Faire fonctionner et dépanner la surveillance DHCP sur les commutateurs de la gamme Catalyst 9000

Introduction

Ce document décrit comment faire fonctionner et dépanner la surveillance DHCP sur les commutateurs de la gamme Catalyst 9000.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Architecture de commutation Catalyst, série 9000
• Architecture logicielle Cisco IOS® XE

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• C9200
• C9300
• C9400
• C9500
• C9600

Cisco IOS® XE 16.12.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Remarque : Consultez le guide de configuration approprié pour connaître les commandes utilisées pour activer ces fonctions sur d'autres plates-formes Cisco.

Informations générales

Surveillance DHCP

La surveillance du protocole DHCP (Dynamic Host Configuration Protocol) est une fonctionnalité de sécurité utilisée pour vérifier le trafic DHCP afin de bloquer tout paquet DHCP malveillant. Cette fonctionnalité agit comme un pare-feu entre les ports utilisateur non fiables et les ports du serveur DHCP sur le réseau pour empêcher les serveurs DHCP malveillants de se connecter au réseau, car cela pourrait entraîner un déni de service. 

Opération de surveillance DHCP

La surveillance DHCP fonctionne avec le concept d’interfaces fiables et non fiables. Sur le chemin du trafic DHCP, le commutateur vérifie les paquets DHCP reçus sur les interfaces et garde une trace des paquets attendus du serveur DHCP (OFFER et ACK) sur les interfaces de confiance. Autrement dit, les interfaces non fiables bloquent les paquets du serveur DHCP. 

Les paquets DHCP sont bloqués sur les interfaces non fiables. 

• Un paquet provenant d’un serveur DHCP, comme un paquet DHCPOFFER, DHCPACK, DHCPNAK ou DHCPLEASEQUERY, provient de l’extérieur du réseau ou du pare-feu. Cela empêche un serveur DHCP non autorisé d’une attaque contre les ports non fiables du réseau.
• Un paquet est reçu sur une interface non sécurisée, et l’adresse MAC source ainsi que l’adresse matérielle du client DHCP ne correspondent pas. Cela empêche l’usurpation de paquets DHCP de la part d’un client non autorisé qui pourrait créer une attaque par déni de service sur un serveur DHCP.
• Un message de diffusion DHCPRELEASE ou DHCPDECLINE a été reçu. Il comprenait une adresse MAC dans la base de données de liaison de l’espionnage DHCP, mais les renseignements de l’interface dans la base de données de liaison ne correspondent pas à l’interface sur laquelle le message a été reçu. Cela empêche les attaques par déni de service sur les clients.
• Un paquet DHCP est transféré par un agent de relais DHCP qui comprend une adresse IP d’agent de relais différente de 0.0.0.0, ou l’agent de relais transfère un paquet qui comprend des renseignements sur l’option 82 vers un port non fiable. Cela empêche l’usurpation d’information sur les agents de relais sur le réseau.

Le commutateur sur lequel vous configurez la surveillance DHCP crée un tableau de surveillance DHCP ou une base de données de liaison DHCP. Ce tableau sert à faire le suivi des adresses IP attribuées à partir d’un serveur DHCP légitime.   La base de données de liaison est également utilisée par d’autres fonctionnalités de sécurité d’IOS, telles que l’inspection dynamique ARP et la protection source IP.

Remarque : Pour permettre à la surveillance DHCP de fonctionner correctement, assurez-vous d'attribuer un état de confiance à tous les ports de liaison ascendante visant à atteindre le serveur DHCP et à faire en sorte qu'un état de confiance ne soit pas attribué aux ports de l'utilisateur final.

