Solucionar problemas de retransmissão de DHCP na ACI com endpoints locais

Introdução

Este documento descreve a solução de problemas do DHCP Relay em malhas da ACI.

Abreviaturas

• BD: Domínio de bridge
• EPG: Grupo de endpoints
• ExEPG: Grupo de Ponto de Extremidade Externo
• VRF: Roteamento e encaminhamento virtual
• ID da classe ou pcTag: Marca que identifica um EPG
• DHCP: Protocolo de configuração dinâmica host
• SVI: Interface Virtual Comutada

Requisitos

Para este artigo, é recomendável que você tenha conhecimento geral destes tópicos:

• Conceitos e fluxo de trabalho DHCP (processo DORA)
• Conceitos da ACI: Políticas de acesso, Aprendizado de endpoint, Contratos e L3out
• As Políticas de Retransmissão DHCP já devem ter sido criadas

Componentes Utilizados

Este exercício de solução de problemas foi realizado na versão 6.0(8f) da ACI usando switches Nexus de segunda geração N9K-C93180YC-EX e N9K-C93240YC-FX2.

Todos os comandos neste artigo foram executados em um ambiente de laboratório e usando RFC1819 para endereçamento IP. Se a sua rede estiver ativa, certifique-se de que você compreende o impacto potencial de qualquer comando, certificando-se de que você adequa o comando em questão às suas necessidades específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Recomendações de solução de problemas

Aprendizado de endpoint

Se os endpoints não forem aprendidos, valide as políticas de porta estática, como configurações de switch, interface e VLAN. Para servidores virtuais, confirme se o grupo de portas está implantado corretamente e atribuído à VM.

Implantação de política

Verifique se a DHCP Relay Policy (dhcpRelayP) e o DHCP Relay Label (dhcpLbl) estão corretamente configurados e consumidos pelo domínio de ponte (BD) apropriado. As regras de propriedade para políticas de label são:

• Propriedade do locatário do usuário: Somente esse espaço pode usar a política
• Propriedade de locatário comum: Todos os usuários podem usar a política, mas o servidor DHCP deve ser aprendido em um EPG comum
• Propriedade do locatário inferior: Todos os locatários podem usar a política e o servidor DHCP pode ser aprendido em qualquer lugar na malha

Se a classe filho dhcpRtLblDefToRelayP estiver ausente na política pai dhcpRelayP, nenhum BD está consumindo a Política de Retransmissão e é necessária uma ação corretiva.

Acessibilidade do host

O cliente DHCP deve estar acessível a partir do SVI de seu BD. Se estiver inacessível, verifique os contratos e as configurações de roteamento para garantir a conectividade.

Aprendizado e roteamento de endpoints

Certifique-se de que o servidor DHCP esteja acessível a partir do SVI do domínio de ponte onde o cliente reside. 

iping -V [ tenant : VRF ] -S [ SVI IP of the Client ] [ DHCP server IP]

Leaf101# iping -V tz:VRF1 -S 172.16.19.1 172.16.18.100
PING 172.16.18.100 (172.16.18.100) from 172.16.19.1: 56 data bytes
64 bytes from 172.16.18.100: icmp_seq=0 ttl=64 time=0.912 ms
64 bytes from 172.16.18.100: icmp_seq=1 ttl=64 time=0.706 ms
64 bytes from 172.16.18.100: icmp_seq=2 ttl=64 time=0.643 ms
64 bytes from 172.16.18.100: icmp_seq=3 ttl=64 time=0.689 ms
64 bytes from 172.16.18.100: icmp_seq=4 ttl=64 time=0.717 ms

--- 172.16.18.100 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.643/0.733/0.912 ms

Os clientes DHCP e os servidores DHCP devem ser aprendidos como pontos finais quando configurados em um EPG. Para validar se esses pontos finais foram aprendidos corretamente, você pode verificar a tabela do gerenciador de pontos finais no leaf. 

show system internal epm endpoint [ip | mac] [ DHCP server IP | DHCP client MAC]

Leaf101# show system internal epm endpoint ip 172.16.18.100

MAC : 0050.56b7.80cf ::: Num IPs : 1
IP# 0 : 172.16.18.100 ::: IP# 0 flags : ::: l3-sw-hit: No
Vlan id : 12 ::: Vlan vnid : 8535 ::: VRF name : tz:VRF1
BD vnid : 15400880 ::: VRF vnid : 2981888
Phy If : 0x1a02c000 ::: Tunnel If : 0
Interface : Ethernet1/45
Flags : 0x80004c04 ::: sclass : 16402 ::: Ref count : 5
EP Create Timestamp : 09/11/2025 17:37:15.158380
EP Update Timestamp : 09/11/2025 19:17:41.261985
EP Flags : local|IP|MAC|sclass|timer|

::::

•••

Leaf101# show system internal epm endpoint mac 0050.56b7.33ee

MAC : 0050.56b7.33ee ::: Num IPs : 0
Vlan id : 25 ::: Vlan vnid : 8494 ::: VRF name : tz:VRF1
BD vnid : 15630228 ::: VRF vnid : 2981888
Phy If : 0x1a02c000 ::: Tunnel If : 0
Interface : Ethernet1/45
Flags : 0x80004804 ::: sclass : 32780 ::: Ref count : 4
EP Create Timestamp : 09/11/2025 17:33:36.158122
EP Update Timestamp : 09/11/2025 19:17:41.258478
EP Flags : local|MAC|sclass|timer|

::::

Validação de política

Ao validar uma política de Retransmissão DHCP, estes atributos-chave podem ser confirmados:

• Nome: O identificador da política de Retransmissão DHCP.
• PROPRIETÁRIO : O espaço sob o qual a política é configurada, indicando seu escopo de visibilidade limitado a esse espaço.
• Endereço: O endereço IP do servidor DHCP para o qual as solicitações DHCP são retransmitidas.
• Local do servidor DHCP: Validado por meio de marcas como epgDn, bdDefDn e ctxDefDn para garantir a associação correta com o EPG, o domínio de ponte e o VRF.
• Estado da política: A política deve estar em um estado formado, indicando que está corretamente implantada e ativa na malha.

Esta validação é executada executando moqueries no APIC para confirmar se as políticas de retransmissão DHCP foram criadas corretamente, associadas aos espaços apropriados e corretamente vinculadas aos domínios de ponte relevantes. Esta etapa ajuda a identificar configurações incorretas antecipadamente, evitando falhas de retransmissão DHCP causadas por implantação de política ausente ou incorreta.

moquery -c dhcpRelayP -f 'dhcp.RelayP.dn*"[ tenant name ].*[ DHCP Relay Policy name ]"' -x rsp-subtree=children

APIC# moquery -c dhcpRelayP -f 'dhcp.RelayP.dn*"tz.*Relay"' -x rsp-subtree=children
Total Objects shown: 1

# dhcp.RelayP
name : tz-DHCP_Relay
<-- cut for brevity-->
dn : uni/tn-tz/relayp-tz-DHCP_Relay
<-- cut for brevity-->
owner : tenant
<-- cut for brevity-->
rn : relayp-tz-DHCP_Relay

# dhcp.ProvDhcp
epgDn : uni/tn-tz/ap-AP1/epg-EPG1
addr : 172.16.18.100
bdDefDn : uni/bd-[uni/tn-tz/BD-BD1]-isSvc-no
<-- cut for brevity-->
ctxDefDn : uni/ctx-[uni/tn-tz/ctx-VRF1]
ctxDefStQual : none
ctxSeg : 2981888
descr : 
dn : uni/tn-tz/relayp-tz-DHCP_Relay/provdhcp-[uni/tn-tz/ap-AP1/epg-EPG1]
l3CtxEncap : vxlan-2981888
<-- cut for brevity-->
name : EPG1
<-- cut for brevity-->
pcTag : 16402
<-- cut for brevity-->

# dhcp.RsProv
tDn : uni/tn-tz/ap-AP1/epg-EPG1
addr : 172.16.18.1
<-- cut for brevity-->
state : formed

Quando uma política de retransmissão de DHCP é associada ao domínio de ponte (BD) do cliente, uma política de rótulo de DHCP correspondente é criada automaticamente. Essa política de Rótulo de DHCP atua como uma ligação entre a Política de Retransmissão de DHCP e o BD, habilitando a funcionalidade de retransmissão.

Você pode verificar a política de Rótulo de DHCP usando a CLI do APIC com um comando como:

moquery -c dhcpLbl -f 'dhcp.Lbl.dn*"[ tenant ].*[ DHCP Relay Policy name]"'

APIC# moquery -c dhcpLbl -f 'dhcp.Lbl.dn*"tz.*Relay"'
Total Objects shown: 1

# dhcp.Lbl
name : tz-DHCP_Relay
annotation : 
childAction : 
descr : 
dn : uni/tn-tz/BD-BD2/dhcplbl-tz-DHCP_Relay
extMngdBy : 
lcOwn : local
modTs : 2025-09-11T16:30:03.016+00:00
monPolDn : uni/tn-common/monepg-default
nameAlias : 
owner : tenant
ownerKey : 
ownerTag : 
rn : dhcplbl-tz-DHCP_Relay
status : modified
tag : yellow-green
uid : 15374
userdom : :all:

Mostra o objeto Rótulo DHCP associado ao BD.

Se a Política de Retransmissão DHCP estiver configurada corretamente, ela terá um objeto filho onde o Rótulo DHCP é consumido, que pode ser verificado com:

APIC# moquery -c dhcpRelayP -f 'dhcp.RelayP.dn*"tz.*Relay"' -x rsp-subtree=children rsp-subtree-class=dhcpRtLblDefToRelayP
Total Objects shown: 1

# dhcp.RelayP
name : tz-DHCP_Relay
annotation : 
childAction : 
descr : 
dn : uni/tn-tz/relayp-tz-DHCP_Relay
extMngdBy : 
lcOwn : local
modTs : 2025-09-11T16:10:56.421+00:00
mode : visible
monPolDn : uni/tn-common/monepg-default
nameAlias : 
owner : tenant
ownerKey : 
ownerTag : 
rn : relayp-tz-DHCP_Relay
status : modified
uid : 15374
userdom : :all:

# dhcp.RtLblDefToRelayP
tDn : uni/bd-[uni/tn-tz/BD-BD2]-isSvc-no/dhcplbldef-tz-DHCP_Relay
childAction : deleteNonPresent
dn : uni/tn-tz/relayp-tz-DHCP_Relay/rtlblDefToRelayP-[uni/bd-[uni/tn-tz/BD-BD2]-isSvc-no/dhcplbldef-tz-DHCP_Relay]
lcOwn : local
modTs : 2025-09-11T16:30:03.106+00:00
rn : rtlblDefToRelayP-[uni/bd-[uni/tn-tz/BD-BD2]-isSvc-no/dhcplbldef-tz-DHCP_Relay]
status : 
tCl : dhcpLblDef

Rastreamento de pacote DHCP

A ACI registra todos os pacotes DHCP enviados à CPU em arquivos de rastreamento, que podem ser analisados para solucionar problemas do processo DHCP Discover, Offer, Request, and Acknowledge (DORA). Use este comando para exibir os rastreamentos de pacotes DHCP:

show dhcp internal event-history traces

Tip: Um único pacote DHCP gera mais de 100 entradas de rastreamento. É altamente recomendável usar grep com expressões regulares para filtrar saída relevante para análise eficiente.

Durante a análise de rastreamento de DHCP na Cisco ACI, vários atributos-chave podem ser confirmados para garantir a operação apropriada de retransmissão de DHCP:

• Adicionar subopção de ID de circuito:

Indica que a Opção de DHCP 82 está sendo adicionada ao pacote, o que é essencial para informações do agente de retransmissão.

• endereço gi:

Representa o endereço IP do servidor DHCP configurado na Política de Retransmissão DHCP.

• Endereço do auxiliar:

O endereço IP do SVI usado pelo relé para acessar o servidor DHCP.

• O cliente e o servidor estão no mesmo VRF:

Confirma que o cliente e o servidor DHCP pertencem ao mesmo contexto de VRF.

• mensagem:

O tipo de mensagem DHCP observada, como Discover (Descobrir), Offer (Oferecer), Request (Solicitar) ou Ack (Confirmar).

• nome ctx:

O nome VRF em que a política de Rótulo DHCP está configurada.

