DHCP-Snooping-Interaktionen mit GIADDR und Option 82 auf CAT9000
Inhalt
Einleitung
Dieses Dokument beschreibt die DHCP-Snooping-Interaktionen mit GIADDR und Option 82 auf CAT9000.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco IOS® XE Kenntnisse in Konfiguration und Betriebsbefehlen.
- Vertrautheit mit der Hardware und Architektur von Cisco Catalyst Switches der Serie 9000
- Grundlegendes Verständnis der DHCP-Protokollvorgänge und DHCP-Snooping-Mechanismen
- Grundlegendes Verständnis der DHCP-Option 82 und der Rolle des Relay-Agenten
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Core/Distribution Switch:Cisco Catalyst Serie 9600X
- Access Switch:Cisco Catalyst Serie 9300
- DHCP-Client:Endhost-Gerät
- DHCP-Server:zentraler Netzwerkdienstanbieter
Hintergrundinformationen
In diesem Dokument werden verschiedene Konfigurationen von DHCP-Snooping auf Core-/Distribution-Switches untersucht, die mit DHCP-Option 82-Implementierungen auf Access-Switches integriert sind. Durch praktische Konfigurationsbeispiele und die Analyse der entsprechenden Paketerfassungen veranschaulicht dieser Leitfaden die Interaktion zwischen diesen Funktionen in einer Umgebung mit Cisco Catalyst Switches der Serie 9000.
Netzwerkdiagramm
Testfälle
DHCP-Snooping für Core-Switch aktiviert
Access Switch-Option 82 deaktiviert
Core-Switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Access Switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
Ergebnis:
Erfolgreich
Das Endgerät erhält die IP-Adresse ohne Probleme.
Erläuterung:
Access Switch Option 82 ist deaktiviert und sendet das Paket an den Kern ohne Option 82. Core Switch Option 82 ist standardmäßig aktiviert und fügt die Option 82 mit der IP-Adresse des Relay-Agenten im Paket hinzu und sendet es an den DHCP-Server.
Paket an Verbindung zwischen Client und Access Switch:
Anmerkung: Die Paketerfassung wird mehrmals und an mehreren Erfassungspunkten für denselben Client durchgeführt. ignorieren Sie daher die Transaktions-ID.
Paket an Verbindung zwischen Access Switch und Distribution/Core-Switch:
Der Access Switch verfügt nicht über die Einfügung einer Snooping-Informationsoption, sodass dasselbe Paket vom Client an den Distribution Switch weitergeleitet wird.
Paket zwischen CORE-Switch und DHCP-Server:
Wenn DHCP-Snooping aktiviert und ein Relay konfiguriert ist, wird der CORE-Switch, der das Paket per Unicasting an den DHCP-Server 10.88.2.63 mit Relay-Agent-IP sendet, als eigene IP eingefügt.
Access Switch-Option 82 aktiviert
Core-Switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Access Switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Ergebnis:
Erfolgreich
Das Endgerät erhält die IP-Adresse ohne Probleme.
Erläuterung:
Access Switch-Option 82 ist aktiviert, aber dieser Switch hat keine SVI erstellt und sendet das Paket ohne Option 82 an den Kern. Core Switch-Option 82 ist standardmäßig aktiviert und fügt die Option 82 mit der IP-Adresse des Relay Agents im Paket hinzu und sendet es an den DHCP-Server.
Paket vom Client zum Access Switch:
Das Paket vom Access Switch zum Core/Distribution Switch:
Da die Option "ip dhcp snooping information option" auf dem Access Switch standardmäßig aktiviert ist, fügt der Access Switch die Option 82 mit der Relay-IP-Adresse 0.0.0.0 ein.
Laut DHCP Snooping World handelt es sich um ein unautorisiertes Paket, das vom CORE-Switch verworfen werden muss. Da dem CORE-Switch die Schnittstelle jedoch als vertrauenswürdig gilt, wird das Paket für die Weiterleitung an den DHCP-Server verarbeitet.
Paket zwischen CORE-Switch und DHCP-Server:
Da die Downlink-Schnittstelle vertrauenswürdig ist, ersetzt der CORE-Switch den Relay-Agenten von 0.0.0.0 bis 10.88.39.254 und sendet diesen an den Uplink.
Der DORA-Prozess wird legitimiert und der Client erhält die IP-Adresse.
