1）DHCP客戶端在初始化時廣播發送請求報文，這時的請求報文并不包含option 82選項。

2）DHCP中繼代理將option 82選項添加到接收到的請求報文尾部后中繼轉發給DHCP服務器。DHCP OPTION 82選項的子選項1（代理電路ID）默認是DHCP客戶端所連接的交換機的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option 82選項的子選項2（代理遠程ID）是DHCP中繼設備本身的MAC地址。

3）DHCP服務器收到DHCP中繼設備轉發的DHCP請求報文后，根據報文中option選項所攜帶的信息和預定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option 82信息的應答報文發給DHCP中繼代理。

4）DHCP中繼代理收到DHCP服務器的應答報文后將剝離報文中的option 82信息，然后將帶有DHCP配置信息的報文轉發給DHCP客戶端。

基于Option82的802.1X認證

基于DHCP OPTION 82的DOT1X認證，一般用于在用戶使用DHCP方式獲取地址的環境中，需要支持基于OPTION82進行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態，只能訪問DHCP SERVER；用戶在獲取地址之后處于安全狀態，接入交換機轉發該用戶的IP和ARP報文；用戶在認證前后能夠獲得不同地址，通過在接入交換機上聯的匯聚交換機上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認證前后用戶的訪問權限。

在DHCP是動態主機配置協議（Dynamic Host Configure Protocol）內容中，我們常會見到中繼代理的問題。下面我們就DHCP中繼代理信息選項82，DHCP option82功能結構做下詳細解析。
　　
　　option82是dhcp中的個協議，它擴展了dhcp功能，使dhcp可以借助兩個參數來分辨dhcp請求是從哪個交換機的哪個vlan發出的，也就是說，它使dhcp支持多vlan。不是交換機的功能模塊，般二層交換機都支持，但完全支持的很少！通常只支持部分，比如只支持兩個參數中的個，或者只支持兩個參數的復用。

　　DHCP option82功能：
　　
　　DHCP option82是為了增強DHCP服務器的安全性，改善IP地址配置策略而提出的種DHCP選項。通過在網絡接入設備上配置DHCP中繼代理功能，中繼代理把從客戶端接收到的DHCP請求報文添加進option82選項（其中包含了客戶端的接入物理端口和接入設備標識等信息），然后再把該報文轉發給DHCP服務器，支持option82功能的DHCP服務器接收到報文后，根據預先配置策略和報文中option82信息分配IP地址和其它配置信息給客戶端，同時DHCP服務器也可以依據option82中的信息識別可能的DHCP攻擊報文并作出防范。DHCP中繼代理收到服務器應答報文后，剝離其中的option82選項并根據選項中的物理端口信息，把應答報文轉交到網絡接入設備的指定端口。
　　
　　DHCP option82報文結構：
　　
　　DHCP option82又稱為DHCP中繼代理信息選項（Relay Agent Information Option），是DHCP報文中的個選項，其編號為82。rfc3046定義了option82，選項位置在option255之前而在其它option之后。
　　
　　DHCP應答報文：指由DHCP服務器響應客戶端發起的請求報文，包含配置信息或指示回應結果的DHCP響應報文，DHCP應答報文般有DHCP_OFFER報文，DHCP_ACK報文和DHCP_NAK報文。
　　
　　DHCP請求報文：指由DHCP客戶端發起的報文，希望DHCP服務器響應后分配IP地址和其它配置信息。DHCP請求報文般有四種，分別為DHCP_DISCOVER報文、DHCP_REQUEST報文、DHCP_RELEASE報文和DHCP_INFORM報文。中繼代理只針對DHCP請求報文添加option82選項并轉發給服務器。本文實現的DHCP中繼對這四種請求報文都添加option82選項。

　　

Code：表示中繼代理信息選項的序號，rfc3046定義為82，option82即由此得名。
　　
　　Len：為代理信息域（Agent Information Field）的字節個數，不包括Code和Len字段的兩個字節。
　　
　　Option82可以由多個sub-option組成，每個option82選項至少要有個子選項.
　　
　　SubOpt：為子選項編號，其中代理電路ID（即CircuitID）子選項編號為1，代理遠程ID（即RemoteID）子選項編號為2。

如上圖所示，我們將詳細敘述如何通過神州數碼交換機DHCP OPTION 82功能，實現接入PC不能訪問內網，但是可以訪問外網的應用場景：

1、內網合法用戶使用10.1.0.0/255.255.0.0地址段，而對于臨時接入者通過DHCP服務器分配192.168.2.0/255.255.255.0地址段；

2、臨時接入終端通過交換機向DHCP服務器申請IP地址（如圖為：192.168.2.2），如上圖紅線步驟。DHCP接入交換機啟用基于OPTION82的DOT1X認證功能，在OPTION82插入默認值。DHCP服務器以此認定終端沒有通過認證，屬于臨時接入者。

3、臨時接入終端獲得192.168.2.0/24地址段地址，可以在匯聚交換機配置ACL，控制192.168.2.0/24對內網的訪問，使得192.168.2.0/24地址段不能訪問內網資源，但是可以訪問外網，如上圖綠線所示。

