DHCP-option-82(中繼代理信息選項(xiàng)82)

DHCPoption82(中繼代理信息選項(xiàng)82)Option82應(yīng)用場景網(wǎng)絡(luò)使用者內(nèi)網(wǎng)外網(wǎng)舉例說明場景訪問者不能訪問能訪問高校學(xué)術(shù)交流，與會(huì)者在會(huì)務(wù)期間，需要訪問Internet，但出于安全考慮，這些臨時(shí)來訪者應(yīng)當(dāng)不允許訪問學(xué)校內(nèi)網(wǎng)。內(nèi)部員工能訪問能訪問在該場景下，臨時(shí)接入者可以在不安裝認(rèn)證客戶端的情況下，直接訪問Internet資源，但是不能訪問學(xué)校、企業(yè)、政府單位的內(nèi)網(wǎng)，適用于各種會(huì)務(wù)、學(xué)術(shù)交流、臨時(shí)參觀等應(yīng)用場景，正式員工可以在會(huì)議區(qū)通過認(rèn)證接入到內(nèi)網(wǎng)。為了實(shí)現(xiàn)該場景，我們首先要對神州數(shù)碼網(wǎng)絡(luò)交換機(jī)產(chǎn)品的DHCPOption82功能進(jìn)行描述。Option82相關(guān)技術(shù)Option82功能介紹DHCPoption82是為了增強(qiáng)DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項(xiàng)。通過在網(wǎng)絡(luò)接入設(shè)備上配置DHCP中繼代理功能，中繼代理把從客戶端接收到的DHCP請求報(bào)文添加進(jìn)option82選項(xiàng)（其中包含了客戶端的接入物理端口和接入設(shè)備標(biāo)識(shí)等信息），然后再把該報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器，支持option82功能的DHCP服務(wù)器接收到報(bào)文后，根據(jù)預(yù)先配置策略和報(bào)文中option82信息分配IP地址和其它配置信息給客戶端，同時(shí)DHCP服務(wù)器也可以依據(jù)option82中的信息識(shí)別可能的DHCP攻擊報(bào)文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報(bào)文后，剝離其中的option82選項(xiàng)并根據(jù)選項(xiàng)中的物理端口信息，把應(yīng)答報(bào)文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。Option82報(bào)文結(jié)構(gòu)DHCPoption82又稱為DHCP中繼代理信息選項(xiàng)（RelayAgentInformationOption），是DHCP報(bào)文中的一個(gè)選項(xiàng)，其編號為82。rfc3046定義了option82，選項(xiàng)位置在option255之前而在其它option之后。Code：表示中繼代理信息選項(xiàng)的序號，rfc3046定義為82，option82即由此得名。Len：為代理信息域（AgentInformationField）的字節(jié)個(gè)數(shù)，不包括Code和Len字段的兩個(gè)字節(jié)。Option82可以由多個(gè)sub-option組成，每個(gè)option82選項(xiàng)至少要有一個(gè)子選項(xiàng)，rfc3046定義了以下兩個(gè)子選項(xiàng)，其格式如下圖所示：SubOpt：為子選項(xiàng)編號，其中代理電路ID（即CircuitID）子選項(xiàng)編號為1，代理遠(yuǎn)程ID（即RemoteID）子選項(xiàng)編號為2。Len：為Sub-optionValue的字節(jié)個(gè)數(shù)，不包括SubOpt和Len字段的兩個(gè)字節(jié)。option82子選項(xiàng)1：option82子選項(xiàng)1定義了代理電路ID（即CircuitID），它表示接收到的DHCP請求報(bào)文來自的鏈路標(biāo)識(shí)，這個(gè)標(biāo)識(shí)只在中繼代理節(jié)點(diǎn)內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個(gè)不具含義的標(biāo)識(shí)使用。