DHCP与Option82在接入网中的实现﹡

梅瑜华， 甘朝钦， 马雪娇

（①上海大学 特种光纤与光接入网省部共建重点实验室，上海 200072；②上海贝尔股份有限公司，上海 201206）

0 引言

随着网络规模的不断庞大，基于安全性以及管理上的考虑，会对网络划分为不同的子网以及给予每个子网不同的配置参数。在接入网中，使用DHCP[1]为主机分配IP地址及其配置参数是可行的方法，如何通过DHCP及其Option[2]82的选项来解决安全性的问题以及网络管理上的问题具有非常实用的价值。

1 DHCP中继与Option 82

动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）用来给网络上的主机提供配置参数，它工作在客户端（client）-服务器（server）模式，指服务器为动态配置主机分配网络地址以及提供配置参数。其中服务器是指通过DHCP[3]来提供初始化参数的机器，客户端是指通过DHCP请求获得初始化参数的机器。

目前本地局域网大多使用高速公共因特网接入技术和高速调制器, 并使用DHCP分配用户的主机地址。然而, 大量的公用主机地址的使用, 也会引进安全问题。这个问题可通过引进DHCP relay agent[4]的信息域也就是所谓的Option 82, 在此选项内将加入relay agent 或客户的信息, 服务器端收到后进行检测, 以解决安全问题[5]。

来自于DHCP的广播报文，也可以根据这些额外的接入信息，只广播到合适的线路，而不是广播到所有的成千上万的接入线路当中去。这样既能使得集中化的IP地址管理成为可能，同时也保证了安全性。

Option 82称作中继代理信息选项，Option 82的格式如表1所示。

表1 中继代理信息选项

其中长度N为代理信息字段的总长度，在代理信息字段中包含了由子选项/长度/选项值的子选项序列，它的格式如表2所示。

表2 代理信息子选项

DHCP中继代理的子选项的描述如下：

1 代理电路ID（Agent circuit ID）子选项

2 理远程ID（Agent Remote ID）子选项

“pad”子选项是没有定义的，因此在信息字段中不能以255子选项结束。长度N应该包含所有子选项的字节。由于至少一个中继代理子选项必须添加,所以中继代理信息长度最小值为2, 而子选项的长度是子选项值的字节数, 子选项值的长度可为零,也就是说子选项可不填。

2 DHCP及Option 82在接入网中的实现

在接入网中，DHCP服务器位于接入设备的网络测，用户CPE位于接入设备的用户测，如图1所示。

图1 接入网中DHCP模型

在ISAM中，管理员可以通过配置命令来使能DHCP的Option 82选项，用户可以分别指定代理电路ID和代理远程ID是否使能。

对于从用户端(CPE，Customer Premise Equipment)发送过来的DHCP的上行报文，管理员若使能了Option 82，则ISAM根据代理电路ID和代理远程ID配置情况，在DHCP报文中插入Option 82选项，然后转发此报文到网络测，DHCP server收到此报文后，根据客户端请求和Option 82选项，回复适当的DHCP报文，并且保留原来的Option 82选项不做任何更改。

对于从DHCP server发送过来的DHCP下行报文，同样，若管理员使能了Option 82， ISAM根据代理电路ID和代理远程ID配置情况，结合DHCP server发送过来的DHCP报文中的Option 82选项，删除对应的Option 82选项，然后结合DHCP报文中的相关信息正确的广播或者单播到对应的端口。

代理电路ID和代理远程ID在RFC中并没有规定具体的格式，在不同的厂家与系统中各自都定义了自己的一套格式，当运营商使用了多个厂家的系统以后，就很难做出统一的规划，这在兼容性方面会造成很大的问题。运营商就会对设备提供商提出代理电路ID和代理远程ID的具体格式，使得设备提供商面临着需要为不同的运营商提供有差别的系统，会带来很大的成本开销。可配置的代理电路ID和代理远程ID同时解决了以上的问题。

