DHCP RELAY(Option60与Option82)培训胶片——华为(2).ppt

DHCP RELAY(Option60与Option82)培训胶片,接入网产品服务部,ISSUE 1.0,Page 2,学习目标,DHCP RELAY的报文交互DHCP Option82的作用和实现DHCP Option60的作用和实现,学习完本课程，您应该能够了解：,Page 3,参考资料,DHCP协议原理与应用（学习本课程前，要求对DHCP协议及报文交互有一定的了解）MA5600 DHCP Relay(Option 60 and Option 82)专题MA5600V300 DHCP Relay特性测试指导书31026527-SmartAX MA5600 多业务接入设备 技术手册(V3.14,64)RFC2131，RFC3026,Page 4,课程内容,第一章 DHCP协议引入第二章 DHCP RELAY第三章 DHCP Option82第四章 DHCP Option60,Page 5,DHCP协议简介,DHCP(Dynamic Host Configuration Protocol)是一种动态的向Internet终端提供配置参数的协议。在终端提出申请后，DHCP可以向终端提供IP地址、网关、DNS服务器地址等参数。,提出申请,分配地址等参数,DHCP Server,Client,IP地址池,Page 6,DHCP协议简介,DHCP协议以客户机-服务器（Client-Server）模式工作DHCP报文采用的是UDP传输方式端口号：CLIENT为68，SERVER为67,早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，无法穿越多个子网,Page 7,DHCP的报文格式,DHCP报文在UDP层中的封装格式：,Page 8,DHCP的报文格式,Op:操作码(1=bootrequest,2=bootreply)Htype:硬件地址类型(1=10mb ethernet)Hlen:硬件地址长度(ethernet 为10)Hops:客户机设置为0,当使用多个DHCP Relay时可变Xid:传输ID,在同服务器的交互中,由客户机所选择Secs:客户机所使用地址在最近一次地址获取/更新后所经过的时间Flags:最左边一位是广播位,其余各位置0,Page 9,DHCP的报文格式,Client IP address:客户机在BOUND,RENEW或REBINDING状态所使用,可以用来回应ARP请求报文Your IP address:服务器给客户机分配的IP地址Server IP address:bootstrap中使用的下一台服务器的地址,由服务器在DHCPOFFER,DHCPACK中使用Gateway IP address:使用的DHCP Relay的地址Client hardware address:客户机硬件地址Server name:服务器名字,缺省为空File:启动文件的名字,在DHCPOFFER报文中给出全名Options:根据不同的报文而定,Page 10,DHCP的报文种类,DHCPDISCOVER 客户机-服务器DHCPOFFER 服务器-响应客户机DHCPREQUEST a)客户机向服务器申请地址及其他配置参数 b)客户机重新启动后确认原来的地址及其他配置参数的正确性 c)客户机向服务器申请延长地址及其他配置参数的使用期限DHCPACK 服务器-客户机DHCPNAK 服务器-客户机DHCPDECLINE 客户机-服务器DHCPRELEASE 客户机放弃其所使用的地址DHCPINFORM 客户机-服务器,Page 11,传统DHCP协议的缺点,DHCP SERVER的行为完全由CLIENT来驱动，DHCP SERVER无法控制CLIENT的行为。因此传统DHCP协议的安全性比较低，很容易遭到非法用户的恶意攻击。注：DHCP协议报文交互这里不做详细说明，请阅读资料 DHCP协议原理与应用-20020513-C,Page 12,课程内容,第一章 DHCP协议引入第二章 DHCP RELAY第三章 DHCP Option82第四章 DHCP Option60,Page 13,DHCP RELAY的提出和构架,早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，不可以跨网段工作。DHCP RELAY在处于不同子网间的DHCP客户机和服务器之间承担中继服务，可以将DHCP协议报文中继到跨网段的目的DHCP服务器（或客户机）,Page 14,DHCP RELAY的提出和构架,DHCP RELAY组网图如下：,Page 15,DHCP RELAY的工作原理,DHCP客户机启动并进行DHCP初始化时，它会在本网络广播配置请求报文。