option82 option82是什么 option82原理

面我們針對(duì)DHCP OPTION 82的情況作了基本的介紹。包括它的基本概念以及相關(guān)的一些功能以及作用。這里我們?cè)賮?lái)看看Option 82的工作原理。在DHCP中繼代理(交換機(jī))支持DHCP OPTION 82的情況下,DHCP客戶端通過(guò)DHCP中繼從DHCP服務(wù)器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個(gè)階段。這時(shí)DHCP協(xié)議按如下過(guò)程進(jìn)行:

1)DHCP客戶端在初始化時(shí)廣播發(fā)送請(qǐng)求報(bào)文,這時(shí)的請(qǐng)求報(bào)文并不包含option 82選項(xiàng)。

2)DHCP中繼代理將option 82選項(xiàng)添加到接收到的請(qǐng)求報(bào)文尾部后中繼轉(zhuǎn)發(fā)給DHCP服務(wù)器。DHCP OPTION 82選項(xiàng)的子選項(xiàng)1(代理電路ID)默認(rèn)是DHCP客戶端所連接的交換機(jī)的接口信息(VLan名加物理端口名),也可以由用戶自己配置代理電路ID,option 82選項(xiàng)的子選項(xiàng)2(代理遠(yuǎn)程ID)是DHCP中繼設(shè)備本身的MAC地址。

3)DHCP服務(wù)器收到DHCP中繼設(shè)備轉(zhuǎn)發(fā)的DHCP請(qǐng)求報(bào)文后,根據(jù)報(bào)文中option選項(xiàng)所攜帶的信息和預(yù)定策略分配IP地址和其它信息給客戶端,然后將帶著DHCP配置信息以及option 82信息的應(yīng)答報(bào)文發(fā)給DHCP中繼代理。

4)DHCP中繼代理收到DHCP服務(wù)器的應(yīng)答報(bào)文后將剝離報(bào)文中的option 82信息,然后將帶有DHCP配置信息的報(bào)文轉(zhuǎn)發(fā)給DHCP客戶端。

基于Option82的802.1X認(rèn)證

基于DHCP OPTION 82的DOT1X認(rèn)證,一般用于在用戶使用DHCP方式獲取地址的環(huán)境中,需要支持基于OPTION82進(jìn)行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態(tài),只能訪問(wèn)DHCP SERVER;用戶在獲取地址之后處于安全狀態(tài),接入交換機(jī)轉(zhuǎn)發(fā)該用戶的IP和ARP報(bào)文;用戶在認(rèn)證前后能夠獲得不同地址,通過(guò)在接入交換機(jī)上聯(lián)的匯聚交換機(jī)上配置ACL,控制不同源地址用戶能夠訪問(wèn)資源,來(lái)控制認(rèn)證前后用戶的訪問(wèn)權(quán)限。

在DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configure Protocol)內(nèi)容中,我們常會(huì)見(jiàn)到中繼代理的問(wèn)題。下面我們就DHCP中繼代理信息選項(xiàng)82,DHCP option82功能結(jié)構(gòu)做下詳細(xì)解析。
  
  option82是dhcp中的個(gè)協(xié)議,它擴(kuò)展了dhcp功能,使dhcp可以借助兩個(gè)參數(shù)來(lái)分辨dhcp請(qǐng)求是從哪個(gè)交換機(jī)的哪個(gè)vlan發(fā)出的,也就是說(shuō),它使dhcp支持多vlan。不是交換機(jī)的功能模塊,般二層交換機(jī)都支持,但完全支持的很少!通常只支持部分,比如只支持兩個(gè)參數(shù)中的個(gè),或者只支持兩個(gè)參數(shù)的復(fù)用。

option82


  DHCP option82功能
  
  DHCP option82是為了增強(qiáng)DHCP服務(wù)器的安全性,改善IP地址配置策略而提出的種DHCP選項(xiàng)。通過(guò)在網(wǎng)絡(luò)接入設(shè)備上配置DHCP中繼代理功能,中繼代理把從客戶端接收到的DHCP請(qǐng)求報(bào)文添加進(jìn)option82選項(xiàng)(其中包含了客戶端的接入物理端口和接入設(shè)備標(biāo)識(shí)等信息),然后再把該報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器,支持option82功能的DHCP服務(wù)器接收到報(bào)文后,根據(jù)預(yù)先配置策略和報(bào)文中option82信息分配IP地址和其它配置信息給客戶端,同時(shí)DHCP服務(wù)器也可以依據(jù)option82中的信息識(shí)別可能的DHCP攻擊報(bào)文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報(bào)文后,剝離其中的option82選項(xiàng)并根據(jù)選項(xiàng)中的物理端口信息,把應(yīng)答報(bào)文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。
  
