CAT9000에서 GIADDR 및 옵션 82를 사용한 DHCP 스누핑 상호작용
소개
이 문서에서는 CAT9000의 GIADDR 및 옵션 82와의 DHCP 스누핑 상호 작용에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco IOS® XE는 구성 및 운영 명령에 대한 숙련도를 제공합니다.
- Cisco Catalyst 9000 Series 스위치 하드웨어 및 아키텍처에 대한 지식
- DHCP 프로토콜 작업 및 DHCP 스누핑 메커니즘에 대한 확실한 이해.
- DHCP 옵션 82 및 릴레이 에이전트의 역할에 대한 개념적 이해.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 코어/디스트리뷰션 스위치:Cisco Catalyst 9600X Series
- 액세스 스위치:Cisco Catalyst 9300 시리즈
- DHCP 클라이언트:엔드 호스트 장치
- DHCP 서버:중앙 네트워크 서비스 공급자
배경 정보
이 문서에서는 액세스 스위치의 DHCP 옵션 82 구현과 통합된 코어/디스트리뷰션 스위치에서 DHCP 스누핑의 다양한 컨피그레이션을 살펴봅니다. 이 가이드에서는 실제 컨피그레이션 예와 해당 패킷 캡처 분석을 통해 Cisco Catalyst 9000 Series 환경 내에서 이러한 기능 간의 상호 작용을 설명합니다.
네트워크 다이어그램
테스트 사례
코어 스위치 DHCP 스누핑 사용
액세스 스위치 옵션 82 사용 안 함
코어 스위치:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
액세스 스위치:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
결과:
성공했습니다.
엔드 디바이스가 문제 없이 IP 주소를 가져옵니다.
설명:
액세스 스위치 옵션 82는 비활성화되어 있으며 옵션 82 없이 패킷을 코어에 전송합니다. 코어 스위치 옵션 82는 기본적으로 활성화되며 패킷에 릴레이 에이전트의 IP 주소와 함께 옵션 82를 추가하여 DHCP 서버에 전송합니다.
클라이언트와 액세스 스위치 간 링크의 패킷:
참고: 패킷 캡처는 동일한 클라이언트에 대해 여러 번 여러 캡처 포인트에서 수행됩니다. 트랜잭션 id는 무시하십시오.
액세스 스위치와 디스트리뷰션/코어 스위치 간 링크의 패킷:
액세스 스위치에는 스누핑 정보 옵션 삽입이 없으므로 클라이언트에서 들어오는 동일한 패킷이 배포 스위치로 전달됩니다.
CORE 스위치와 DHCP 서버 간의 패킷:
DHCP 스누핑이 활성화되고 릴레이가 구성되면 릴레이 에이전트 IP가 있는 DHCP 서버 10.88.2.63에 패킷을 유니캐스트하는 CORE 스위치가 자체 IP로 삽입됩니다.
액세스 스위치 옵션 82 사용
코어 스위치:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
액세스 스위치:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
결과:
성공했습니다.
엔드 디바이스가 문제 없이 IP 주소를 가져옵니다.
설명:
액세스 스위치 옵션 82가 활성화되어 있지만 이 스위치에는 SVI가 생성되지 않으며 옵션 82 없이 패킷을 코어에 보냅니다. 코어 스위치 옵션 82는 기본적으로 활성화되어 있으며 패킷에 릴레이 에이전트의 IP 주소와 함께 옵션 82를 추가하여 DHCP 서버에 보냅니다.
클라이언트에서 액세스 스위치로의 패킷:
액세스 스위치에서 CORE/Distribution 스위치로의 패킷:
액세스 스위치에서 'ip dhcp snooping information option'이 기본적으로 활성화되어 있으므로 Access 스위치는 릴레이 IP가 0.0.0.0인 옵션 82를 삽입합니다.
DHCP 스누핑 세계에서 볼 수 있듯이, 이는 비인가 패킷이므로 CORE 스위치에서 삭제해야 합니다. 그러나 CORE 스위치가 인터페이스를 신뢰하므로 패킷이 DHCP 서버로 릴레이되도록 처리됩니다.
CORE 스위치와 DHCP 서버 간의 패킷:
다운링크 인터페이스가 신뢰됨에 따라 CORE 스위치는 릴레이 에이전트를 0.0.0.0에서 10.88.39.254로 대체하고 업링크로 전송합니다.
또한 DORA 프로세스가 합법적으로 완료되고 클라이언트가 IP 주소를 가져옵니다.