DHCP-Snooping für Core-Switch deaktiviert
Access Switch-Option 82 aktiviert
Core-Switch:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Access Switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Ergebnis:
Fehler.
Das Endgerät erhält die IP-Adresse nicht.
Erläuterung:
Die Access Switch-Option 82 ist aktiviert, dieser Switch verfügt jedoch weder über SVI noch über einen Relay Agent. Daher sendet er das Paket an den CORE mit Option 82 und Relay IP als 0.0.0.0. Da DHCP Snooping auf dem CORE Switch deaktiviert ist die Überprüfung, Bearbeitung und Einfügung von Option 82 ist dort deaktiviert. Der CORE-Switch fügt das Relay nicht hinzu und verwirft das Paket.
Client DHCP erkennt das Paket, das vom Client eingeht und an den Access Switch übergeht:
Paketfluss vom Access Switch zum Core/Distribution Switch:
・ Auf dem Access Switch ist der Befehl ip dhcp snooping information aktiviert, wodurch die Option 82 in DHCP-Pakete eingefügt wird. In diesem Fall wird die IP-Adresse des Relay-Agenten in Option 82 auf 0.0.0.0 festgelegt.
・ Der Access Switch arbeitet ausschließlich auf Layer 2 für vLAN 287.
・ Aus Sicht des CORE-Switches wird das Paket mit der Option 82, das vom Access Switch eingefügt wird, als illegitim betrachtet. Da jedoch die Downlink-Schnittstelle auf dem CORE-Switch als vertrauenswürdig konfiguriert ist, verarbeitet der CORE-Switch das Paket, anstatt es auf Schnittstellenebene zu verwerfen.
・ Auf dem CORE-Switch ist DHCP-Snooping deaktiviert, daher werden Pakete mit Option 82 nicht weitergeleitet.
CORE-Switch-Verhalten bei DHCP-Ermittlungspaketen:
- Der CORE-Switch versucht, das DHCP-Ermittlungspaket mit der konfigurierten Helper-Adresse 10.88.2.63 zu entschlüsseln.
- Dazu muss der CORE-Switch die Relay-IP-Adresse (GIADDR) im DHCP-Paket festlegen.
- Da Option 82 bereits vorhanden ist und Daten vom Access Switch eingefügt wurden, muss der CORE Switch Option 82 überprüfen, bevor die Relay-IP-Adresse festgelegt wird.
- Da DHCP-Snooping auf dem CORE-Switch deaktiviert ist, kann Option 82 nicht überprüft werden.
- Da Option 82 nicht überprüft und geändert werden kann, hat der CORE-Switch keine andere Wahl, als das DHCP-Ermittlungspaket zu verwerfen.
Das Ermittlungspaket wird nicht vom CORE-Switch zum DHCP-Server weitergeleitet.
Fehlerbehebung am CORE-Switch bei nicht funktionierenden Szenarien:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
Access Switch-Option 82 deaktiviert
Core-Switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Access Switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Ergebnis:
Erfolgreich
Das Endgerät erhält die IP-Adresse.
Beobachtung:
Access Switch-Option 82 ist deaktiviert und sendet das Paket ohne Option 82 an den Kern. Für den CORE Switch ist die SVI vorhanden, und das Relay ist konfiguriert. Der CORE-Switch fügt die IP-Adresse des Relay-Agents dem Paket hinzu und sendet sie an den DHCP-Server.
Client-DHCP erkennt Pakete, die auf den Access Switch eintreffen:
Paket-zu-CORE-Switch vom Access Switch:
Wenn Option 82 auf dem Access Switch deaktiviert ist, leitet der Access Switch das Broadcast-Paket wie auf dem Uplink-Trunk weiter.
Paket wird vom CORE-Switch zum DHCP-Server weitergeleitet:
Fehlerbehebung am CORE-Switch:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
In diesem Fall erhält der Client die IP-Adresse.
Zusammenfassung
- DHCP-Snooping muss aktiviert sein, damit der Switch Informationen zu DHCP-Option 82 einfügen, entfernen oder validieren kann.
- Wenn DHCP-Snooping deaktiviert ist, führt der Switch die Einfüge- oder Entfernungsfunktionen der Option 82 nicht aus.
- Die Verarbeitung von Option 82, einschließlich des Löschens oder Zulassen von Paketen mit Option 82, hängt von der Aktivierung und Konfiguration von DHCP-Snooping ab.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
18-May-2026
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)