option82 option82是什么 option82原理
|面我们针对DHCP OPTION 82的情况作了基本的介绍。包括它的基本概念以及相关的一些功能以及作用。这里我们再来看看Option 82的工作原理。在DHCP中继代理(交换机)支持DHCP OPTION 82的情况下,DHCP客户端通过DHCP中继从DHCP服务器获取IP地址同样要经历发现、提供、选择和确认四个阶段。这时DHCP协议按如下过程进行:
1)DHCP客户端在初始化时广播发送请求报文,这时的请求报文并不包含option 82选项。
2)DHCP中继代理将option 82选项添加到接收到的请求报文尾部后中继转发给DHCP服务器。DHCP OPTION 82选项的子选项1(代理电路ID)默认是DHCP客户端所连接的交换机的接口信息(VLan名加物理端口名),也可以由用户自己配置代理电路ID,option 82选项的子选项2(代理远程ID)是DHCP中继设备本身的MAC地址。
3)DHCP服务器收到DHCP中继设备转发的DHCP请求报文后,根据报文中option选项所携带的信息和预定策略分配IP地址和其它信息给客户端,然后将带着DHCP配置信息以及option 82信息的应答报文发给DHCP中继代理。
4)DHCP中继代理收到DHCP服务器的应答报文后将剥离报文中的option 82信息,然后将带有DHCP配置信息的报文转发给DHCP客户端。
基于Option82的802.1X认证
基于DHCP OPTION 82的DOT1X认证,一般用于在用户使用DHCP方式获取地址的环境中,需要支持基于OPTION82进行地址分配策略的DHCP SERVER。用户在获取IP地址之前处于控制状态,只能访问DHCP SERVER;用户在获取地址之后处于安全状态,接入交换机转发该用户的IP和ARP报文;用户在认证前后能够获得不同地址,通过在接入交换机上联的汇聚交换机上配置ACL,控制不同源地址用户能够访问资源,来控制认证前后用户的访问权限。
在DHCP是动态主机配置协议(Dynamic Host Configure Protocol)内容中,我们常会见到中继代理的问题。下面我们就DHCP中继代理信息选项82,DHCP option82功能结构做下详细解析。
option82是dhcp中的个协议,它扩展了dhcp功能,使dhcp可以借助两个参数来分辨dhcp请求是从哪个交换机的哪个vlan发出的,也就是说,它使dhcp支持多vlan。不是交换机的功能模块,般二层交换机都支持,但完全支持的很少!通常只支持部分,比如只支持两个参数中的个,或者只支持两个参数的复用。
DHCP option82功能:
DHCP option82是为了增强DHCP服务器的安全性,改善IP地址配置策略而提出的种DHCP选项。通过在网络接入设备上配置DHCP中继代理功能,中继代理把从客户端接收到的DHCP请求报文添加进option82选项(其中包含了客户端的接入物理端口和接入设备标识等信息),然后再把该报文转发给DHCP服务器,支持option82功能的DHCP服务器接收到报文后,根据预先配置策略和报文中option82信息分配IP地址和其它配置信息给客户端,同时DHCP服务器也可以依据option82中的信息识别可能的DHCP攻击报文并作出防范。DHCP中继代理收到服务器应答报文后,剥离其中的option82选项并根据选项中的物理端口信息,把应答报文转交到网络接入设备的指定端口。
DHCP option82报文结构:
DHCP option82又称为DHCP中继代理信息选项(Relay Agent Information Option),是DHCP报文中的个选项,其编号为82。rfc3046定义了option82,选项位置在option255之前而在其它option之后。
DHCP应答报文:指由DHCP服务器响应客户端发起的请求报文,包含配置信息或指示回应结果的DHCP响应报文,DHCP应答报文般有DHCP_OFFER报文,DHCP_ACK报文和DHCP_NAK报文。
DHCP请求报文:指由DHCP客户端发起的报文,希望DHCP服务器响应后分配IP地址和其它配置信息。DHCP请求报文般有四种,分别为DHCP_DISCOVER报文、DHCP_REQUEST报文、DHCP_RELEASE报文和DHCP_INFORM报文。中继代理只针对DHCP请求报文添加option82选项并转发给服务器。本文实现的DHCP中继对这四种请求报文都添加option82选项。
Code:表示中继代理信息选项的序号,rfc3046定义为82,option82即由此得名。
Len:为代理信息域(Agent Information Field)的字节个数,不包括Code和Len字段的两个字节。
Option82可以由多个sub-option组成,每个option82选项至少要有个子选项.
