<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>On Jul 3, 2012, at 3:06 AM, Simon Hobson wrote:</div>
<blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Even
 if clients use DUID-LLT, or even DUID-LL, then the RFCs expressly forbid "looking inside" the option (eg to extract MAC address which may not be for the same interface anyway) - you are only allowed to treat the value as an opaque string which you can match
 with another string.<br>
</span></blockquote>
</div>
<br>
<div>To be clear, the purpose of this language is to prevent the server from using some subset of the DUID (e.g., the MAC address) as an identifier.   It's perfectly fine to look at the guts of the DUID as long as you don't do that, but the language is strongly
 worded so that compliance with the spec means you really are using the DUID.</div>
</body>
</html>