DHCP OPTION 82的实际应用案例

网络 网络管理
下面我们主要讲解一下DHCP OPTION 82实际应用干礼。帮助大家进行一下分析和讲解。希望对您有用。

前面的文章中我们针对DHCP OPTION 82的基本概念原理都进行了分析。那么这里我们再来针对它的实际应用案例进行一下讲解。首先看一下场景实现的访问者可以访问外网,但是不能访问内网的情况。

如上图所示,我们将详细叙述如何通过神州数码交换机DHCP OPTION 82功能,实现接入PC不能访问内网,但是可以访问外网的应用场景:

1、内网合法用户使用10.1.0.0/255.255.0.0地址段,而对于临时接入者通过DHCP服务器分配192.168.2.0/255.255.255.0地址段;

2、临时接入终端通过交换机向DHCP服务器申请IP地址(如图为:192.168.2.2),如上图红线步骤。DHCP接入交换机启用基于OPTION82的DOT1X认证功能,在OPTION82插入默认值。DHCP服务器以此认定终端没有通过认证,属于临时接入者。

3、临时接入终端获得192.168.2.0/24地址段地址,可以在汇聚交换机配置ACL,控制192.168.2.0/24对内网的访问,使得192.168.2.0/24地址段不能访问内网资源,但是可以访问外网,如上图绿线所示。

注:此时来访者不需要安装802.1x客户端程序。

内部员工可以访问内外网

如上图所示,当内部使用者接入网络:

1、首先在终端认证前可以向DHCP服务器申请IP地址,接入交换机switch1通过DHCP SNOOPING 在DHCP请求报文添加默认值,再转发到DHCP Server。DHCP Server根据OPTION82中的字段为默认值(unauth),判定主机没有经过认证,向终端分配IP地址:192.168.2.3。这个过程和临时访问者完全一样。

2、终端通过802.1X客户端程序向认证服务器,发起认证,如图线条①所示;

3、如果认证没有通过,认证服务器不会发出任何报文,终端的状态,包括IP地址不变。

4、如果认证通过,认证服务器会下发该用户的DHCP OPTION 82到SWITCH1,并激发用户的认证客户端发起第二次IP地址申请,如图线条②;

5、认证客户端发起第二次IP地址请求,当DHCP请求报文通过SWITCH1,DHCP SNOOPING在监听DHCP报文时附加用户认证后的OPTION82信息,如图线条③所示;

6、DHCP SERVER会根据这个OPTION82信息给用户分配另一个地址:10.1.2.2。如图线条④所示,该IP地址就可以同时访问内外网。

责任编辑:佟健 来源: 网络整理
相关推荐

2010-08-31 16:03:15

2010-08-31 16:13:26

DHCP OPTION

2010-09-01 09:00:56

DHCP OPTION

2010-09-29 15:40:44

DHCP Relay配

2009-05-22 09:24:00

Blue Coat网络优化安全

2009-11-17 18:21:42

路由器配置

2023-10-16 08:32:29

开源工具

2010-05-04 15:57:49

服务器负载均衡

2009-11-09 14:01:45

MSR路由器

2022-11-18 12:03:01

2009-11-19 14:37:16

CDMA无线路由器

2010-09-01 16:46:02

DHCP Relay

2010-07-12 14:15:01

ERP临床信息系统

2009-11-09 14:08:23

模块化路由器

2009-09-22 13:10:22

ibmdwSOA

2010-11-09 17:10:38

2009-11-13 09:46:32

LinuxDHCP高级配置

2010-08-27 09:26:32

DHCP server

2010-06-03 08:59:50

MySQL Query

2010-03-30 14:32:38

Oracle Date
点赞
收藏

51CTO技术栈公众号