前面我們針對DHCP OPTION 82的情況作了基本的介紹。包括它的基本概念以及相關(guān)的一些功能以及作用。這里我們再來看看Option 82的工作原理。在DHCP中繼代理（交換機）支持DHCP OPTION 82的情況下，DHCP客戶端通過DHCP中繼從DHCP服務(wù)器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認四個階段。這時DHCP協(xié)議按如下過程進行：

1）DHCP客戶端在初始化時廣播發(fā)送請求報文，這時的請求報文并不包含option 82選項。

2）DHCP中繼代理將option 82選項添加到接收到的請求報文尾部后中繼轉(zhuǎn)發(fā)給DHCP服務(wù)器。DHCP OPTION 82選項的子選項1（代理電路ID）默認是DHCP客戶端所連接的交換機的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option 82選項的子選項2（代理遠程ID）是DHCP中繼設(shè)備本身的MAC地址。

3）DHCP服務(wù)器收到DHCP中繼設(shè)備轉(zhuǎn)發(fā)的DHCP請求報文后，根據(jù)報文中option選項所攜帶的信息和預定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option 82信息的應(yīng)答報文發(fā)給DHCP中繼代理。

4）DHCP中繼代理收到DHCP服務(wù)器的應(yīng)答報文后將剝離報文中的option 82信息，然后將帶有DHCP配置信息的報文轉(zhuǎn)發(fā)給DHCP客戶端。

基于Option82的802.1X認證

基于DHCP OPTION 82的DOT1X認證，一般用于在用戶使用DHCP方式獲取地址的環(huán)境中，需要支持基于OPTION82進行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態(tài)，只能訪問DHCP SERVER；用戶在獲取地址之后處于安全狀態(tài)，接入交換機轉(zhuǎn)發(fā)該用戶的IP和ARP報文；用戶在認證前后能夠獲得不同地址，通過在接入交換機上聯(lián)的匯聚交換機上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認證前后用戶的訪問權(quán)限。

為了使DHCP用戶在認證前后能夠獲得不同（網(wǎng)段）的地址，DCN交換機利用了DHCP OPTION82和DHCP Snooping技術(shù)。DHCP報文中的82選項一般由DHCP中繼代理在中繼DHCP報文時附加，在DCN交換機擴展了這一功能，允許DHCP SNOOPING在監(jiān)聽DHCP報文時附加OPTION82信息，OPTION82的內(nèi)容在DHCP用戶認證之前由DHCP SNOOPING添加一個默認值，如果用戶在獲取地址成功后并且認證通過，則神州數(shù)碼802.1X認證服務(wù)器后臺會下發(fā)該用戶的OPTION82信息到交換機，同時DOT1X 客戶端會重新申請一次地址，DHCP SNOOPING在監(jiān)聽DHCP報文時附加用戶認證后的OPTION82信息，DHCP SERVER會根據(jù)這個OPTION82信息給用戶分配另一個地址。由于用戶在認證前后地址不同，則可以在接入交換機上聯(lián)的匯聚交換機上進行基于源IP的ACL配置，來控制用戶的訪問權(quán)限。