Topologie

Configurer

Configuration globale

1. Enable DHCP snooping globally on the switch
    switch(config)#ip dhcp snooping

2. Designate ports that forward traffic toward the DHCP server as trusted
    switch(config-if)#ip dhcp snooping trust
    
  (Additional verification)
    - List uplink ports according to the topology, ensure all the uplink ports toward the DHCP server are trusted
    - List the port where the Legitimate DHCP Server is connected (include any Secondary DHCP Server)
    - Ensure that no other port is configured as trusted 

3. Configure DHCP rate limiting on each untrusted port (Optional)
    switch(config-if)#ip dhcp snooping limit rate 10 << ----- 10 packets per second (pps)

4. Enable DHCP snooping in specific VLAN  
    switch(config)#ip dhcp snooping vlan 10  << ----- Allow the switch to snoop the traffic for that specific VLAN 

5. Enable the insertion and removal of option-82 information DHCP packets
    switch(config)#ip dhcp snooping information option        <-- Enable insertion of option 82
    switch(config)#no ip dhcp snooping information option     <-- Disable insertion of option 82


### Example ###
Legitimate DHCP Server Interface and Secondary DHCP Server, if available

Server Interface 
interface FortyGigabitEthernet1/0/5
switchport mode access 
switchport mode access vlan 11
ip dhcp snooping trust
end

Uplink interface
interface FortyGigabitEthernet1/0/10
switchport mode trunk
ip dhcp snooping trust
end

User Interface                    << ----- All interfaces are UNTRUSTED by default
interface FortyGigabitEthernet1/0/2
 switchport access vlan 10
 switchport mode access
 ip dhcp snooping limit rate 10   << ----- Optional
end

Remarque :Pouravoir accès aux paquets avec l’option-82, vous devez activer l’option au moyen de la commande suivante : ip dhcp snooping information allow-untrusted.

Vérifier

Vérifiez si la surveillance DHCP est activée sur le VLAN souhaité et assurez-vous que les interfaces considérées comme fiables et non fiables sont correctement répertoriées. Si un débit a été configuré, vérifiez qu’il figure également dans la liste. 

switch#show ip dhcp snooping 
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
10-11
DHCP snooping is operational on following VLANs:  <<---- Configured and operational on Vlan 10 & 11 
10-11
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is disabled                <<---- Option 82 can not be added to DHCP packet 
   circuit-id default format: vlan-mod-port
   remote-id: 00a3.d144.1a80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                      Trusted     Allow option    Rate limit (pps)
-----------------------        -------     ------------    ---------------- 
FortyGigabitEthernet1/0/2            no          no              10           <<--- Trust is NOT set on this interface
Custom circuit-ids:
FortyGigabitEthernet1/0/10           yes         yes             unlimited   <<--- Trust is set on this interface 
Custom circuit-ids:

Une fois que les utilisateurs reçoivent une adresse IP par DHCP, ils sont répertoriés dans ce résultat.

• La surveillance DHCP supprime l’entrée de la base de données à l’expiration du bail de l’adresse IP ou lorsque le commutateur reçoit un message DHCPRELEASE de l’hôte.
• Assurez-vous que les renseignements répertoriés pour l’adresse MAC de l’utilisateur final sont corrects. 

c9500#show ip dhcp snooping binding 
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:A3:D1:44:20:46  10.0.0.3        85556      dhcp-snooping 10   FortyGigabitEthernet1/0/2 
Total number of bindings: 1

Ce tableau répertorie les différentes commandes qui peuvent être utilisées pour surveiller les informations de surveillance DHCP.

