DHCP RELAY(Option60与Option82)培训胶片

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,HUAWEI TECHNOLOGIES Co., Ltd.,Page,*,HUAWEI Confidential,DHCP RELAY(Option60与Option82)培训,胶片,接入网产品服务部,ISSUE 1.0,学习目标,DHCP RELAY,的报文交互,DHCP Option82,的作用和实现,DHCP Option60,的作用和实现,学习完本课程，您应该能够了解：,参考资料,DHCP,协议原理与应用（学习本课程前，要求对,DHCP,协议及报文交互有一定的了解）,MA5600 DHCP,Relay(Option,60 and Option 82)专题,MA5600V300 DHCP Relay,特性测试指导书,31026527-SmartAX MA5600,多业务接入设备 技术手册,(V3.14,64),RFC2131,，,RFC3026,课程内容,第一章,DHCP,协议引入,第二章,DHCP RELAY,第三章,DHCP Option82,第四章,DHCP Option60,DHCP协议简介,DHCP (Dynamic Host Configuration Protocol),是一种动态的向,Internet,终端提供配置参数的协议。,在终端提出申请后，,DHCP,可以向终端提供,IP,地址、网关、,DNS,服务器地址等参数。,提出申请,分配地址等参数,DHCP Server,Client,IP,地址池,DHCP协议简介,DHCP,协议以客户机,-,服务器（,Client-Server,）模式工作,DHCP,报文采用的是,UDP,传输方式,端口号：,CLIENT,为,68,，,SERVER,为,67,早期的,DHCP,协议只适用于,DHCP,客户机和服务器处于同一个子网内的情况，无法穿越多个子网,DHCP的报文格式,DHCP,报文在,UDP,层中的封装格式：,Op (1),Htype (1),Hlen (1),Hops (1),Xid (4),Secs (2),Flags (2),Client IP address (4),Your IP address (4),Server IP address (4),Gateway IP address (4),Client hardware IP address (4),Server Name (64),File (128),Options,DHCP的报文格式,Op:,操作码,(1=,bootrequest,2=,bootreply,),Htype,:,硬件地址类型,(1=10mb,ethernet,),Hlen,:,硬件地址长度,(,ethernet,为,10),Hops:,客户机设置为,0,当使用多个,DHCP Relay,时可变,Xid,:,传输,ID,在同服务器的交互中,由客户机所选择,Secs,:,客户机所使用地址在最近一次地址获取,/,更新后所经过的时间,Flags:,最左边一位是广播位,其余各位置,0,DHCP的报文格式,Client IP address:,客户机在,BOUND,RENEW,或,REBINDING,状态所使用,可以用来回应,ARP,请求报文,Your IP address:,服务器给客户机分配的,IP,地址,Server IP address:,bootstrap,中使用的下一台服务器的地址,由服务器在,DHCPOFFER,DHCPACK,中使用,Gateway IP address:,使用的,DHCP Relay,的地址,Client hardware address:,客户机硬件地址,Server name:,服务器名字,缺省为空,File:,启动文件的名字,在,DHCPOFFER,报文中给出全名,Options:,根据不同的报文而定,DHCP的报文种类,DHCPDISCOVER,客户机,-,服务器,DHCPOFFER,服务器,-,响应客户机,DHCPREQUEST,a),客户机向服务器申请地址及其他配置参数,b),客户机重新启动后确认原来的地址及其他配置参数的正确性,c),客户机向服务器申请延长地址及其他配置参数的使用期限,DHCPACK,服务器,-,客户机,DHCPNAK,服务器,-,客户机,DHCPDECLINE,客户机,-,服务器,DHCPRELEASE,客户机放弃其所使用的地址,DHCPINFORM,客户机,-,服务器,传统DHCP协议的缺点,DHCP SERVER,的行为完全由,CLIENT,来驱动，,DHCP SERVER,无法控制,CLIENT,的行为。,因此传统,DHCP,协议的安全性比较低，很容易遭到非法用户的恶意攻击。,注：,DHCP,协议报文交互这里不做详细说明，请阅读资料, DHCP,协议原理与应用,-20020513-C ,课程内容,第一章,DHCP,协议引入,第二章,DHCP RELAY,第三章,DHCP Option82,第四章,DHCP Option60,DHCP RELAY的提出和构架,早期的,DHCP,协议只适用于,DHCP,客户机和服务器处于同一个子网内的情况，不可以跨网段工作 。,DHCP RELAY,在处于不同子网间的,DHCP,客户机和服务器之间承担中继服务，可以将,DHCP,协议报文中继到跨网段的目的,DHCP,服务器（或客户机）,DHCP RELAY的提出和构架,DHCP RELAY,组网图如下：,DHCP RELAY的工作原理,DHCP,客户机启动并进行,DHCP,初始化时，它会在本网络广播配置请求报文。如果本子网存在,DHCP,服务器则不需要,DHCP RELAY,直接就可以进行,DHCP,配置；如果本子网里没有,DHCP,服务器，则发往本网络相连的带,DHCP RELAY,功能的网络设备。