CAT9000上與GIADDR和選項82的DHCP監聽互動
簡介
本檔案介紹CAT9000上與GIADDR和選項82的DHCP監聽互動。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco IOS® XE在配置和操作命令方面的熟練程度。
- 熟悉Cisco Catalyst 9000系列交換機硬體和架構。
- 深入瞭解DHCP協定操作和DHCP監聽機制。
- 對DHCP選項82和中繼代理角色的概念性理解。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 核心/分佈交換機:Cisco Catalyst 9600X系列
- 接入交換機:Cisco Catalyst 9300系列
- DHCP客戶端:終端主機裝置
- DHCP伺服器:集中式網路服務提供商
背景資訊
本文探討在核心/分佈交換機上與DHCP選項82整合的DHCP監聽的各種配置。本指南通過實際配置示例和對相應資料包捕獲的分析,說明了Cisco Catalyst 9000系列環境中這些功能之間的互動。
網路圖表
測試案例
已啟用核心交換機DHCP監聽
已禁用接入交換機選項82
核心交換機:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
接入交換機:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3 —---> End device connected port
switchport mode access
switchport access vlan 287
!
Result:
成功。
終端裝置獲取該IP地址而沒有出現問題。
說明:
禁用接入交換機選項82,它將資料包傳送到核心層,而不使用選項82。核心層交換機選項82預設啟用,它在資料包中新增帶有中繼代理IP地址的選項82,並將其傳送到DHCP伺服器。
客戶端與接入交換機之間的鏈路上的資料包:
附註:對同一客戶端在多個捕獲點進行多次資料包捕獲;因此忽略事務id。
接入交換機與分佈/核心交換機之間的鏈路上的資料包:
接入交換機沒有插入監聽資訊選項,因此來自客戶端的同一資料包將轉發到分佈交換機。
CORE交換機和DHCP伺服器之間的資料包:
當啟用DHCP監聽並配置中繼時,CORE交換機將資料包單播到具有中繼代理IP的DHCP伺服器10.88.2.63時會插入其自己的IP。
已啟用接入交換機選項82
核心交換機:
!
int fif2/1/0/4 ——> Downlink to Access Switch
ip dhcp snooping trust
!
ip dhcp snooping vlan 1-2048
ip dhcp snooping
!
接入交換機:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Result:
成功。
終端裝置獲取該IP地址而沒有出現問題。
說明:
已啟用接入交換機選項82,但此交換機未建立SVI,它會將資料包傳送到核心層,而不使用選項82。核心層交換機選項82預設處於啟用狀態,它將在資料包中新增帶有中繼代理的IP地址的選項82,並將其傳送到DHCP伺服器。
從使用者端傳到存取交換器的封包:
從接入交換機到CORE/Distribution交換機的資料包:
由於接入交換機上預設啟用「ip dhcp snooping information option」,因此接入交換機插入帶有中繼IP為0.0.0.0的選項82。
根據DHCP偵聽世界,這是一個欺詐資料包,必須被CORE交換機丟棄。但是,由於CORE交換機具有可信介面,因此資料包將被處理並中繼到DHCP伺服器。
CORE交換機和DHCP伺服器之間的資料包:
由於下行鏈路介面受信任,CORE交換機將中繼代理從0.0.0.0替換為10.88.39.254,並將其傳送到上行鏈路。
此外,DORA進程完成合法操作,客戶端獲得IP地址。
已禁用核心交換機DHCP監聽
已啟用接入交換機選項82
核心交換機:
!
