DHCP-spionageinteracties met GIADDR en optie 82 op CAT9000
Inhoud
Inleiding
Dit document beschrijft de DHCP-snuffelinteracties met GIADDR en optie 82 op CAT9000.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco IOS® XE-vaardigheid in configuratie en operationele opdrachten.
- De Cisco Catalyst 9000-serie switch hardware en architectuur.
- Een goed begrip van DHCP-protocolbewerkingen en DHCP-snuffelmechanismen.
- Een conceptueel begrip van DHCP optie 82 en de rol van de relay agent.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Core/Distribution switch: Cisco Catalyst 9600X-reeks
- Access switch: Cisco Catalyst 9300-reeks
- DHCP-client: eindhostapparaat
- DHCP-server: gecentraliseerde netwerkserviceprovider
Achtergrondinformatie
In dit document worden verschillende configuraties van DHCP-spionage op Core/Distribution-switches onderzocht, die zijn geïntegreerd met DHCP option 82-implementaties op Access-switches. Door middel van praktische configuratievoorbeelden en analyse van corresponderende pakketopnames illustreert deze handleiding de interactie tussen deze functies binnen een Cisco Catalyst 9000-serie-omgeving.
Netwerkdiagram
Testcases
Core Switch DHCP Snooping ingeschakeld
Access Switch Option 82 uitgeschakeld
Core switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Access-switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
Resultaat:
Succesvol.
Het eindapparaat krijgt het IP-adres zonder problemen.
Uitleg:
Access switch Option 82 is uitgeschakeld en stuurt het pakket naar de kern zonder Option 82. Core switch Option 82 is standaard ingeschakeld en voegt de optie 82 met het IP-adres van de relay-agent in het pakket toe en stuurt deze naar de DHCP-server.
Pakket voor koppeling tussen client en Access switch:
Opmerking: de pakketopnames worden meerdere keren en op meerdere opnamepunten voor dezelfde client gemaakt; negeer dus de transactie-id.
Pakket voor koppeling tussen Access switch en Distribution/Core switch:
De access switch heeft geen snuffelinformatie-invoeging, dus hetzelfde pakket dat van de client komt, wordt doorgestuurd naar de distribution switch.
Pakket tussen CORE switch en de DHCP-server:
Als de DHCP-snooping is ingeschakeld en relais is geconfigureerd, wordt de CORE-switch unicasting het pakket naar de DHCP-server 10.88.2.63 met relay agent IP ingevoegd als zijn eigen IP.
Access Switch Option 82 ingeschakeld
Core switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Access-switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultaat:
Succesvol.
Het eindapparaat krijgt het IP-adres zonder problemen.
Uitleg:
Access switch Option 82 is ingeschakeld, maar deze switch heeft de SVI niet gemaakt en stuurt het pakket naar de core zonder Option 82. Core switch Option 82 is standaard ingeschakeld en voegt de optie 82 met het IP-adres van de relay-agent in het pakket toe en stuurt deze naar de DHCP-server.
Pakket van client naar Access switch:
Het pakket van Access switch naar de CORE/Distribution switch:
Aangezien 'ip dhcp snooping information option' standaard is ingeschakeld op de Access switch, voegt Access switch optie 82 in met relais IP als 0.0.0.0.
Volgens de DHCP-snuffelwereld is dit een schurkenpakket en moet het door de CORE-switch worden gedropt. Maar omdat CORE switch de vertrouwde interface heeft, wordt het pakket verwerkt om door te sturen naar de DHCP-server.
Pakket tussen CORE switch en de DHCP-server:
Aangezien de downlink-interface vertrouwd is, vervangt CORE switch de relay-agent van 0.0.0.0 tot 10.88.39.254 en verzendt deze naar uplink.
Verder voltooit het DORA-proces het legitieme en krijgt de klant het IP-adres.
Core Switch DHCP Snooping uitgeschakeld
Access Switch Option 82 ingeschakeld
Core switch:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Access-switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultaat:
Falen.
