rfc3046.txt

RFC文档

   DHCP 服务器所不能识别的中继代理信息选项在接收时将被忽略，且也不返回响应。这是服务器对不能识别选项的处理方式。

   声明支持中继代理信息选项的 DHCP 服务器应当在所有的响应中回复中继代理信息选的所有内容。服务器应当将中继代理信息选项作为响应的最后一个选项复制过来。服务器不应当将回应的中继代理信息选项放在超载的 sname 或 file 字段。如果服务器不能将全部中继代理信息选项它段复制到响应中，则应当发送不带中继信息字段的响应，且为这种情况增加错误计数。

   DHCP 服务器对特定子选项的操作由该子选项指定。

   注意，DHCP 中继代理不需要监控在客户与服务器之间直接发送的单播信息（也即那些不通过中继代理发送的信息）。但是，某些中继代理可以选择这样的监控和添加中继代理选项。因此，服务器应有处理单播信息中中继代理选项的准备，但不要期望它们总存在。

3.0 中继代理信息子选项

3.1 代理电路 ID 子选项

   这些子选项可以由 DHCP 中继代理加入，用于拆除交换虚电路或永久虚电路。它们编码为电路的一个代理-本地标识符，从这个电路中，可以接收 DHCP 客户-到-服务器包。该子选项由代理使用，用于转发 DHCP 响应到正确的电路。 该字段可能的用法包括：

       - 路由器接口号
       - 交换式 Hub 端口号
       - 远程访问服务器端口号
       - 帧中继 DLCI
       - ATM 虚电路号
       - 线缆数据虚电路号

   服务器可以使用电路 ID 作为 IP 和其他参数指定的策略。电路 ID 应当按确保字符串精确匹配的策略经过认真核对；也就是说，电路 ID 不应当由服务器进行内部解析。

   DHCP 服务器应当在统计报告（包括它的 MIB）和日志中报告当前连接过程的代理电路 ID 值。因为电路 ID 只是局限于一个特定的中继代理中，电路 ID 应当由标识中继代理的 giaddr 值来核定。

          子选项  长度     电路 ID
         +------+------+------+------+------+------+------+------+--
         |  1   |   n  |  c1  |  c2  |  c3  |  c4  |  c5  |  c6  | ...
         +------+------+------+------+------+------+------+------+--

3.2 代理远程 ID 子选项

   在 DHCP 中继代理中可以加入这些子选项，用于拆除交换虚电路或永久虚电路，并可以有识别远端主机终止电路的机制。可以使用远端 ID 字段进行编码，例如：

       -- 一个拨号连接中 "呼入 ID" 电话号码
       -- 一个远程访问服务器提示的 "用户名"
       -- 一个远端呼入 ATM 地址
       -- 一个线缆调制解调器的 "modem ID"
       -- 端到端链接的远端 IP 地址
       -- 一个 X.25 连接的远端 X.25 地址

   远端 ID 必须全程唯一。

   DHCP 服务器可以使用这些选项为特殊用户、主机或调制解调器选择特定的参数，选项值应当按确保字符串精确匹配的策略经过认真核对；也就是说，选项不应当由服务器进行内部解析。

   中继代理可以使用这个字段附加或代替代理电路 ID 字段来选择要转发 DHCP 响应（如，Offer，Ack，或 Nak）的电路。DHCP 服务器应当向关联的特定客户在任何报告或 MIB 中报告这个值。

          子选项  长度     代理远端 ID
         +------+------+------+------+------+------+------+------+--
         |  2   |   n  |  r1  |  r2  |  r3  |  r4  |  r5  |  r6  | ...
         +------+------+------+------+------+------+------+------+--

4.0 解决的问题

   在未受信的主机通过公共网络中的一条电路访问 Internet 的环境下，DHCP 中继代理选项解决了几个问题。该解决方案假定：公共主机通过 DHCP 中继代理的所有 DHCP 协议通信及 HDCP 中继代理和 DHCP 服务器之间的 IP 网络都不存在安全问题。

   广播转发

      电路访问设备仅在代理电路 ID 指定的电路上转发正常的 DHCP 广播响应。

   DHCP 地址枯竭

      通常，DHCP 服务器在一个范围内维护一个“三元组”的数据库：

            (客户 IP 地址，客户 MAC 地址，客户远端 ID)

      DHCP 服务器应当实现分配到单个远端 ID 的 IP 地址数的约束。

   静态分配

      DHCP 服务器可以使用远端 ID 来选择要分配的 IP 地址。它可以允许为特定远端 ID 进行 IP 地址的静态分配，且不允许未授信的远端 ID 的地址请求。

   IP 欺骗

      在转发的 DHCP Ack 包中，电路访问设备可以将 DHCP 服务器分配的 IP 地址与要转发的电路相关联。电路访问设备可以阻止使用源 IP 地址转发的 IP 包，而不是那些与接收电路相关联的包。这样可以在中央 LAN 中阻止简单 IP 欺骗攻击和其他主机的 IP 欺骗。

