Habilitar las opciones de alcance DHCP en el servidor DHCP mediante FTD como agente de retransmisión

Opciones de descarga

  • PDF     (1.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (876.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:21 de marzo de 2025
ID del documento:222882

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo habilitar las opciones en el servidor DHCP usando en FTD administrado por FMC.

    Prerequisites

    Requirements

    • Conocimiento de la tecnología Firepower
    • Conocimiento del servidor de protocolo de control dinámico de host (DHCP)/retransmisión DHCP.

    Componentes Utilizados

    • La información de este documento se basa en Virtual Cisco FTD and FMC, versión 7.4.0

    • Windows Server 2019 se utiliza como servidor DHCP

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El dispositivo de defensa contra amenazas puede transmitir información mediante las opciones DHCP especificadas en RFC 2132, RFC 2562 y RFC 5510.

    Admite todas las opciones DHCP numeradas del 1 al 255, excepto las opciones 1, 12, 50-54, 58-59, 61, 67 y 82.

    RFC 2132 especifica dos opciones DHCP pertinentes a las configuraciones específicas del proveedor: Opción 60 y opción 43.

    El documento ofrece configuraciones de ejemplo e ilustra cómo funciona la opción 43 de DHCP (información específica del proveedor) en Windows Server 2019, con FTD funcionando como agente de retransmisión DHCP.

    La opción 43 permite que los servidores DHCP transmitan información específica del proveedor a los clientes, lo que facilita que los dispositivos, como los puntos de acceso, se localicen y conecten a sus controladores, incluso cuando se encuentran en diferentes VLAN o subredes.

    Configuración

    Diagrama de la red

    Network DiagramDiagrama_de_red

    Configuración de DHCP Relay

    La interfaz FTD funciona como un agente de retransmisión DHCP, facilitando la comunicación entre el cliente y un servidor DHCP externo.

    Presta atención a las solicitudes de los clientes y anexa datos de configuración esenciales, como la información del vínculo del cliente, que el servidor DHCP necesita para asignar una dirección al cliente.

    Al recibir una respuesta del servidor DHCP, la interfaz reenvía el paquete de respuesta al cliente DHCP.

    La configuración de la retransmisión DHCP implica dos pasos principales:
    1. Configure el Agente de retransmisión DHCP.
    2. Configure el servidor DHCP externo.

    Configuración del Agente de retransmisión DHCP

    Para configurar la retransmisión DHCP, verifique los siguientes pasos:

    1. Navegue hasta Dispositivos > Administración de dispositivos.
    2. Haga clic en el botón Editar del dispositivo FTD.
    3. Navegue hasta la opción DHCP > DHCP Relay.
    4. Haga clic en Agregar.

    Interfaz: Seleccione la interfaz adecuada en la lista desplegable. Aquí es donde la interfaz escucha las solicitudes de los clientes, y los clientes DHCP pueden conectarse directamente a esta interfaz para las solicitudes de dirección IP.
    Activar retransmisión DHCP: Marque esta casilla para activar el servicio de retransmisión DHCP.
    DHCP Relay Agent ConfigDHCP_Relay_Agent_Config
    5.Haga clic en Aceptar para guardar los ajustes de configuración para el agente de retransmisión DHCP.

    Configurar servidor DHCP externo

    Para configurar la dirección IP del servidor DHCP externo al que se reenvían las solicitudes de los clientes, compruebe los siguientes pasos:

    Navegue hasta la sección DHCP Server y haga clic en Add"
    1.En el campo Server, ingrese la dirección IP del servidor DHCP. Puede elegir un objeto de red existente del menú desplegable o crear uno nuevo haciendo clic en el icono más (+).
    2.En el campo Interface, especifique la interfaz que se conecta al servidor DHCP.

    3.Para guardar la configuración, haga clic en OK. A continuación, haga clic en Guardar para almacenar la configuración de la plataforma.

    DHCP Server ConfigDHCP_Server_Config
    4.A continuación, vaya a la opción Deploy, seleccione el dispositivo FTD donde desea aplicar los cambios y haga clic en Deploy para iniciar la implementación de la configuración de la plataforma.

    Activar la opción 43 en el servidor DHCP externo

    Tenga en cuenta: Según RFC 2132 , la longitud mínima para la opción 43 es 1.

    Navegue hasta los parámetros del servidor DHCP y vaya a IPv4, luego seleccione Scope y Scope Options >More Actions >Configure Options y habilite la opción 43

    Enable Option 43 On External DHCP ServerEnable_Option_43_On _External_DHCP_Server

    Inicialmente, la configuración predeterminada deja el valor vacío, lo que lleva al FTD a descartar el paquete y categorizarlo como mal formado.

    Default Config Of Option 43Default_Config_Of_Option_43

    Desde el lado del servidor usando Wireshark, observamos que en el paquete OFFER, el valor está ausente para la opción 43 cuando la longitud es 0.

