详谈DHCP OPTION 82的结构

网络 网络管理
对于DHCP的内容,我们今天来了解一下DHCP OPTION 82的知识。对于这部分知识,我们这次主要讲解一下它的原理和应用。

之前的文章中,我们讲解过关于DHCP代理的内容,那么这里我们主要讲解一下DHCP OPTION 82的基本原理。那么这里我们再来针对它的实际应用案例进行一下讲解。首先看一下场景实现的访问者可以访问外网,但是不能访问内网的情况。

如上图所示,我们将详细叙述如何通过神州数码交换机DHCP OPTION 82功能,实现接入PC不能访问内网,但是可以访问外网的应用场景:

1、内网合法用户使用10.1.0.0/255.255.0.0地址段,而对于临时接入者通过DHCP服务器分配192.168.2.0/255.255.255.0地址段;

2、临时接入终端通过交换机向DHCP服务器申请IP地址(如图为:192.168.2.2),如上图红线步骤。DHCP接入交换机启用基于OPTION82的DOT1X认证功能,在OPTION82插入默认值。DHCP服务器以此认定终端没有通过认证,属于临时接入者。

3、临时接入终端获得192.168.2.0/24地址段地址,可以在汇聚交换机配置ACL,控制192.168.2.0/24对内网的访问,使得192.168.2.0/24地址段不能访问内网资源,但是可以访问外网,如上图绿线所示。

注:此时来访者不需要安装802.1x客户端程序。

内部员工可以访问内外网

如上图所示,当内部使用者接入网络:

1、首先在终端认证前可以向DHCP服务器申请IP地址,接入交换机switch1通过DHCP SNOOPING 在DHCP请求报文添加默认值,再转发到DHCP Server。DHCP Server根据OPTION82中的字段为默认值(unauth),判定主机没有经过认证,向终端分配IP地址:192.168.2.3。这个过程和临时访问者完全一样。

2、终端通过802.1X客户端程序向认证服务器,发起认证,如图线条①所示;

3、如果认证没有通过,认证服务器不会发出任何报文,终端的状态,包括IP地址不变。

4、如果认证通过,认证服务器会下发该用户的DHCP OPTION 82到SWITCH1,并激发用户的认证客户端发起第二次IP地址申请,如图线条②;

5、认证客户端发起第二次IP地址请求,当DHCP请求报文通过SWITCH1,DHCP SNOOPING在监听DHCP报文时附加用户认证后的OPTION82信息,如图线条③所示;

6、DHCP SERVER会根据这个OPTION82信息给用户分配另一个地址:10.1.2.2。如图线条④所示,该IP地址就可以同时访问内外网。

责任编辑:佟健 来源: TechTarget中国
相关推荐

2010-08-31 16:03:15

2010-08-31 16:13:26

DHCP OPTION

2010-08-31 16:20:10

DHCP OPTION

2010-09-27 10:19:09

DHCP工作流程

2010-09-06 09:31:12

PPP数据帧

2010-09-02 14:53:19

DHCP Relay

2022-11-18 12:03:01

2010-06-23 14:09:50

DHCP协议

2010-09-02 10:32:41

2010-08-23 17:29:27

DHCP协议

2010-08-31 10:17:14

2010-09-25 13:07:50

DHCP协议结构

2010-08-06 12:40:14

Linux NFS

2010-07-27 15:09:31

2009-05-20 14:47:18

学习程序员编程语言

2012-02-06 13:52:32

HibernateJava

2013-01-04 13:22:42

OpenFlowSDN

2011-05-17 14:29:29

Dijkstra

2009-11-17 15:13:28

PHP数组

2017-02-23 15:37:44

OptionObject容器
点赞
收藏

51CTO技术栈公众号