之前的文章中，我們講解過關(guān)于DHCP代理的內(nèi)容，那么這里我們主要講解一下DHCP OPTION 82的基本原理。那么這里我們再來針對它的實際應(yīng)用案例進行一下講解。首先看一下場景實現(xiàn)的訪問者可以訪問外網(wǎng)，但是不能訪問內(nèi)網(wǎng)的情況。

如上圖所示，我們將詳細敘述如何通過神州數(shù)碼交換機DHCP OPTION 82功能，實現(xiàn)接入PC不能訪問內(nèi)網(wǎng)，但是可以訪問外網(wǎng)的應(yīng)用場景：

1、內(nèi)網(wǎng)合法用戶使用10.1.0.0/255.255.0.0地址段，而對于臨時接入者通過DHCP服務(wù)器分配192.168.2.0/255.255.255.0地址段；

2、臨時接入終端通過交換機向DHCP服務(wù)器申請IP地址（如圖為：192.168.2.2），如上圖紅線步驟。DHCP接入交換機啟用基于OPTION82的DOT1X認證功能，在OPTION82插入默認值。DHCP服務(wù)器以此認定終端沒有通過認證，屬于臨時接入者。

3、臨時接入終端獲得192.168.2.0/24地址段地址，可以在匯聚交換機配置ACL，控制192.168.2.0/24對內(nèi)網(wǎng)的訪問，使得192.168.2.0/24地址段不能訪問內(nèi)網(wǎng)資源，但是可以訪問外網(wǎng)，如上圖綠線所示。

注：此時來訪者不需要安裝802.1x客戶端程序。

內(nèi)部員工可以訪問內(nèi)外網(wǎng)

如上圖所示，當內(nèi)部使用者接入網(wǎng)絡(luò)：

1、首先在終端認證前可以向DHCP服務(wù)器申請IP地址，接入交換機switch1通過DHCP SNOOPING 在DHCP請求報文添加默認值，再轉(zhuǎn)發(fā)到DHCP Server。DHCP Server根據(jù)OPTION82中的字段為默認值(unauth)，判定主機沒有經(jīng)過認證，向終端分配IP地址：192.168.2.3。這個過程和臨時訪問者完全一樣。

2、終端通過802.1X客戶端程序向認證服務(wù)器，發(fā)起認證，如圖線條①所示；

3、如果認證沒有通過，認證服務(wù)器不會發(fā)出任何報文，終端的狀態(tài)，包括IP地址不變。

4、如果認證通過，認證服務(wù)器會下發(fā)該用戶的DHCP OPTION 82到SWITCH1，并激發(fā)用戶的認證客戶端發(fā)起第二次IP地址申請，如圖線條②；

5、認證客戶端發(fā)起第二次IP地址請求，當DHCP請求報文通過SWITCH1，DHCP SNOOPING在監(jiān)聽DHCP報文時附加用戶認證后的OPTION82信息，如圖線條③所示；

6、DHCP SERVER會根據(jù)這個OPTION82信息給用戶分配另一個地址：10.1.2.2。如圖線條④所示，該IP地址就可以同時訪問內(nèi)外網(wǎng)。