DHCP OPTION 82的原理

前面我们针对DHCP OPTION 82的情况作了基本的介绍。包括它的基本概念以及相关的一些功能以及作用。这里我们再来看看Option 82的工作原理。在DHCP中继代理（交换机）支持DHCP OPTION 82的情况下，DHCP客户端通过DHCP中继从DHCP服务器获取IP地址同样要经历发现、提供、选择和确认四个阶段。这时DHCP协议按如下过程进行：

1）DHCP客户端在初始化时广播发送请求报文，这时的请求报文并不包含option 82选项。

2）DHCP中继代理将option 82选项添加到接收到的请求报文尾部后中继转发给DHCP服务器。DHCP OPTION 82选项的子选项1（代理电路ID）默认是DHCP客户端所连接的交换机的接口信息（VLan名加物理端口名），也可以由用户自己配置代理电路ID，option 82选项的子选项2（代理远程ID）是DHCP中继设备本身的MAC地址。

3）DHCP服务器收到DHCP中继设备转发的DHCP请求报文后，根据报文中option选项所携带的信息和预定策略分配IP地址和其它信息给客户端，然后将带着DHCP配置信息以及option 82信息的应答报文发给DHCP中继代理。

4）DHCP中继代理收到DHCP服务器的应答报文后将剥离报文中的option 82信息，然后将带有DHCP配置信息的报文转发给DHCP客户端。

基于Option82的802.1X认证

基于DHCP OPTION 82的DOT1X认证，一般用于在用户使用DHCP方式获取地址的环境中，需要支持基于OPTION82进行地址分配策略的DHCP SERVER。用户在获取IP地址之前处于控制状态，只能访问DHCP SERVER；用户在获取地址之后处于安全状态，接入交换机转发该用户的IP和ARP报文；用户在认证前后能够获得不同地址，通过在接入交换机上联的汇聚交换机上配置ACL，控制不同源地址用户能够访问资源，来控制认证前后用户的访问权限。

为了使DHCP用户在认证前后能够获得不同（网段）的地址，DCN交换机利用了DHCP OPTION82和DHCP Snooping技术。DHCP报文中的82选项一般由DHCP中继代理在中继DHCP报文时附加，在DCN交换机扩展了这一功能，允许DHCP SNOOPING在监听DHCP报文时附加OPTION82信息，OPTION82的内容在DHCP用户认证之前由DHCP SNOOPING添加一个默认值，如果用户在获取地址成功后并且认证通过，则神州数码802.1X认证服务器后台会下发该用户的OPTION82信息到交换机，同时DOT1X 客户端会重新申请一次地址，DHCP SNOOPING在监听DHCP报文时附加用户认证后的OPTION82信息，DHCP SERVER会根据这个OPTION82信息给用户分配另一个地址。由于用户在认证前后地址不同，则可以在接入交换机上联的汇聚交换机上进行基于源IP的ACL配置，来控制用户的访问权限。