• Smac:

O endereço MAC do cliente DHCP.

• Porta UDP src/dst:

As portas DHCP usadas, normalmente 68 para clientes e 67 para servidores.

Leaf101# show dhcp internal event-history traces | grep -A34 -B70 "00 50 56 b7 33 ee" | egrep "(Rec.*pkt.*intf|ip add|UDP|packet vlan|IfIndex|interface:|[DS]mac|ctx.*is.*:|Pkt.*ID|relay_handle.*(ifindex|msg|from.*ctx)|relayback|relay_send.*(ifindex|Client.*Server)|Adding option82|Mac addr|dhcp_get_vlan|Add.*suboption.*epg_vnid|Helper|Outgoing|gi.*is|Cross-vrf|Sending.*Server|Relaying.*DHCP)" | head -29

2) 2025 Sep 11 04:14:46.660433 _relay_handle_packet_from_pkt_mgr: 480 : Relaying the DHCP pkt on intf: Vlan24
28) 2025 Sep 11 04:14:46.659985 _relay_add_circuitid_rmtid_msiteinfo: 3354 : Add circuit id suboption: if_index: Ethernet1/45 (1a02c000) , svlan: 24, option def id: 0 epg_vnid 8529.
••
31) 2025 Sep 11 04:14:46.659934 _relay_add_option82: 3151 : Mac addr is 28:6f:7f:eb:54:9f
32) 2025 Sep 11 04:14:46.659930 _relay_add_option82: 3147 : Adding option82 suboptions
35) 2025 Sep 11 04:14:46.659924 _relay_send_packet: 1975 : gi address is 172.16.18.1
••
37) 2025 Sep 11 04:14:46.659921 _relay_send_packet: 1965 : Helper address is 172.16.18.100
38) 2025 Sep 11 04:14:46.659918 _relay_send_packet: 1956 : Client and Server are in the same VRF
39) 2025 Sep 11 04:14:46.659793 _relay_send_packet: 1898 : ifindex is Vlan24
40) 2025 Sep 11 04:14:46.659786 _relay_send_packet: 1833 : dhcp_relay_send_packet: relayback_ifindex is Ethernet1/45
••
42) 2025 Sep 11 04:14:46.659730 _relay_handle_packet_from_pkt_mgr: 447 : DHCPDISCOVER msg
43) 2025 Sep 11 04:14:46.659728 _relay_handle_packet_from_pkt_mgr: 438 : ifindex is Vlan24
••
61) 2025 Sep 11 04:14:46.657274 _snoop_handle_istack_packet: 1763 : ctx name is tz:VRF1
64) 2025 Sep 11 04:14:46.657062 _snoop_handle_istack_packet: 1751 :  Smac = [00 50 56 b7 33 ee ]
65) 2025 Sep 11 04:14:46.657057 _snoop_handle_istack_packet: 1749 : Dmac = [ff ff ff ff ff ff ];
68) 2025 Sep 11 04:14:46.657050 _snoop_handle_istack_packet: 1737 : Logical interface: Vlan24
72) 2025 Sep 11 04:14:46.657044 _snoop_handle_istack_packet: 1721 : Physical interface: Ethernet1/45
••
86) 2025 Sep 11 04:14:46.657024 _snoop_handle_istack_packet: 1669 : UDP src port 68 UDP dst port 67
88) 2025 Sep 11 04:14:46.657021 _snoop_handle_istack_packet: 1577 : destination ip address 255.255.255.255
89) 2025 Sep 11 04:14:46.657018 _snoop_handle_istack_packet: 1574 : source ip address 0.0.0.0
95) 2025 Sep 11 04:14:46.656991 _snoop_handle_istack_packet: 1533 : Received pkt on Vlan 25  intf Ethernet1/45

Problemas comuns

Problema 1: L3out silent drop

• Problema

Quando uma L3Out usa uma interface vPC para formar uma relação de vizinhança com um roteador adjacente, cada switch envia pacotes usando seu próprio vTEP. Se o peer do vPC receber uma oferta de DHCP com um endereço vTEP que não seja seu, ele encaminhará o pacote através da estrutura, fazendo com que o vTEP do originador o descarte silenciosamente sem registros de falhas.

