification AAA externe lorsque le client DHCP se connecte. Ces informations supplémentaires vous permettent de créer des noms d’utilisateur qui identifient de manière unique les abonnés (clients DHCP).

Pour configurer des noms d’utilisateur uniques, utilisez l’instruction username-include . Vous pouvez inclure tout ou partie des déclarations supplémentaires.

Note:

Si vous n’incluez pas de nom d’utilisateur dans la configuration d’authentification, le routeur (ou le commutateur) n’effectue pas d’authentification ; Toutefois, l’adresse IP est fournie par le pool local s’il est configuré.

Lorsque vous utilisez le serveur local DHCPv6, vous devez configurer l’authentification et le nom d’utilisateur du client. sinon, la connexion client échoue.

La liste suivante décrit les informations facultatives que vous pouvez inclure dans le nom d’utilisateur :

• circuit-type: type de circuit utilisé par le client DHCP, par exemple enet.

• client-id: option d’identificateur de client (option 1). (serveur local DHCPv6, agent de relais DHCPv6 uniquement)

• delimiter: caractère de délimitation qui sépare les composants qui composent le nom d’utilisateur concaténé. Le délimiteur par défaut est un point (.). Le point-virgule (;) n’est pas pris en charge comme caractère délimiteur.

• domain-name: nom de domaine du client sous forme de chaîne. Le routeur ajoute le délimiteur @ au nom d’utilisateur.

• interface-description: description de l’interface (physique) du périphérique ou de l’interface logique.

• interface-name: nom de l’interface, y compris le périphérique d’interface et les ID de VLAN associés.

• logical-system-name: nom du système logique, si l’interface de réception se trouve dans un système logique.

• mac-address: adresse MAC du client, dans une chaîne au format xxxx.xxxx.xxxx.

• option-60: partie de la charge utile de l’option 60 qui suit le champ de longueur. (Non pris en charge pour le serveur local DHCPv6)

• option-82 <circuit-id> <remote-id>: contenu spécifié de la charge utile de l’option 82. (Non pris en charge pour le serveur local DHCPv6)

  • circuit-id: charge utile de la sous-option ID de circuit de l’agent.

  • remote-id: charge utile de la sous-option Agent Remote ID (ID distant de l’agent).

  • Both circuit-id et remote-id—Les charges utiles des deux sous-options, au format : circuit-id[delimiter]remote-id.

  • Ni l’un ni l’autre circuit-id : remote-idla charge utile brute de l’option 82 de la PDU est concaténée au nom d’utilisateur.

  Note:

  Pour l’agent de relais DHCP, la valeur de l’option 82 utilisée pour créer le nom d’utilisateur est basée sur la valeur de l’option 82 qui est codée dans la PDU sortante (relayée).

• relay-agent-interface-id: option Interface-ID (option 18). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• relay-agent-remote-id: option DHCPv6 Relay Agent Remote-ID (option 37). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• relay-agent-subscriber-id—(Sur les routeurs uniquement) L’option DHCPv6 Relay Agent Subscriber-ID (option 38). (serveur local DHCPv6 ou agent de relais DHCPv6 uniquement)

• routing-instance-name: nom de l’instance de routage, si l’interface de réception se trouve dans une instance de routage.

• user-prefix: chaîne indiquant le préfixe utilisateur.

• vlan-tags: balises VLAN abonnées. Inclut la balise VLAN externe et, le cas échéant, la balise VLAN interne. Vous pouvez utiliser cette option à la place de l’option interface-name lorsque la balise VLAN externe est unique sur l’ensemble du système et que vous n’avez pas besoin du nom d’interface physique sous-jacente pour faire partie du format.

Pour les clients DHCPv6, étant donné que le format de paquet DHCPv6 n’a pas de champ spécifique pour l’adresse MAC du client, l’adresse MAC est dérivée de plusieurs sources avec la priorité suivante :

• DUID client de type 1 ou de type 3.

• Option 79 (adresse de couche liaison client), le cas échéant.

• L’adresse source du paquet si le client est directement connecté.

• L’adresse locale du lien.

Le routeur (commutateur) crée le nom d’utilisateur unique en incluant les informations supplémentaires spécifiées dans l’ordre suivant, les champs étant séparés par un délimiteur.

Pour le serveur local DHCP et l’agent de relais DHCP :

Pour le serveur local DHCPv6 :

Pour configurer l’authentification au niveau du serveur local DHCP, du serveur local DHCPv6, de l’agent de relais DHCP et de l’agent de relais DHCPv6.