외부 AAA 인증 서비스를 통한 DHCP 클라이언트 인증
인증 지원 지정
authentication 표 1에 제공된 계층 수준에서 문을 포함합니다. 전역 인증 지원 또는 그룹별 지원을 구성할 수 있습니다.
지원되는 계층 수준 |
계층 수준 |
|---|---|
DHCP 로컬 서버 |
|
DHCP 릴레이 에이전트 |
|
DHCPv6 로컬 서버 |
|
DHCPv6 릴레이 에이전트 |
|
DHCP 클라이언트에 대한 고유한 사용자 이름 생성
DHCP 클라이언트가 로그인할 때 외부 AAA 인증 서비스에 전달되는 사용자 이름에 추가 정보를 포함하도록 확장된 DHCP 애플리케이션을 구성할 수 있습니다. 이 추가 정보를 통해 가입자(DHCP 클라이언트)를 고유하게 식별하는 사용자 이름을 구성할 수 있습니다.
고유한 사용자 이름을 구성하려면 문을 사용합니다 username-include . 추가 명령문의 일부 또는 전부를 포함할 수 있습니다.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
인증 구성에 사용자 이름을 포함하지 않으면 라우터(또는 스위치)가 인증을 수행하지 않습니다. 그러나 IP 주소는 로컬 풀이 구성된 경우 로컬 풀에서 제공합니다.
DHCPv6 로컬 서버를 사용하는 경우 인증 및 클라이언트 사용자 이름을 구성해야 합니다. 그렇지 않으면 클라이언트 로그인이 실패합니다.
다음 목록에서는 사용자 이름의 일부로 포함할 수 있는 선택적 정보에 대해 설명합니다.
circuit-type- DHCP 클라이언트에서 사용하는 서킷 유형(예:enet).client-id- 클라이언트 식별자 옵션(옵션 1). (DHCPv6 로컬 서버, DHCPv6 릴레이 에이전트만 해당)delimiter- 연결된 사용자 이름을 구성하는 구성 요소를 구분하는 구분 기호 문자입니다. 기본 구분 기호는 마침표(.)입니다. 세미콜론(;)은 구분 기호 문자로 지원되지 않습니다.domain-name- 문자열로 된 클라이언트 도메인 이름. 라우터는 사용자 이름에 @ 구분 기호를 추가합니다.interface-description- 디바이스(물리적) 인터페이스 또는 논리적 인터페이스에 대한 설명입니다.interface-name- 인터페이스 디바이스 및 관련 VLAN ID를 포함한 인터페이스 이름.logical-system-name- 수신 인터페이스가 논리적 시스템에 있는 경우 논리적 시스템의 이름입니다.mac-address- 형식의xxxx.xxxx.xxxx문자열로 된 클라이언트 MAC 주소입니다.option-60- 옵션 60 페이로드에서 길이 필드 뒤에 오는 부분입니다. (DHCPv6 로컬 서버에는 지원되지 않음)option-82 <circuit-id> <remote-id>- 옵션 82 페이로드의 지정된 내용. (DHCPv6 로컬 서버에는 지원되지 않음)circuit-id- 에이전트 서킷 ID 서브옵션의 페이로드입니다.remote-id- Agent Remote ID 서브옵션의 페이로드입니다.및
remote-id모두circuit-id- 두 하위 옵션의 페이로드(형식:circuit-id[delimiter]remote-id)입니다.또는
remote-id둘 다 아님circuit-id- PDU에서 옵션 82의 원시 페이로드가 사용자 이름에 연결됩니다.
메모:DHCP 릴레이 에이전트의 경우, 사용자 이름 생성에 사용되는 옵션 82 값은 발신(릴레이) PDU에서 인코딩된 옵션 82 값을 기반으로 합니다.
relay-agent-interface-id- Interface-ID 옵션(옵션 18) (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)relay-agent-remote-id- DHCPv6 릴레이 에이전트 원격 ID 옵션(옵션 37). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)relay-agent-subscriber-id—(라우터에서만) DHCPv6 릴레이 에이전트 가입자 ID 옵션(옵션 38). (DHCPv6 로컬 서버 또는 DHCPv6 릴레이 에이전트만 해당)routing-instance-name- 수신 인터페이스가 라우팅 인스턴스에 있는 경우 라우팅 인스턴스의 이름입니다.user-prefix- 사용자 접두사를 나타내는 문자열입니다.vlan-tags- 가입자 VLAN 태그입니다. 외부 VLAN 태그 및 내부 VLAN 태그(있는 경우)를 포함합니다. 외부 VLAN 태그가 시스템 전체에서 고유하고 기본 물리적 인터페이스 이름이 형식의 일부가 될 필요가 없는 경우 옵션 대신interface-name이 옵션을 사용할 수 있습니다.
DHCPv6 클라이언트의 경우 DHCPv6 패킷 형식에는 클라이언트 MAC 주소에 대한 특정 필드가 없기 때문에 MAC 주소는 다음과 같은 우선 순위를 가진 여러 소스 중에서 파생됩니다.
클라이언트 DUID 유형 1 또는 유형 3.
옵션 79(클라이언트 링크 레이어 주소)(있는 경우).
클라이언트가 직접 연결된 경우 패킷 소스 주소입니다.
링크 로컬 주소입니다.
라우터(스위치)는 구분 기호로 구분된 필드와 함께 다음 순서로 지정된 추가 정보를 포함하여 고유한 사용자 이름을 생성합니다.
DHCP 로컬 서버 및 DHCP 릴레이 에이전트의 경우:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
DHCPv6 로컬 서버의 경우:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
예-외부 인증 서버를 사용하여 DHCP 구성
DHCP 로컬 서버, DHCPv6 로컬 서버, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트 수준에서 인증을 구성합니다.
다음 예는 고유한 사용자 이름을 생성하는 샘플 구성을 보여줍니다. 사용자 이름은 구성 뒤에 표시됩니다.
authentication {
username-include {
circuit-type;
domain-name example.com;
mac-address 2001:db8::/32;
user-prefix wallybrown;
}
}
결과 고유 사용자 이름은 다음과 같습니다.
wallybrown.2001:db8::/32.enet@example.com