Interazioni di snooping DHCP con GIADDR e opzione 82 su CAT9000

Opzioni per il download

  • PDF     (4.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:13 maggio 2026
ID documento:225929

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento vengono descritte le interazioni tra lo snooping DHCP e GIADDR e l'opzione 82 su CAT9000.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Competenza Cisco IOS® XE nella configurazione e nei comandi operativi.
  • Familiarità con l'hardware e l'architettura dello switch Cisco Catalyst serie 9000.
  • Comprensione approfondita delle operazioni del protocollo DHCP e dei meccanismi di snooping DHCP.
  • Comprensione concettuale dell'opzione DHCP 82 e del ruolo dell'agente di inoltro.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Switch Core/Distribution: Cisco Catalyst serie 9600X
  • Switch di accesso: Cisco Catalyst serie 9300
  • client DHCP:dispositivo host finale
  • server DHCP:provider di servizi di rete centralizzato

Premesse

In questo documento vengono esaminate diverse configurazioni di snooping DHCP sugli switch Core/Distribution, integrate con le implementazioni dell'opzione DHCP 82 sugli switch di accesso. Attraverso esempi pratici di configurazione e l'analisi delle acquisizioni dei pacchetti corrispondenti, questa guida illustra l'interazione tra queste funzionalità in un ambiente Cisco Catalyst serie 9000.

Esempio di rete

Topology

Test case

Snooping DHCP switch principale abilitato

Opzione switch di accesso 82 disabilitata

Interruttore principale:

!
int fif2/1/0/4   ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!


Switch di accesso:

!
int gig1/0/1  —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3  —---> End device connected port
switchport mode access
switchport access vlan 287
!


Risultato:

Operazione completata.

Il dispositivo finale ottiene l'indirizzo IP senza alcun problema.

Spiegazione:
L'opzione 82 dello switch di accesso è disabilitata e invia il pacchetto al core senza l'opzione 82. L'opzione 82 del core è abilitata per impostazione predefinita e aggiunge l'opzione 82 con l'indirizzo IP dell'agente di inoltro nel pacchetto e lo invia al server DHCP.

Pacchetto sul collegamento tra client e switch di accesso:

Capture 1.1

note-icon

Nota: Le acquisizioni dei pacchetti vengono effettuate più volte e in più punti di acquisizione per lo stesso client; ignorare quindi l'id della transazione.

Pacchetto sul collegamento tra switch di accesso e switch di distribuzione/core:

Sullo switch di accesso non è presente l'opzione snooping information, quindi lo stesso pacchetto proveniente dal client viene inoltrato allo switch di distribuzione.

Capture 1.2

Pacchetto tra switch CORE e server DHCP:

Poiché lo snooping DHCP è abilitato e il relay è configurato, lo switch CORE che invia in unicast il pacchetto al server DHCP 10.88.2.63 con IP dell'agente di inoltro viene inserito come proprio IP.

Capture 1.3

Opzione switch di accesso 82 abilitata

Interruttore principale:

!
int fif2/1/0/4  ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!

Switch di accesso:

!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!


Risultato:

Operazione completata.

Il dispositivo finale ottiene l'indirizzo IP senza alcun problema.


Spiegazione:
L'opzione 82 dello switch di accesso è abilitata, ma la SVI non è stata creata sullo switch, che invia il pacchetto al core senza l'opzione 82. L'opzione 82 dello switch principale è abilitata per impostazione predefinita e aggiunge l'opzione 82 con l'indirizzo IP dell'agente di inoltro nel pacchetto e lo invia al server DHCP.

Pacchetto dal client allo switch di accesso:

Capture 2.1

Il pacchetto dallo switch di accesso allo switch CORE/Distribution:

Poiché 'ip dhcp snooping information option' è abilitato per impostazione predefinita sullo switch di accesso, lo switch di accesso inserisce l'opzione 82 con relay IP come 0.0.0.0.

Come per il mondo dello snooping DHCP, si tratta di un pacchetto anomalo che deve essere scartato dallo switch CORE. Tuttavia, poiché lo switch CORE ha un'interfaccia attendibile, il pacchetto verrà elaborato per l'inoltro al server DHCP.

Capture 2.2

Pacchetto tra switch CORE e server DHCP:

Poiché l'interfaccia di downlink è affidabile, lo switch CORE sostituisce l'agente di inoltro da 0.0.0.0 a 10.88.39.254 e lo invia all'uplink.

Inoltre, il processo DORA viene completato correttamente e il client riceve l'indirizzo IP.