SubOpt:为子选项编号,其中代理电路ID(即CircuitID)子选项编号为1,代理远程ID(即RemoteID)子选项编号为2。
如上图所示,我们将详细叙述如何通过神州数码交换机DHCP OPTION 82功能,实现接入PC不能访问内网,但是可以访问外网的应用场景:
1、内网合法用户使用10.1.0.0/255.255.0.0地址段,而对于临时接入者通过DHCP服务器分配192.168.2.0/255.255.255.0地址段;
2、临时接入终端通过交换机向DHCP服务器申请IP地址(如图为:192.168.2.2),如上图红线步骤。DHCP接入交换机启用基于OPTION82的DOT1X认证功能,在OPTION82插入默认值。DHCP服务器以此认定终端没有通过认证,属于临时接入者。
3、临时接入终端获得192.168.2.0/24地址段地址,可以在汇聚交换机配置ACL,控制192.168.2.0/24对内网的访问,使得192.168.2.0/24地址段不能访问内网资源,但是可以访问外网,如上图绿线所示。
注:此时来访者不需要安装802.1x客户端程序。
5.1.11 配置DHCP服务器Option 82处理方式
DHCP Option 82是为了增强DHCP服务器的安全性,改善IP地址配置策略而提出的一种DHCP选项。Option 82可以由多个子选项组成,每个Option 82选项至少要有一个子选项,其中一个重要功能就是指定中继代理信息。
通过在DHCP服务器上启用82选项的支持,可以使DHCP服务器能识别DHCP中继代理信息。DHCP中继代理位于DHCP客户端和DHCP服务器之间,用来转发位于不同网段的DHCP客户端和DHCP服务器之间通信的DHCP报文。DHCP中继代理把从客户端接收到的DHCP请求报文添加进Option 82选项(其中包含了客户端的接入物理端口和接入设备标识等信息),然后再把该报文转发给DHCP服务器,支持Option 82功能的DHCP服务器接收到报文后,根据预先配置的策略和报文中的Option 82信息分配IP地址和其他配置信息给客户端,同时DHCP服务器也可以依据Option 82中的信息识别可能的DHCP攻击报文并作出防范。DHCP中继代理收到服务器应答报文后,剥离其中的Option 82选项并根据选项中的物理端口信息把应答报文转交到网络接入设备的指定端口。有关DHCP中继代理服务的具体功能参见《Cisco路由器配置与管理完全手册》(第二版)第5章的相关内容。
要在H3C设备DHCP服务器上配置Option 82支持,则需要完成DHCP服务器的两项必配任务:启用DHCP服务(具体参见5.2节)和配置DHCP服务器的地址池(具体参见本节前面的各小节介绍)。默认情况下,DHCP服务器是支持Option 82的。如果没有支持,则重新启用对Option 82支持的方法也很简单,只需要配置dhcp server relay information enable系统视图命令即可。可用undo dhcp server relay information enable命令配置DHCP服务器禁止对Option 82的支持。
当DHCP客户端以及服务器两者都不在同一个子网里面的时候,如果客户端想要从DHCP服务器上面分配到一个IP地址,那么就一定要由DHCP中继代理(也就是DHCP Relay Agent)来转发DHCP请求包了。DHCP中继代理会把客户端的DHCP报文转发到DHCP服务器之前,大家能够插入一些选项信息,这样子就能够方便DHCP服务器可以更加精确的获取得到客户端的相关信息,从而就可以更加灵活的按照相对应的策略分配IP地址以及其他一些参数。那么我们会将这一个选项称之为:DHC Prelay agent information option(也就是中继代理信息选项),选项号是为82,所以又称之为option82,相关标准文档是为RFC3046.
其实简单来说,Option82就是对于DHCP选项的一种扩展应用。选项82仅仅只是一种应用扩展而已,究竟是不是携带选项82并不会影响到DHCP原来有的应用。另外一个方面,那就是还需要看一下DHCP服务器究竟是不是支持选项82。假如说不支持选项82的DHCP服务器就会接收到插入了选项82的报文,又或者是支持选项82的DHCP服务器接收到了没有插入选项82的报文。其实刚刚小编说到这两种情况通通都不会对于原有的基本的DHCP服务造成一定程度上面的影响。如果大家要想支持选项82所带来的扩展应用的话,那么DHCP服务器本身就一定要支持选项82以及所收到的DHCP报文一定要被插入选项82信息。从不是信任端口收到DHCP请求报文,不管DHCP客户端以及服务器两者究竟是不是处于同一个子网上面,开启了DHCP监听这一个功能的Cisco交换机都能够选择是不是对其插入选项82信息。在默认情况下面,交换机都会把对从非信任端口接收到的DHCP请求报文插入选项82信息的,所以大家可以放心。
二、情况分析
当一台开启DHCP监听的汇聚交换机以及一台插入了选项82信息的边界交换机(也就是接入交换机)相连的时候,一般情况下会出现下面两种情况,具体的情况如下:
1、假如说边界交换机是连接到汇聚交换机的信任端口的话,那么汇聚交换机就会接收从信任端口收到的插入选项82的DHCP报文信息,但是汇聚交换机是不会为了这一些信息重新建立DHCP监听绑定表条目的。
2、假如说边界交换机是连接到汇聚交换机的非信任端口的话,那么汇聚交换机就会丢弃从这一个非信任端口收到的插入了选项82的DHCP报文信息。但是在iOS12.2(25)SE这一个软件版本之后,汇聚交换机就能够直接的通过在全局模式下面配置一条ipdhcpsnoopinginformationallow-untrusted这样子的命令。这样子操作的话,汇聚交换机就会接收从边界交换机发来的插入了选项82的DHCP报文信息了,另外一个方面也为这一些信息重新建立DHCP监听绑定表条目。
在配置汇聚交换机下联口的时候,就会将根据从边界交换机发送过来的数据能不能被信任而设置成为信任又或者是非信任端口。
0 Comments.