Presentación del webinar Community Live

Examinando DHCP Snooping en Redes Empresariales

Con la colaboración de Héctor David Hernández y Omar Barrera.

En esta presentación se abordaron las funcionalidades de DHCP Snooping, incluyendo las herramientas relacionadas como Device Tracking (SISF), Dynamic ARP Inspection, entre otros. Asímismo, nuestros expertos abordaron Casos de Estudio que incluyen problemas por pérdida de paquetes, problemas de CPU y explicaron las estrategias que TAC utiliza para resolver dichos casos. Si le interesa aprender más, descargue una copia del Pdf de la presentación.

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

• Examinando DHCP Snooping en Redes Empresariales
• Pregunta: Consulta, ¿todos los puertos de un sw por default están en untrusted? - Saul Alonso N. (min.9)
• Pregunta: ¿Qué aumenta el procesamiento al configurar ARP Inspection? - Byron L. (min.25)
• Pregunta: ¿Las capturas solo funcionan con licencia Advantage? - Francisco R. (min.28)
• Pregunta: Si tengo Essentials ¿solo me serviría el span ? - Francisco R. (min.28)
• Pregunta: Si el DHCP server está fuera del dominio de broadcast, ¿dónde se debe configurar el trust, en todas las interfaces del network path? - Melissa M. (min.39)
• Pregunta: ¿Cómo se checan esos cpu de dhcp que acaba de comentar? - Rodrigo D. (min.52)
• Pregunta: Hola, ¿hay documentación de este caso que podamos acceder? - Antolín R. (min.56)
• Pregunta: Hola, ¿cuál fue el comportamiento, de plano los clientes por inalámbrico no se conectaban o estaban inestables? Gracias - Antolín R. (min.56)
• Pregunta: Sí los drops - Rodrigo D. (min.56)
• Pregunta: ¿Se puede utilizar un mismo servidor DHCP para distintas VRF? - Daniela L. (min.60)
• Pregunta: Tengo como 60 BAD_ADDRESS principalmente en una vlan, en los log veo que asigna la ip a un host y no se la valida por conflicto, le asigna otra ip y vuelve a dar conflicto, ¿cómo puedo resolver esa falla? - Edson (min.64)
• Pregunta: Si tengo "information option allow-untrusted" en el po1 del switch distribution. ¿También lo que tengo que configurar en el puerto Te1/0/3 que va hacia el core? - Ulises A. (min.80)
• Pregunta: Correcto en el log del servidor, busqué información y otra causa que podría ser es una falla de sincronización con el servidor dns. - Edson (min.82)
• Pregunta: ¿Cuál es la tercera opción para solventar ese problema de la option 82? - Andy G. (min.82)
• Pregunta: Los BAD_ADDRESS son todos los días, incluso lo raro es un host que recibió un ip válido luego lo cambio en pocos minutos, el tiempo de vida de los ip son 8 días. - Edson (min.84)
• Pregunta PQ#1: ¿Todos los servidores DHCP soportan la opción 82?
• Pregunta PQ#2: ¿El DHCP snooping también se utiliza para reducir el tráfico de Broadcast en la red?
• Pregunta PQ#3: ¿Puedo personalizar las opciones de DHCP para mi red?

Pregunta: Consulta, ¿todos los puertos de un sw por default están en untrusted? - Saul Alonso N. (min.9)

Respuesta (Joseline Ch.): Hola Saul, cuando habilitas dhcp snooping todos los puertos por default serán untrusted.

Pregunta: ¿Qué aumenta el procesamiento al configurar ARP Inspection? - Byron L. (min.25)

Respuesta (Jonathan R.): Byron, el porcentaje de CPU que utilizará esta feature depende de la cantidad de paquetes de ARP que se analicen.

Pregunta: ¿Las capturas solo funcionan con licencia Advantage? - Francisco R. (min.28)

Respuesta (Jonathan R.): Francisco, puedes capturar con ambas licencias, la diferencia es que con Network Essentials, la forma de visualizar los paquetes no es human readable. Tú en el mismo switch puedes visualizar las capturas una vez finalizadas, con Network Essentials tú veras los paquetes en formato hexadecimal y con network advantage puedes leer los paquetes en forma de texto.

Pregunta: Si tengo Essentials ¿solo me serviría el span ? - Francisco R. (min.28)

Respuesta (Jonathan R.): En ambas licencias puedes capturar con SPAN o EPC.

Pregunta: Si el DHCP server está fuera del dominio de broadcast, ¿dónde se debe configurar el trust, en todas las interfaces del network path? - Melissa M. (min.39)

Respuesta (Joseline Ch.): Hola Melissa, es correcto, se debe configurar como trust solamente las interfaces uplink por la cual se alcanza al DHCP server.

Pregunta: ¿Cómo se checan esos cpu de dhcp que acaba de comentar? - Rodrigo D. (min.52)

Respuesta (Joseline Ch.): Hola Rodrigo, una disculpa, ¿puedes ser más específico? ¿Te refieres como ver los paquetes de CPU en captura? o sobre ¿cómo ver drops por DHCP snooping?

