Introdução
Este documento descreve como habilitar opções no servidor DHCP usando o FTD gerenciado pelo FMC.
Pré-requisitos
Requisitos
- Conhecimento da tecnologia Firepower
- Conhecimento do Servidor DHCP/ Retransmissão DHCP.
Componentes Utilizados
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O dispositivo de defesa contra ameaças pode transmitir informações usando as opções de DHCP especificadas em RFC 2132, RFC 2562 e RFC 5510.
Ele suporta todas as opções de DHCP numeradas de 1 a 255, exceto as opções 1, 12, 50-54, 58-59, 61, 67 e 82.
O RFC 2132 especifica duas opções de DHCP pertinentes a configurações específicas do fornecedor: Opção 60 e Opção 43.
O documento oferece configurações de exemplo e ilustra como a Opção de DHCP 43 (Informações Específicas do Fornecedor) opera no Windows Server 2019, com o FTD funcionando como o Agente de Retransmissão DHCP.
A opção 43 permite que os servidores DHCP transmitam informações específicas do fornecedor aos clientes, facilitando dispositivos como pontos de acesso na localização e conexão aos seus controladores, mesmo quando eles estão em VLANs ou sub-redes diferentes.
Configuração
Diagrama de Rede
Diagrama_Rede
Configurar o relé DHCP
A interface FTD funciona como um agente de Retransmissão DHCP, facilitando a comunicação entre o cliente e um servidor DHCP externo.
Ele ouve as solicitações do cliente e anexa dados de configuração essenciais, como as informações de link do cliente, que o servidor DHCP exige para alocar um endereço ao cliente.
Ao receber uma resposta do servidor DHCP, a interface encaminha o pacote de resposta de volta ao cliente DHCP.
A configuração do DHCP Relay envolve duas etapas principais:
1. Configure o Agente de Retransmissão DHCP.
2. Configure o Servidor DHCP Externo.
Configurar Agente de Retransmissão DHCP
Para configurar o DHCP Relay, verifique as etapas abaixo:
1. Navegue até Devices > Device Management.
2. Clique no botão de edição do dispositivo FTD.
3. Navegue até a opção DHCP > DHCP Relay.
4. Clique em Adicionar.
Interface: Selecione a interface apropriada na lista suspensa. É aqui que a interface ouve solicitações de clientes e os clientes DHCP podem se conectar diretamente a essa interface para solicitações de endereço IP.
Habilitar retransmissão DHCP: Marque esta caixa para ativar o serviço de retransmissão DHCP.
DHCP_Relay_Agent_Config
5.Clique em OK para salvar as definições de configuração do agente de retransmissão DHCP.
Configurar servidor DHCP externo
Para configurar o endereço IP do servidor DHCP externo para o qual as solicitações do cliente são encaminhadas, verifique as etapas abaixo:
Navegue até a seção DHCP Server e clique em Add"
1.No campo Server, insira o endereço IP do servidor DHCP. Você pode escolher um objeto de rede existente no menu suspenso ou criar um novo clicando no ícone de adição (+).
2.No campo Interface, especifique a interface que se conecta ao servidor DHCP.
3. Para salvar a configuração, clique em OK. Em seguida, clique em Salvar para armazenar as configurações da plataforma.
DHCP_Server_Config
4.Em seguida, acesse a opção Deploy, selecione o dispositivo FTD onde deseja aplicar as alterações e clique em Deploy para iniciar a implantação das configurações da plataforma.
Ative a opção 43 no servidor DHCP externo
Por favor, observe: De acordo com o RFC 2132 , o comprimento mínimo para a Opção 43 é 1.
Navegue até as configurações do servidor DHCP, vá para IPv4, selecione Scope e Scope Options >More Actions > Configure Options e habilite a Opção 43
Enable_Option_43_On _External_DHCP_Server
Inicialmente, a configuração padrão deixa o valor vazio, levando o FTD a descartar o pacote e categorizá-lo como malformado.
Default_Config_Of_Option_43
No lado do servidor usando o Wireshark, observamos que no pacote OFFER, o valor está ausente para a opção 43 quando o comprimento é 0.
Non_Working_Server_Side_pcap
Os pacotes estão sendo descartados pelo Cisco Firepower Threat Defense (FTD) porque têm um comprimento de 0 e são considerados malformados, violando o RFC 2132.
firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPD/RA: Binding successfully added to hash table
DHCPRA: relay binding created for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: option 43 is malformed.
DHCPD/RA: Unable to load workspace.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
Para ajustar o valor binário para ser maior que 0 de acordo com o RFC 2132, clique duas vezes no campo 043 Vendor Specific Info e defina o valor como 00, como ilustrado na imagem.
Essa alteração garante que o endereço IP seja alugado com êxito ao cliente.
Changed_Binary_Value_to_1
Processo DORA do lado do servidor quando o valor é definido como 1 na Opção 43
Server_Side_Working_pcap
O processo DORA do lado do cliente quando o valor é definido como 1 na Opção 43 e podemos ver que o cliente é alugado com um IP.
Client_Side_Working_pcap
firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: Server requested by client 192.168.2.6
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: exchange complete - relay binding deleted for client 0050.56a0.2c59.
DHCPD/RA: Binding successfully deactivated
dhcpd_destroy_binding() removing NP rule for client 192.168.7.2
DHCPD/RA: free ddns info and binding
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0
Verificar
Antes de configurar o servidor ou retransmissão DHCP, verifique se o FTD está registrado no FMC. Além disso, verifique se há conectividade com o servidor DHCP na configuração de Retransmissão DHCP.
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
><Press Enter>
firepower# ping
Para verificar a configuração do Agente de Retransmissão DHCP na CLI do FTD.
firepower# show running-config dhcprelay
dhcprelay server 192.168.2.6 dhcp_server
dhcprelay enable Lan_network
dhcprelay timeout 60
dhcprelay information trust-all
Troubleshooting
Para solucionar o problema, considere estes pontos:
1. Verifique o roteamento entre o FTD e o servidor DHCP para garantir que ele possa ser acessado do servidor DHCP.
2. Certifique-se de que o servidor DHCP tenha uma rota para acessar a interface do agente de retransmissão DHCP.
3. Para solucionar o problema do cliente não receber um endereço IP, você pode executar uma captura de pacote na interface roteada de FTD.
Isso permitirá que você examine o processo DORA do servidor DHCP dentro das capturas de pacotes.
Você pode utilizar as Capturas de defesa contra ameaças do Firepower e o Packet Tracer para conduzir a captura de pacotes com eficiência.
Para interromper e excluir uma sessão de captura de pacotes específica iniciada anteriormente, execute o comando abaixo.
no capture <capture_name>
4. Para revisar o estado e coletar os comandos dhcprelay debug ,execute abaixo
Para fazer isso, faça login no FTD CLI .
system support diagnostic-cli
enable
Pressione ENTER.
show dhcprelay statistic
show dhcprelay state
Para verificar se uma depuração já está habilitada, execute o comando abaixo.
show debug
To capture debug excute below commands
debug dhcprelay packet
debug dhcprelay event
To disable debug
undebug all
Informações Relacionadas
Configurar o servidor DHCP e retransmitir no FTD com o FMC
DHCP e DDNS
Suporte Técnico e Documentação - Cisco Systems