注：此時來訪者不需要安裝802.1x客戶端程序。

5.1.11? 配置DHCP服務器Option 82處理方式

DHCP Option 82是為了增強DHCP服務器的安全性，改善IP地址配置策略而提出的一種DHCP選項。Option 82可以由多個子選項組成，每個Option 82選項至少要有一個子選項，其中一個重要功能就是指定中繼代理信息。

通過在DHCP服務器上啟用82選項的支持，可以使DHCP服務器能識別DHCP中繼代理信息。DHCP中繼代理位于DHCP客戶端和DHCP服務器之間，用來轉發位于不同網段的DHCP客戶端和DHCP服務器之間通信的DHCP報文。DHCP中繼代理把從客戶端接收到的DHCP請求報文添加進Option 82選項（其中包含了客戶端的接入物理端口和接入設備標識等信息），然后再把該報文轉發給DHCP服務器，支持Option 82功能的DHCP服務器接收到報文后，根據預先配置的策略和報文中的Option 82信息分配IP地址和其他配置信息給客戶端，同時DHCP服務器也可以依據Option 82中的信息識別可能的DHCP攻擊報文并作出防范。DHCP中繼代理收到服務器應答報文后，剝離其中的Option 82選項并根據選項中的物理端口信息把應答報文轉交到網絡接入設備的指定端口。有關DHCP中繼代理服務的具體功能參見《Cisco路由器配置與管理完全手冊》（第二版）第5章的相關內容。

要在H3C設備DHCP服務器上配置Option 82支持，則需要完成DHCP服務器的兩項必配任務：啟用DHCP服務（具體參見5.2節）和配置DHCP服務器的地址池（具體參見本節前面的各小節介紹）。默認情況下，DHCP服務器是支持Option 82的。如果沒有支持，則重新啟用對Option 82支持的方法也很簡單，只需要配置dhcp server relay information enable系統視圖命令即可。可用undo dhcp server relay information enable命令配置DHCP服務器禁止對Option 82的支持。

當DHCP客戶端以及服務器兩者都不在同一個子網里面的時候，如果客戶端想要從DHCP服務器上面分配到一個IP地址，那么就一定要由DHCP中繼代理（也就是DHCP Relay Agent）來轉發DHCP請求包了。DHCP中繼代理會把客戶端的DHCP報文轉發到DHCP服務器之前，大家能夠插入一些選項信息，這樣子就能夠方便DHCP服務器可以更加精確的獲取得到客戶端的相關信息，從而就可以更加靈活的按照相對應的策略分配IP地址以及其他一些參數。那么我們會將這一個選項稱之為：DHC Prelay agent information option（也就是中繼代理信息選項），選項號是為82,所以又稱之為option82,相關標準文檔是為RFC3046.

其實簡單來說，Option82就是對于DHCP選項的一種擴展應用。選項82僅僅只是一種應用擴展而已，究竟是不是攜帶選項82并不會影響到DHCP原來有的應用。另外一個方面，那就是還需要看一下DHCP服務器究竟是不是支持選項82。假如說不支持選項82的DHCP服務器就會接收到插入了選項82的報文，又或者是支持選項82的DHCP服務器接收到了沒有插入選項82的報文。其實剛剛小編說到這兩種情況通通都不會對于原有的基本的DHCP服務造成一定程度上面的影響。如果大家要想支持選項82所帶來的擴展應用的話，那么DHCP服務器本身就一定要支持選項82以及所收到的DHCP報文一定要被插入選項82信息。從不是信任端口收到DHCP請求報文，不管DHCP客戶端以及服務器兩者究竟是不是處于同一個子網上面，開啟了DHCP監聽這一個功能的Cisco交換機都能夠選擇是不是對其插入選項82信息。在默認情況下面，交換機都會把對從非信任端口接收到的DHCP請求報文插入選項82信息的，所以大家可以放心。

　　二、情況分析

當一臺開啟DHCP監聽的匯聚交換機以及一臺插入了選項82信息的邊界交換機（也就是接入交換機）相連的時候，一般情況下會出現下面兩種情況，具體的情況如下：

1、假如說邊界交換機是連接到匯聚交換機的信任端口的話，那么匯聚交換機就會接收從信任端口收到的插入選項82的DHCP報文信息，但是匯聚交換機是不會為了這一些信息重新建立DHCP監聽綁定表條目的。

2、假如說邊界交換機是連接到匯聚交換機的非信任端口的話，那么匯聚交換機就會丟棄從這一個非信任端口收到的插入了選項82的DHCP報文信息。但是在iOS12.2（25）SE這一個軟件版本之后，匯聚交換機就能夠直接的通過在全局模式下面配置一條ipdhcpsnoopinginformationallow-untrusted這樣子的命令。這樣子操作的話，匯聚交換機就會接收從邊界交換機發來的插入了選項82的DHCP報文信息了，另外一個方面也為這一些信息重新建立DHCP監聽綁定表條目。

在配置匯聚交換機下聯口的時候，就會將根據從邊界交換機發送過來的數據能不能被信任而設置成為信任又或者是非信任端口。