DHCP RELAY(Option60与Option82)培训胶片

Aug.01,2006HUAWEITECHNOLOGIESCo.,Ltd.文档密级：内部公开DHCPRELAY(Option60与Option82)培训胶片接入网产品服务部ISSUE1.0HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage2学习目标DHCPRELAY的报文交互DHCPOption82的作用和实现DHCPOption60的作用和实现学习完本课程，您应该能够了解：HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage3参考资料DHCP协议原理与应用（学习本课程前，要求对DHCP协议及报文交互有一定的了解）MA5600DHCPRelay(Option60andOption82)专题MA5600V300DHCPRelay特性测试指导书31026527-SmartAXMA5600多业务接入设备技术手册(V3.14,64)RFC2131，RFC3026HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage4课程内容第一章DHCP协议引入第二章DHCPRELAY第三章DHCPOption82第四章DHCPOption60HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage5DHCP协议简介DHCP(DynamicHostConfigurationProtocol)是一种动态的向Internet终端提供配置参数的协议。在终端提出申请后，DHCP可以向终端提供IP地址、网关、DNS服务器地址等参数。提出申请分配地址等参数DHCPServerClientIP地址池HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage6DHCP协议简介DHCP协议以客户机-服务器（Client-Server）模式工作DHCP报文采用的是UDP传输方式－－端口号：CLIENT为68，SERVER为67早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，无法穿越多个子网HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage7DHCP的报文格式DHCP报文在UDP层中的封装格式：Op(1)Htype(1)Hlen(1)Hops(1)Xid(4)Secs(2)Flags(2)ClientIPaddress(4)YourIPaddress(4)ServerIPaddress(4)GatewayIPaddress(4)ClienthardwareIPaddress(4)ServerName(64)File(128)OptionsHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage8DHCP的报文格式Op:操作码(1=bootrequest,2=bootreply)Htype:硬件地址类型(1=10mbethernet)Hlen:硬件地址长度(ethernet为10)Hops:客户机设置为0,当使用多个DHCPRelay时可变Xid:传输ID,在同服务器的交互中,由客户机所选择Secs:客户机所使用地址在最近一次地址获取/更新后所经过的时间Flags:最左边一位是广播位,其余各位置0HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage9DHCP的报文格式ClientIPaddress:客户机在BOUND,RENEW或REBINDING状态所使用,可以用来回应ARP请求报文YourIPaddress:服务器给客户机分配的IP地址ServerIPaddress:bootstrap中使用的下一台服务器的地址,由服务器在DHCPOFFER,DHCPACK中使用GatewayIPaddress:使用的DHCPRelay的地址Clienthardwareaddress:客户机硬件地址Servername:服务器名字,缺省为空File:启动文件的名字,在DHCPOFFER报文中给出全名Options:根据不同的报文而定HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage10DHCP的报文种类DHCPDISCOVER——客户机-服务器DHCPOFFER——服务器-响应客户机DHCPREQUEST——a)客户机向服务器申请地址及其他配置参数b)客户机重新启动后确认原来的地址及其他配置参数的正确性c)客户机向服务器申请延长地址及其他配置参数的使用期限DHCPACK——服务器-客户机DHCPNAK——服务器-客户机DHCPDECLINE——客户机-服务器DHCPRELEASE——客户机放弃其所使用的地址DHCPINFORM——客户机-服务器HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage11传统DHCP协议的缺点DHCPSERVER的行为完全由CLIENT来驱动，DHCPSERVER无法控制CLIENT的行为。因此传统DHCP协议的安全性比较低，很容易遭到非法用户的恶意攻击。注：DHCP协议报文交互这里不做详细说明，请阅读资料《DHCP协议原理与应用-20020513-C》HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage12课程内容第一章DHCP协议引入第二章DHCPRELAY第三章DHCPOption82第四章DHCPOption60HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage13DHCPRELAY的提出和构架早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，不可以跨网段工作。