dhcp的工作原理

1 引言

在传统的DHCP动态分配IP地址的方式中，同一VLAN的用户得到的IP地址所拥有的权限是完全相同的，网络管理者不能对同一LAN中特定的用户进行有效的控制。普通的DHCP中继代理（不支持Option82的）也不能够区分不同的客户端，从而无法结合DHCP动态分配IP地址的应用来控制客户端对网络资源的访问，给网络的安全控制提出了严峻的挑战。

利用DHCP的OPTOIN 82，通过与认证系统的配合，可以有效的动态的控制用户对网络特定资源的访问。

2 DHCP的工作原理

(1)寻找Server：当DHCP客户端第一次登录网络的时候，它会向网络广播一个DHCP DISCOVER数据包。

(2)提供IP租用地址：每个有空闲地址的DHCP服务器都发出DHCP OFFER包响应这个DHCP DISC0VER 包。

(3)接受IP租约：如果客户端收到网络上多台DHCP服务器的回应，就会挑选其中一个DHCP Offer而已(通常是最先抵达的那个)，并且会向网络发送一个DHCP Request广播数据包，告诉所有DHCP服务器它将指定接受哪一台服务器提供IP地址。同时，客户端还会向网络发送一个ARP数据包，查询网络上面有没有其它机器使用该IP地址；如果发现该IP已经被占用，客户端则会送出一个DHCP DECLINE数据包给DHCP服务器，拒绝接受其DHCP Offer，并重新发送DHCP Discover信息。事实上，并不是所有DHCP客户端都会无条件接受DHCP服务器的Offer。客户端也可以用DHCP Request向服务器提出DHCP选择，而这些选择会以不同的号码填写在DHCP Option Field里面。换句话说，在DHCP服务器上面的设定，未必是客户端全都接受，客户端可以保留自己的一些TCP/IP设定。

(4)租约确认：当DHCP服务器接收到客户端的DHCP Request之后，会向客户端发出一个DHCP ACK 回应，以确认IP租约的正式生效，也就结束了一个完整的DHCP工作过程。

DHCP的工作流程如图1如示。

3 DHCP数据包格式

（1）OPTION字段：允许厂商定义选项(Vendor-SpecificArea)，以提供更多的设定信息(如：Netmask、Gateway、DNS等等)。其长度可变，同时可携带多个选项，每一选项之第一个byte为资讯代码，其后一个byte为该项资料长度，最后为项目内容。

（2）DHCP Option 82：当DHCP Relay Agent将客户端的DHCP包转发到DHCP服务器时，可以插入一些选项信息，以便DHCP服务器能更精确的得知PC客户端的信息，从而能更灵活按相应策略分配IP地址和IP地址需要的租约时间。该选项信息的选项号为82，故又称为Option 82，相关标准文档为RFC 3046。Option 82是对DHCP选项的扩展应用，这个新的选项被称为：DHCP relay agent information option（中继代理信息选项），当向一个DHCP中继代理传输客户端发起的DHCP请求时被中继代理嵌入到客户端的DHCP 报文中，当服务器识别到中继代理信息选项后就会根据选项中的信息执行IP地址的分配和策略的实施。

DHCP服务器将发给用户的响应数据包首先发送给中继代理，然后由中继代理将选项字段剥去后发送给客户端。

“中继信息”选项被定义为一个包含一个或多个“子选项”的单独的DHCP选项，并传送可被中继代理识别的信息。Option 82选项如同一个“容器”选项，为中继代理分配的特定的子选项在DHCP报文中提供了数据空间。

（3）Option 82选项格式：

其中，可填充的子选项个数最大为255个。

在初期的子选项中定义了用来标识源发送端链路的“Circuit ID”和向远程高速调制解调器提供的信任标识“REMOTE ID”。

通过将DHCP Option 82选项与实际的认证系统向结合，认证系统能够使用Option 82的Circuit ID和Remote ID子选项按不同的用户权限给用户分配不同的IP地址，一方面能更精确的进行IP地址管理，另一方面可以让交换机或路由器进行“源IP地址”的策略路由，从而最终达到不同IP地址有不同的路由规则、不同的上网权限的目的。

4 DHCP Option 82的应用

（1）Option 82工作原理

利用DHCP Option 82功能的中继代理，通过Option 82选项中的子选项Circuit ID值和Remote ID值，告诉DHCP服务器，可更具体的指出是交换机的哪种权限的用户发出的DHCP请求，以供DHCP服务器按相应策略分配IP地址或相应的租期。如图4所示。

在安全认证计费系统中配置了“用户权限”和“下传VLAN”参数（网络实施前，管理员规划好这些参数值），支持Option 82 功能的交换机会把这些信息分别做为Option 82中的“Circuit ID”和“Remote ID”子选项的值传给DHCP Server，这样DHCP Server 就能根据不同的“用户权限”或不同的“VLAN ID参数”，按相应的配

置策略分配用户不同类型的IP，再结合DHCP Server的IP授权模式，管理员就可以轻松的实现更精确的IP地址管理和IP的动态绑定管理。

（2）Option 82与认证系统的工作流程

通过DHCP服务器与认证服务器的配合，可以使校园网用户在通过认证服务器的认证后，根据认证服务器上不同用户所分配的不同权限与DHCP服务器的DHCP Option 82配合，使得DHCP服务器可以根据认证服务器所分配给用户的权限分配响应的IP地址给用户。其过程如图5所示。

工作过程分析：

①用户未认证前，未获得动态IP前，只有认证报文和DHCP报文可以通过交换机。用户开机，想上网，是无法成功的，首先获得一个上网权限很低的私有IP，该IP地址不能上外网，只能访问校内特定资源，如Web Portal服务器等特定的服务器，这样，可以控制为认证用户对特定网络资源的使用，保证了网络资源的安全。

②用户端向认证服务器发出认证请求，经过中继代理交换机的转发到达认证服务器。

③认证服务器对用户的合法性进行认证之后，在下传用户认证通过的响应的同时下传在认证服务器上所设定的不同用户的不同的权限，同时，将权限写入DHCP Option 82字段内，并将此报文下传给中继交换机。

④此时，认证通过的合法用户根据认证服务器下发的权限，将特定的将权限写入Option 82字段，向DHCP 服务器发起请求。

⑤DHCP服务器根据用户Option 82字段中的特定的权限值向用户分配相应的IP地址。同时，在中继交换机上，做相应的动态的地址绑定，在保证用户合法性的同时，确保了用户的唯一性。

6 结束语

我校校园网使用了锐捷网络的RG-SAMⅡ认证软件和STAR-S2126G/2150G交换机，通过DHCP Option 82功能实现了网络的安全和策略管理