Autenticación de cliente DHCP con un servicio de autenticación AAA externo
Especificación de la compatibilidad con autenticación
Incluya la declaración en los niveles jerárquicos que figuran en la authentication
Tabla 1. Puede configurar la compatibilidad con autenticación global o con compatibilidad específica de grupo.
Nivel de jerarquía admitido |
Nivel jerárquico |
---|---|
Servidor local DHCP |
|
Agente de retransmisión DHCP |
|
Servidor local DHCPv6 |
|
Agente de retransmisión DHCPv6 |
|
Creación de nombres de usuario únicos para clientes DHCP
Puede configurar la aplicación DHCP extendida para que incluya información adicional en el nombre de usuario que se pasa al servicio de autenticación AAA externo cuando el cliente DHCP inicia sesión. Esta información adicional le permite crear nombres de usuario que identifiquen de forma exclusiva a los suscriptores (clientes DHCP).
Para configurar nombres de usuario únicos, utilice la username-include
instrucción. Puede incluir cualquiera o todas las declaraciones adicionales.
authentication { username-include { circuit-type; client-id <exclude-headers> <use-automatic-ascii-hex-encoding>; delimiter delimiter-character; domain-name domain-name-string; interface-description (device-interface | logical-interface); interface-name; logical-system-name; mac-address; option-60; option-82 <circuit-id> <remote-id>; routing-instance-name; user-prefix user-prefix-string; } }
Si no incluye un nombre de usuario en la configuración de autenticación, el enrutador (o conmutador) no realiza la autenticación; sin embargo, el grupo local proporciona la dirección IP si está configurada.
Cuando utilice el servidor local DHCPv6, debe configurar la autenticación y el nombre de usuario del cliente; de lo contrario, se producirá un error en el inicio de sesión del cliente.
En la lista siguiente se describe la información opcional que puede incluir como parte del nombre de usuario:
circuit-type
: el tipo de circuito utilizado por el cliente DHCP, por ejemploenet
.client-id
: la opción identificador de cliente (opción 1). (Solo agente de retransmisión DHCPv6 del servidor local DHCPv6)delimiter
: carácter delimitador que separa los componentes que componen el nombre de usuario concatenado. El delimitador predeterminado es un punto (.). El punto y coma (;) no se admite como carácter delimitador.domain-name
: el nombre de dominio del cliente como una cadena. El enrutador agrega el delimitador @ al nombre de usuario.interface-description
: la descripción de la interfaz (física) del dispositivo o de la interfaz lógica.interface-name
: el nombre de la interfaz, incluido el dispositivo de interfaz y los ID de VLAN asociados.logical-system-name
: el nombre del sistema lógico, si la interfaz receptora está en un sistema lógico.mac-address
: la dirección MAC del cliente, en una cadena con el formatoxxxx.xxxx.xxxx
.option-60
: la parte de la carga de la opción 60 que sigue al campo de longitud. (No compatible con el servidor local DHCPv6)option-82 <circuit-id> <remote-id>
: el contenido especificado de la carga de la opción 82. (No compatible con el servidor local DHCPv6)circuit-id
: la carga útil de la subopción ID de circuito del agente.remote-id
: la carga útil de la subopción ID remoto del agente.Ambos
circuit-id
yremote-id
—Las cargas de ambas subopciones, en el formato:circuit-id[delimiter]remote-id
.Ninguno
circuit-id
oremote-id
—La carga sin procesar de la opción 82 de la PDU se concatena al nombre de usuario.
Nota:Para el agente de retransmisión DHCP, el valor de la opción 82 utilizado para crear el nombre de usuario se basa en el valor de la opción 82 que está codificado en la PDU saliente (retransmitida).
relay-agent-interface-id
: opción ID de interfaz (opción 18). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)relay-agent-remote-id
: opción de ID remoto del agente de retransmisión DHCPv6 (opción 37). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)relay-agent-subscriber-id
—(Solo en enrutadores) La opción ID de suscriptor del agente de retransmisión DHCPv6 (opción 38). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)routing-instance-name
: el nombre de la instancia de enrutamiento, si la interfaz receptora se encuentra en una instancia de enrutamiento.user-prefix
: una cadena que indica el prefijo de usuario.vlan-tags
: las etiquetas VLAN del suscriptor. Incluye la etiqueta VLAN externa y, si está presente, la etiqueta VLAN interna. Puede usar esta opción en lugar de lainterface-name
opción cuando la etiqueta VLAN externa es única en todo el sistema y no necesita que el nombre de interfaz física subyacente forme parte del formato.
Para los clientes DHCPv6, dado que el formato de paquete DHCPv6 no tiene un campo específico para la dirección MAC del cliente, la dirección MAC se deriva de entre varios orígenes con la siguiente prioridad:
DUID de cliente tipo 1 o tipo 3.
Opción 79 (dirección de la capa de vínculo del cliente), si existe.
La dirección de origen del paquete si el cliente está conectado directamente.
La dirección local del vínculo.
El enrutador (conmutador) crea el nombre de usuario único al incluir la información adicional especificada en el siguiente orden, con los campos separados por un delimitador.
Para el servidor local DHCP y el agente de retransmisión DHCP:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]option-82[delimiter]option-60@domain-name
Para el servidor local DHCPv6:
user-prefix[delimiter]mac-address[delimiter]logical-system-name[delimiter]routing-instance-name[delimiter]circuit-type[delimiter]interface-name[delimiter]relay-agent-remote-id[delimiter]relay-agent-subscriber-id[delimiter]relay-agent-interface-id[delimiter]client-id@domain-name
Ejemplo: configuración de DHCP con un servidor de autenticación externo
Para configurar la autenticación en los niveles de servidor local DHCP, servidor local DHCPv6, agente de retransmisión DHCP y agente de retransmisión DHCPv6.
En el ejemplo siguiente se muestra una configuración de ejemplo que crea un nombre de usuario único. El nombre de usuario se muestra después de la configuración.
authentication { username-include { circuit-type; domain-name example.com; mac-address 2001:db8::/32; user-prefix wallybrown; } }
El nombre de usuario único resultante es:
wallybrown.2001:db8::/32.enet@example.com