,DHCP RELAY,收到业务端口发出的,DHCP Client,端广播报文后，如果“,giaddr,”,字段为,0,，则把该业务端口所在三层接口的主,IP,地址填入此字段，然后把此报文以单播方式发送给,DHCP SERVER,。,DHCP SERVER,回应时将,DHCP,报文以单播方式回给,DHCP RELAY,，,DHCP RELAY,再将此报文以广播的方式转发给用户。,DHCP RELAY方式下CLIENT获取地址的过程,CLIENT,获取,IP,地址的过程：,t,DHCP REQUEST,（广播）,DHCP DISCOVER(,广播,),DHCP OFFER,CLIENT,DHCP,SERVER,DHCP ACK,此时用户成功获取地址，,进入延续状态。,DHCP,RELAY,AGENT,DHCP REQUEST,（单播）,DHCP ACK,DHCP DISCOVER,（单播）,DHCP OFFER,SERVER,根据,giaddr,所在,网段为,CLIENT,分配,IP,DHCP RELAY方式下CLIENT获取地址的过程,CLIENT,延续,IP,地址的过程：,CLIENT,DHCP,SERVER,DHCP,RELAY,AGENT,DHCP REQUEST(,单播,),DHCP OFFER,租期,50,时刻,t,DHCP ACK,DHCP REQUEST,（单播）,DHCP ACK,DHCP REQUEST,（广播）,租期,87.5,时刻,课程内容,第一章,DHCP,协议引入,第二章,DHCP RELAY,第三章,DHCP Option82,第四章,DHCP Option60,DHCP Option82的提出和概述,传统,DHCP,功能是没有认证和安全机制的，在网络上实际应用时，面临很多安全性问题。,RFC3046,提出了使用“,DHCP RELAY Agent Information Option”,来解决，其中定义了一个,code,为,82,的选项来标识用户信息，简称,DHCP Option82,。,DHCP Option82选项的格式,Code = 82,表示,option82,选项；,SubOpt = 1,表示,CID,子选项 （,Agent Circuit ID Sub-option,）,SubOpt = 2,表示,RID,子选项 （,Agent Remote ID Sub-option,）,Agent Information,Field,SubOpt,(1 ),Len,(N),Sub-option,Value,LEN,(N),CODE,(1),DHCP Option82报文示例,在,SERVER,上抓取带,Option82,字段的,DHCP,报文：,华为,DSLAM,上报的格式,“,HW,设备名,_,框号,atm,槽号,/,端口,:vpi.vci,DHCP Option82的应用,DHCP RELAY,设备给,DHCP,报文加上,Option 82,域后，转发给,DHCP Server,；,DHCP Server,负责鉴别添加在,DHCP,报文中的,CID,（,Agent Circuit ID,）,RID,（,Agent Remote ID,）信息。,DHCP Option82解决的问题,DHCP Relay,仅在指定的,CID,和,RID,设备上转发,DHCP,响应报文；,防止,DHCP,地址耗尽,;,可以实现,DHCP,地址静态分配；,防止,IP,欺骗；,防止用户标识符欺骗；,防止,MAC,地址欺骗,。,DHCP Option82,在,DSLAM,的使用,DSLAM,的二层模式：,插入,Option82,信息后的,DHCP,报文仍做,2,层转发到上行口。,DSLAM,的三层模式：,DSLAM,作为,DHCP RELAY,。,PC1,PC2,PC3,DSLAM,LSW,DHCP Server,课程内容,第一章,DHCP,协议引入,第二章,DHCP RELAY,第三章,DHCP Option82,第四章,DHCP Option60,DHCP Option60的提出,三网融合的趋势下，用户在一条线路上需要开展上网、视频组播、,IP,电话等业务。,不同的业务可能由不同的业务提供商提供，需要分配不同的网段地址。,DHCP RELAY,需要识别不同终端类型，根据终端类型来区分业务类型。,DHCP Option60的提出,Option60,特性就可完成该要求。,Option60,是一个,DHCP,报文中的选项，,code,为,60,，可以标识终端类型，根据不同的终端类型来选择接口下的网关。,其中：,Code,为,60,，长度最小为,1,DHCP Option60的实现,用户终端填好的一个域，主要用于,DHCP Client,标识自身的设备类型或配置，以便在,DHCP Server,之间传递特殊的配置信息。,DHCP relay,设备根据,DHCP,报文内的,option60,域的内容判断其属于哪个,DHCP,域，并将相应网关地址填入,GIADDR,，然后进行,3,层转发。,不具备,Option 60,的,DHCP Server,将忽略该选项；否则，,Server,在返回相应信息时采用,Option 60,选项。,DHCP Option60的报文示例,DHCP Server,PSTN,Video,IAD,BTV,STB,ATU-R,PHONE,PC,Home network,internet,GE,OSS & Radius Server/Radius Proxy,NMS(N2000),DHCP Server,属于不同的,ISP,提供商,将进一步根据,DHCP Option82,字段来检查用户的合法性,DSLAM,只负责二层透传和,QoS,保证；,BRAS,根据,Option 60,字段或,PPPOE,用户名选择不同的域和,DHCP Server,，授以不同,ISP,的业务权限，完成对所有用户的认证管理。,PPPoE/PPPoA,DHCP with Option 60,DHCP with Option 60,MA5300,BRAS,DHCP Option60的应用实例,Thank You,