Commande	Objectif
show ip dhcp snooping binding show ip dhcp snooping binding [IP-address] [MAC-address] [interface ethernet slot/port] [vlan-id]	Affiche uniquement les liaisons configurées dynamiquement dans la base de données des liaisons de surveillance du DHCP, également appelée tableau de liaison. – Adresse IP d’entrée de liaison – Adresse MAC d’entrée de liaison – Interface d’entrée de liaison – VLAN d’entrée de liaison
show ip dhcp snooping database	Affiche l’état et les statistiques de la base de données de liaison de surveillance DHCP.
show ip dhcp snooping statistics	Affiche les statistiques de surveillance DHCP sous forme sommaire ou détaillée.
show ip source binding	Affiche les liaisons configurées de manière dynamique et statique.
show interface vlan xyz show buffer input-interface Vlan xyz dump	Le paquet DHCP est envoyé à l’agent de relais configuré dans le VLAN client par l’intermédiaire de l'interface virtuelle de commutation (SVI) du VLAN client. Si la file d’attente d’entrée montre un abandon ou l’atteinte de la limite maximale, il est probable que le paquet DHCP du client a été abandonné et n’a pas pu atteindre l’agent de relais configuré. Remarque : Vérifiez que les abandons ne sont pas visibles dans la file d'attente d'entrée. switch#show int vlan 670 Charge pendant cinq secondes : 13% / 0%; one minute: 10%; cinq minutes: 10 % La source de l’heure est NTP, 18:39:52.476 UTC Thu Sep 10 2020 Le VLAN670 est actif, le protocole de ligne est actif, l’état automatique (Autostate) est activé Le matériel est Ethernet SVI, l’adresse est 00fd.27a.5920 (bia 00fd.227a.5920) Description: ion_media_client L’adresse Internet est 10.27.49.254/23 MTU 1500 octets, BW 1000000 kbit/s, DLY 10 usec, reliability (fiabilité) 255/255, txload 1/255, rxload 1/255 ARPA de l’encapsulation, boucle avec retour non définie Maintien d'activité Keepalive non pris en charge Type ARP : ARPA, ARP Timeout 04:00:00 Last input 03:01:29, output 00:00:02, output hang never Last clearing of "show interface" counters never File d'attente : 375/375/4020251/0 (taille/max/gouttes/purges) ; Total des pertes en sortie : 0 <— 375 paquets en entrée dans la file d'attente / 4020251 ont été abandonnés

Dépannage

Dépannage logiciel

Vérifiez ce que le commutateur reçoit. Ces paquets sont traités au niveau du plan de commande de la CPU. Assurez-vous de voir tous les paquets injectés et redirigés, puis confirmez si les informations sont correctes. 

Mise en garde : Utilisez les commandes debug avec prudence. Veuillez noter que de nombreuses commandes de débogage influent sur le réseau opérationnel. Il est recommandé de les utiliser seulement dans un environnement de test lorsque le problème se reproduit.

La fonctionnalité de débogage conditionnel vous permet d’activer de manière sélective les débogages et les journaux pour des fonctionnalités spécifiques selon un ensemble de conditions que vous définissez. Ceci est utile pour contenir des informations de débogage uniquement pour des hôtes ou un trafic spécifiques. 

Une condition fait référence à une fonctionnalité ou à une identité, où identité peut être une interface, une adresse IP ou une adresse MAC, etc..

Comment activer la fonction de débogage conditionnel pour le débogage des paquets et des événements lors du dépannage de la surveillance de DHCP.

Commande	Objectif
debug condition mac <mac-address> Exemple : switch#debug condition mac bc16.6509.3314	Configure le débogage conditionnel pour l’adresse MAC précisée.
debug condition vlan <VLAN Id> Exemple : switch#debug condition vlan 10	Configure le débogage conditionnel pour le VLAN précisé.
debug condition interface <interface>  Exemple : switch#debug condition interface twentyFiveGigE 1/0/8	Configure le débogage conditionnel pour l'interface précisée.

Pour déboguer la surveillance DHCP, utilisez les commandes indiquées dans ce tableau.

Commande	Objectif
debug dhcp [detail | oper | redondance]	detail   DHCP packet content oper    DHCP internal OPER redundancy DHCP client redundancy support
debug ip dhcp server packet detail	Décodez les réceptions et la transmission de messages en détail.
debug ip dhcp server events	Fournir des rapports sur les attributions d’adresses, l’expiration de baux, etc.
debug ip dhcp snooping agent	Débogage de la base de données de surveillance DHCP en lecture et en écriture.
debug ip dhcp snooping event	Débogage d'événement entre chaque composant.
debug ip dhcp snooping packet	Débogage du paquet DHCP dans le module de surveillance DHCP.

