购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
597
查看次数
0
有帮助
7
回复

DHCP SNOOPING 不生效,如何排查?

weihunter
Spotlight
Spotlight

发布时间 ‎10-06-2025 09:24 PM

关于dhcp snooping配置的异常情况,目前开启了dhcp snooping的交换机下客户端无法获取ip。

设备信息:9200系列、2960系列
配置信息:
核心交换机开启了:ip dhcp relay information trust-all

接入交换机配置如下:
1、所有上联接口配置 ip dhcp snooping trust
2、其他配置

ip dhcp snooping
ip dhcp snooping vlan 19 (交换机涉及的vlan)

抓包日志:
Oct 7 04:00:32.101: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Gi1/0/6, MAC da: ffff.ffff.ffff, MAC sa: 00d8.61f6.9049, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00d8.61f6.9049, efp_id: -1980663396, vlan_id: 19, bootpflag:0x32768(Broadcast)
Oct 7 04:00:32.102: DHCP_SNOOPING: add relay information option.
Oct 7 04:00:32.102: DHCP_SNOOPING: Encoding opt82 CID in vlan-mod-port format
Oct 7 04:00:32.102: :VLAN case : VLAN ID 19
Oct 7 04:00:32.102: DHCP_SNOOPING: Encoding opt82 RID in MAC address format
Oct 7 04:00:32.102: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x13 0x1 0x6 0x2 0x8 0x0 0x6 0xA4 0xA5 0x84 0xB0 0x48 0x80
Oct 7 04:00:32.102: DHCPS BRIDGE PAK: vlan=19 platform_flags=1
Oct 7 04:00:32.102: DHCP_SNOOPING: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (19)

问题:
1、核心交换机需要针对DHCP服务的链接端口配置ip dhcp snooping trust吗?
2、接入交换机如果是多层级联的情况下,最上层的ip dhcp snooping vlan是否需要包含下层的vlan?

标签:
0 有帮助
7 条回复7

ilay
VIP
VIP

发布时间 ‎10-08-2025 08:06 PM

1.如果核心设备启用了dhcp snooping功能,那么需要在所有交换机的互联接口、接dhcp server的接口都启用 snooping trust,否则报文可能会有异常。如果核心设备不接入终端设备,只连接网络设备,那么我认为核心设备不启用dhcp snooping也可以,这样麻烦会少一些

2.如果多层配置snooping,最上层需要包含下游交换机启用snooping的所有vlan

0 有帮助

weihunter
Spotlight
Spotlight
回复 ilay

发布时间 ‎10-08-2025 08:12 PM

感谢答复:

我目前已经搜索过相关资料,做过如下尝试

1、所有接入交换机设置no ip dhcp snooping information option,问题依旧

2、如果我核心交换机不开启dhcp snooping功能,那么我连接dhcp服务器的接口还需要配置dhcp snooping功能 trust吗?

0 有帮助

ilay
VIP
VIP
回复 weihunter

‎10-08-2025 09:38 PM - 编辑日期 ‎10-08-2025 09:40 PM

如果配置dhcp snooping的话,ip dhcp snooping information option这个命令需要启用,

如果核心不开启dhcp snooping,那接dhcp server的接口不需要配置trust,当做一台普通交换机处理就可以了,任何dhcp snooping的设置都不需要,只需要将relay的 ip设置正确即可。

我用packet tracer测试了一下,应该没那么麻烦啊,除了连接客户端的接口外都设置为trust,或者干脆不配置,就可以了

你show ip dhcp snooping看看啥状态,在结合log查查

--

附件是使用packet tracer 8.2.2版本搞的一个测试,如果你有pt的话可以下载下来玩玩

dhcp-snooping.zip
0 有帮助

weihunter
Spotlight
Spotlight

发布时间 ‎10-08-2025 08:08 PM

补充信息:

1、DHCP服务器是一台windows server,部署于虚拟化里面,通过网口连接在核心交换机上

0 有帮助

Rockyw
Spotlight
Spotlight

发布时间 ‎10-12-2025 06:39 AM

根据您提供的配置和日志信息,以下是针对问题的分析及解决方案:
​​1.核心交换机端口信任配置问题​​:
·必须要在核心交换机连接DHCP服务器的端口上配置ip dhcp snooping trust。
·当前核心交换机仅配置了ip dhcp relay information trust-all,该命令仅用于中继场景(信任Option 82字段),但DHCP Snooping还需要单独配置端口信任。
·​​解决方案​​:在核心交换机连接DHCP服务器的接口上添加:

interface Gi1/0/X 
 ip dhcp snooping trust

2.多层级联交换机的VLAN配置问题​​:
·所有层级的接入交换机(包括中间层级)都需要在ip dhcp snooping vlan中包含客户端所属VLAN(VLAN 19)。
·如果中间层交换机未启用对应VLAN的Snooping,会导致DHCP报文被丢弃。
​​·解决方案​​:检查所有层级交换机的配置,确保每台交换机都有:

ip dhcp snooping vlan 19

3.其他可能的问题点​​:
·从日志可见DHCP DISCOVER报文被泛洪(packet is flooded to ingress VLAN),说明交换机未正确处理报文。
·检查是否所有上联端口(包括级联端口)都正确配置了ip dhcp snooping trust。
·确认VLAN 19的SVI接口或中继配置正常(日志中giaddr: 0.0.0.0可能暗示中继问题)。
​​建议的完整排查步骤​​:
1.在核心交换机DHCP服务器端口添加信任配置。
2.逐级检查所有接入交换机的ip dhcp snooping vlan 19配置。
3.使用show ip dhcp snooping验证各交换机信任端口和VLAN状态。
4.在客户端侧抓包确认DHCP Offer是否被阻塞(检查是否收到来自服务器的响应)。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !
0 有帮助

weihunter
Spotlight
Spotlight
回复 Rockyw

发布时间 ‎10-14-2025 02:44 AM

感谢答复:

1、连接DHCP服务器的端口我已经配置ip dhcp snooping trust,想问核心交换机仅仅需要配置该命令,而不用全局启动 ip dhcp snooping对吗?

2、当前Vlan的中继配置信息如下

interface Vlan19
ip address 192.168.19.254 255.255.255.0
ip helper-address 192.168.1.184

3、接入交换机上联接口配置ip dhcp snooping trust即可?还是说核心交换机对应接口也需要配置ip dhcp snooping trust?

0 有帮助

Rockyw
Spotlight
Spotlight
回复 weihunter

发布时间 ‎10-18-2025 06:20 AM

1. 核心交换机是否需要全局启动 ip dhcp snooping?
不需要。DHCP Snooping功能通常部署在网络边缘的接入层交换机上,用于过滤非信任端口的DHCP响应。核心交换机作为DHCP中继(通过ip helper-address指向服务器),一般无需启用DHCP Snooping。您只需在连接DHCP服务器的端口配置ip dhcp snooping trust即可,无需全局启用。

2. 当前VLAN中继配置分析
您的VLAN 19接口配置了ip helper-address 192.168.1.184,这表示核心交换机正确充当了DHCP中继角色,将VLAN 19的DHCP请求转发至服务器192.168.1.184。此配置无需调整。

3. 接入交换机与核心交换机的信任接口配置
·接入交换机:必须在全局启用DHCP Snooping(ip dhcp snooping),并在上联端口(连接核心交换机的接口)配置ip dhcp snooping trust,以确保来自合法服务器的DHCP响应能被正常转发。
·核心交换机:仅需在连接DHCP服务器的端口配置ip dhcp snooping trust。核心交换机与接入交换机之间的互联端口无需配置为信任接口,因为核心交换机本身是中继点,而非Snooping过滤点。

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频
Customers Also Viewed These Support Documents