组织：中国互动出版网（/）RFC文档中文翻译计划（/compters/emook/aboutemook.htm）E-mail：ouyang@译者：prince1680（prince1680 prince1680@）译文发布时间：2001-5-24版权：本中文翻译文档版权归中国互动出版网所有。

可以用于非商业用途自由转载，但必须保留本文档的翻译及版权信息。

Network Working Group M. Patrick Request for Comments: 3046 Motorola BCS Category: Standards Track January 2001DHCP 中继代理信息选项（RFC3046 DHCP Relay Agent Information Option）本备忘录的状态本文档讲述了一种Internet社区的Internet标准跟踪协议，它需要进一步进行讨论和建议以得到改进。

请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。

本备忘录的发布不受任何限制。

版权声明Copyright (C) The Internet Society (2001). All Rights Reserved.摘要新的高速公众 Internet 访问技术呼唤高速调制解调器附加在局域网 (LAN) 中的一个或多个用户前置机上。

这对于动态主机配置协议在该环境下分配用户前置机的 IP 地址是有利的，DHCP 在 RFC 2131 中已定义。

但是，随着这种“公共”DHCP 的使用，产生了一系列的安全和其他方面的问题。

该文档描述了解决这些问题的 DHCP 新选项。

该选项扩充了在 RFC 2132 中定义的 DHCP 选项集。

该新选项称为中继代理信息选项，并在将客户端的 DHCP 包转发到 DHCP 服务器时由DHCP 中继代理插入。

服务器识别出中继代理信息选项后，可以使用这些信息执行 IP 地址或其他参数的分配。

DHCP 服务器在服务器到客户的响应中将这些选项逐个地返回到代理中继，并由中继代理在将响应转发到客户端之前捕获这些选项。

"中继代理信息" 选项被识别为一个 DHCP 选项，但它可以包含一个或多个可由中继代理识别并转达信息的“子选项”。

中继代理最初的子选项将在公共电路访问单元中定义。

它包括呼入电路的一个“电路 ID”，和一个“远端 ID” - 远端高速调制解调器提供的可信任的标识符。

目录1 导言 (2)1.1 高速电路交换数据网络 (2)1.2 电路访问设备中的 DHCP 中继代理 (4)2.0 中继代理信息选项 (5)2.1 代理操作 (6)2.1.1 重新转发 DHCP 请求 (7)2.2 服务器选项 (7)3.0 中继代理信息子选项 (8)3.1 代理电路 ID (8)3.2 代理远程 ID (9)4.0 解决的问题 (9)5.0 安全考虑 (10)6.0 IANA 考虑 (11)7.0 知识产权通告 (12)8.0 参考 (12)9.0 Glossary (13)10.0 作者地址 (13)11.0 完整的版权声明 (14)1 导言1.1 高速电路交换数据网络公众访问 Internet 通常是通过一个交换数据网络的电路来实现的。

今天，这已是拨号调制解调器连接到远程访问服务器的主要实现方法。

但是，较高速度的电路访问网络也包括ISDN，ATM，帧中继和线缆数据网络。

所有这些网络都可以描绘为“星形”拓扑结构，通过这种结构，多个用户可以使用交换电路或永久电路连接到一个“电路访问单元”。

使用拨号调制解调器，只有单个主机 PC 可以连接到网络的中点。

PPP 协议在单个主机 PC 中广泛应用于 IP 地址的分配。

然而，新的高速电路技术经常提供一个到一个或多个主机 PC 的 LAN 接口（特别是以太网）。

对连接到这种电路中的主机计算机通过 DHCP 进行 IP 地址的集中分配是非常满意的。

DHCP 服务器可以，但通常不是，与中枢电路的集中访问设备共同实现。

DHCP 服务器经常在“中枢 LAN”中作为单独的服务器进行连接，并隶属于中央访问设备（或多个设备）。

下面的图 1 表示了一个高速 Internet 电路访问的物理模型。

+---------------+ | 中枢 | 电路 |-- ckt 1--- 调制解调器-- 主机-|- 主机 ALAN | | 访问 | Lan |- 主机 B| | 单元 1 | |- 主机 C|-----| |-- || | (中继代理) |...+---------+ | +---------------+| DHCP |--|| 服务器 | |+---------+ ||| +---------------++---------+ | | 电路 |-- ckt 1--- 调制解调器2-- 主机--- 主机 D| 其他 | | | 访问 | Lan| 服务器 |--|-----| 单元 2 || (Web, | | | |-- ckt 2--- 调制解调器3-- 主机--- 主机 E| DNS) | | | (中继代理) |... Lan| | +---------------++---------+图 1: DHCP 高速电路访问模型注意，在该模型中，“调制解调器”在用户站点连接到 LAN，而不是连接到单个主机，多个主机在该站点实现。