Ceci est un exemple partiel de sortie de la commandedebug ip dhcp snooping.

Apr 14 16:16:46.835: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fo1/0/2, MAC da: ffff.ffff.ffff, MAC sa: 00a3.d144.2046, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:46.835: DHCP_SNOOPING: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)

Apr 14 16:16:48.837: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/10)
Apr 14 16:16:48.837: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Fo1/0/10, MAC da: ffff.ffff.ffff, MAC sa: 701f.539a.fe46, IP da: 255.255.255.255, IP sa: 10.0.0.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.0.0.5, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.837: platform lookup dest vlan for input_if: FortyGigabitEthernet1/0/10, is NOT tunnel, if_output: NULL, if_output->vlan_id: 99999, pak->vlan_id: 10
Apr 14 16:16:48.837: DHCP_SNOOPING: direct forward dhcp replyto output port: FortyGigabitEthernet1/0/2.
Apr 14 16:16:48.838: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/2)
Apr 14 16:16:48.838: Performing rate limit check

Apr 14 16:16:48.838: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fo1/0/2, MAC da: ffff.ffff.ffff, MAC sa: 00a3.d144.2046, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.838: DHCP_SNOOPING: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)
Apr 14 16:16:48.839: DHCP_SNOOPING: received new DHCP packet from input interface (FortyGigabitEthernet1/0/10)

Apr 14 16:16:48.840: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Fo1/0/10, MAC da: ffff.ffff.ffff, MAC sa: 701f.539a.fe46, IP da: 255.255.255.255, IP sa: 10.0.0.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.0.0.5, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 00a3.d144.2046, efp_id: 0, vlan_id: 10, bootpflag:0x32768(Broadcast)
Apr 14 16:16:48.840: DHCP_SNOOPING: add binding on port FortyGigabitEthernet1/0/2 ckt_id 0 FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: DHCP_SNOOPING: added entry to table (index 331)

Apr 14 16:16:48.840: DHCP_SNOOPING: dump binding entry: Mac=00:A3:D1:44:20:46 Ip=10.0.0.5 Lease=86400 Type=dhcp-snooping Vlan=10 If=FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: No entry found for mac(00a3.d144.2046) vlan(10) FortyGigabitEthernet1/0/2
Apr 14 16:16:48.840: host tracking not found for update add dynamic (10.0.0.5, 0.0.0.0, 00a3.d144.2046) vlan(10)
Apr 14 16:16:48.840: platform lookup dest vlan for input_if: FortyGigabitEthernet1/0/10, is NOT tunnel, if_output: NULL, if_output->vlan_id: 99999, pak->vlan_id: 10
Apr 14 16:16:48.840: DHCP_SNOOPING: direct forward dhcp replyto output port: FortyGigabitEthernet1/0/2.

Pour déboguer les événements de surveillance de DHCP, procédez comme suit :

Mise en garde : Utilisez les commandes debug avec prudence. Veuillez noter que de nombreuses commandes de débogage influe sur le réseau opérationnel. Il est recommandé de les utiliser seulement dans un environnement de test lorsque le problème se reproduit.

Résumé des étapes

1. activer
2. debug platform condition mac {mac-address}
3. debug platform condition start
4. show platform condition OU show debug
5. debug platform condition stop
6. show platform software trace message ios R0 reverse | inclure DHCP
7. clear platform condition all      