    Non-Working Server Side pcapNon_Working_Server_Side_pcap

    Cisco Firepower Threat Defence (FTD) descarta los paquetes porque tienen una longitud de 0 y se consideran malformados, lo que infringe el RFC 2132.

    firepower# debug dhcprelay packet
    debug dhcprelay packet enabled at level 1
    ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
    DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
    DHCPD/RA: Binding successfully added to hash table
    DHCPRA: relay binding created for client 0050.56a0.2c59.
    DHCPRA: setting giaddr to 192.168.7.2.
    dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
    DHCPD/RA: option 43 is malformed.
    DHCPD/RA: Unable to load workspace.
    DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
    DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
    DHCPRA: relay binding found for client 0050.56a0.2c59.
    DHCPRA: setting giaddr to 192.168.7.2.
    DHCPRA: Server request counter 1
    dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.

    Para ajustar el valor binario para que sea mayor que 0 de acuerdo con RFC 2132, haga doble clic en el campo 043 Vendor Specific Info (Información específica del proveedor 043) y establezca el valor en 00, como se muestra en la imagen.

    Este cambio garantiza que la dirección IP se conceda correctamente al cliente.

    Changed Binary Value to 1Valor_binario_cambiado_a_1

    Proceso DORA del servidor cuando el valor se establece en 1 en la opción 43

    Server Side Working pcapServer_Side_Working_pcap

    Proceso DORA del lado del cliente cuando el valor se establece como 1 en la opción 43 y podemos ver que el cliente es arrendado con una IP.

    Client Side Working pcapClient_Side_Working_pcap

    firepower# debug dhcprelay packet
    debug dhcprelay packet enabled at level 1
    ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
    DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
    DHCPRA: relay binding found for client 0050.56a0.2c59.
    DHCPRA: setting giaddr to 192.168.7.2.
    dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
    DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
    DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
    DHCPRA: relay binding found for client 0050.56a0.2c59.
    DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
    DHCPRA: forwarding reply to client 0050.56a0.2c59.
    DHCPRA: Client Ip Address :192.168.7.10
    DHCPRA: subnet mask in dhcp options :255.255.255.0
    DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
    DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
    DHCPRA: relay binding found for client 0050.56a0.2c59.
    DHCPRA: Server requested by client 192.168.2.6
    DHCPRA: setting giaddr to 192.168.7.2.
    DHCPRA: Server request counter 1
    dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
    DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
    DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
    DHCPRA: relay binding found for client 0050.56a0.2c59.
    DHCPRA: exchange complete - relay binding deleted for client 0050.56a0.2c59.
    DHCPD/RA: Binding successfully deactivated
    dhcpd_destroy_binding() removing NP rule for client 192.168.7.2
    DHCPD/RA: free ddns info and binding
    DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
    DHCPRA: forwarding reply to client 0050.56a0.2c59.
    DHCPRA: Client Ip Address :192.168.7.10
    DHCPRA: subnet mask in dhcp options :255.255.255.0

    Verificación

    Antes de configurar el servidor DHCP o la retransmisión, asegúrese de que el FTD está registrado en el FMC. Además, verifique que haya conectividad con el servidor DHCP en la configuración de retransmisión DHCP.

    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    ><Press Enter>
firepower# ping

    Para comprobar la configuración del Agente de retransmisión DHCP desde la CLI de FTD.

    firepower# show running-config dhcprelay
    dhcprelay server 192.168.2.6 dhcp_server
    dhcprelay enable Lan_network
    dhcprelay timeout 60
    dhcprelay information trust-all

    Troubleshoot

    Para solucionar el problema, tenga en cuenta los siguientes puntos:
    1. Verifique el ruteo entre el FTD y el servidor DHCP para asegurarse de que es accesible desde el servidor DHCP.
    2. Asegúrese de que el servidor DHCP tiene una ruta para acceder a la interfaz del agente de retransmisión DHCP.
    3. Para resolver el problema de que el cliente no reciba una dirección IP, puede realizar una captura de paquetes en la interfaz enrutada de FTD.

    Esto le permitirá examinar el proceso DORA del servidor DHCP dentro de las capturas de paquetes.

    Puede utilizar Use Firepower Threat Defence Captures y Packet Tracer para realizar la captura de paquetes de forma eficaz.

    Para detener y eliminar una sesión de captura de paquetes específica que haya iniciado previamente, ejecute el siguiente comando.
    no capture <capture_name>


    4.Para revisar el estado y recopilar los comandos dhcprelay debug ,execute a continuación

    Para ello, inicie sesión en la CLI de FTD .

    system support diagnostic-cli

    enable

    Press Enter.

    show dhcprelay statistic
    show dhcprelay state

    Para verificar si una depuración ya está habilitada, ejecute el siguiente comando.

    show debug 

    To capture debug excute below commands
    debug dhcprelay packet
    debug dhcprelay event
    To disable debug
    undebug all

    Información Relacionada

    Configuración del servidor DHCP y la retransmisión en FTD con FMC

    DHCP y DDNS

    Soporte Técnico y Documentación - Cisco Systems

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Mar-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Krutika Newad
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos