Interações de rastreamento de DHCP com GIADDR e Opção 82 no CAT9000
Contents
Introdução
Este documento descreve as interações de rastreamento de DHCP com GIADDR e a opção 82 no CAT9000.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Proficiência do Cisco IOS® XE em comandos operacionais e de configuração.
- Familiaridade com o hardware e a arquitetura do switch Cisco Catalyst série 9000.
- Uma sólida compreensão das operações do protocolo DHCP e dos mecanismos de rastreamento de DHCP.
- Compreensão conceitual da opção 82 do DHCP e da função do agente de retransmissão.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Switch central/de distribuição:Cisco Catalyst 9600X Series
- Switch de acesso:Cisco Catalyst 9300 Series
- cliente DHCP:dispositivo de host final
- servidor DHCP:provedor de serviços de rede centralizado
Informações de Apoio
Este documento explora várias configurações de rastreamento de DHCP em switches Core/Distribution, integrados com implementações da opção 82 de DHCP em switches de acesso. Através de exemplos práticos de configuração e análise de capturas de pacotes correspondentes, este guia ilustra a interação entre esses recursos dentro de um ambiente Cisco Catalyst série 9000.
Diagrama de Rede
Casos de teste
Rastreamento de DHCP do switch principal habilitado
Opção de switch de acesso 82 desativada
Switch central:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Switch de acesso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
Resultado:
Êxito.
O dispositivo final obtém o endereço IP sem problemas.
Explicação:
A opção de switch de acesso 82 está desabilitada e envia o pacote ao núcleo sem a opção 82. A opção de switch central 82 está habilitada por padrão e adiciona a opção 82 com o endereço IP do agente de retransmissão no pacote e a envia ao servidor DHCP.
Pacote no link entre o cliente e o switch de acesso:
Note: As capturas de pacotes são realizadas várias vezes e em vários pontos de captura para o mesmo cliente; portanto, ignore o id da transação.
Pacote no link entre o switch de acesso e o switch de distribuição/núcleo:
O switch de acesso não tem inserção de opção de informações de rastreamento, portanto o mesmo pacote vindo do cliente está sendo encaminhado para o switch de distribuição.
Pacote entre o switch CORE e o servidor DHCP:
Como o rastreamento de DHCP está habilitado e a retransmissão configurada, o switch CORE que unicast o pacote ao servidor DHCP 10.88.2.63 com IP de agente de retransmissão é inserido como seu próprio IP.
Opção de switch de acesso 82 ativada
Switch central:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
Switch de acesso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Êxito.
O dispositivo final obtém o endereço IP sem problemas.
Explicação:
A opção de switch de acesso 82 está habilitada, mas esse switch não tem o SVI criado e envia o pacote para o núcleo sem a opção 82. A opção de switch do núcleo 82 está habilitada por padrão e adiciona a opção 82 com o endereço IP do agente de retransmissão no pacote e o envia para o servidor DHCP.
Pacote do cliente para o switch de acesso:
O pacote do switch de acesso para o switch CORE/Distribution:
Como 'ip dhcp snooping information option' está habilitada por padrão no switch de acesso, o switch de acesso insere a opção 82 com o IP de retransmissão como 0.0.0.0.
De acordo com o mundo de rastreamento de DHCP, este é um pacote invasor e deve ser descartado pelo switch CORE. Mas como o switch CORE tem a interface confiável, o pacote será processado para retransmitir para o servidor DHCP.
Pacote entre o switch CORE e o servidor DHCP:
Como a interface de downlink é confiável, o switch CORE substitui o agente de retransmissão de 0.0.0.0 a 10.88.39.254 e o envia para o uplink.
Além disso, o processo DORA é concluído de forma legítima e o cliente obtém o endereço IP.
Rastreamento de DHCP do switch principal desativado
Opção de switch de acesso 82 ativada
Switch central:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Switch de acesso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Falha.
O dispositivo final não obtém o endereço IP.
Explicação:
A opção de switch de acesso 82 está habilitada, mas esse switch não tem agente SVI ou Relay. Assim, ele envia o pacote para o CORE com a opção 82 e o Relay IP como 0.0.0.0. Como o rastreamento de DHCP está desabilitado no switch CORE; a verificação, edição e inserção da opção 82 é desativada lá. Assim, o switch CORE falha ao adicionar o relay e descarta o pacote.
O cliente DHCP descobre o pacote que vem do cliente e vai para o switch de acesso:
Fluxo de pacotes do switch de acesso para o switch CORE/de distribuição:
· O switch de acesso tem o comando ip dhcp snooping information option habilitado, o que faz com que ele insira a opção 82 nos pacotes DHCP. Nesse caso, o endereço IP do agente de retransmissão na opção 82 é definido como 0.0.0.0.
· O switch de acesso opera puramente na Camada 2 para vLAN 287.
· Da perspectiva do switch CORE, o pacote com a opção 82 inserido pelo switch de acesso é considerado ilegítimo. No entanto, como a interface de downlink no switch CORE está configurada como confiável, o switch CORE processa o pacote em vez de descartá-lo no nível da interface.
· O switch CORE tem o rastreamento de DHCP desabilitado, portanto ele não encaminha pacotes que contenham a opção 82.
Comportamento do switch CORE com pacotes de descoberta DHCP:
- O switch CORE tenta transmitir por unicast o pacote de descoberta DHCP para o endereço auxiliar configurado 10.88.2.63.
- Para fazer isso, o switch CORE deve definir o endereço IP de relé (GIADDR) no pacote DHCP.
- Como a opção 82 já está presente com os dados inseridos pelo switch de acesso, o switch CORE deve verificar a opção 82 antes de definir o IP de retransmissão.
- Como o rastreamento de DHCP está desabilitado no switch CORE, ele não pode verificar a opção 82.
- Devido a esta incapacidade de verificar e modificar a opção 82, o switch CORE não tem escolha a não ser descartar o pacote de descoberta DHCP.
O pacote de descoberta não será retransmitido do switch CORE para o servidor DHCP.
Depurações no switch CORE para cenário de não funcionamento:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
Opção de switch de acesso 82 desativada
Switch central:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
Switch de acesso:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Resultado:
Êxito.
O dispositivo final obtém o endereço IP.
Observação:
A opção de switch de acesso 82 está desativada e envia o pacote para o núcleo sem a opção 82 e o switch CORE tem o SVI presente com Relay configurado. O switch CORE adiciona o endereço IP dos agentes de retransmissão ao pacote e o envia ao servidor DHCP.
O cliente DHCP descobre que o pacote está atingindo o switch de acesso:
Pacote para switch CORE do switch de acesso:
Como a inserção da opção 82 está desabilitada no switch de acesso, o switch de acesso encaminhará o pacote de broadcast como está no tronco de uplink.
Pacote retransmitido pelo switch CORE em direção ao servidor DHCP:
Depurações no switch CORE:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
Nesse caso, o cliente recebe o endereço IP.
Summary
- O rastreamento de DHCP deve ser ativado para que o switch insira, remova ou valide as informações da opção 82 de DHCP.
- Quando o rastreamento de DHCP está desativado, o switch não executa as funções de inserção ou remoção da opção 82.
- O processamento da opção 82, incluindo descarte ou permissão de pacotes com a opção 82, depende da ativação e configuração do rastreamento de DHCP.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
18-May-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)