Autenticación de cliente DHCP con un servicio de autenticación AAA externo

Incluya la authentication instrucción en los niveles de jerarquía indicados en la tabla 1. Puede configurar la compatibilidad de autenticación global o específica para grupos.

Tabla 1: Niveles de jerarquía compatibles con la autenticación

Nivel de jerarquía compatible	Nivel de jerarquía
Servidor local DHCP	[edit system services dhcp-local-server]
Agente de retransmisión DHCP	[edit forwarding-options dhcp-relay]
Servidor local DHCPv6	[edit system services dhcp-local-server dhcpv6]
Agente de retransmisión DHCPv6	[edit forwarding-options dhcp-relay dhcpv6]

Puede configurar la aplicación DHCP extendida para incluir información adicional en el nombre de usuario que se pasa al servicio de autenticación AAA externo cuando el cliente DHCP inicia sesión. Esta información adicional le permite crear nombres de usuario que identifiquen de forma única a los suscriptores (clientes DHCP).

Para configurar nombres de usuario únicos, utilice la username-include instrucción. Puede incluir todas o todas las instrucciones adicionales.

Nota:

Si no incluye un nombre de usuario en la configuración de autenticación, el enrutador (o conmutador) no realiza la autenticación; sin embargo, la dirección IP la proporciona el grupo local si está configurada.

Cuando utilice el servidor local DHCPv6, debe configurar la autenticación y el nombre de usuario del cliente; de lo contrario, se produce un error en el inicio de sesión del cliente.

La siguiente lista describe la información opcional que puede incluir como parte del nombre de usuario:

• circuit-type— El tipo de circuito utilizado por el cliente DHCP, por ejemplo enet.

• client-id— La opción de identificador de cliente (opción 1). (Solo agente de retransmisión DHCPv6 del servidor local DHCPv6)

• delimiter— El carácter de delimitador que separa los componentes que componen el nombre de usuario concatenado. El delimitador predeterminado es un punto (.). El punto y coma (;) no se admite como carácter delimitador.

• domain-name— El nombre de dominio del cliente como cadena. El enrutador agrega el @ delimitador al nombre de usuario.

• interface-description— La descripción de la interfaz del dispositivo (física) o la interfaz lógica.

• interface-name— El nombre de la interfaz, incluido el dispositivo de interfaz y los identificadores de VLAN asociados.

• logical-system-name— El nombre del sistema lógico, si la interfaz de recepción está en un sistema lógico.

• mac-address— La dirección MAC del cliente, en una cadena del formato xxxx.xxxx.xxxx.

• option-60— La parte de la carga de la opción 60 que sigue el campo de longitud. (No compatible con el servidor local DHCPv6)

• option-82 <circuit-id> <remote-id>— El contenido especificado de la carga de la opción 82. (No compatible con el servidor local DHCPv6)

  • circuit-id— La carga de la subopción ID de circuito de agente.

  • remote-id— La carga de la subopción Agent Remote ID.

  • Ambas circuit-id y remote-id—Las cargas de ambas subopciones, en el formato: circuit-id[delimiter]remote-id.

  • Tampoco circuit-id o remote-id—La carga bruta de la opción 82 de la PDU se concatena al nombre de usuario.

  Nota:

  Para el agente de retransmisión DHCP, el valor de la opción 82 que se usa al crear el nombre de usuario se basa en el valor de opción 82 que está codificado en la PDU de salida (retransmitida).

• relay-agent-interface-id—La opción ID de interfaz (opción 18). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• relay-agent-remote-id—La opción id. remota del agente de retransmisión DHCPv6 (opción 37). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• relay-agent-subscriber-id—(Solo en enrutadores) La opción ID de suscriptor del agente de retransmisión DHCPv6 (opción 38). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• routing-instance-name— El nombre de la instancia de enrutamiento, si la interfaz receptora se encuentra en una instancia de enrutamiento.

• user-prefix— Una cadena que indica el prefijo del usuario.

• vlan-tags— Las etiquetas VLAN del suscriptor. Incluye la etiqueta VLAN externa y, si está presente, la etiqueta VLAN interna. Puede usar esta opción en lugar de la interface-name opción cuando la etiqueta VLAN externa es única en todo el sistema y no necesita que el nombre de interfaz física subyacente forme parte del formato.

En el caso de los clientes DHCPv6, dado que el formato de paquete DHCPv6 no tiene ningún campo específico para la dirección MAC del cliente, la dirección MAC se deriva de entre varias fuentes con la siguiente prioridad:

• DUID del cliente tipo 1 o tipo 3.

• Opción 79 (dirección de capa de vínculo del cliente), si está presente.

• La dirección de origen del paquete si el cliente está conectado directamente.

• La dirección local del vínculo.

El enrutador (conmutador) crea el nombre de usuario único incluyendo la información adicional especificada en el siguiente orden, con los campos separados por un delimitador.

Para el servidor local DHCP y el agente de retransmisión DHCP:

Para el servidor local DHCPv6:

Para configurar la autenticación en los niveles de servidor local DHCP, servidor local DHCPv6, agente de retransmisión DHCP y agente de retransmisión DHCPv6.