尽管可以在用户站点通过一个全功能的 IP 路由器来实现，但需要相对昂贵的设备（与通常调制解调器的花费相比较），此外，一台路由器还需要一个 IP 地址，不是为每个主机，而是为路由器本身。

最后，一个用户端的路由器还需要为每个用户提供一个逻辑子网（LIS）。

图 1 的这个模型对相对较小的社团网络环境来说是适合的，但对大型的、公共访问的网络来说就不适合了。

在图 1 的这种情况下，它对实现 IP 网络模型比较有利，即在这种 IP 网络模型中，不为调制解调器（或用户站点的其他网络设备）分配 IP 地址，特别是不为用户端 LAN 的整个 LIS（逻辑子网）分配 IP 地址。

注意，使用这种模型获得 IP 地址，意味着只有中央站点可用时才能获得 IP 地址。

某些主机 lan 的安装可以使用一个本地的 DHCP 服务器或其他方式来获得 IP 地址，以供内部使用。

1.2 电路访问设备中的 DHCP 中继代理使用 DHCP 为公共高速电路访问分配 IP 地址是比较适合的。

大多数的电路访问单元（如，RAS，线缆调制解调器终端系统，ADSL访问单元等等）都是通过附加的 DHCP 服务器连接到LAN（或本地 internet）的。

.基于扩充和安全的原因，在电路访问单元中实现“路由跳步”是较有利的，正象今天高容量 RAS 做的那样。

电路访问设备的作用即象电路中的路由器的作用，又象 DHCP 中继代理的作用。

DHCP 中继代理和电路访问设备的协同定位的优点在于：DHCP 广播响应仅路由到正确的电路，也就是说，避免将 DHCP 响应广播到数以千计的访问电路；用于甄别电路的远程连接的机制（例如，作为电路访问设备的远程访问服务器需要用户ID），同样可由 DHCP 用于主机的标识符和参数的分配，包括 IP 地址的集中分配。

这样可以从受信任的源 - 中继代理 - 提供一个安全的远端 ID。

当多个主机向特定的主机转发 DHCP 请求时将发生一系列的问题，这台特定的主机用于将公共访问高速电路和 LAN 连接起来。

这些问题中，大多是由于从不受信任的源发出的 DHCP 客户请求而引起的安全问题。

中继代理怎样知道向哪个电路转发响应？系统怎样阻止 DHCP IP 枯竭攻击，也就是攻击者使用虚假的 MAC 地址发出多个请求，请求 DHCP 服务器的所有可用的 IP 地址？一个 IP 地址或 LIS 怎样永久分配给一个特定用户或调制解调器？怎样防止通过使用分配 IP 地址的客户标识符字段进行“欺骗”？怎样防止“欺骗”其他客户 MAC 地址的拒绝服务攻击？所有的这些问题都可以通过电路访问设备加以解决，电路访问设备作为受信任的部分，在DHCP 客户请求中附加信息，并转发到 DHCP 服务器。

2.0 中继代理信息选项本文档定义了一个新的称为中继代理信息选项的 DHCP 选项。

它是特定 agent-supplied 选项的一个容器。

中继代理信息选项的格式是：代码长度代理信息字段+------+------+------+------+------+------+--...-+------+| 82 | N | i1 | i2 | i3 | i4 | | iN |+------+------+------+------+------+------+--...-+------+长度 N 给出代理信息字段的所有个数（八进制）。

代理信息字段由每个子选项的“子选项/长度/值”的元组序列组成，并按下列格式进行编码：子选项长度子选项值+------+------+------+------+------+------+--...-+------+| 1 | N | s1 | s2 | s3 | s4 | | sN |+------+------+------+------+------+------+--...-+------+子选项长度子选项值+------+------+------+------+------+------+--...-+------+| 2 | N | i1 | i2 | i3 | i4 | | iN |+------+------+------+------+------+------+--...-+------+没有定义“pad”子选项，并且信息字段也不应由一个 255 子选项结束。

DHCP 代理信息选项的长度 N 应包括子选项“代码/长度/值”元组所有的字节。

因为至少要定义一个子选项，中继代理信息的最小长度为 2。

子选项的长度 N 应是该子选项值字段的八进制数。

一个子选项的长度可以是 0。

子选项可以不按子选项代码顺序排列。

最初分配的 DHCP 中继代理子选项如下：DHCP 代理子选项代码子选项描述------------------- ------------------------------1 代理电路 ID 子选项2 代理远程 ID 子选项2.1 代理操作所有增加的 DHCP 中继代理选项应当是可配置的，且默认值是 disable 的。

中继代理应当可以对每个子选项单独配置，以便于控制在客户-到-服务包中插入的位置。

DHCP 中继代理增加一个中继代理信息字段，应当作为最后一个选项添加（如果存在“结束选项”255，则应在其之前）到包的 DHCP 选项字段，该包是从客户端转发到服务器的可被识别的任何 BOOTP 或 DHCP 包。