Autenticación de cliente DHCP con un servicio de autenticación AAA externo

Incluya la instrucción en los niveles de jerarquía dados en la authentication Tabla 1. Puede configurar la compatibilidad con la autenticación global o la compatibilidad con grupos específicos.

Tabla 1: Niveles de jerarquía admitidos para la compatibilidad con autenticación

Nivel de jerarquía admitido	Nivel jerárquico
Servidor local DHCP	[edit system services dhcp-local-server]
Agente de retransmisión DHCP	[edit forwarding-options dhcp-relay]
Servidor local DHCPv6	[edit system services dhcp-local-server dhcpv6]
Agente de retransmisión DHCPv6	[edit forwarding-options dhcp-relay dhcpv6]

Puede configurar la aplicación DHCP extendida para que incluya información adicional en el nombre de usuario que se pasa al servicio de autenticación AAA externo cuando el cliente DHCP inicia sesión. Esta información adicional le permite crear nombres de usuario que identifican de forma exclusiva a los suscriptores (clientes DHCP).

Para configurar nombres de usuario únicos, utilice la username-include instrucción. Puede incluir cualquiera o todas las instrucciones adicionales.

Nota:

Si no incluye un nombre de usuario en la configuración de autenticación, el enrutador (o conmutador) no lleva a cabo la autenticación; sin embargo, la dirección IP la proporciona el grupo local si está configurado.

Cuando use el servidor local DHCPv6, debe configurar la autenticación y el nombre de usuario del cliente; de lo contrario, se produce un error en el inicio de sesión del cliente.

En la siguiente lista se describe la información opcional que puede incluir como parte del nombre de usuario:

• circuit-type: el tipo de circuito utilizado por el cliente DHCP, por ejemplo enet.

• client-id: la opción de identificador de cliente (opción 1). (Solo agente de retransmisión DHCPv6, servidor local DHCPv6)

• delimiter: el carácter delimitador que separa los componentes que forman el nombre de usuario concatenado. El delimitador predeterminado es un punto (.). El punto y coma (;) no se admite como carácter delimitador.

• domain-name: el nombre de dominio del cliente como una cadena. El enrutador agrega el delimitador @ al nombre de usuario.

• interface-description: la descripción de la interfaz del dispositivo (física) o de la interfaz lógica.

• interface-name: el nombre de la interfaz, incluido el dispositivo de interfaz y los ID de VLAN asociados.

• logical-system-name: el nombre del sistema lógico, si la interfaz receptora está en un sistema lógico.

• mac-address: la dirección MAC del cliente, en una cadena con el formato xxxx.xxxx.xxxx.

• option-60: la parte de la carga útil de la opción 60 que sigue al campo de longitud. (No compatible con el servidor local DHCPv6)

• option-82 <circuit-id> <remote-id>: el contenido especificado de la carga útil de la opción 82. (No compatible con el servidor local DHCPv6)

  • circuit-id: la carga útil de la subopción ID de circuito del agente.

  • remote-id: la carga útil de la subopción ID remoto del agente.

  • Both circuit-id y remote-id—Las cargas de ambas subopciones, en el formato: circuit-id[delimiter]remote-id.

  • Ni circuit-id o remote-id: la carga sin procesar de la opción 82 de la PDU se concatena con el nombre de usuario.

  Nota:

  Para el agente de retransmisión DHCP, el valor de la opción 82 que se usa para crear el nombre de usuario se basa en el valor de la opción 82 codificado en la PDU saliente (retransmitida).

• relay-agent-interface-id: la opción ID de interfaz (opción 18). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• relay-agent-remote-id: la opción ID remoto del agente de retransmisión DHCPv6 (opción 37). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• relay-agent-subscriber-id: (Solo en enrutadores) La opción ID de suscriptor del agente de retransmisión DHCPv6 (opción 38). (Solo servidor local DHCPv6 o agente de retransmisión DHCPv6)

• routing-instance-name: el nombre de la instancia de enrutamiento, si la interfaz receptora se encuentra en una instancia de enrutamiento.

• user-prefix: una cadena que indica el prefijo del usuario.

• vlan-tags: las etiquetas VLAN del suscriptor. Incluye la etiqueta VLAN externa y, si está presente, la etiqueta VLAN interna. Puede utilizar esta opción en lugar de la interface-name opción cuando la etiqueta VLAN externa sea única en todo el sistema y no necesite que el nombre de interfaz física subyacente forme parte del formato.

En el caso de los clientes DHCPv6, dado que el formato de paquete DHCPv6 no tiene un campo específico para la dirección MAC del cliente, la dirección MAC se deriva de entre varios orígenes con la siguiente prioridad:

• DUID de cliente tipo 1 o tipo 3.

• Opción 79 (dirección de capa de vínculo del cliente), si está presente.

• La dirección de origen del paquete si el cliente está conectado directamente.

• La dirección local del vínculo.

El enrutador (conmutador) crea el nombre de usuario único incluyendo la información adicional especificada en el orden siguiente, con los campos separados por un delimitador.

Para el servidor local DHCP y el agente de retransmisión DHCP:

Para el servidor local DHCPv6:

Para configurar la autenticación en los niveles de servidor local DHCP, servidor local DHCPv6, agente de retransmisión DHCP y agente de retransmisión DHCPv6.