Interacciones de snooping DHCP con GIADDR y opción 82 en CAT9000
Contenido
Introducción
Este documento describe las interacciones de snooping DHCP con GIADDR y la opción 82 en CAT9000.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Competencia de Cisco IOS® XE en comandos de configuración y operativos.
- Familiaridad con la arquitectura y el hardware de los switches Catalyst de Cisco serie 9000.
- Una sólida comprensión de las operaciones del protocolo DHCP y los mecanismos de detección DHCP.
- Comprensión conceptual de la opción 82 de DHCP y la función del agente de retransmisión.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Switch de núcleo/distribución:Cisco Catalyst serie 9600X
- Switch de acceso:Cisco Catalyst serie 9300
- cliente DHCP:dispositivo host final
- servidor DHCP:proveedor de servicios de red centralizada
Antecedentes
Este documento explora varias configuraciones de snooping DHCP en switches de núcleo/distribución, integradas con implementaciones de la opción DHCP 82 en switches de acceso. A través de ejemplos prácticos de configuración y análisis de las capturas de paquetes correspondientes, esta guía ilustra la interacción entre estas funciones dentro de un entorno Cisco Catalyst serie 9000.
Diagrama de la red
Casos de prueba
Snooping DHCP del switch principal habilitado
Opción de switch de acceso 82 desactivada
Switch principal:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Switch de acceso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
Resultado:
Exitoso.
El dispositivo final obtiene la dirección IP sin problemas.
Explicación:
La opción 82 del switch de acceso está inhabilitada y envía el paquete al núcleo sin la opción 82. La opción 82 del switch de núcleo está habilitada de forma predeterminada y agrega la opción 82 con la dirección IP del agente de retransmisión en el paquete y la envía al servidor DHCP.
Paquete en enlace entre el cliente y el switch de acceso:
Nota: Las capturas de paquetes se realizan varias veces y en varios puntos de captura para el mismo cliente; ignorar el id de transacción.
Paquete en enlace entre el switch de acceso y el switch de distribución/núcleo:
El switch de acceso no tiene inserción de opciones de información de indagación, por lo que el mismo paquete que proviene del cliente se reenvía al switch de distribución.
Paquete entre el switch CORE y el servidor DHCP:
A medida que se habilita la indagación DHCP y se configura la retransmisión, el switch CORE unidifusión del paquete al servidor DHCP 10.88.2.63 con IP del agente de retransmisión se inserta como su propia IP.
Switch de acceso activado 82
Switch principal:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Switch de acceso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Exitoso.
El dispositivo final obtiene la dirección IP sin problemas.
Explicación:
La opción 82 del switch de acceso está habilitada, pero este switch no tiene la SVI creada y envía el paquete al núcleo sin la opción 82. La opción 82 del switch de núcleo está habilitada de forma predeterminada y agrega la opción 82 con la dirección IP del agente de retransmisión en el paquete y la envía al servidor DHCP.
Paquete del cliente al switch de acceso:
El paquete del switch de acceso al switch de núcleo/distribución:
Como 'ip dhcp snooping information option' está habilitado de forma predeterminada en el switch de acceso, el switch de acceso inserta la opción 82 con relay IP como 0.0.0.0.
Según el mundo de la indagación DHCP, este es un paquete no autorizado y debe ser descartado por el switch CORE. Pero como el switch CORE tiene la interfaz confiable, el paquete será procesado para retransmitir hacia el servidor DHCP.
Paquete entre el switch CORE y el servidor DHCP:
Como la interfaz de link descendente es confiable, el switch CORE reemplaza al agente relay de 0.0.0.0 a 10.88.39.254 y lo envía al link ascendente.
Además, el proceso DORA completa legítimo y el cliente obtiene la dirección IP.
Detección DHCP del switch principal desactivada
Switch de acceso activado 82
Switch principal:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Switch de acceso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Falla.
El dispositivo final no obtiene la dirección IP.
Explicación:
La opción de switch de acceso 82 está habilitada, pero este switch no tiene SVI ni agente de retransmisión. Por lo tanto, envía el paquete al NÚCLEO con la opción 82 y la IP de retransmisión como 0.0.0.0. A medida que se inhabilita la indagación DHCP en el switch NÚCLEO; la verificación, edición e inserción de la opción 82 está deshabilitada allí. Por lo tanto, el switch CORE no puede agregar el relé y descarta el paquete.
DHCP del cliente detecta el paquete que viene del cliente y va al switch de acceso:
Flujo de paquetes desde el switch de acceso al switch de núcleo/distribución:
· El switch de acceso tiene el comando ip dhcp snooping information option habilitado, lo que hace que inserte la opción 82 en los paquetes DHCP. En este caso, la dirección IP del agente de retransmisión en la opción 82 se establece en 0.0.0.0.
· El switch de acceso funciona únicamente en la capa 2 para vLAN 287.
· Desde la perspectiva del switch CORE, el paquete con la opción 82 insertada por el switch de acceso se considera ilegítimo. Sin embargo, dado que la interfaz de enlace descendente en el switch CORE se configura como de confianza, el switch CORE procesa el paquete en lugar de descartarlo en el nivel de interfaz.
· El switch CORE tiene la función DHCP snooping inhabilitada, por lo que no reenvía paquetes que contengan la opción 82.
Comportamiento del switch CORE con paquetes de detección DHCP:
- El switch CORE intenta unidifusión del paquete de detección DHCP a la dirección de ayudante configurada 10.88.2.63.
- Para hacer esto, el switch CORE debe establecer la dirección IP de retransmisión (GIADDR) en el paquete DHCP.
- Dado que la opción 82 ya está presente con los datos insertados por el switch de acceso, el switch CORE debe verificar la opción 82 antes de establecer la IP de retransmisión.
- Dado que la indagación DHCP está inhabilitada en el switch CORE, no puede verificar la opción 82.
- Debido a esta incapacidad para verificar y modificar la opción 82, el switch CORE no tiene más opción que descartar el paquete de detección DHCP.
El paquete de detección no se retransmitirá desde el switch CORE hacia el servidor DHCP.
Depuraciones en el switch CORE para un escenario que no funciona:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
Opción de switch de acceso 82 desactivada
Switch principal:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Switch de acceso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Exitoso.
El dispositivo final obtiene la dirección IP.
Observación:
La opción 82 del switch de acceso está inhabilitada y envía el paquete al núcleo sin la opción 82 y el switch CORE tiene la SVI presente con la retransmisión configurada. El switch CORE agrega la dirección IP de los agentes de retransmisión al paquete y lo envía al servidor DHCP.
DHCP del cliente detecta paquetes que llegan al switch de acceso:
Switch de paquete a NÚCLEO desde switch de acceso:
Como la opción 82 está inhabilitada en el switch de acceso, el switch de acceso reenviará el paquete de difusión tal como está en el trunk de link ascendente.
Paquete transmitido por el switch CORE hacia el servidor DHCP:
Depuraciones en el switch CORE:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
En este caso, el cliente recibe la dirección IP.
Summary
- El snooping DHCP debe estar habilitado para que el switch inserte, quite o valide la información de la opción DHCP 82.
- Cuando se inhabilita la indagación DHCP, el switch no realiza las funciones de inserción o extracción de la opción 82.
- El procesamiento de la opción 82, que incluye descartar o permitir paquetes con la opción 82, depende de que se habilite y configure la indagación DHCP.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
18-May-2026
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)