在DHCP協(xié)議的內(nèi)容中，我們會經(jīng)常見到中繼代理的問題。這里我們就來詳細(xì)講解一下DHCP option 82(中繼代理信息選項(xiàng)82)的內(nèi)容。那么在該場景下，臨時接入者可以在不安裝認(rèn)證客戶端的情況下，直接訪問Internet資源，但是不能訪問學(xué)校、企業(yè)、政府單位的內(nèi)網(wǎng)，適用于各種會務(wù)、學(xué)術(shù)交流、臨時參觀等應(yīng)用場景，正式員工可以在會議區(qū)通過認(rèn)證接入到內(nèi)網(wǎng)。為了實(shí)現(xiàn)該場景，我們首先要對神州數(shù)碼網(wǎng)絡(luò)交換機(jī)產(chǎn)品的DHCP Option82功能進(jìn)行描述。

Option82應(yīng)用場景

Option82功能介紹

DHCP option 82是為了增強(qiáng)DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項(xiàng)。通過在網(wǎng)絡(luò)接入設(shè)備上配置DHCP中繼代理功能，中繼代理把從客戶端接收到的DHCP請求報文添加進(jìn)option 82選項(xiàng)（其中包含了客戶端的接入物理端口和接入設(shè)備標(biāo)識等信息），然后再把該報文轉(zhuǎn)發(fā)給DHCP服務(wù)器，支持option 82功能的DHCP服務(wù)器接收到報文后，根據(jù)預(yù)先配置策略和報文中option 82信息分配IP地址和其它配置信息給客戶端，同時DHCP服務(wù)器也可以依據(jù)option 82中的信息識別可能的DHCP攻擊報文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報文后，剝離其中的option 82選項(xiàng)并根據(jù)選項(xiàng)中的物理端口信息，把應(yīng)答報文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。

Option 82報文結(jié)構(gòu)

DHCP option 82又稱為DHCP中繼代理信息選項(xiàng)（Relay Agent Information Option），是DHCP報文中的一個選項(xiàng)，其編號為82。rfc3046定義了option 82，選項(xiàng)位置在option 255之前而在其它option之后。

Code：表示中繼代理信息選項(xiàng)的序號，rfc3046定義為82，option 82即由此得名。

Len：為代理信息域（Agent Information Field）的字節(jié)個數(shù)，不包括Code和Len字段的兩個字節(jié)。

Option 82可以由多個sub-option 組成，每個option 82選項(xiàng)至少要有一個子選項(xiàng)，rfc3046定義了以下兩個子選項(xiàng)，其格式如下圖所示：

SubOpt：為子選項(xiàng)編號，其中代理電路ID（即Circuit ID）子選項(xiàng)編號為1，代理遠(yuǎn)程ID（即 Remote ID）子選項(xiàng)編號為2。

Len：為Sub-option Value的字節(jié)個數(shù)，不包括SubOpt和Len字段的兩個字節(jié)。

option82子選項(xiàng)1：option82子選項(xiàng)1定義了代理電路ID（即Circuit ID），它表示接收到的DHCP請求報文來自的鏈路標(biāo)識，這個標(biāo)識只在中繼代理節(jié)點(diǎn)內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個不具含義的標(biāo)識使用。在本文實(shí)現(xiàn)中代理電路ID默認(rèn)是指接收到DHCP請求報文的接入交換機(jī)Vlan名加接入二層端口名稱，如Vlan2+Ethernet0/0/10，也可以由用戶指定自己的代理電路ID。通常子選項(xiàng)1與子選項(xiàng)2要共同使用來標(biāo)識DHCP客戶端的信息。

option82子選項(xiàng)2：option82子選項(xiàng)2定義了代理遠(yuǎn)程ID（即 Remote ID），在我司交換機(jī)實(shí)現(xiàn)中，代理遠(yuǎn)程ID是指接收到DHCP請求報文的接入交換機(jī)的vlan MAC地址。子選項(xiàng)2通常與子選項(xiàng)1共同使用來標(biāo)識DHCP客戶端的信息。

DHCP請求報文：指由DHCP客戶端發(fā)起的報文，希望DHCP服務(wù)器響應(yīng)后分配IP地址和其它配置信息。DHCP請求報文一般有四種，分別為DHCP_DISCOVER報文、DHCP_REQUEST報文、DHCP_RELEASE報文和DHCP_INFORM報文。中繼代理只針對DHCP請求報文添加option 82選項(xiàng)并轉(zhuǎn)發(fā)給服務(wù)器。本文實(shí)現(xiàn)的DHCP中繼對這四種請求報文都添加option 82選項(xiàng)。

DHCP應(yīng)答報文：指由DHCP服務(wù)器響應(yīng)客戶端發(fā)起的請求報文，包含配置信息或指示回應(yīng)結(jié)果的DHCP響應(yīng)報文，DHCP應(yīng)答報文一般有DHCP_OFFER報文，DHCP_DECLINE報文，DHCP_ACK報文和DHCP_NAK報文。