前面我們針對DHCP OPTION 82的情況作了基本的介紹。包括它的基本概念以及相關(guān)的一些功能以及作用。這里我們再來看看Option 82的工作原理。在DHCP中繼代理（交換機(jī)）支持DHCP OPTION 82的情況下，DHCP客戶端通過DHCP中繼從DHCP服務(wù)器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個(gè)階段。這時(shí)DHCP協(xié)議按如下過程進(jìn)行：

1）DHCP客戶端在初始化時(shí)廣播發(fā)送請求報(bào)文，這時(shí)的請求報(bào)文并不包含option 82選項(xiàng)。

2）DHCP中繼代理將option 82選項(xiàng)添加到接收到的請求報(bào)文尾部后中繼轉(zhuǎn)發(fā)給DHCP服務(wù)器。DHCP OPTION 82選項(xiàng)的子選項(xiàng)1（代理電路ID）默認(rèn)是DHCP客戶端所連接的交換機(jī)的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option 82選項(xiàng)的子選項(xiàng)2（代理遠(yuǎn)程ID）是DHCP中繼設(shè)備本身的MAC地址。

3）DHCP服務(wù)器收到DHCP中繼設(shè)備轉(zhuǎn)發(fā)的DHCP請求報(bào)文后，根據(jù)報(bào)文中option選項(xiàng)所攜帶的信息和預(yù)定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option 82信息的應(yīng)答報(bào)文發(fā)給DHCP中繼代理。

4）DHCP中繼代理收到DHCP服務(wù)器的應(yīng)答報(bào)文后將剝離報(bào)文中的option 82信息，然后將帶有DHCP配置信息的報(bào)文轉(zhuǎn)發(fā)給DHCP客戶端。

基于Option82的802.1X認(rèn)證

基于DHCP OPTION 82的DOT1X認(rèn)證，一般用于在用戶使用DHCP方式獲取地址的環(huán)境中，需要支持基于OPTION82進(jìn)行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態(tài)，只能訪問DHCP SERVER；用戶在獲取地址之后處于安全狀態(tài)，接入交換機(jī)轉(zhuǎn)發(fā)該用戶的IP和ARP報(bào)文；用戶在認(rèn)證前后能夠獲得不同地址，通過在接入交換機(jī)上聯(lián)的匯聚交換機(jī)上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認(rèn)證前后用戶的訪問權(quán)限。

為了使DHCP用戶在認(rèn)證前后能夠獲得不同（網(wǎng)段）的地址，DCN交換機(jī)利用了DHCP OPTION82和DHCP Snooping技術(shù)。DHCP報(bào)文中的82選項(xiàng)一般由DHCP中繼代理在中繼DHCP報(bào)文時(shí)附加，在DCN交換機(jī)擴(kuò)展了這一功能，允許DHCP SNOOPING在監(jiān)聽DHCP報(bào)文時(shí)附加OPTION82信息，OPTION82的內(nèi)容在DHCP用戶認(rèn)證之前由DHCP SNOOPING添加一個(gè)默認(rèn)值，如果用戶在獲取地址成功后并且認(rèn)證通過，則神州數(shù)碼802.1X認(rèn)證服務(wù)器后臺會(huì)下發(fā)該用戶的OPTION82信息到交換機(jī)，同時(shí)DOT1X 客戶端會(huì)重新申請一次地址，DHCP SNOOPING在監(jiān)聽DHCP報(bào)文時(shí)附加用戶認(rèn)證后的OPTION82信息，DHCP SERVER會(huì)根據(jù)這個(gè)OPTION82信息給用戶分配另一個(gè)地址。由于用戶在認(rèn)證前后地址不同，則可以在接入交換機(jī)上聯(lián)的匯聚交換機(jī)上進(jìn)行基于源IP的ACL配置，來控制用戶的訪問權(quán)限。