Pregunta: Hola, ¿hay documentación de este caso que podamos acceder? - Antolín R. (min.56)

Respuesta (Jonathan R.): Podemos revisar con Hector al término de la presentación en la sección de Q&A.

Pregunta: Hola, ¿cuál fue el comportamiento, de plano los clientes por inalámbrico no se conectaban o estaban inestables? Gracias - Antolín R. (min.56)

Respuesta (Jonathan R.): Podemos revisar con Hector al término de la presentación en la sección de Q&A.

Pregunta: Sí los drops - Rodrigo D. (min.56)

Respuesta (Joseline Ch.): Rodrigo, puedes ver usando el comando show ip dhcp snooping statistics que te mostrará si tenemos paquetes dropeados. De igual manera, puedes usar los comandos que Hector y Omar mencionaron durante la presentación. "show platform software fed switch active punt cause summary" para ver los paquetes de data plane a Control plane. "show platform software fed switch active inject summary" para ver los paquetes de Control plane a data plane.

Te dejo un link donde puedes ver un poco más: https://www.cisco.com/c/en/us/support/docs/ip/dynamic-host-configuration-protocol-dhcp-dhcpv6/217055-operate-and-troubleshoot-dhcp-snooping.html 

Pregunta: ¿Se puede utilizar un mismo servidor DHCP para distintas VRF? - Daniela L. (min.60)

Respuesta (Jonathan R.): Daniela, es posible, puedes tener un diseño de VRF leaking o utilizar la opción 125 de DHCP.

Pregunta: Tengo como 60 BAD_ADDRESS principalmente en una vlan, en los log veo que asigna la ip a un host y no se la valida por conflicto, le asigna otra ip y vuelve a dar conflicto, ¿cómo puedo resolver esa falla? - Edson (min.64)

Respuesta (Jonathan R.): Edson, ¿esta pregunta está relacionada con logs que observas en tu DHCP server?

Pregunta: Si tengo "information option allow-untrusted" en el po1 del switch distribution. ¿También lo que tengo que configurar en el puerto Te1/0/3 que va hacia el core? - Ulises A. (min.80)

Respuesta (Omar B.): Esta pregunta fue respondida en vivo.

Pregunta: Correcto en el log del servidor, busqué información y otra causa que podría ser es una falla de sincronización con el servidor dns. - Edson (min.82)

Respuesta (Joseline Ch.): Sugerimos abrir un caso con TAC.

Pregunta: ¿Cuál es la tercera opción para solventar ese problema de la option 82? - Andy G. (min.82)

Respuesta (Omar B.): Esta pregunta fue respondida en vivo.

Pregunta: Los BAD_ADDRESS son todos los días, incluso lo raro es un host que recibió un ip válido luego lo cambio en pocos minutos, el tiempo de vida de los ip son 8 días. - Edson (min.84)

Respuesta (Joseline Ch.): Sugerimos abrir un caso con TAC.

Pregunta PQ#1: ¿Todos los servidores DHCP soportan la opción 82?

Opciones de respuesta: a) Sí, todos los servidores DHCP modernos soportan la opción 82. b) No, no todos los servidores DHCP soportan la opción 82. c) Solo algunos servidores DHCP específicos soportan la opción 82. d) Depende del fabricante y de la versión del servidor DHCP. // Respuesta Correcta: b) No, no todos los servidores DHCP soportan la opción 82.

Pregunta PQ#2: ¿El DHCP snooping también se utiliza para reducir el tráfico de Broadcast en la red?

Opciones de respuesta: a) Sí, el DHCP snooping ayuda a reducir el tráfico de Broadcast. b) No, el DHCP snooping no se utiliza para reducir el tráfico de Broadcast. c) El principal propósito del DHCP snooping no es reducir el tráfico de Broadcast, sino mejorar la seguridad. d) Depende de la implementación específica del DHCP snooping. // Respuesta Correcta: d) Depende de la implementación específica del DHCP snooping.

Pregunta PQ#3: ¿Puedo personalizar las opciones de DHCP para mi red?

Opciones de respuesta: a) Sí, es posible personalizar las opciones de DHCP en la mayoría de los servidores. b) No, las opciones de DHCP no son personalizables en todos los servidores. c) Solo se pueden personalizar ciertas opciones de DHCP. d) Depende del servidor DHCP y su configuración. // Respuesta Correcta: a) Sí, es posible personalizar las opciones de DHCP en la mayoría de los servidores.

Nuestros expertos

Omar Barrera es ingeniero de Cisco TAC del equipo de Routing & Switching por los últimos tres años, especializado en la plataforma Cisco Catalyst y en la resolución de problemas de capa 2 en el stack TCP/IP. Omar estudió Ingeniería Telemática en UPIITA – IPN, y actualmente cuenta con las certificaciones CCNA, CCNP ENCOR y DevNet Associate.

Héctor Hernández es ingeniero de TAC en LAN Switching con cuatro años de experiencia, especializado en la plataforma Cisco Catalyst, con un enfoque particular en la serie 9k y los protocolos de capa 2. Realizó sus estudios en el Tecnológico de Monterrey, donde se especializó en los módulos de NetAcad de Cisco. Actualmente, cuenta con las certificaciones CCNA, CCNP-ENCOR, DEVASC, y CMNA de Meraki.