DHCP與Option82在接入網(wǎng)中的實現(xiàn)﹡

梅瑜華， 甘朝欽， 馬雪嬌

（①上海大學(xué) 特種光纖與光接入網(wǎng)省部共建重點實驗室，上海 200072；②上海貝爾股份有限公司，上海 201206）

0 引言

隨著網(wǎng)絡(luò)規(guī)模的不斷龐大，基于安全性以及管理上的考慮，會對網(wǎng)絡(luò)劃分為不同的子網(wǎng)以及給予每個子網(wǎng)不同的配置參數(shù)。在接入網(wǎng)中，使用DHCP[1]為主機分配IP地址及其配置參數(shù)是可行的方法，如何通過DHCP及其Option[2]82的選項來解決安全性的問題以及網(wǎng)絡(luò)管理上的問題具有非常實用的價值。

1 DHCP中繼與Option 82

動態(tài)主機配置協(xié)議（DHCP，Dynamic Host Configuration Protocol）用來給網(wǎng)絡(luò)上的主機提供配置參數(shù)，它工作在客戶端（client）-服務(wù)器（server）模式，指服務(wù)器為動態(tài)配置主機分配網(wǎng)絡(luò)地址以及提供配置參數(shù)。其中服務(wù)器是指通過DHCP[3]來提供初始化參數(shù)的機器，客戶端是指通過DHCP請求獲得初始化參數(shù)的機器。

目前本地局域網(wǎng)大多使用高速公共因特網(wǎng)接入技術(shù)和高速調(diào)制器, 并使用DHCP分配用戶的主機地址。然而, 大量的公用主機地址的使用, 也會引進安全問題。這個問題可通過引進DHCP relay agent[4]的信息域也就是所謂的Option 82, 在此選項內(nèi)將加入relay agent 或客戶的信息, 服務(wù)器端收到后進行檢測, 以解決安全問題[5]。

來自于DHCP的廣播報文，也可以根據(jù)這些額外的接入信息，只廣播到合適的線路，而不是廣播到所有的成千上萬的接入線路當中去。這樣既能使得集中化的IP地址管理成為可能，同時也保證了安全性。

Option 82稱作中繼代理信息選項，Option 82的格式如表1所示。

表1 中繼代理信息選項

其中長度N為代理信息字段的總長度，在代理信息字段中包含了由子選項/長度/選項值的子選項序列，它的格式如表2所示。

表2 代理信息子選項

DHCP中繼代理的子選項的描述如下：

1 代理電路ID（Agent circuit ID）子選項

2 理遠程ID（Agent Remote ID）子選項

“pad”子選項是沒有定義的，因此在信息字段中不能以255子選項結(jié)束。長度N應(yīng)該包含所有子選項的字節(jié)。由于至少一個中繼代理子選項必須添加,所以中繼代理信息長度最小值為2, 而子選項的長度是子選項值的字節(jié)數(shù), 子選項值的長度可為零,也就是說子選項可不填。

2 DHCP及Option 82在接入網(wǎng)中的實現(xiàn)

在接入網(wǎng)中，DHCP服務(wù)器位于接入設(shè)備的網(wǎng)絡(luò)測，用戶CPE位于接入設(shè)備的用戶測，如圖1所示。

圖1 接入網(wǎng)中DHCP模型

在ISAM中，管理員可以通過配置命令來使能DHCP的Option 82選項，用戶可以分別指定代理電路ID和代理遠程ID是否使能。

對于從用戶端(CPE，Customer Premise Equipment)發(fā)送過來的DHCP的上行報文，管理員若使能了Option 82，則ISAM根據(jù)代理電路ID和代理遠程ID配置情況，在DHCP報文中插入Option 82選項，然后轉(zhuǎn)發(fā)此報文到網(wǎng)絡(luò)測，DHCP server收到此報文后，根據(jù)客戶端請求和Option 82選項，回復(fù)適當?shù)腄HCP報文，并且保留原來的Option 82選項不做任何更改。

對于從DHCP server發(fā)送過來的DHCP下行報文，同樣，若管理員使能了Option 82， ISAM根據(jù)代理電路ID和代理遠程ID配置情況，結(jié)合DHCP server發(fā)送過來的DHCP報文中的Option 82選項，刪除對應(yīng)的Option 82選項，然后結(jié)合DHCP報文中的相關(guān)信息正確的廣播或者單播到對應(yīng)的端口。

代理電路ID和代理遠程ID在RFC中并沒有規(guī)定具體的格式，在不同的廠家與系統(tǒng)中各自都定義了自己的一套格式，當運營商使用了多個廠家的系統(tǒng)以后，就很難做出統(tǒng)一的規(guī)劃，這在兼容性方面會造成很大的問題。運營商就會對設(shè)備提供商提出代理電路ID和代理遠程ID的具體格式，使得設(shè)備提供商面臨著需要為不同的運營商提供有差別的系統(tǒng)，會帶來很大的成本開銷?？膳渲玫拇黼娐稩D和代理遠程ID同時解決了以上的問題。

在ISAM系統(tǒng)中，對于不同的接入方式可以分別配置他們的代理電路ID和代理遠程ID，默認的格式分別為：

1.atm-based-dsl：Access_Node_ID atm Rack/Frame/Slot/Port:VPI.VCI

2.efm-based-dsl：Access_Node_ID eth Rack/Frame/Slot/Port

3.efm-based-pon：Access_Node_ID eth Rack/Frame/Slot/Port/ONU/OnuSlt/UNI

4.efm-based-epon：Bras Access_Node_ID/Rack/Frame/Slot/Subslot/Port/ONT Oft

其中Access_Node_ID，Rack，F(xiàn)rame，Slot，Port，VPI，VCI等都會根據(jù)實際的接入端口被替換成相應(yīng)的值。當然管理員可以修改默認格式來定義自己所需要的格式。

在ISAM接入中，在同一個的端口上可以劃分出多個VLAN[6]，每一個在端口上的Vlan[7]稱之為VlanPort，運營商可以在同一個端口上為多個用戶提供接入服務(wù)，這只需為每個用戶分配VlanPort就可以了，也可以為一個用戶分配多個VlanPort來提供不同的服務(wù)。一個典型的例子便是運營商為用戶分配了兩個VlanPort，1/1/1/1:100和1/1/1/1:200，其中1/1/1/1標識為Rack/Frame/Slot/Port，100和200為Vlan，1/1/1/1:100用于數(shù)據(jù)業(yè)務(wù)，1/1/1/1:200用于視頻業(yè)務(wù)，如圖2所示。

圖2 ISAM系統(tǒng)中基于VLAN業(yè)務(wù)的DHCP模型

DHCP 服務(wù)器需要為1/1/1/1:100和1/1/1/1:200分別分配用于數(shù)據(jù)和視頻業(yè)務(wù)的IP地址，這兩個地址分別位于不同的地址段以及不同的路由，這就要求DHCP服務(wù)器可以根據(jù)不同的Vlan來分配IP地址，默認的代理電路ID和代理遠程ID已經(jīng)無法滿足這一需求，用戶可以修改配置來實現(xiàn)這一需求，可以把格式配成“Access_Node_ID eth Rack/Frame/Slot/Port:U-VID”，此時DHCP服務(wù)器可以根據(jù)U-VID的值來分配不同的地址。

3 結(jié)語

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大與復(fù)雜化[8]，通過DHCP服務(wù)器來分配IP地址的方法是一種靈活可靠的分配方式，對于使用結(jié)束的IP地址及時釋放，能在一定程度上緩解IP地址稀缺的問題。Option 82的引進使得為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)在分配IP地址的時候成為可能，同時也加強了安全性，可配置的代理電路ID和代理遠程ID使得運營商可以根據(jù)需求自定義格式，使用更加靈活以及解決了不同設(shè)備之間的兼容性問題[9]，在引進新的接入方式的時候只需要定義新的配置信息就可以了，實現(xiàn)也會變得相對簡單。

[1] DROMS R. RFC 2131-1997, Dynamic Host Configuration Protocol[S].[s.l.]:The Internet Engineering Task Force:2-3.

[2] ALEXANDER S, DROMS R. RFC 2132-1997, DHCP Options and BOOTP Vendor Extensions[S].[s.l.]: The Internet Engineering Task Force: 1-5.

[3] 朱麗麗,范喜亮. EPON系統(tǒng)承載IPTV業(yè)務(wù)的關(guān)鍵技術(shù)研究[J].通信技術(shù),2009,42(06): 177-179.

[4] PATRICK M. RFC 3046-2001, DHCP Relay Agent Information Option[S].[s.l.]: The Internet Engineering Task Force:1-12.

[5] 孫力芾,李生紅. DHCP及Option82安全機制的原理與實現(xiàn)[J].信息技術(shù),2005(08):29-32.

[6] IEEE Std 802.1Q-2011, Standard for Virtual Bridge Local Area Networks[S].New York: IEEE: 1-29.

[7] 周銅,杜慶靈.一種邊界前置交換機的組網(wǎng)方式[J].通信技術(shù),2008,41(07):112-117.

[8] 郭紅芳.銳捷三層交換機上防范ARP欺騙攻擊的解決方案[J].信息安全與通信保密,2009(05):92-94.

[9] 于溯.下一代互聯(lián)網(wǎng)廣域網(wǎng)用戶接入研究[J].信息安全與通信保密,2011(10):65-69.