Étapes détaillées

	Commande ou action	Objectif
Étape 1	activer Exemple : switch#enable	Active le mode d’exécution privilégié. Entrez votre mot de passe si le système vous le demande.
Étape 2	debug platform condition mac {mac-address}  Exemple : switch#debug platform condition mac 0001.6509.3314	Configure le débogage conditionnel pour l’adresse MAC précisée.
Étape 3	debug platform condition start  Exemple : switch#debug platform condition start	Démarre le débogage conditionnel (qui peut démarrer le suivi RA s’il y a une correspondance sur l'une des conditions).
Étape 4	show platform condition OU show debug  Exemple : switch#show platform condition  switch#show debug	Affiche l'ensemble de conditions actuel.
Étape 5	debug platform condition stop  Exemple : switch#debug platform condition stop	Arrête le débogage conditionnel (peut faire cesser le suivi RA).
Étape 6	show platform software trace message ios R0 reverse | inclure DHCP Exemple : switch#show platform software trace message ios R0 reverse | inclure DHCP	Affiche les journaux HP fusionnés à partir du dernier fichier de suivi.
Étape 7	clear platform condition all Exemple : switch# clear platform condition all	Efface toutes les conditions.

Ceci est un exemple partiel de sortie dedebug platform dhcp-snoop all command.

debug platform dhcp-snoop all

DHCP Server UDP port(67)
DHCP Client UDP port(68)

RELEASE
Apr 14 16:44:18.629: pak->vlan_id = 10
Apr 14 16:44:18.629: dhcp packet src_ip(10.0.0.6) dest_ip(10.0.0.1) src_udp(68) dest_udp(67) src_mac(00a3.d144.2046) dest_mac(701f.539a.fe46)
Apr 14 16:44:18.629: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:18.629: dhcp pkt processing routine is called for pak with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 10.0.0.6{ipv4}

DISCOVER
Apr 14 16:44:24.637: dhcp packet src_ip(0.0.0.0) dest_ip(255.255.255.255) src_udp(68) dest_udp(67) src_mac(00a3.d144.2046) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.637: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:24.637: dhcp pkt processing routine is called for pak with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}
Apr 14 16:44:24.637: sending dhcp packet out after processing with SMAC = 00a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}
Apr 14 16:44:24.638: pak->vlan_id = 10

OFFER
Apr 14 16:44:24.638: dhcp packet src_ip(10.0.0.1) dest_ip(255.255.255.255) src_udp(67) dest_udp(68) src_mac(701f.539a.fe46) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.638: ngwc_dhcpsn_process_pak(305): Packet handedover to SISF on vlan 10
Apr 14 16:44:24.638: dhcp pkt processing routine is called for pak with SMAC = 701f.539a.fe46{mac}  and SRC_ADDR = 10.0.0.1{ipv4}

REQUEST
Apr 14 16:44:24.638: ngwc_dhcpsn_process_pak(284): Packet handedover to SISF on vlan 10
c9500#dhcp pkt processing routine is called for pak with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4}sending dhcppacket outafter processing with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4} sending dhcp packet out after processing with SMAC = 0a3.d144.2046{mac} and SRC_ADDR = 0.0.0.0{ipv4} pak->vlan_id = 10.  

ACK
Apr 14 16:44:24.640:  dhcp paket src_ip(10.10.10.1) dest_ip(255.255.255.255) src_udp(67) dest_udp(68) src_mac(701f.539a.fe46) dest_mac(ffff.ffff.ffff)
Apr 14 16:44:24.640: ngwc_dhcpsn_process_pak(284): Packet handedover to SISF on vlan 10dhcp pkt processing routine is called for pak with SMAC = 701f.539a.fe46{mac} and SRC_ADDR = 10.10.10.1{ipv4}.

Ce tableau répertorie les différentes commandes qui peuvent être utilisées pour déboguer la surveillance DHCP sur la plateforme.

Mise en garde : Utilisez les commandes debug avec prudence. Veuillez noter que de nombreuses commandes de débogage influe sur le réseau opérationnel. Il est recommandé de les utiliser seulement dans un environnement de test lorsque le problème se reproduit.

