在DHCP協(xié)議的內(nèi)容中，我們會(huì)經(jīng)常見(jiàn)到中繼代理的問(wèn)題。這里我們就來(lái)詳細(xì)講解一下DHCP option 82(中繼代理信息選項(xiàng)82)的內(nèi)容。那么在該場(chǎng)景下，臨時(shí)接入者可以在不安裝認(rèn)證客戶(hù)端的情況下，直接訪問(wèn)Internet資源，但是不能訪問(wèn)學(xué)校、企業(yè)、政府單位的內(nèi)網(wǎng)，適用于各種會(huì)務(wù)、學(xué)術(shù)交流、臨時(shí)參觀等應(yīng)用場(chǎng)景，正式員工可以在會(huì)議區(qū)通過(guò)認(rèn)證接入到內(nèi)網(wǎng)。為了實(shí)現(xiàn)該場(chǎng)景，我們首先要對(duì)神州數(shù)碼網(wǎng)絡(luò)交換機(jī)產(chǎn)品的DHCP Option82功能進(jìn)行描述。

Option82應(yīng)用場(chǎng)景

Option82功能介紹

DHCP option 82是為了增強(qiáng)DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項(xiàng)。通過(guò)在網(wǎng)絡(luò)接入設(shè)備上配置DHCP中繼代理功能，中繼代理把從客戶(hù)端接收到的DHCP請(qǐng)求報(bào)文添加進(jìn)option 82選項(xiàng)（其中包含了客戶(hù)端的接入物理端口和接入設(shè)備標(biāo)識(shí)等信息），然后再把該報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器，支持option 82功能的DHCP服務(wù)器接收到報(bào)文后，根據(jù)預(yù)先配置策略和報(bào)文中option 82信息分配IP地址和其它配置信息給客戶(hù)端，同時(shí)DHCP服務(wù)器也可以依據(jù)option 82中的信息識(shí)別可能的DHCP攻擊報(bào)文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報(bào)文后，剝離其中的option 82選項(xiàng)并根據(jù)選項(xiàng)中的物理端口信息，把應(yīng)答報(bào)文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。

Option 82報(bào)文結(jié)構(gòu)

DHCP option 82又稱(chēng)為DHCP中繼代理信息選項(xiàng)（Relay Agent Information Option），是DHCP報(bào)文中的一個(gè)選項(xiàng)，其編號(hào)為82。rfc3046定義了option 82，選項(xiàng)位置在option 255之前而在其它option之后。

Code：表示中繼代理信息選項(xiàng)的序號(hào)，rfc3046定義為82，option 82即由此得名。

Len：為代理信息域（Agent Information Field）的字節(jié)個(gè)數(shù)，不包括Code和Len字段的兩個(gè)字節(jié)。

Option 82可以由多個(gè)sub-option 組成，每個(gè)option 82選項(xiàng)至少要有一個(gè)子選項(xiàng)，rfc3046定義了以下兩個(gè)子選項(xiàng)，其格式如下圖所示：

SubOpt：為子選項(xiàng)編號(hào)，其中代理電路ID（即Circuit ID）子選項(xiàng)編號(hào)為1，代理遠(yuǎn)程ID（即 Remote ID）子選項(xiàng)編號(hào)為2。

Len：為Sub-option Value的字節(jié)個(gè)數(shù)，不包括SubOpt和Len字段的兩個(gè)字節(jié)。

option82子選項(xiàng)1：option82子選項(xiàng)1定義了代理電路ID（即Circuit ID），它表示接收到的DHCP請(qǐng)求報(bào)文來(lái)自的鏈路標(biāo)識(shí)，這個(gè)標(biāo)識(shí)只在中繼代理節(jié)點(diǎn)內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個(gè)不具含義的標(biāo)識(shí)使用。在本文實(shí)現(xiàn)中代理電路ID默認(rèn)是指接收到DHCP請(qǐng)求報(bào)文的接入交換機(jī)Vlan名加接入二層端口名稱(chēng)，如Vlan2+Ethernet0/0/10，也可以由用戶(hù)指定自己的代理電路ID。通常子選項(xiàng)1與子選項(xiàng)2要共同使用來(lái)標(biāo)識(shí)DHCP客戶(hù)端的信息。

option82子選項(xiàng)2：option82子選項(xiàng)2定義了代理遠(yuǎn)程ID（即 Remote ID），在我司交換機(jī)實(shí)現(xiàn)中，代理遠(yuǎn)程ID是指接收到DHCP請(qǐng)求報(bào)文的接入交換機(jī)的vlan MAC地址。子選項(xiàng)2通常與子選項(xiàng)1共同使用來(lái)標(biāo)識(shí)DHCP客戶(hù)端的信息。

DHCP請(qǐng)求報(bào)文：指由DHCP客戶(hù)端發(fā)起的報(bào)文，希望DHCP服務(wù)器響應(yīng)后分配IP地址和其它配置信息。DHCP請(qǐng)求報(bào)文一般有四種，分別為DHCP_DISCOVER報(bào)文、DHCP_REQUEST報(bào)文、DHCP_RELEASE報(bào)文和DHCP_INFORM報(bào)文。中繼代理只針對(duì)DHCP請(qǐng)求報(bào)文添加option 82選項(xiàng)并轉(zhuǎn)發(fā)給服務(wù)器。本文實(shí)現(xiàn)的DHCP中繼對(duì)這四種請(qǐng)求報(bào)文都添加option 82選項(xiàng)。

DHCP應(yīng)答報(bào)文：指由DHCP服務(wù)器響應(yīng)客戶(hù)端發(fā)起的請(qǐng)求報(bào)文，包含配置信息或指示回應(yīng)結(jié)果的DHCP響應(yīng)報(bào)文，DHCP應(yīng)答報(bào)文一般有DHCP_OFFER報(bào)文，DHCP_DECLINE報(bào)文，DHCP_ACK報(bào)文和DHCP_NAK報(bào)文。