如果本子网存在DHCP服务器则不需要DHCP RELAY直接就可以进行DHCP配置；如果本子网里没有DHCP服务器，则发往本网络相连的带DHCP RELAY功能的网络设备。DHCP RELAY收到业务端口发出的DHCP Client端广播报文后，如果“giaddr”字段为0，则把该业务端口所在三层接口的主IP地址填入此字段，然后把此报文以单播方式发送给DHCP SERVER。DHCP SERVER回应时将DHCP报文以单播方式回给DHCP RELAY，DHCP RELAY再将此报文以广播的方式转发给用户。,Page 16,DHCP RELAY方式下CLIENT获取地址的过程,CLIENT获取IP地址的过程：,t,CLIENT,DHCP,SERVER,此时用户成功获取地址，,进入延续状态。,DHCP,RELAY,AGENT,SERVER,根据,giaddr所在,网段为,CLIENT分配,IP,Page 17,DHCP RELAY方式下CLIENT获取地址的过程,CLIENT延续IP地址的过程：,CLIENT,DHCP,SERVER,DHCP,RELAY,AGENT,租期,50,时刻,t,租期,87.5,时刻,Page 18,课程内容,第一章 DHCP协议引入第二章 DHCP RELAY第三章 DHCP Option82第四章 DHCP Option60,Page 19,DHCP Option82的提出和概述,传统DHCP功能是没有认证和安全机制的，在网络上实际应用时，面临很多安全性问题。RFC3046提出了使用“DHCP RELAY Agent Information Option”来解决，其中定义了一个code为82的选项来标识用户信息，简称DHCP Option82。,Page 20,DHCP Option82选项的格式,Code=82 表示option82选项；SubOpt=1 表示CID子选项（Agent Circuit ID Sub-option）SubOpt=2 表示RID子选项（Agent Remote ID Sub-option）,Page 21,DHCP Option82报文示例,在SERVER上抓取带Option82字段的DHCP报文：,华为DSLAM上报的格式“HW设备名_框号 atm 槽号/端口:vpi.vci,Page 22,DHCP Option82的应用,DHCP RELAY设备给DHCP报文加上Option 82域后，转发给DHCP Server；DHCP Server负责鉴别添加在DHCP报文中的CID（Agent Circuit ID）,RID（Agent Remote ID）信息。,Page 23,DHCP Option82解决的问题,DHCP Relay仅在指定的CID和RID设备上转发DHCP响应报文；防止DHCP 地址耗尽;可以实现DHCP地址静态分配；防止IP 欺骗；防止用户标识符欺骗；防止MAC 地址欺骗。,Page 24,DHCP Option82在DSLAM的使用,DSLAM的二层模式：插入Option82信息后的DHCP报文仍做2层转发到上行口。,DSLAM的三层模式：DSLAM作为DHCP RELAY。,Page 25,课程内容,第一章 DHCP协议引入第二章 DHCP RELAY第三章 DHCP Option82第四章 DHCP Option60,Page 26,DHCP Option60的提出,三网融合的趋势下，用户在一条线路上需要开展上网、视频组播、IP电话等业务。不同的业务可能由不同的业务提供商提供，需要分配不同的网段地址。DHCP RELAY需要识别不同终端类型，根据终端类型来区分业务类型。,Page 27,DHCP Option60的提出,Option60特性就可完成该要求。Option60是一个DHCP报文中的选项，code为60，可以标识终端类型，根据不同的终端类型来选择接口下的网关。,其中：Code 为 60，长度最小为1,Page 28,DHCP Option60的实现,用户终端填好的一个域，主要用于DHCP Client标识自身的设备类型或配置，以便在DHCP Server之间传递特殊的配置信息。DHCP relay设备根据DHCP报文内的option60域的内容判断其属于哪个DHCP域，并将相应网关地址填入GIADDR，然后进行3层转发。不具备Option 60的DHCP Server将忽略该选项；否则，Server在返回相应信息时采用Option 60选项。,Page 29,DHCP Option60的报文示例,Page 30,DHCP Option60的应用实例,Thank You,