   用户标识符欺骗

      通过使用代理提供的代理远端 ID 选项，DHCP 服务器不必使用未授信的和非标准的客户标识符字段。

   MAC 地址欺骗

      通过使一个 MAC 地址与一个代理远端 ID 相关联，DHCP 服务器可以阻止将一个 IP 地址与不同远端 ID 的攻击者欺骗的同一个 MAC 地址相关联。

5.0 安全考虑

   DHCP 当前定义为没有授权或安全的机制。潜在的攻击危险将在 RFC 2131 [1] 中 DHCP 协议规范的第 7 节中讨论。

   本文档介绍了几种对 IP 地址分配操作的安全进行攻击的机制，包括 IP 欺骗，客户端 ID 欺骗，MAC 地址欺骗和 DHCP 服务器地址枯竭。伪装的不受信任的 DHCP 客户端依赖于 DHCP 中继代理和 DHCP 服务器之间隐含的信赖关系，产生一个新的标识符，“远端 ID”，同样可以伪装受信任。远端 ID 是由被访问的网络或 Modem 而不是由客户端设备提供。验证远端 ID 的加密或其他技术当然可行并鼓励使用，但超出本文档的范围。

   该选项面向于网络基础的环境 -- 中继代理，DHCP 服务器和两个设备之间的整个网络 -- 是信任和安全的。在本文档中，单词 "信任" 意味着未授权的 DHCP 通信不能进入受信任的网络中，除非通过安全和信任的中继代理及那些所有的安全和信任的网络内部设备。在实际网络中配置该选项之前，该选项潜在的配置员应当给予这个模型中潜在的安全弱点以充分的考虑。

   请注意，任何未来的 DHCP 客户端到服务器之间通信的验证机制，在服务器端验证计算时，必须注意省略 DHCP 中继代理选项。 这是在将有多个子选项的 HDCP 中继代理选项组织为单个选项时的主要原因，并且要求中 继代理在转发到客户端之前移除选项。

   对公众数据电路访问单元的通用转发算法的说明超出本文档的范围，注意，IP 的自动转发或 ARP 广播包的向后回播会暴露出严重的 IP 安全问题。例如，一个前向的广播 DHCP-DISCOVER 或 DHCP-REQUEST 会重新向后回播，任何主机均可容易地欺骗 DHCP 服务器。

6.0 IANA 考虑

   IANA 用于维护 BOOTP-DHCP 参数注册项中的 "DHCP 中继代理子选项" 的一个数码空间。初始的子选项在本文的 2.0 节已描述。

   IANA 使用 RFC 2434 [3]中描述的 "IETF 意见" 指定将来的 DHCP 中继代理子选项。将来提议的子选项将象征性地在 Internet-Drafts 中予以描述，并在核准以 RFC 出版时，由 IANA 分配一个数字代码。

7.0 知识产权通告

   This section contains two notices as required by [5] for standards track documents.

   The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights.  Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11.  Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.

   The IETF has been notified of intellectual property rights claimed in regard to some or all of the specification contained in this document.  For more information consult the online list of claimed rights.

8.0 参考

   [1]  Droms, R., "Dynamic Host Configuration Protocol", RFC 2131,
        March 1997.

   [2]  Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor
        Extension", RFC 2132, March 1997.

   [3]  Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA
        Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.

   [4]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
        Levels", BCP 14, RFC 2119, March 1997.

   [5]  Bradner, S., "The Internet Standards Process -- Revision 3", BCP
        9, RFC 2026, October 1996.

   [6]  Kent, S. and R. Atkinson, "Security Architecture for the
        Internet Protocol", RFC 2401, November 1998.

9.0 术语表

   DSLAM   Digital Subscriber Link Access Multiplexer
   IANA    Internet Assigned Numbers Authority
   LIS     Logical IP Subnet
   MAC     Message Authentication Code
   RAS     Remote Access Server

10.0 作者地址

   Michael Patrick
   Motorola Broadband Communications Sector
   20 Cabot Blvd., MS M4-30
   Mansfield, MA 02048

   Phone: (508) 261-5707
   EMail: michael.patrick@motorola.com

11.0  完整的版权声明

   Copyright (C) The Internet Society (2001).  All Rights Reserved.

   This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works.  However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

   The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

感谢

   Funding for the RFC Editor function is currently provided by the Internet Society.
RFC3046  DHCP Relay Agent Information Option                  DHCP 中继代理信息选项




1
RFC文档中文翻译计划