在ISAM系统中，对于不同的接入方式可以分别配置他们的代理电路ID和代理远程ID，默认的格式分别为：

1.atm-based-dsl：Access_Node_ID atm Rack/Frame/Slot/Port:VPI.VCI

2.efm-based-dsl：Access_Node_ID eth Rack/Frame/Slot/Port

3.efm-based-pon：Access_Node_ID eth Rack/Frame/Slot/Port/ONU/OnuSlt/UNI

4.efm-based-epon：Bras Access_Node_ID/Rack/Frame/Slot/Subslot/Port/ONT Oft

其中Access_Node_ID，Rack，Frame，Slot，Port，VPI，VCI等都会根据实际的接入端口被替换成相应的值。当然管理员可以修改默认格式来定义自己所需要的格式。

在ISAM接入中，在同一个的端口上可以划分出多个VLAN[6]，每一个在端口上的Vlan[7]称之为VlanPort，运营商可以在同一个端口上为多个用户提供接入服务，这只需为每个用户分配VlanPort就可以了，也可以为一个用户分配多个VlanPort来提供不同的服务。一个典型的例子便是运营商为用户分配了两个VlanPort，1/1/1/1:100和1/1/1/1:200，其中1/1/1/1标识为Rack/Frame/Slot/Port，100和200为Vlan，1/1/1/1:100用于数据业务，1/1/1/1:200用于视频业务，如图2所示。

图2 ISAM系统中基于VLAN业务的DHCP模型

DHCP 服务器需要为1/1/1/1:100和1/1/1/1:200分别分配用于数据和视频业务的IP地址，这两个地址分别位于不同的地址段以及不同的路由，这就要求DHCP服务器可以根据不同的Vlan来分配IP地址，默认的代理电路ID和代理远程ID已经无法满足这一需求，用户可以修改配置来实现这一需求，可以把格式配成“Access_Node_ID eth Rack/Frame/Slot/Port:U-VID”，此时DHCP服务器可以根据U-VID的值来分配不同的地址。

3 结语

随着网络规模的不断扩大与复杂化[8]，通过DHCP服务器来分配IP地址的方法是一种灵活可靠的分配方式，对于使用结束的IP地址及时释放，能在一定程度上缓解IP地址稀缺的问题。Option 82的引进使得为复杂的网络结构在分配IP地址的时候成为可能，同时也加强了安全性，可配置的代理电路ID和代理远程ID使得运营商可以根据需求自定义格式，使用更加灵活以及解决了不同设备之间的兼容性问题[9]，在引进新的接入方式的时候只需要定义新的配置信息就可以了，实现也会变得相对简单。

[1] DROMS R. RFC 2131-1997, Dynamic Host Configuration Protocol[S].[s.l.]:The Internet Engineering Task Force:2-3.

[2] ALEXANDER S, DROMS R. RFC 2132-1997, DHCP Options and BOOTP Vendor Extensions[S].[s.l.]: The Internet Engineering Task Force: 1-5.

[3] 朱丽丽,范喜亮. EPON系统承载IPTV业务的关键技术研究[J].通信技术,2009,42(06): 177-179.

[4] PATRICK M. RFC 3046-2001, DHCP Relay Agent Information Option[S].[s.l.]: The Internet Engineering Task Force:1-12.

[5] 孙力芾,李生红. DHCP及Option82安全机制的原理与实现[J].信息技术,2005(08):29-32.

[6] IEEE Std 802.1Q-2011, Standard for Virtual Bridge Local Area Networks[S].New York: IEEE: 1-29.

[7] 周铜,杜庆灵.一种边界前置交换机的组网方式[J].通信技术,2008,41(07):112-117.

[8] 郭红芳.锐捷三层交换机上防范ARP欺骗攻击的解决方案[J].信息安全与通信保密,2009(05):92-94.

[9] 于溯.下一代互联网广域网用户接入研究[J].信息安全与通信保密,2011(10):65-69.