코어 스위치 DHCP 스누핑 사용 안 함
액세스 스위치 옵션 82 사용
코어 스위치:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
액세스 스위치:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
결과:
실패.
엔드 디바이스가 IP 주소를 가져오지 않습니다.
설명:
액세스 스위치 옵션 82가 활성화되어 있지만 이 스위치에는 SVI 또는 릴레이 에이전트가 없습니다. 따라서 옵션 82 및 릴레이 IP가 0.0.0.0인 CORE로 패킷을 전송합니다. CORE 스위치에서 DHCP 스누핑이 비활성화되면 여기서 옵션 82의 확인, 편집 및 삽입은 비활성화되어 있습니다. 따라서 CORE 스위치는 릴레이를 추가하지 못하고 패킷을 삭제합니다.
클라이언트 DHCP는 클라이언트에서 오는 다음 액세스 스위치로 가는 패킷을 검색합니다.
액세스 스위치에서 코어/디스트리뷰션 스위치로의 패킷 흐름:
· 액세스 스위치에서 명령 ip dhcp snooping information 옵션을 활성화하여 옵션 82를 DHCP 패킷에 삽입합니다. 이 경우 옵션 82의 릴레이 에이전트 IP 주소는 0.0.0.0으로 설정됩니다.
· 액세스 스위치는 vLAN 287용 레이어 2에서만 작동합니다.
· CORE 스위치의 관점에서, 액세스 스위치에 의해 삽입된 옵션 82의 패킷은 부적법한 것으로 간주됩니다. 그러나 CORE 스위치의 다운링크 인터페이스는 신뢰할 수 있는 인터페이스로 구성되어 있으므로, CORE 스위치는 인터페이스 레벨에서 패킷을 삭제하는 대신 패킷을 처리합니다.
· CORE 스위치에서 DHCP 스누핑을 사용하지 않도록 설정했으므로 옵션 82가 포함된 패킷을 전달하지 않습니다.
DHCP 검색 패킷을 사용한 코어 스위치 동작:
- CORE 스위치는 DHCP 검색 패킷을 구성된 헬퍼 주소 10.88.2.63으로 유니캐스트하려고 시도합니다.
- 이를 위해 코어 스위치는 DHCP 패킷에 릴레이 IP 주소(GIADDR)를 설정해야 합니다.
- 옵션 82는 액세스 스위치에 의해 삽입된 데이터와 함께 이미 존재하므로, CORE 스위치는 릴레이 IP를 설정하기 전에 옵션 82를 확인해야 한다.
- DHCP 스누핑은 CORE 스위치에서 비활성화되므로 옵션 82를 확인할 수 없습니다.
- 옵션 82를 확인 및 수정할 수 없기 때문에 CORE 스위치는 DHCP 검색 패킷을 삭제할 수 밖에 없습니다.
검색 패킷은 CORE 스위치에서 DHCP 서버로 릴레이되지 않습니다.
비작동 시나리오에 대한 CORE 스위치의 디버깅:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
액세스 스위치 옵션 82 사용 안 함
코어 스위치:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
액세스 스위치:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
결과:
성공했습니다.
엔드 디바이스가 IP 주소를 가져옵니다.
관찰:
액세스 스위치 옵션 82는 비활성화되어 있고 옵션 82 없이 코어에 패킷을 전송하며, CORE 스위치는 릴레이가 구성된 SVI를 가지고 있습니다. CORE 스위치는 릴레이 에이전트 IP 주소를 패킷에 추가하고 DHCP 서버에 보냅니다.
클라이언트 DHCP가 액세스 스위치에 도달하는 패킷을 검색합니다.
액세스 스위치에서 CORE로 패킷 전송:
액세스 스위치에서 옵션 82 삽입이 비활성화되면 액세스 스위치는 업링크 트렁크에 있는 것처럼 브로드캐스트 패킷을 전달합니다.
CORE 스위치가 DHCP 서버를 향해 릴레이한 패킷:
CORE 스위치에서 디버깅:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
이 경우 클라이언트는 IP 주소를 수신합니다.
요약
- 스위치에서 DHCP 옵션 82 정보를 삽입, 제거 또는 검증하려면 DHCP 스누핑을 활성화해야 합니다.
- DHCP 스누핑이 비활성화되면 스위치는 옵션 82 삽입 또는 제거 기능을 수행하지 않습니다.
- 옵션 82의 패킷 삭제 또는 허용을 포함하여 옵션 82 처리는 DHCP 스누핑의 활성화 및 구성에 따라 달라집니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
18-May-2026
|
최초 릴리스 |
피드백