DHCP+接入认证技术

DHCP + 接入认证技术：现状、扩展、功能与局限

一、DHCP + 接入认证技术的现状

DHCP + 接入认证技术基于 DHCP 协议，通过对终端用户 IP 地址分配的控制，实现用户接入的认证鉴权。当前，该技术处于发展初期，正式标准尚未推出。在 PPPoE 接入认证方式受限的场景，如 BTV 业务应用中，DHCP + 较为常见。在国内驻地网运营商的小区宽带、大客户接入以及海外城域网建设中，DHCP + 均有小规模应用。

二、DHCP + 接入认证技术对 DHCP 协议的扩展

（一）DHCP 协议基础

DHCP 协议是 DHCP + 接入认证技术的基石，由 RFC 组织定义，采用客户机－服务器工作机制，用于客户机向服务器请求分配 IP 地址。

（二）安全扩展

在网络安全方面，DHCP + 接入认证技术在报文入接口处，通过将报文与 DHCP Snooping 绑定表项进行匹配，有效防范了 IP 盗用、用户私接、DHCP Server 仿冒、IP/MAC Spoofing 攻击以及 DoS（Deny of Service）攻击，弥补了 DHCP 协议在安全方面的缺陷。

（三）监控扩展

在网络监控层面，通过对丢弃的非法报文分别计数，并借助网管系统，实现针对各种攻击的阈值告警分别输出。这大大提高了运维部门故障定位与解决的效率，有助于降低运营成本。

（四）用户控制扩展

DHCP PS（DHCP Policy Server）通过构建基于用户物理位置信息的本地数据库，实现对用户的认证控制。用户物理位置信息涵盖用户所在设备、端口以及 QinQ 双层标签信息，用户通过一个或多个 MAC 地址进行识别。这种方式有效限制了私拉盗接和用户串用等问题，减轻了运维压力，保障了合法用户权益，为运营商增收创造了可能。

（五）灵活字段扩展

华为公司在 DHCP + 报文中引入多个灵活的 Option 字段，以满足不同场景的用户需求。例如，在存在多个终端同时使用 DHCP 的场景下，通过在 DHCP + 报文中引入 Option60 来区分终端类型，DHCP PS 能够通过识别 Option60 选项，实现对不同终端分配不同地址空间的功能。

三、DHCP + 接入认证技术功能实现