Commande	Objectif
switch#debug platform dhcp-snoop [all | paquet | pd-shim]	all            NGWC DHCP Snooping packet     NGWC DHCP Snooping Packet Debug Info pd-shim  NGWC DHCP Snooping IOS Shim Debug Info
switch#debug platform software infrastructure punt dhcp-snoop	Paquets reçus sur FP qui sont redirigés vers le plan de commande.
switch#debug platform software infrastructure inject	Paquets injectés sur FP à partir du plan de commande.

Dépannage du trafic de redirection ou de chemin d’accès (CPU)

Vérifiez, du point de vue du pilote de moteur de transmission FED, quel trafic est reçu dans chaque file d’attente de CPU (la surveillance DHCP est un type de trafic traité par le plan de commande).

• Lorsque le trafic entre dans le commutateur, il est envoyé à la CPU en redirection (PUNT) et à la file d’attente de surveillance de DHCP.
• Une fois que le trafic est traité par le commutateur, le trafic sort par la direction INJECT. Les paquets DHCP OFFER et ACK tombent dans la file d'attente de contrôle L2/héritée.

c9500#show platform software fed switch active punt cause summary 
Statistics for all causes

Cause   Cause Info                  Rcvd         Dropped
------------------------------------------------------------------------------
21      RP<->QFP keepalive          8533         0 
79      dhcp snoop                  71           0      <<---- If drop counter increases, there can be an issue with this feature
96      Layer2 control protocols    45662        0 
109     snoop packets               100          0 
------------------------------------------------------------------------------

c9500#show platform software fed sw active inject cause summary
Statistics for all causes

Cause Cause Info                  Rcvd           Dropped
------------------------------------------------------------------------------
1     L2 control/legacy           128354         0     <<---- dropped counter must NOT increase
2     QFP destination lookup      18             0 
5     QFP <->RP keepalive         8585           0 
12    ARP request or response     68             0 
25    Layer2 frame to BD          81             0 
------------------------------------------------------------------------------

Vous pouvez utiliser cette commande pour confirmer le trafic qui est acheminé vers le CPU et vérifier si la surveillance DHCP abandonne le trafic.

c9500#show platform software fed switch active punt cpuq rates
Punt Rate CPU Q Statistics

Packets per second averaged over 10 seconds, 1 min and 5 mins
======================================================================================
Q  |              Queue             |  Rx  |  Rx   |  Rx   |  Drop  |  Drop  |  Drop
no |              Name              | 10s  |  1min |  5min |  10s   |  1min  |  5min
======================================================================================
0 CPU_Q_DOT1X_AUTH                     0        0      0        0        0        0
1 CPU_Q_L2_CONTROL                     0        0      0        0        0        0
2 CPU_Q_FORUS_TRAFFIC                  0        0      0        0        0        0
3 CPU_Q_ICMP_GEN                       0        0      0        0        0        0
4 CPU_Q_ROUTING_CONTROL                0        0      0        0        0        0
5 CPU_Q_FORUS_ADDR_RESOLUTION          0        0      0        0        0        0
6 CPU_Q_ICMP_REDIRECT                  0        0      0        0        0        0
7 CPU_Q_INTER_FED_TRAFFIC              0        0      0        0        0        0
8 CPU_Q_L2LVX_CONTROL_PKT              0        0      0        0        0        0
9 CPU_Q_EWLC_CONTROL                   0        0      0        0        0        0
10 CPU_Q_EWLC_DATA                     0        0      0        0        0        0
11 CPU_Q_L2LVX_DATA_PKT                0        0      0        0        0        0
12 CPU_Q_BROADCAST                     0        0      0        0        0        0
13 CPU_Q_LEARNING_CACHE_OVFL           0        0      0        0        0        0
14 CPU_Q_SW_FORWARDING                 0        0      0        0        0        0
15 CPU_Q_TOPOLOGY_CONTROL              2        2      2        0        0        0
16 CPU_Q_PROTO_SNOOPING                0        0      0        0        0        0
17 CPU_Q_DHCP_SNOOPING                 0        0      0        0        0        0    <<---- drop counter must NOT increase
18 CPU_Q_TRANSIT_TRAFFIC               0        0      0        0        0        0
19 CPU_Q_RPF_FAILED                    0        0      0        0        0        0
20 CPU_Q_MCAST_END_STATION_SERVICE     0        0      0        0        0        0
21 CPU_Q_LOGGING                       0        0      0        0        0        0
22 CPU_Q_PUNT_WEBAUTH                  0        0      0        0        0        0
23 CPU_Q_HIGH_RATE_APP                 0        0      0        0        0        0
24 CPU_Q_EXCEPTION                     0        0      0        0        0        0
25 CPU_Q_SYSTEM_CRITICAL               8        8      8        0        0        0
26 CPU_Q_NFL_SAMPLED_DATA              0        0      0        0        0        0
27 CPU_Q_LOW_LATENCY                   0        0      0        0        0        0
28 CPU_Q_EGR_EXCEPTION                 0        0      0        0        0        0
29 CPU_Q_FSS                           0        0      0        0        0        0
30 CPU_Q_MCAST_DATA                    0        0      0        0        0        0
31 CPU_Q_GOLD_PKT                      0        0      0        0        0        0

