前面的文章中我們針對DHCP OPTION 82的基本概念和原理都進行了分析。那么這里我們再來針對它的實際應用案例進行一下講解。首先看一下場景實現(xiàn)的訪問者可以訪問外網(wǎng)，但是不能訪問內網(wǎng)的情況。

如上圖所示，我們將詳細敘述如何通過神州數(shù)碼交換機DHCP OPTION 82功能，實現(xiàn)接入PC不能訪問內網(wǎng)，但是可以訪問外網(wǎng)的應用場景：

1、內網(wǎng)合法用戶使用10.1.0.0/255.255.0.0地址段，而對于臨時接入者通過DHCP服務器分配192.168.2.0/255.255.255.0地址段；

2、臨時接入終端通過交換機向DHCP服務器申請IP地址（如圖為：192.168.2.2），如上圖紅線步驟。DHCP接入交換機啟用基于OPTION82的DOT1X認證功能，在OPTION82插入默認值。DHCP服務器以此認定終端沒有通過認證，屬于臨時接入者。

3、臨時接入終端獲得192.168.2.0/24地址段地址，可以在匯聚交換機配置ACL，控制192.168.2.0/24對內網(wǎng)的訪問，使得192.168.2.0/24地址段不能訪問內網(wǎng)資源，但是可以訪問外網(wǎng)，如上圖綠線所示。

注：此時來訪者不需要安裝802.1x客戶端程序。

內部員工可以訪問內外網(wǎng)

如上圖所示，當內部使用者接入網(wǎng)絡：

1、首先在終端認證前可以向DHCP服務器申請IP地址，接入交換機switch1通過DHCP SNOOPING 在DHCP請求報文添加默認值，再轉發(fā)到DHCP Server。DHCP Server根據(jù)OPTION82中的字段為默認值(unauth)，判定主機沒有經(jīng)過認證，向終端分配IP地址：192.168.2.3。這個過程和臨時訪問者完全一樣。

2、終端通過802.1X客戶端程序向認證服務器，發(fā)起認證，如圖線條①所示；

3、如果認證沒有通過，認證服務器不會發(fā)出任何報文，終端的狀態(tài)，包括IP地址不變。

4、如果認證通過，認證服務器會下發(fā)該用戶的DHCP OPTION 82到SWITCH1，并激發(fā)用戶的認證客戶端發(fā)起第二次IP地址申請，如圖線條②；

5、認證客戶端發(fā)起第二次IP地址請求，當DHCP請求報文通過SWITCH1，DHCP SNOOPING在監(jiān)聽DHCP報文時附加用戶認證后的OPTION82信息，如圖線條③所示；

6、DHCP SERVER會根據(jù)這個OPTION82信息給用戶分配另一個地址：10.1.2.2。如圖線條④所示，該IP地址就可以同時訪問內外網(wǎng)。