之前的文章中，我們講解過(guò)關(guān)于DHCP代理的內(nèi)容，那么這里我們主要講解一下DHCP OPTION 82的基本原理。那么這里我們?cè)賮?lái)針對(duì)它的實(shí)際應(yīng)用案例進(jìn)行一下講解。首先看一下場(chǎng)景實(shí)現(xiàn)的訪問(wèn)者可以訪問(wèn)外網(wǎng)，但是不能訪問(wèn)內(nèi)網(wǎng)的情況。

如上圖所示，我們將詳細(xì)敘述如何通過(guò)神州數(shù)碼交換機(jī)DHCP OPTION 82功能，實(shí)現(xiàn)接入PC不能訪問(wèn)內(nèi)網(wǎng)，但是可以訪問(wèn)外網(wǎng)的應(yīng)用場(chǎng)景：

1、內(nèi)網(wǎng)合法用戶使用10.1.0.0/255.255.0.0地址段，而對(duì)于臨時(shí)接入者通過(guò)DHCP服務(wù)器分配192.168.2.0/255.255.255.0地址段；

2、臨時(shí)接入終端通過(guò)交換機(jī)向DHCP服務(wù)器申請(qǐng)IP地址（如圖為：192.168.2.2），如上圖紅線步驟。DHCP接入交換機(jī)啟用基于OPTION82的DOT1X認(rèn)證功能，在OPTION82插入默認(rèn)值。DHCP服務(wù)器以此認(rèn)定終端沒有通過(guò)認(rèn)證，屬于臨時(shí)接入者。

3、臨時(shí)接入終端獲得192.168.2.0/24地址段地址，可以在匯聚交換機(jī)配置ACL，控制192.168.2.0/24對(duì)內(nèi)網(wǎng)的訪問(wèn)，使得192.168.2.0/24地址段不能訪問(wèn)內(nèi)網(wǎng)資源，但是可以訪問(wèn)外網(wǎng)，如上圖綠線所示。

注：此時(shí)來(lái)訪者不需要安裝802.1x客戶端程序。

內(nèi)部員工可以訪問(wèn)內(nèi)外網(wǎng)

如上圖所示，當(dāng)內(nèi)部使用者接入網(wǎng)絡(luò)：

1、首先在終端認(rèn)證前可以向DHCP服務(wù)器申請(qǐng)IP地址，接入交換機(jī)switch1通過(guò)DHCP SNOOPING 在DHCP請(qǐng)求報(bào)文添加默認(rèn)值，再轉(zhuǎn)發(fā)到DHCP Server。DHCP Server根據(jù)OPTION82中的字段為默認(rèn)值(unauth)，判定主機(jī)沒有經(jīng)過(guò)認(rèn)證，向終端分配IP地址：192.168.2.3。這個(gè)過(guò)程和臨時(shí)訪問(wèn)者完全一樣。

2、終端通過(guò)802.1X客戶端程序向認(rèn)證服務(wù)器，發(fā)起認(rèn)證，如圖線條①所示；

3、如果認(rèn)證沒有通過(guò)，認(rèn)證服務(wù)器不會(huì)發(fā)出任何報(bào)文，終端的狀態(tài)，包括IP地址不變。

4、如果認(rèn)證通過(guò)，認(rèn)證服務(wù)器會(huì)下發(fā)該用戶的DHCP OPTION 82到SWITCH1，并激發(fā)用戶的認(rèn)證客戶端發(fā)起第二次IP地址申請(qǐng)，如圖線條②；

5、認(rèn)證客戶端發(fā)起第二次IP地址請(qǐng)求，當(dāng)DHCP請(qǐng)求報(bào)文通過(guò)SWITCH1，DHCP SNOOPING在監(jiān)聽DHCP報(bào)文時(shí)附加用戶認(rèn)證后的OPTION82信息，如圖線條③所示；

6、DHCP SERVER會(huì)根據(jù)這個(gè)OPTION82信息給用戶分配另一個(gè)地址：10.1.2.2。如圖線條④所示，該IP地址就可以同時(shí)訪問(wèn)內(nèi)外網(wǎng)。