  DHCP option82報(bào)文結(jié)構(gòu)
  
  DHCP option82又稱(chēng)為DHCP中繼代理信息選項(xiàng)(Relay Agent Information Option),是DHCP報(bào)文中的個(gè)選項(xiàng),其編號(hào)為82。rfc3046定義了option82,選項(xiàng)位置在option255之前而在其它option之后。
  
  DHCP應(yīng)答報(bào)文:指由DHCP服務(wù)器響應(yīng)客戶端發(fā)起的請(qǐng)求報(bào)文,包含配置信息或指示回應(yīng)結(jié)果的DHCP響應(yīng)報(bào)文,DHCP應(yīng)答報(bào)文般有DHCP_OFFER報(bào)文,DHCP_ACK報(bào)文和DHCP_NAK報(bào)文。
  
  DHCP請(qǐng)求報(bào)文:指由DHCP客戶端發(fā)起的報(bào)文,希望DHCP服務(wù)器響應(yīng)后分配IP地址和其它配置信息。DHCP請(qǐng)求報(bào)文般有四種,分別為DHCP_DISCOVER報(bào)文、DHCP_REQUEST報(bào)文、DHCP_RELEASE報(bào)文和DHCP_INFORM報(bào)文。中繼代理只針對(duì)DHCP請(qǐng)求報(bào)文添加option82選項(xiàng)并轉(zhuǎn)發(fā)給服務(wù)器。本文實(shí)現(xiàn)的DHCP中繼對(duì)這四種請(qǐng)求報(bào)文都添加option82選項(xiàng)。

  option82結(jié)構(gòu)

Code:表示中繼代理信息選項(xiàng)的序號(hào),rfc3046定義為82,option82即由此得名。
  
  Len:為代理信息域(Agent Information Field)的字節(jié)個(gè)數(shù),不包括Code和Len字段的兩個(gè)字節(jié)。
  
  Option82可以由多個(gè)sub-option組成,每個(gè)option82選項(xiàng)至少要有個(gè)子選項(xiàng).
  
  SubOpt:為子選項(xiàng)編號(hào),其中代理電路ID(即CircuitID)子選項(xiàng)編號(hào)為1,代理遠(yuǎn)程ID(即RemoteID)子選項(xiàng)編號(hào)為2。

如上圖所示,我們將詳細(xì)敘述如何通過(guò)神州數(shù)碼交換機(jī)DHCP OPTION 82功能,實(shí)現(xiàn)接入PC不能訪問(wèn)內(nèi)網(wǎng),但是可以訪問(wèn)外網(wǎng)的應(yīng)用場(chǎng)景:

1、內(nèi)網(wǎng)合法用戶使用10.1.0.0/255.255.0.0地址段,而對(duì)于臨時(shí)接入者通過(guò)DHCP服務(wù)器分配192.168.2.0/255.255.255.0地址段;

2、臨時(shí)接入終端通過(guò)交換機(jī)向DHCP服務(wù)器申請(qǐng)IP地址(如圖為:192.168.2.2),如上圖紅線步驟。DHCP接入交換機(jī)啟用基于OPTION82的DOT1X認(rèn)證功能,在OPTION82插入默認(rèn)值。DHCP服務(wù)器以此認(rèn)定終端沒(méi)有通過(guò)認(rèn)證,屬于臨時(shí)接入者。

3、臨時(shí)接入終端獲得192.168.2.0/24地址段地址,可以在匯聚交換機(jī)配置ACL,控制192.168.2.0/24對(duì)內(nèi)網(wǎng)的訪問(wèn),使得192.168.2.0/24地址段不能訪問(wèn)內(nèi)網(wǎng)資源,但是可以訪問(wèn)外網(wǎng),如上圖綠線所示。

