外部 AAA 認証サービスによる DHCP クライアント認証
認証サポートの指定
表 1 に示す階層レベルに ステートメントをauthentication含めます。グローバル認証サポートまたはグループ固有のサポートのいずれかを設定できます。
サポートされている階層レベル |
階層レベル |
|---|---|
DHCP ローカル サーバー |
|
DHCP リレー エージェント |
|
DHCPv6 ローカル サーバー |
|
DHCPv6リレーエージェント |
|
DHCP クライアントの一意のユーザー名の作成
拡張 DHCP アプリケーションを設定して、DHCP クライアントがログインするときに外部 AAA 認証サービスに渡される追加情報をユーザー名に含めることができます。この追加情報により、加入者を一意に識別するユーザー名(DHCP クライアント)を作成できます。
一意のユーザー名を設定するには、 ステートメントを username-include 使用します。追加のステートメントの一部またはすべてを含めることができます。
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
認証設定にユーザー名を含めなかった場合、ルーター(またはスイッチ)は認証を実行しません。ただし、IP アドレスは、構成されている場合はローカル プールによって提供されます。
DHCPv6 ローカル サーバーを使用する場合、認証とクライアント ユーザー名を設定する必要があります。それ以外の場合、クライアントログインは失敗します。
以下のリストでは、ユーザー名の一部として含めることができるオプション情報について説明します。
circuit-type—例えばenet、DHCP クライアントが使用する回線タイプ。client-id—クライアント識別子オプション(オプション 1)。(DHCPv6ローカルサーバーDHCPv6リレーエージェントのみ)delimiter— 連結されたユーザー名を構成するコンポーネントを区切る区切り文字。デフォルトの区切り文字はピリオド(.)です。セミコロン(;)は、区切り文字としてサポートされていません。domain-name—クライアントドメイン名を文字列として使用します。ルーターは、 @ 区切り文字をユーザー名に追加します。interface-description—デバイス(物理)インターフェイスまたは論理インターフェイスの説明。interface-name— インターフェイスデバイスと関連するVLAN IDを含むインターフェイス名。logical-system-name- 受信インターフェイスが論理システムにある場合、論理システムの名前。mac-address—クライアント MAC アドレスを、形式xxxx.xxxx.xxxxの文字列で指定します。option-60- オプション 60 ペイロードの部分で、長さフィールドに続きます。(DHCPv6ローカルサーバーではサポートされていません)option-82 <circuit-id> <remote-id>オプション 82 ペイロードの指定された内容。(DHCPv6ローカルサーバーではサポートされていません)circuit-id—エージェント回線 ID サブオプションのペイロード。remote-id—エージェント リモート ID サブオプションのペイロード。と の両方
circuit-idのremote-idサブオプションのペイロード(形式:circuit-id[delimiter]remote-id.または
remote-idどちらの場合もcircuit-id、PDU からのオプション 82 の未加工のペイロードは、ユーザー名に連結されます。
メモ:DHCP リレー エージェントの場合、ユーザー名の作成に使用されるオプション 82 の値は、発信(リレー)PDU でエンコードされたオプション 82 値に基づいています。
relay-agent-interface-id—Interface-ID オプション(オプション 18)。(DHCPv6ローカルサーバーまたはDHCPv6リレーエージェントのみ)relay-agent-remote-id-DHCPv6リレーエージェントリモートIDオプション(オプション37)。(DHCPv6ローカルサーバーまたはDHCPv6リレーエージェントのみ)relay-agent-subscriber-id—(ルーターのみ)DHCPv6リレーエージェント加入者IDオプション(オプション38)。(DHCPv6ローカルサーバーまたはDHCPv6リレーエージェントのみ)routing-instance-name- 受信インターフェイスがルーティングインスタンスにある場合、ルーティングインスタンスの名前。user-prefix—ユーザープレフィックスを示す文字列。vlan-tags-加入者 VLAN タグ。外部 VLAN タグと、存在する場合は内部 VLAN タグが含まれます。外部 VLAN タグがシステム全体で一意で、基盤となる物理インターフェイス名を形式の一部にする必要がない場合は、 オプションの代わりにinterface-nameこのオプションを使用できます。
DHCPv6 クライアントの場合、DHCPv6 パケット形式にはクライアント MAC アドレスの特定のフィールドがないため、MAC アドレスは以下の優先度を持つ複数のソースから取得されます。
クライアント DUID タイプ 1 またはタイプ 3。
オプション79(クライアントリンクレイヤーアドレス)(存在する場合)。
クライアントが直接接続されている場合のパケット送信元アドレス。
リンクローカルアドレス。
ルーター(スイッチ)は、指定された追加情報を次の順序で含め、フィールドを区切り記号で区切って一意のユーザー名を作成します。
DHCP ローカル サーバーと DHCP リレー エージェントの場合:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
DHCPv6 ローカル サーバーの場合:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
外部認証サーバーを使用した DHCP の設定例
DHCPローカルサーバー、DHCPv6ローカルサーバー、DHCPリレーエージェント、DHCPv6リレーエージェントレベルで認証を設定します。
次の例では、一意のユーザー名を作成する設定例を示します。ユーザー名は、設定後に表示されます。
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
結果として得られる一意のユーザー名は次のとおりです。
wallybrown.2001:db8::/32.enet@example.com