CAT9000でのDHCPスヌーピングのGIADDRおよびオプション82とのインタラクション
はじめに
このドキュメントでは、CAT9000でのDHCPスヌーピングのGIADDRおよびオプション82とのインタラクションについて説明します。
前提条件
要 件
次の項目に関する知識があることが推奨されます。
- Cisco IOS® XEの設定および運用コマンドに関する習熟度
- Cisco Catalyst 9000シリーズスイッチのハードウェアとアーキテクチャに精通していること。
- DHCPプロトコルの動作とDHCPスヌーピングメカニズムに関する十分な理解
- DHCPオプション82とリレーエージェントの役割に関する概念の理解
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- コア/ディストリビューションスイッチ:Cisco Catalyst 9600Xシリーズ
- アクセススイッチ:Cisco Catalyst 9300シリーズ
- DHCPクライアント:エンドホストデバイス
- DHCPサーバ:集中型ネットワークサービスプロバイダー
バックグラウンド情報
このドキュメントでは、アクセススイッチでのDHCPオプション82の実装と統合された、コア/ディストリビューションスイッチでのDHCPスヌーピングのさまざまな設定について説明します。このガイドでは、実際の設定例と対応するパケットキャプチャの分析を使用して、Cisco Catalyst 9000シリーズ環境内でのこれらの機能間のインタラクションを示します。
ネットワーク図
テストケース
コアスイッチのDHCPスヌーピングが有効
アクセススイッチオプション82無効
コアスイッチ:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
アクセススイッチ:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
結果:
成功.
エンドデバイスは問題なくIPアドレスを取得します。
説明:
アクセススイッチオプション82は無効で、オプション82なしでコアにパケットを送信します。コアスイッチオプション82はデフォルトで有効になっており、リレーエージェントのIPアドレスを含むオプション82をパケットに追加してDHCPサーバに送信します。
クライアントとアクセススイッチ間のリンク上のパケット:
注:パケットキャプチャは、同じクライアントの複数のキャプチャポイントで複数回取得されるため、トランザクションIDは無視してください。
アクセススイッチとディストリビューション/コアスイッチ間のリンク上のパケット:
アクセススイッチにはスヌーピング情報オプションの挿入がないため、クライアントからの同じパケットがディストリビューションスイッチに転送されます。
コアスイッチとDHCPサーバ間のパケット:
DHCPスヌーピングがイネーブルになり、リレーが設定されると、リレーエージェントIPを持つDHCPサーバ10.88.2.63へのパケットをCOREスイッチがユニキャストするため、自身のIPとして挿入されます。
アクセススイッチオプション82有効
コアスイッチ:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
アクセススイッチ:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
結果:
成功.
エンドデバイスは問題なくIPアドレスを取得します。
説明:
アクセススイッチオプション82は有効ですが、このスイッチにはSVIが作成されておらず、パケットはオプション82なしでコアに送信されます。コアスイッチオプション82はデフォルトで有効になっており、リレーエージェントのIPアドレスを含むオプション82をパケットに追加してDHCPサーバに送信します。
クライアントからアクセススイッチへのパケット:
アクセススイッチからCORE/Distributionスイッチへのパケット:
アクセススイッチでは「ip dhcp snooping information option」がデフォルトで有効になっているため、アクセススイッチはリレーIPを0.0.0.0としてオプション82を挿入します。
DHCPスヌーピングの世界では、これは不正なパケットであり、コアスイッチによって廃棄される必要があります。ただし、コアスイッチのインターフェイスは信頼されているため、パケットはDHCPサーバに向けてリレーするように処理されます。
コアスイッチとDHCPサーバ間のパケット:
ダウンリンクインターフェイスが信頼できるため、COREスイッチはリレーエージェントを0.0.0.0から10.88.39.254に置き換えてアップリンクに送信します。
さらに、DORAプロセスが正規のプロセスを完了し、クライアントはIPアドレスを取得します。
コアスイッチのDHCPスヌーピングが無効
アクセススイッチオプション82有効
コアスイッチ:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
アクセススイッチ:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
結果:
失敗.
エンドデバイスがIPアドレスを取得しない。
説明:
アクセススイッチオプション82が有効になっているが、このスイッチにはSVIまたはリレーエージェントがない。そのため、パケットはオプション82でCOREに送信され、0.0.0.0としてIPがリレーされます。DHCPスヌーピングはCOREスイッチで無効になっているため、検証、編集、オプション82の挿入はそこで無効になります。そのため、コアスイッチはリレーの追加に失敗し、パケットをドロップします。
クライアントDHCPは、クライアントから着信し、アクセススイッチに向かうパケットを検出します。
アクセススイッチからコア/ディストリビューションスイッチへのパケットフロー:
・アクセススイッチでコマンドip dhcp snooping information optionが有効になっているため、DHCPパケットにオプション82が挿入されています。この場合、オプション82のリレーエージェントのIPアドレスは0.0.0.0に設定されます。
・ アクセススイッチは、vLAN 287に対しては純粋にレイヤ2で動作します。
・ コアスイッチの観点からは、アクセススイッチによって挿入されたオプション82を含むパケットは不正と見なされます。ただし、コアスイッチ上のダウンリンクインターフェイスがtrustedとして設定されているため、コアスイッチはパケットをインターフェイスレベルでドロップせずに、処理します。
・ コアスイッチではDHCPスヌーピングが無効になっているため、オプション82を含むパケットは転送されません。
DHCP検出パケットでのコアスイッチの動作:
- COREスイッチは、設定されたヘルパーアドレス10.88.2.63にDHCP discoverパケットをユニキャストで送信しようとします。
- そのためには、コアスイッチがDHCPパケット内にリレーIPアドレス(GIADDR)を設定する必要があります。
- アクセススイッチによって挿入されたデータにはオプション82がすでに存在するため、COREスイッチはリレーIPを設定する前にオプション82を確認する必要があります。
- DHCPスヌーピングはコアスイッチで無効になっているため、オプション82を確認できません。
- オプション82を確認および変更できないため、COREスイッチではDHCP検出パケットをドロップする以外に選択肢はありません。
検出パケットは、コアスイッチからDHCPサーバにリレーされません。
コアスイッチのデバッグ(機能しないシナリオの場合):
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
アクセススイッチオプション82無効
コアスイッチ:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
アクセススイッチ:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
結果:
成功.
エンドデバイスがIPアドレスを取得します。
観察:
アクセススイッチオプション82が無効で、オプション82なしでコアにパケットを送信し、コアスイッチにはリレーが設定されたSVIが存在します。コアスイッチは、リレーエージェントのIPアドレスをパケットに追加し、DHCPサーバに送信します。
クライアントDHCPがパケットを検出し、アクセススイッチ:
アクセススイッチからコアスイッチへのパケット:
アクセススイッチではオプション82の挿入が無効になっているため、アクセススイッチはブロードキャストパケットをアップリンクトランクと同じように転送します。
コアスイッチからDHCPサーバにリレーされるパケット:
コアスイッチのデバッグ:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
この場合、クライアントはIPアドレスを受信します。
要約
- スイッチでDHCPオプション82情報を挿入、削除、または検証するには、DHCPスヌーピングを有効にする必要があります。
- DHCPスヌーピングがディセーブルの場合、スイッチはオプション82の挿入または削除機能を実行しません。
- オプション82でのパケットの廃棄や許可を含むオプション82の処理は、DHCPスヌーピングが有効で設定されているかどうかによって異なります。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
18-May-2026
|
初版 |
フィードバック