簡介
在DHCP協定的內容中,我們會經常見到中繼代理的問題。這裡我們就來詳細講解一下DHCP option 82(中繼代理信息選項82)的內容。那么在該場景下,臨時接入者可以在不安裝認證客戶端的情況下,直接訪問Internet資源,但是不能訪問學校、企業、政府單位的區域網路,適用於各種會務、學術交流、臨時參觀等套用場景,正式員工可以在會議區通過認證接入到區域網路。為了實現該場景,我們首先要對
神州數碼網路交換機產品的DHCP Option82功能進行描述。
套用場景
| 網路使用者 | 區域網路 | 外網 | 舉例說明 |
場景 | 訪問者 | 不能訪問 | 能訪問 | 高校學術交流,與會者在會務期間,需要訪問Internet,但出於安全考慮,這些臨時來訪者應當不允許訪問學校區域網路。 |
功能介紹
DHCP option 82是為了增強DHCP伺服器的安全性,改善IP位址配置策略而提出的一種
DHCP選項。通過在網路接入設備上配置DHCP中繼代理功能,中繼代理把從客戶端接收到的DHCP請求報文添加進option 82選項(其中包含了客戶端的接入物理連線埠和接入設備標識等信息),然後再把該報文轉發給DHCP伺服器,支持option 82功能的DHCP伺服器接收到報文後,根據預先配置策略和報文中option 82信息分配IP位址和其它配置信息給客戶端,同時DHCP伺服器也可以依據option 82中的信息識別可能的DHCP攻擊報文並作出防範。DHCP中繼代理收到伺服器應答報文後,剝離其中的option 82選項並根據選項中的物理連線埠信息,把應答報文轉交到網路接入設備的指定連線埠。
報文結構
DHCP option 82又稱為DHCP中繼代理信息選項(Relay Agent Information Option),是DHCP報文中的一個選項,其編號為82。rfc3046定義了option 82,選項位置在option 255之前而在其它option之後。
Code:表示中繼代理信息選項的序號,rfc3046定義為82,option 82即由此得名。
Len:為代理信息域(Agent Information Field)的位元組個數,不包括Code和Len欄位的兩個位元組。
Option 82可以由多個sub-option 組成,每個option 82選項至少要有一個子選項.
SubOpt:為子選項編號,其中代理電路ID(即Circuit ID)子選項編號為1,代理遠程ID(即 Remote ID)子選項編號為2。
Len:為Sub-option Value的位元組個數,不包括SubOpt和Len欄位的兩個位元組。
option82子選項2:option82子選項2定義了代理遠程ID(即 Remote ID),代理遠程ID是指接收到DHCP請求報文的接入交換機的vlan MAC地址。子選項2通常與子選項1共同使用來標識DHCP客戶端的信息。
DHCP請求報文:指由DHCP客戶端發起的報文,希望DHCP伺服器回響後分配IP位址和其它配置信息。DHCP請求報文一般有四種,分別為DHCP_DISCOVER報文、DHCP_REQUEST報文、DHCP_RELEASE報文和DHCP_INFORM報文。中繼代理只針對DHCP請求報文添加option 82選項並轉發給伺服器。本文實現的DHCP中繼對這四種請求報文都添加option 82選項。
DHCP應答報文:指由DHCP伺服器回響客戶端發起的請求報文,包含配置信息或指示回應結果的DHCP回響報文,DHCP應答報文一般有DHCP_OFFER報文,DHCP_ACK報文和DHCP_NAK報文。