在本文實(shí)現(xiàn)中代理電路ID默認(rèn)是指接收到DHCP請求報(bào)文的接入交換機(jī)Vlan名加接入二層端口名稱，如Vlan2+Ethernet0/0/10，也可以由用戶指定自己的代理電路ID。通常子選項(xiàng)1與子選項(xiàng)2要共同使用來標(biāo)識(shí)DHCP客戶端的信息。option82子選項(xiàng)2：option82子選項(xiàng)2定義了代理遠(yuǎn)程ID（即RemoteID），在我司交換機(jī)實(shí)現(xiàn)中，代理遠(yuǎn)程ID是指接收到DHCP請求報(bào)文的接入交換機(jī)的vlanMAC地址。子選項(xiàng)2通常與子選項(xiàng)1共同使用來標(biāo)識(shí)DHCP客戶端的信息。DHCP請求報(bào)文：指由DHCP客戶端發(fā)起的報(bào)文，希望DHCP服務(wù)器響應(yīng)后分配IP地址和其它配置信息。DHCP請求報(bào)文一般有四種，分別為DHCP_DISCOVER報(bào)文、DHCP_REQUEST報(bào)文、DHCP_RELEASE報(bào)文和DHCP_INFORM報(bào)文。中繼代理只針對DHCP請求報(bào)文添加option82選項(xiàng)并轉(zhuǎn)發(fā)給服務(wù)器。本文實(shí)現(xiàn)的DHCP中繼對這四種請求報(bào)文都添加option82選項(xiàng)。DHCP應(yīng)答報(bào)文：指由DHCP服務(wù)器響應(yīng)客戶端發(fā)起的請求報(bào)文，包含配置信息或指示回應(yīng)結(jié)果的DHCP響應(yīng)報(bào)文，DHCP應(yīng)答報(bào)文一般有DHCP_OFFER報(bào)文，DHCP_DECLINE報(bào)文，DHCP_ACK報(bào)文和DHCP_NAK報(bào)文。Option82工作原理在DHCP中繼代理（交換機(jī)）支持option82的情況下，DHCP客戶端通過DHCP中繼從DHCP服務(wù)器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個(gè)階段。這時(shí)DHCP協(xié)議按如下過程進(jìn)行：1）DHCP客戶端在初始化時(shí)廣播發(fā)送請求報(bào)文，這時(shí)的請求報(bào)文并不包含option82選項(xiàng)。2）DHCP中繼代理將option82選項(xiàng)添加到接收到的請求報(bào)文尾部后中繼轉(zhuǎn)發(fā)給DHCP服務(wù)器。option82選項(xiàng)的子選項(xiàng)1（代理電路ID）默認(rèn)是DHCP客戶端所連接的交換機(jī)的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option82選項(xiàng)的子選項(xiàng)2（代理遠(yuǎn)程ID）是DHCP中繼設(shè)備本身的MAC地址。3）DHCP服務(wù)器收到DHCP中繼設(shè)備轉(zhuǎn)發(fā)的DHCP請求報(bào)文后，根據(jù)報(bào)文中option選項(xiàng)所攜帶的信息和預(yù)定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option82信息的應(yīng)答報(bào)文發(fā)給DHCP中繼代理。4）DHCP中繼代理收到DHCP服務(wù)器的應(yīng)答報(bào)文后將剝離報(bào)文中的option82信息，然后將帶有DHCP配置信息的報(bào)文轉(zhuǎn)發(fā)給DHCP客戶端?；贠ption82的802.1X認(rèn)證基于DHCPOPTION82的DOT1X認(rèn)證，一般用于在用戶使用DHCP方式獲取地址的環(huán)境中，需要支持基于OPTION82進(jìn)行地址分配策略的DHCPSERVER。