Habilitar Opções de Escopo DHCP no Servidor DHCP Usando FTD como um Agente de Retransmissão

Introdução

Este documento descreve como habilitar opções no servidor DHCP usando o FTD gerenciado pelo FMC.

Pré-requisitos

Requisitos

• Conhecimento da tecnologia Firepower
• Conhecimento do Servidor DHCP/ Retransmissão DHCP.

Componentes Utilizados

• As informações neste documento são baseadas no FTD e FMC Virtual Cisco, versão 7.4.0

• O Windows Server 2019 é usado como um servidor DHCP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O dispositivo de defesa contra ameaças pode transmitir informações usando as opções de DHCP especificadas em RFC 2132, RFC 2562 e RFC 5510.

Ele suporta todas as opções de DHCP numeradas de 1 a 255, exceto as opções 1, 12, 50-54, 58-59, 61, 67 e 82.

O RFC 2132 especifica duas opções de DHCP pertinentes a configurações específicas do fornecedor: Opção 60 e Opção 43.

O documento oferece configurações de exemplo e ilustra como a Opção de DHCP 43 (Informações Específicas do Fornecedor) opera no Windows Server 2019, com o FTD funcionando como o Agente de Retransmissão DHCP.

A opção 43 permite que os servidores DHCP transmitam informações específicas do fornecedor aos clientes, facilitando dispositivos como pontos de acesso na localização e conexão aos seus controladores, mesmo quando eles estão em VLANs ou sub-redes diferentes.

Configuração

Diagrama de Rede

Diagrama_Rede

Configurar o relé DHCP

A interface FTD funciona como um agente de Retransmissão DHCP, facilitando a comunicação entre o cliente e um servidor DHCP externo.

Ele ouve as solicitações do cliente e anexa dados de configuração essenciais, como as informações de link do cliente, que o servidor DHCP exige para alocar um endereço ao cliente.

Ao receber uma resposta do servidor DHCP, a interface encaminha o pacote de resposta de volta ao cliente DHCP.

A configuração do DHCP Relay envolve duas etapas principais:
1. Configure o Agente de Retransmissão DHCP.
2. Configure o Servidor DHCP Externo.

Configurar Agente de Retransmissão DHCP

Para configurar o DHCP Relay, verifique as etapas abaixo:

1. Navegue até Devices > Device Management.
2. Clique no botão de edição do dispositivo FTD.
3. Navegue até a opção DHCP > DHCP Relay.
4. Clique em Adicionar.

Interface: Selecione a interface apropriada na lista suspensa. É aqui que a interface ouve solicitações de clientes e os clientes DHCP podem se conectar diretamente a essa interface para solicitações de endereço IP.
Habilitar retransmissão DHCP: Marque esta caixa para ativar o serviço de retransmissão DHCP.
DHCP_Relay_Agent_Config
5.Clique em OK para salvar as definições de configuração do agente de retransmissão DHCP.

Configurar servidor DHCP externo

Para configurar o endereço IP do servidor DHCP externo para o qual as solicitações do cliente são encaminhadas, verifique as etapas abaixo:

Navegue até a seção DHCP Server e clique em Add"
1.No campo Server, insira o endereço IP do servidor DHCP. Você pode escolher um objeto de rede existente no menu suspenso ou criar um novo clicando no ícone de adição (+).
2.No campo Interface, especifique a interface que se conecta ao servidor DHCP.

3. Para salvar a configuração, clique em OK. Em seguida, clique em Salvar para armazenar as configurações da plataforma.

DHCP_Server_Config
4.Em seguida, acesse a opção Deploy, selecione o dispositivo FTD onde deseja aplicar as alterações e clique em Deploy para iniciar a implantação das configurações da plataforma.

Ative a opção 43 no servidor DHCP externo

Por favor, observe: De acordo com o RFC 2132 , o comprimento mínimo para a Opção 43 é 1.

Navegue até as configurações do servidor DHCP, vá para IPv4, selecione Scope e Scope Options >More Actions > Configure Options e habilite a Opção 43

Enable_Option_43_On _External_DHCP_Server

Inicialmente, a configuração padrão deixa o valor vazio, levando o FTD a descartar o pacote e categorizá-lo como malformado.

Default_Config_Of_Option_43

No lado do servidor usando o Wireshark, observamos que no pacote OFFER, o valor está ausente para a opção 43 quando o comprimento é 0.

Non_Working_Server_Side_pcap

Os pacotes estão sendo descartados pelo Cisco Firepower Threat Defense (FTD) porque têm um comprimento de 0 e são considerados malformados, violando o RFC 2132.

firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPD/RA: Binding successfully added to hash table
DHCPRA: relay binding created for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: option 43 is malformed.
DHCPD/RA: Unable to load workspace.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.

Para ajustar o valor binário para ser maior que 0 de acordo com o RFC 2132, clique duas vezes no campo 043 Vendor Specific Info e defina o valor como 00, como ilustrado na imagem.

Essa alteração garante que o endereço IP seja alugado com êxito ao cliente.

Changed_Binary_Value_to_1

Processo DORA do lado do servidor quando o valor é definido como 1 na Opção 43

Server_Side_Working_pcap

O processo DORA do lado do cliente quando o valor é definido como 1 na Opção 43 e podemos ver que o cliente é alugado com um IP.

Client_Side_Working_pcap

firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: Server requested by client 192.168.2.6
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: exchange complete - relay binding deleted for client 0050.56a0.2c59.
DHCPD/RA: Binding successfully deactivated
dhcpd_destroy_binding() removing NP rule for client 192.168.7.2
DHCPD/RA: free ddns info and binding
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0

Verificar

Antes de configurar o servidor ou retransmissão DHCP, verifique se o FTD está registrado no FMC. Além disso, verifique se há conectividade com o servidor DHCP na configuração de Retransmissão DHCP.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# ping 

Para verificar a configuração do Agente de Retransmissão DHCP na CLI do FTD.

firepower# show running-config dhcprelay
dhcprelay server 192.168.2.6 dhcp_server
dhcprelay enable Lan_network
dhcprelay timeout 60
dhcprelay information trust-all

Troubleshooting

Para solucionar o problema, considere estes pontos:
1. Verifique o roteamento entre o FTD e o servidor DHCP para garantir que ele possa ser acessado do servidor DHCP.
2. Certifique-se de que o servidor DHCP tenha uma rota para acessar a interface do agente de retransmissão DHCP.
3. Para solucionar o problema do cliente não receber um endereço IP, você pode executar uma captura de pacote na interface roteada de FTD.

Isso permitirá que você examine o processo DORA do servidor DHCP dentro das capturas de pacotes.

Você pode utilizar as Capturas de defesa contra ameaças do Firepower e o Packet Tracer para conduzir a captura de pacotes com eficiência.

Para interromper e excluir uma sessão de captura de pacotes específica iniciada anteriormente, execute o comando abaixo.
no capture <capture_name>

4. Para revisar o estado e coletar os comandos dhcprelay debug ,execute abaixo

Para fazer isso, faça login no FTD CLI .

system support diagnostic-cli

enable

Pressione ENTER.

show dhcprelay statistic
show dhcprelay state

Para verificar se uma depuração já está habilitada, execute o comando abaixo.

show debug 

To capture debug excute below commands
debug dhcprelay packet
debug dhcprelay event

To disable debug
undebug all

Informações Relacionadas

Configurar o servidor DHCP e retransmitir no FTD com o FMC

DHCP e DDNS

Suporte Técnico e Documentação - Cisco Systems