Int fif2/1/0/4 ——> Downlink to Access Switch
no Ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
接入交換機:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Result:
失敗。
終端裝置未獲取IP地址。
說明:
已啟用接入交換機選項82,但此交換機沒有SVI或中繼代理。因此它會使用選項82將資料包傳送到CORE,並將Relay IP作為0.0.0.0。由於CORE交換機上禁用了DHCP監聽;在該處禁用選項82的驗證、編輯和插入。因此CORE交換機無法新增中繼並丟棄資料包。
客戶端DHCP發現來自客戶端並進入接入交換機的資料包:
從接入交換機到CORE/分佈交換機的資料包流:
·存取交換器啟用命令ip dhcp snooping information option,這會導致將選項82插入DHCP封包。在這種情況下,選項82中的中繼代理IP地址設定為0.0.0.0。
· vLAN 287的接入交換機僅在第2層運行。
·從核心交換機的角度來看,具有接入交換機插入的選項82的資料包被視為非法。但是,由於CORE交換機上的下行鏈路介面配置為trusted,因此CORE交換機處理該資料包,而不是將其丟棄在介面級別。
· 核心交換機已禁用DHCP監聽,因此它不會轉發包含選項82的資料包。
使用DHCP發現資料包的核心交換機行為:
- 核心交換機嘗試將DHCP發現資料包單播到已配置的幫助地址10.88.2.63。
- 為此,CORE交換機必須在DHCP資料包中設定中繼IP地址(GIADDR)。
- 由於選項82已經存在接入交換機插入的資料,因此核心層交換機必須在設定中繼IP之前驗證選項82。
- 由於核心交換機上禁用了DHCP監聽,因此無法驗證選項82。
- 由於無法驗證和修改選項82,核心層交換機別無選擇,只能丟棄DHCP發現資料包。
發現資料包不會從CORE交換機中繼到DHCP伺服器。
CORE交換機上的非工作場景調試:
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: Option 124: Vendor Class Information
DHCPD: Enterprise ID: 9
DHCPD: Vendor-class-data-len: 13
DHCPD: Data: 43~~~~~58
DHCPD: inconsistent relay information.
DHCPD: relay information option exists, but giaddr is zero.
已禁用接入交換機選項82
核心交換機:
!
int fif2/1/0/4 ——> Downlink to Access Switch
no ip dhcp snooping trust
!
no ip dhcp snooping vlan 1-2048
no ip dhcp snooping
!
接入交換機:
!
int gig1/0/1 —> uplink to Core
ip dhcp snooping trust
switchport mode trunk
!
ip dhcp snooping vlan 1-1400
no ip dhcp snooping information option
ip dhcp snooping
!
int gig1/0/3
switchport mode access
switchport access vlan 287
!
Result:
成功。
終端裝置獲取IP地址。
觀察:
禁用了接入交換機選項82,它會將資料包傳送到核心層,而不使用選項82,並且CORE交換機具有配置了中繼的SVI。CORE交換機將中繼代理IP地址新增到資料包並將其傳送到DHCP伺服器。
客戶端DHCP發現資料包到達接入交換機:
從接入交換機到核心交換機的資料包:
由於接入交換機上禁用了選項82插入,因此接入交換機將轉發上行鏈路中繼上的廣播資料包。
CORE交換機向DHCP伺服器中繼的資料包:
CORE交換機上的調試:
Option 82 not present
DHCPD: Reload workspace interface Vlan287 tableid 0.
DHCPD: tableid for 10.88.39.254 on Vlan287 is 0
DHCPD: client's VPN is .
DHCPD: No option 125
DHCPD: No option 124
DHCPD: FSM state change INVALID
DHCPD: Workspace state changed from INIT to INVALID
DHCPD: Finding a relay for client ~~~~ on interface Vlan287.
DHCPD : Locating relay for Subnet 10.88.39.254
DHCPD: there is no pool for 10.88.39.254.
DHCPD: Looking up binding using address 10.88.39.254
DHCPD: setting giaddr to 10.88.39.254
在這種情況下,使用者端會收到IP位址。
摘要
- 必須啟用DHCP監聽,交換機才能插入、刪除或驗證DHCP選項82資訊。
- 禁用DHCP監聽時,交換機不執行選項82的插入或移除功能。
- 選項82的處理,包括丟棄或允許帶有選項82的資料包,取決於啟用和配置的DHCP監聽。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
18-May-2026
|
初始版本 |
意見