Capture 2.3

Snooping DHCP switch principale disabilitato

Opzione switch di accesso 82 abilitata

Interruttore principale:

!
Int fif2/1/0/4   ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048

no ip dhcp snooping
!

Switch di accesso:

!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!


Risultato:

Errore.

Il dispositivo finale non ottiene l'indirizzo IP.

Spiegazione:
L'opzione 82 dello switch di accesso è abilitata, ma lo switch non dispone di un agente SVI o Relay. Quindi, invia il pacchetto al CORE con l'opzione 82 e l'indirizzo IP del relay come 0.0.0.0. Quando lo snooping DHCP è disabilitato sullo switch CORE; la verifica, la modifica e l'inserimento dell'opzione 82 sono disabilitati qui. Pertanto, lo switch CORE non riesce ad aggiungere il relè e scarta il pacchetto.

Il protocollo DHCP client rileva il pacchetto proveniente dal client e passa allo switch di accesso:

Capture 3.1

Flusso di pacchetti dallo switch di accesso allo switch CORE/Distribution:

· Sullo switch di accesso, l'opzione ip dhcp snooping information è abilitata, quindi l'opzione 82 viene inserita nei pacchetti DHCP. In questo caso, l'indirizzo IP dell'agente di inoltro nell'opzione 82 è impostato su 0.0.0.0.

· Lo switch di accesso funziona esclusivamente sul layer 2 per vLAN 287.

· Dal punto di vista dello switch CORE, il pacchetto con l'opzione 82 inserita dallo switch di accesso è considerato illegittimo. Tuttavia, poiché l'interfaccia per il downlink sullo switch CORE è configurata come attendibile, lo switch CORE elabora il pacchetto anziché rilasciarlo a livello di interfaccia.

· Sullo switch CORE lo snooping DHCP è disabilitato, quindi non inoltra i pacchetti contenenti l'opzione 82.

Comportamento switch CORE con rilevamento pacchetti DHCP:

  • Lo switch CORE tenta di eseguire il unicast del pacchetto di individuazione DHCP all'indirizzo dell'helper configurato 10.88.2.63.
  • A tale scopo, lo switch CORE deve impostare l'indirizzo IP del relay (GIADDR) nel pacchetto DHCP.
  • Poiché l'opzione 82 è già presente con i dati inseriti dallo switch di accesso, lo switch CORE deve verificare l'opzione 82 prima di impostare l'indirizzo IP del relay.
  • Poiché lo snooping DHCP è disabilitato sullo switch CORE, non è possibile verificare l'opzione 82.
  • A causa di questa impossibilità di verificare e modificare l'opzione 82, lo switch CORE non ha altra scelta che eliminare il pacchetto di rilevamento DHCP.

Capture 3.2

Il pacchetto discover non verrà inoltrato dallo switch CORE al server DHCP.

Debug sullo switch CORE per uno scenario non funzionante:

DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.

Opzione switch di accesso 82 disabilitata

Interruttore principale:

!
int fif2/1/0/4   ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!

Switch di accesso:

!
int gig1/0/1  —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!


Risultato:

Operazione completata.

Il dispositivo finale ottiene l'indirizzo IP.


Osservazione:

L'opzione 82 dello switch di accesso è disabilitata e invia il pacchetto al core senza l'opzione 82 e sullo switch CORE è presente la SVI con il Relay configurato. Lo switch CORE aggiunge l'indirizzo IP degli agenti di inoltro al pacchetto e lo invia al server DHCP.

Il protocollo DHCP client individua il pacchetto che colpisce lo switch di accesso:

Capture 4.1

Switch Packet to CORE dallo switch di accesso:

Poiché l'opzione 82 inserimento è disabilitata sullo switch di accesso, il pacchetto broadcast viene inoltrato come sul trunk uplink.

Capture 4.2

Pacchetto inoltrato dallo switch CORE al server DHCP:

Capture 4.3

Debug sullo switch CORE:

Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254

In questo caso, il client riceve l'indirizzo IP.

Riepilogo

  • Affinché lo switch possa inserire, rimuovere o convalidare le informazioni dell'opzione DHCP 82, lo snooping DHCP deve essere abilitato.
  • quando lo snooping DHCP è disabilitato, lo switch non esegue le funzioni di inserimento o rimozione dell'opzione 82.
  • L'elaborazione dell'opzione 82, incluso il rifiuto o l'autorizzazione dei pacchetti con l'opzione 82, dipende dal fatto che lo snooping DHCP sia abilitato e configurato.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
18-May-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Sandesh Sawant
    Responsabile tecnico senior
  • Thirunavukkarasu Gandhi
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti