前面的文章中我们针对DHCP OPTION 82的基本概念和原理都进行了分析。那么这里我们再来针对它的实际应用案例进行一下讲解。首先看一下场景实现的访问者可以访问外网,但是不能访问内网的情况。
如上图所示,我们将详细叙述如何通过神州数码交换机DHCP OPTION 82功能,实现接入PC不能访问内网,但是可以访问外网的应用场景:
1、内网合法用户使用10.1.0.0/255.255.0.0地址段,而对于临时接入者通过DHCP服务器分配192.168.2.0/255.255.255.0地址段;
2、临时接入终端通过交换机向DHCP服务器申请IP地址(如图为:192.168.2.2),如上图红线步骤。DHCP接入交换机启用基于OPTION82的DOT1X认证功能,在OPTION82插入默认值。DHCP服务器以此认定终端没有通过认证,属于临时接入者。
3、临时接入终端获得192.168.2.0/24地址段地址,可以在汇聚交换机配置ACL,控制192.168.2.0/24对内网的访问,使得192.168.2.0/24地址段不能访问内网资源,但是可以访问外网,如上图绿线所示。
注:此时来访者不需要安装802.1x客户端程序。
内部员工可以访问内外网
如上图所示,当内部使用者接入网络:
1、首先在终端认证前可以向DHCP服务器申请IP地址,接入交换机switch1通过DHCP SNOOPING 在DHCP请求报文添加默认值,再转发到DHCP Server。DHCP Server根据OPTION82中的字段为默认值(unauth),判定主机没有经过认证,向终端分配IP地址:192.168.2.3。这个过程和临时访问者完全一样。
2、终端通过802.1X客户端程序向认证服务器,发起认证,如图线条①所示;
3、如果认证没有通过,认证服务器不会发出任何报文,终端的状态,包括IP地址不变。
4、如果认证通过,认证服务器会下发该用户的DHCP OPTION 82到SWITCH1,并激发用户的认证客户端发起第二次IP地址申请,如图线条②;
5、认证客户端发起第二次IP地址请求,当DHCP请求报文通过SWITCH1,DHCP SNOOPING在监听DHCP报文时附加用户认证后的OPTION82信息,如图线条③所示;
6、DHCP SERVER会根据这个OPTION82信息给用户分配另一个地址:10.1.2.2。如图线条④所示,该IP地址就可以同时访问内外网。