注:此時(shí)來(lái)訪者不需要安裝802.1x客戶端程序。

5.1.11? 配置DHCP服務(wù)器Option 82處理方式

DHCP Option 82是為了增強(qiáng)DHCP服務(wù)器的安全性,改善IP地址配置策略而提出的一種DHCP選項(xiàng)。Option 82可以由多個(gè)子選項(xiàng)組成,每個(gè)Option 82選項(xiàng)至少要有一個(gè)子選項(xiàng),其中一個(gè)重要功能就是指定中繼代理信息。

通過(guò)在DHCP服務(wù)器上啟用82選項(xiàng)的支持,可以使DHCP服務(wù)器能識(shí)別DHCP中繼代理信息。DHCP中繼代理位于DHCP客戶端和DHCP服務(wù)器之間,用來(lái)轉(zhuǎn)發(fā)位于不同網(wǎng)段的DHCP客戶端和DHCP服務(wù)器之間通信的DHCP報(bào)文。DHCP中繼代理把從客戶端接收到的DHCP請(qǐng)求報(bào)文添加進(jìn)Option 82選項(xiàng)(其中包含了客戶端的接入物理端口和接入設(shè)備標(biāo)識(shí)等信息),然后再把該報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器,支持Option 82功能的DHCP服務(wù)器接收到報(bào)文后,根據(jù)預(yù)先配置的策略和報(bào)文中的Option 82信息分配IP地址和其他配置信息給客戶端,同時(shí)DHCP服務(wù)器也可以依據(jù)Option 82中的信息識(shí)別可能的DHCP攻擊報(bào)文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報(bào)文后,剝離其中的Option 82選項(xiàng)并根據(jù)選項(xiàng)中的物理端口信息把應(yīng)答報(bào)文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。有關(guān)DHCP中繼代理服務(wù)的具體功能參見(jiàn)《Cisco路由器配置與管理完全手冊(cè)》(第二版)第5章的相關(guān)內(nèi)容。

要在H3C設(shè)備DHCP服務(wù)器上配置Option 82支持,則需要完成DHCP服務(wù)器的兩項(xiàng)必配任務(wù):?jiǎn)⒂肈HCP服務(wù)(具體參見(jiàn)5.2節(jié))和配置DHCP服務(wù)器的地址池(具體參見(jiàn)本節(jié)前面的各小節(jié)介紹)。默認(rèn)情況下,DHCP服務(wù)器是支持Option 82的。如果沒(méi)有支持,則重新啟用對(duì)Option 82支持的方法也很簡(jiǎn)單,只需要配置dhcp server relay information enable系統(tǒng)視圖命令即可??捎胾ndo dhcp server relay information enable命令配置DHCP服務(wù)器禁止對(duì)Option 82的支持。

當(dāng)DHCP客戶端以及服務(wù)器兩者都不在同一個(gè)子網(wǎng)里面的時(shí)候,如果客戶端想要從DHCP服務(wù)器上面分配到一個(gè)IP地址,那么就一定要由DHCP中繼代理(也就是DHCP Relay Agent)來(lái)轉(zhuǎn)發(fā)DHCP請(qǐng)求包了。DHCP中繼代理會(huì)把客戶端的DHCP報(bào)文轉(zhuǎn)發(fā)到DHCP服務(wù)器之前,大家能夠插入一些選項(xiàng)信息,這樣子就能夠方便DHCP服務(wù)器可以更加精確的獲取得到客戶端的相關(guān)信息,從而就可以更加靈活的按照相對(duì)應(yīng)的策略分配IP地址以及其他一些參數(shù)。那么我們會(huì)將這一個(gè)選項(xiàng)稱(chēng)之為:DHC Prelay agent information option(也就是中繼代理信息選項(xiàng)),選項(xiàng)號(hào)是為82,所以又稱(chēng)之為option82,相關(guān)標(biāo)準(zhǔn)文檔是為RFC3046.