DHCPRELAY在处于不同子网间的DHCP客户机和服务器之间承担中继服务，可以将DHCP协议报文中继到跨网段的目的DHCP服务器（或客户机）HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage14DHCPRELAY的提出和构架DHCPRELAY组网图如下：HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage15DHCPRELAY的工作原理DHCP客户机启动并进行DHCP初始化时，它会在本网络广播配置请求报文。如果本子网存在DHCP服务器则不需要DHCPRELAY直接就可以进行DHCP配置；如果本子网里没有DHCP服务器，则发往本网络相连的带DHCPRELAY功能的网络设备。DHCPRELAY收到业务端口发出的DHCPClient端广播报文后，如果“giaddr”字段为0，则把该业务端口所在三层接口的主IP地址填入此字段，然后把此报文以单播方式发送给DHCPSERVER。DHCPSERVER回应时将DHCP报文以单播方式回给DHCPRELAY，DHCPRELAY再将此报文以广播的方式转发给用户。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage16DHCPRELAY方式下CLIENT获取地址的过程CLIENT获取IP地址的过程：tDHCPREQUEST（广播）DHCPDISCOVER(广播)DHCPOFFERCLIENTDHCPSERVERDHCPACK此时用户成功获取地址，进入延续状态。DHCPRELAYAGENTDHCPREQUEST（单播）DHCPACKDHCPDISCOVER（单播）DHCPOFFERSERVER根据‘giaddr所在网段为CLIENT分配IPHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage17DHCPRELAY方式下CLIENT获取地址的过程CLIENT延续IP地址的过程：CLIENTDHCPSERVERDHCPRELAYAGENTDHCPREQUEST(单播)DHCPOFFER租期50％时刻tDHCPACKDHCPREQUEST（单播）DHCPACKDHCPREQUEST（广播）租期87.5％时刻HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage18课程内容第一章DHCP协议引入第二章DHCPRELAY第三章DHCPOption82第四章DHCPOption60HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage19DHCPOption82的提出和概述传统DHCP功能是没有认证和安全机制的，在网络上实际应用时，面临很多安全性问题。RFC3046提出了使用“DHCPRELAYAgentInformationOption”来解决，其中定义了一个code为82的选项来标识用户信息，简称DHCPOption82。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage20DHCPOption82选项的格式Code=82表示option82选项；SubOpt=1表示CID子选项（AgentCircuitIDSub-option）SubOpt=2表示RID子选项（AgentRemoteIDSub-option）AgentInformationFieldSubOpt(1)Len(N)Sub-optionValueLEN(N)CODE(1)HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage21DHCPOption82报文示例在SERVER上抓取带Option82字段的DHCP报文：华为DSLAM上报的格式“HW设备名_框号atm槽号/端口:vpi.vciHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage22DHCPOption82的应用DHCPRELAY设备给DHCP报文加上Option82域后，转发给DHCPServer；DHCPServer负责鉴别添加在DHCP报文中的CID（AgentCircuitID）,RID（AgentRemoteID）信息。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage23DHCPOption82解决的问题DHCPRelay仅在指定的CID和RID设备上转发DHCP响应报文；防止DHCP地址耗尽;可以实现DHCP地址静态分配；防止IP欺骗；防止用户标识符欺骗；防止MAC地址欺骗。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage24DHCPOption82在DSLAM的使用DSLAM的二层模式：插入Option82信息后的DHCP报文仍做2层转发到上行口。DSLAM的三层模式：DSLAM作为DHCPRELAY。PC1PC2PC3DSLAMLSWDHCPServerHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage25课程内容第一章DHCP协议引入第二章DHCPRELAY第三章DHCPOption82第四章DHCPOption60HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage26DHCPOption60的提出三网融合的趋势下，用户在一条线路上需要开展上网、视频组播、IP电话等业务。不同的业务可能由不同的业务提供商提供，需要分配不同的网段地址。DHCPRELAY需要识别不同终端类型，根据终端类型来区分业务类型。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage27DHCPO