用戶在獲取IP地址之前處于控制狀態(tài)，只能訪問DHCPSERVER；用戶在獲取地址之后處于安全狀態(tài)，接入交換機(jī)轉(zhuǎn)發(fā)該用戶的IP和ARP報(bào)文；用戶在認(rèn)證前后能夠獲得不同地址，通過在接入交換機(jī)上聯(lián)的匯聚交換機(jī)上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認(rèn)證前后用戶的訪問權(quán)限。為了使DHCP用戶在認(rèn)證前后能夠獲得不同（網(wǎng)段）的地址，DCN交換機(jī)利用了DHCPOPTION82和DHCPSnooping技術(shù)。DHCP報(bào)文中的82選項(xiàng)一般由DHCP中繼代理在中繼DHCP報(bào)文時(shí)附加，在DCN交換機(jī)擴(kuò)展了這一功能，允許DHCPSNOOPING在監(jiān)聽DHCP報(bào)文時(shí)附加OPTION82信息，OPTION82的內(nèi)容在DHCP用戶認(rèn)證之前由DHCPSNOOPING添加一個(gè)默認(rèn)值，如果用戶在獲取地址成功后并且認(rèn)證通過，則神州數(shù)碼802.1X認(rèn)證服務(wù)器后臺(tái)會(huì)下發(fā)該用戶的OPTION82信息到交換機(jī)，同時(shí)DOT1X客戶端會(huì)重新申請一次地址，DHCPSNOOPING在監(jiān)聽DHCP報(bào)文時(shí)附加用戶認(rèn)證后的OPTION82信息，DHCPSERVER會(huì)根據(jù)這個(gè)OPTION82信息給用戶分配另一個(gè)地址。由于用戶在認(rèn)證前后地址不同，則可以在接入交換機(jī)上聯(lián)的匯聚交換機(jī)上進(jìn)行基于源IP的ACL配置，來控制用戶的訪問權(quán)限。場景實(shí)現(xiàn)訪問者可以訪問外網(wǎng)，但是不能訪問內(nèi)網(wǎng)如上圖所示，我們將詳細(xì)敘述如何通過神州數(shù)碼交換機(jī)DHCPoption82功能，實(shí)現(xiàn)接入PC不能訪問內(nèi)網(wǎng)，但是可以訪問外網(wǎng)的應(yīng)用場景：1、內(nèi)網(wǎng)合法用戶使用10.1.0.0/255.255.0.0地址段，而對于臨時(shí)接入者通過DHCP服務(wù)器分配192.168.2.0/255.255.255.0地址段；2、臨時(shí)接入終端通過交換機(jī)向DHCP服務(wù)器申請IP地址（如圖為：192.168.2.2），如上圖紅線步驟。DHCP接入交換機(jī)啟用基于OPTION82的DOT1X認(rèn)證功能，在OPTION82插入默認(rèn)值。DHCP服務(wù)器以此認(rèn)定終端沒有通過認(rèn)證，屬于臨時(shí)接入者。3、臨時(shí)接入終端獲得192.168.2.0/24地址段地址，可以在匯聚交換機(jī)配置ACL，控制192.168.2.0/24對內(nèi)網(wǎng)的訪問，使得192.168.2.0/24地址段不能訪問內(nèi)網(wǎng)資源，但是可以訪問外網(wǎng)，如上圖綠線所示。注：此時(shí)來訪者不需要安裝802.1x客戶端程序。內(nèi)部員工可以訪問內(nèi)外網(wǎng)如上圖所示，當(dāng)內(nèi)部使用者接入網(wǎng)絡(luò)：1、首先在終端認(rèn)證前可以向DHCP服務(wù)器申請IP地址，接入交換機(jī)switch1通過DHCPSNOOPING在DHCP請求報(bào)文添加默認(rèn)值，再轉(zhuǎn)發(fā)到DHCPServer。DHCPServer根據(jù)OPTION82中的字段為默認(rèn)值(unauth)，判定主機(jī)沒有經(jīng)過認(rèn)證，向終端分配IP地址：192.168.2.3。這個(gè)過程和臨時(shí)訪問者完全一樣。2、終端通過802.1X客戶端程序向認(rèn)證服務(wù)器，發(fā)起認(rèn)證，如圖線條①所示；3、如果認(rèn)證沒有通過，認(rèn)證服務(wù)器不會(huì)發(fā)出任何報(bào)文，終端的狀態(tài)，包括IP地址不變。4、如果認(rèn)證通過，認(rèn)證服務(wù)器會(huì)下發(fā)該用戶的OPTION82到SWIT