Para verificar tais quedas, use este comando:

show dhcp internal event-history traces | egrep “(failed|Drop).*packet" | head

Leaf101# show dhcp internal event-history traces | egrep "(failed|Drop).*packet" | head

53) 2025 Sep 10 04:14:26.685020 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
172) 2025 Sep 10 04:14:23.792669 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
239) 2025 Sep 10 04:14:22.516679 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
444) 2025 Sep 10 04:14:17.055216 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
563) 2025 Sep 10 04:14:14.450437 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
736) 2025 Sep 10 04:14:09.056993 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
803) 2025 Sep 10 04:14:07.344467 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
906) 2025 Sep 10 04:14:06.290135 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
1025) 2025 Sep 10 04:14:03.770388 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.
1094) 2025 Sep 10 04:14:03.234017 _snoop_handle_istack_packet: 1881 : Drop DHCP DISCOVER/REQUEST packet because it is for a BD SVI, and recvd from fabric facing intf.

• Solução

Navegue até Locatários > [ nome do locatário ] > Rede > L3outs > [ nome do L3out ] > Perfil de Nó Lógico > [ nome do LNP ] > Perfil de Interface Lógico [ nome do LIP ] > SVI > [ política de SVI]

Quando estiver lá, marque a caixa de seleção create ou open Secondary IP address e enable Enable for DHCP Relay.

Isso forçará o envio de mensagens usando o endereço vTEP do vPC em vez do vTEP local e os pacotes serão encaminhados conforme esperado.

Problema 2: O servidor DHCP não suporta a opção 82

A opção 82 é essencial em ambientes VXLAN como a ACI, criando um circuito entre a folha de origem e o destino com base nos endereços vTEP. Ele inclui:

• ID do circuito: Interface de entrada, VLAN e EPG VNID onde a descoberta DHCP é vista.
• ID remota: Endereço TEP do switch que recebeu a descoberta.

Se a Opção 82 estiver ausente, os pacotes de retransmissão de DHCP serão descartados. Valide a presença da Opção 82 na folha conectada ao servidor DHCP verificando os logs de rastreamento do DHCP quanto a erros que indicam a ausência da Opção 82.

Esse comando valida o switch leaf no qual o servidor DHCP está conectado recebe as ofertas com uma opção de DHCP válida 82

Leaf101# show dhcp internal event-history traces | egrep “(failed|Drop).*packet" | head

67) 2025 Sep 10 05:16:52.336785 _relay_handle_packet: 1478 : dhcp_relay_handle_packet: DHCP UDP failed to relay packet back to client - Unknown error -1
68) 2025 Sep 10 05:16:52.336772 _relayback_response: 929 : dhcp_relayback_response : option 82 not present. Drop the packet
479) 2025 Sep 10 05:11:07.308085 _relay_handle_packet: 1478 : dhcp_relay_handle_packet: DHCP UDP failed to relay packet back to client - Unknown error -1
480) 2025 Sep 10 05:11:07.308073 _relayback_response: 929 : dhcp_relayback_response : option 82 not present. Drop the packet
891) 2025 Sep 10 05:10:22.312386 _relay_handle_packet: 1478 : dhcp_relay_handle_packet: DHCP UDP failed to relay packet back to client - Unknown error -1
892) 2025 Sep 10 05:10:22.312374 _relayback_response: 929 : dhcp_relayback_response : option 82 not present. Drop the packet
1303) 2025 Sep 10 05:09:37.309888 _relay_handle_packet: 1478 : dhcp_relay_handle_packet: DHCP UDP failed to relay packet back to client - Unknown error -1
1304) 2025 Sep 10 05:09:37.309874 _relayback_response: 929 : dhcp_relayback_response : option 82 not present. Drop the packet
1715) 2025 Sep 10 05:08:52.295721 _relay_handle_packet: 1478 : dhcp_relay_handle_packet: DHCP UDP failed to relay packet back to client - Unknown error -1
1716) 2025 Sep 10 05:08:52.295709 _relayback_response: 929 : dhcp_relayback_response : option 82 not present. Drop the packet

Referências

Troubleshooting profundo de Retransmissão DHCP na Estrutura da ACI - TACDCN-2017