DHCP及option安全机制在无锡物联网研究院办公网络中应用研究.docVIP

DHCP及option82安全机制在无锡物联网研究院办公网络中的应用研究 中国移动江苏公司无锡分公司网络部 2010年月物联网研究院位于无锡国际科技园双子楼B座17和18层，17层是办公区，18层是实验室安全也重视，需要在加强网络安全和便于使用之间找到一个平衡点。在具备802.1x认证的硬件条件下，引入Option 82构建一个权限分配清晰的是一项可行的措施。group1交流区、group2办公区和group3研发区，独立地分布在三个不同的区域中。通过DHCP server统一管理IP地址，为不同的区域分配不同范围的地址。学术交流区域只需要上外网，办公区域需要上OA办公网，而18层是实验室 2.2 建设思路 在DHCP snooping设备上启动Option 82功能。 配置Option 82的子选项内容，使不同小组的用户携带不同的Option 82信息。可以通过用户自定义Circuit ID子选项内容的方式来实现。 在DHCP server上配置IP地址分配策略，使得DHCP server可以根据Option 82为DHCP client分配合适的IP地址。 具体规划如下： DHCP server为办公室设备分配192.168.10.0/24网段的地址，有效期为12小时，并指定DNS和WINS服务器地址分别为192.168.100.2和192.168.100.3。 三个小组group1、group2和group3分别通过端口Ethernet1/1、Ethernet1/2和Ethernet1/3接入DHCP snooping设备，并通过DHCP snooping设备与DHCP server通信。 DHCP server为group1的用户分配192.168.10.2～192.168.10.25之间的地址；为group2的用户分配192.168.10.100～192.168.10.150之间的地址；为group3的用户分配192.168.10.151～192.168.10.200之间的地址。 图 ?DHCP Snooping组网拓扑图 三、技术实现 Option 82称为中继代理信息选项，该选项记录了DHCP client的位置信息。DHCP snooping设备通过在DHCP请求报文中添加Option 82，将DHCP client的位置信息告诉给DHCP server，从而使得DHCP server能够为主机分配合适的IP地址和其他配置信息，并实现对客户端的安全和策略等的控制。 图 ?Option 82应用网络结构拓扑 DHCP server通常根据请求报文中的giaddr或接收到请求报文的接口IP地址，为客户端分配IP地址。在图2中，DHCP服务器根据主机所在的网段，选取地址分配给Host A和Host B。 如果希望连接Ethernet1/2端口的客户端地址在某一范围，连接Ethernet1/3端口的客户端地址在另一范围，传统的地址分配方式是无法实现的。利用Option 82，DHCP服务器根据客户端连接的DHCP snooping端口和giaddr地址来为客户端分配合适的IP地址，这样就可以满足上述需求。 Option 82能够标识不同的用户，服务器可以根据Option 82为不同的用户分配不同的IP地址，从而实现QoS、安全和计费的管理。 3.1 Option 82功能介绍 DHCP option 82是为了增强DHCP服务器的安全性，改善IP地址配置策略而提出的一种DHCP选项。通过在网络接入设备上配置DHCP中继代理功能，中继代理把从客户端接收到的DHCP请求报文添加进option 82选项（其中包含了客户端的接入物理端口和接入设备标识等信息），然后再把该报文转发给DHCP服务器，支持option 82功能的DHCP服务器接收到报文后，根据预先配置策略和报文中option 82信息分配IP地址和其它配置信息给客户端，同时DHCP服务器也可以依据option 82中的信息识别可能的DHCP攻击报文并作出防范。DHCP中继代理收到服务器应答报文后，剥离其中的option 82选项并根据选项中的物理端口信息，把应答报文转交到网络接入设备的指定端口。DHCP option 82又称为DHCP中继代理信息选项（Relay Agent Information Option），是DHCP报文中的一个选项，其编号为82。rfc3046定义了option 82，选项位置在option 255之前而在其它option之后。 　　Code：表示中继代理信息选项的序号，rfc3046定义为82，option 82即由此得名。 　　Len：为代理信息域（Agent Information Field）的字节个数，不包括Code和Le