Het eindapparaat krijgt het IP-adres niet.
Uitleg:
Access switch Option 82 is ingeschakeld, maar deze switch heeft geen SVI- of Relay-agent. Dus stuurt het pakket naar de CORE met optie 82 en Relay IP als 0.0.0.0. Aangezien DHCP-snooping is uitgeschakeld op de CORE-switch, is verificatie, bewerking en invoeging van optie 82 daar uitgeschakeld. Dus CORE switch slaagt er niet in om het relais toe te voegen en laat het pakket vallen.
Client DHCP ontdekt pakket afkomstig van client en gaat naar Access switch:
Pakketstroom van Access switch naar CORE/Distribution switch:
· De Access-switch heeft de opdracht ip dhcp snooping information option ingeschakeld, waardoor optie 82 in DHCP-pakketten wordt ingevoegd. In dit geval is het IP-adres van de relay agent in optie 82 ingesteld op 0.0.0.0.
· De Access switch werkt puur op Layer 2 voor vLAN 287.
· Vanuit het oogpunt van de CORE-switch wordt het pakket met keuzemogelijkheid 82 dat door de Access-switch is geplaatst, als onwettig beschouwd. Aangezien de downlink-interface op de CORE-switch echter is geconfigureerd als vertrouwd, verwerkt de CORE-switch het pakket in plaats van het op interfaceniveau te laten vallen.
· De CORE-switch heeft DHCP-snooping uitgeschakeld, zodat pakketten met optie 82 niet worden doorgestuurd.
CORE-switch met DHCP Discover-pakketten:
- De CORE-switch probeert het DHCP-detectiepakket te unicasten naar het geconfigureerde helperadres 10.88.2.63.
- Hiervoor moet de CORE-switch het IP-adres van de relay (GIADDR) in het DHCP-pakket instellen.
- Aangezien optie 82 al aanwezig is met gegevens die door de Access-switch zijn ingevoegd, moet de CORE-switch optie 82 verifiëren voordat de IP-relais wordt ingesteld.
- Aangezien DHCP-snooping is uitgeschakeld op de CORE-switch, kan optie 82 niet worden geverifieerd.
- Vanwege dit onvermogen om optie 82 te verifiëren en aan te passen, heeft de CORE-switch geen andere keuze dan het DHCP-detectiepakket te laten vallen.
Het Discover-pakket wordt niet doorgestuurd van CORE-switch naar de DHCP-server.
Fouten in CORE-switch voor scenario dat niet werkt:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
Access Switch Option 82 uitgeschakeld
Core switch:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Access-switch:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultaat:
Succesvol.
Het eindapparaat krijgt het IP-adres.
Waarneming:
Access switch option 82 is uitgeschakeld en stuurt het pakketje naar de core zonder option 82 en CORE switch heeft de SVI present met Relay geconfigureerd. De CORE-switch voegt het IP-adres van Relay agents toe aan het pakket en stuurt het naar de DHCP-server.
Client DHCP ontdekt pakketraken Access switch:
Pakket naar CORE-switch van Access switch:
Als de invoeging van optie 82 is uitgeschakeld op de Access-switch, wordt het uitzendpakket door Access switch doorgestuurd naar de uplink-trunk.
Pakket dat door CORE switch naar de DHCP-server wordt verzonden:
Foutopsporing op CORE switch:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
In dit geval ontvangt de klant het IP-adres.
Samenvatting
- DHCP-snooping moet zijn ingeschakeld zodat de switch informatie over DHCP Option 82 kan invoegen, verwijderen of valideren.
- Wanneer DHCP-controle is uitgeschakeld, voert de switch de optie 82-insteek- of verwijderingsfuncties niet uit.
- De verwerking van optie 82, inclusief het laten vallen of toestaan van pakketten met optie 82, is afhankelijk van het feit of DHCP-snooping is ingeschakeld en geconfigureerd.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
18-May-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)