其實(shí)簡(jiǎn)單來(lái)說(shuō),Option82就是對(duì)于DHCP選項(xiàng)的一種擴(kuò)展應(yīng)用。選項(xiàng)82僅僅只是一種應(yīng)用擴(kuò)展而已,究竟是不是攜帶選項(xiàng)82并不會(huì)影響到DHCP原來(lái)有的應(yīng)用。另外一個(gè)方面,那就是還需要看一下DHCP服務(wù)器究竟是不是支持選項(xiàng)82。假如說(shuō)不支持選項(xiàng)82的DHCP服務(wù)器就會(huì)接收到插入了選項(xiàng)82的報(bào)文,又或者是支持選項(xiàng)82的DHCP服務(wù)器接收到了沒(méi)有插入選項(xiàng)82的報(bào)文。其實(shí)剛剛小編說(shuō)到這兩種情況通通都不會(huì)對(duì)于原有的基本的DHCP服務(wù)造成一定程度上面的影響。如果大家要想支持選項(xiàng)82所帶來(lái)的擴(kuò)展應(yīng)用的話,那么DHCP服務(wù)器本身就一定要支持選項(xiàng)82以及所收到的DHCP報(bào)文一定要被插入選項(xiàng)82信息。從不是信任端口收到DHCP請(qǐng)求報(bào)文,不管DHCP客戶端以及服務(wù)器兩者究竟是不是處于同一個(gè)子網(wǎng)上面,開(kāi)啟了DHCP監(jiān)聽(tīng)這一個(gè)功能的Cisco交換機(jī)都能夠選擇是不是對(duì)其插入選項(xiàng)82信息。在默認(rèn)情況下面,交換機(jī)都會(huì)把對(duì)從非信任端口接收到的DHCP請(qǐng)求報(bào)文插入選項(xiàng)82信息的,所以大家可以放心。

  二、情況分析

當(dāng)一臺(tái)開(kāi)啟DHCP監(jiān)聽(tīng)的匯聚交換機(jī)以及一臺(tái)插入了選項(xiàng)82信息的邊界交換機(jī)(也就是接入交換機(jī))相連的時(shí)候,一般情況下會(huì)出現(xiàn)下面兩種情況,具體的情況如下:

1、假如說(shuō)邊界交換機(jī)是連接到匯聚交換機(jī)的信任端口的話,那么匯聚交換機(jī)就會(huì)接收從信任端口收到的插入選項(xiàng)82的DHCP報(bào)文信息,但是匯聚交換機(jī)是不會(huì)為了這一些信息重新建立DHCP監(jiān)聽(tīng)綁定表?xiàng)l目的。

2、假如說(shuō)邊界交換機(jī)是連接到匯聚交換機(jī)的非信任端口的話,那么匯聚交換機(jī)就會(huì)丟棄從這一個(gè)非信任端口收到的插入了選項(xiàng)82的DHCP報(bào)文信息。但是在iOS12.2(25)SE這一個(gè)軟件版本之后,匯聚交換機(jī)就能夠直接的通過(guò)在全局模式下面配置一條ipdhcpsnoopinginformationallow-untrusted這樣子的命令。這樣子操作的話,匯聚交換機(jī)就會(huì)接收從邊界交換機(jī)發(fā)來(lái)的插入了選項(xiàng)82的DHCP報(bào)文信息了,另外一個(gè)方面也為這一些信息重新建立DHCP監(jiān)聽(tīng)綁定表?xiàng)l目。

在配置匯聚交換機(jī)下聯(lián)口的時(shí)候,就會(huì)將根據(jù)從邊界交換機(jī)發(fā)送過(guò)來(lái)的數(shù)據(jù)能不能被信任而設(shè)置成為信任又或者是非信任端口。

更多
  • 該日志由 于2017年12月15日發(fā)表在 未分類(lèi) 分類(lèi)下, 你可以發(fā)表評(píng)論,并在保留原文地址 及作者的情況下引用到你的網(wǎng)站或博客。
  • 本文鏈接: option82 option82是什么 option82原理 | 幫助信息-動(dòng)天數(shù)據(jù)
  • 文章標(biāo)簽:
  • 版權(quán)所有: 幫助信息-動(dòng)天數(shù)據(jù)-轉(zhuǎn)載請(qǐng)標(biāo)明出處
  • 【上一篇】 【下一篇】

    0 Comments.

    發(fā)表評(píng)論