-------------------------------------------------------------------------------------

Dépannage matériel

Pilote de moteur de transfert (FED)

FED est le pilote qui programme l’ASIC. Les commandes du FED sont utilisées pour vérifier que les états du matériel et du logiciel correspondent.

Obtenez la valeur DI_Handle.

• Le descripteur DI fait référence à l’index de destination d’un port donné. 

c9500#show platform software fed switch active security-fed dhcp-snoop vlan vlan-id 10 
Platform Security DHCP Snooping Vlan Information

Value of Snooping DI handle is:: 0x7F7FAC23E438   <<---- If DHCP Snooping is not enabled the hardware handle can not be present 

                                                       Port             Trust Mode 
----------------------------------------------------------------------------------
                                              FortyGigabitEthernet1/0/10     trust <<---- Ensure TRUSTED ports are listed

Vérifiez le mappage IFM pour déterminer l'ASIC et le coeur des ports.

• L’IFM est un indice d’interface interne mappé à un port/cœur/circuit ASIC spécifique.

c9500#show platform software fed switch active ifm mappings
Interface                  IF_ID  Inst Asic Core Port SubPort Mac Cntx LPN GPN Type Active
FortyGigabitEthernet1/0/10  0xa    3    1    1    1    0       4    4   2   2   NIF  Y

Utilisez DI_Handle pour obtenir l’indice matériel.

c9500#show platform hardware fed switch active fwd-asic abstraction print-resource-handle 0x7F7FAC23E438 0 
Handle:0x7f7fac23e438 Res-Type:ASIC_RSC_DI Res-Switch-Num:255 Asic-Num:255 Feature-ID:AL_FID_DHCPSNOOPING Lkp-ftr-id:LKP_FEAT_INVALID ref_count:1
priv_ri/priv_si Handle: (nil)Hardware Indices/Handles: index0:0x5f03 mtu_index/l3u_ri_index0:0x0 index1:0x5f03 mtu_index/l3u_ri_index1:0x0 index2:0x5f03 mtu_index/l3u_ri_index2:0x0 index3:0x5f03 mtu_index/l3u_ri_index3:0x0 
<SNIP> <-- Index is 0x5f03

Convertissez la valeur hexadécimale de l'indice 0x5f03 en valeur décimale.

0x5f03 = 24323

Utilisez cette valeur d’indice en décimal, ainsi que les valeurs du circuit ASIC et du cœur dans cette commande pour voir quels indicateurs sont définis pour le port. 

c9500#show platform hardware fed switch 1 fwd-asic regi read register-name SifDestinationIndexTable-24323 asic 1 core 1 
For asic 1 core 1

Module 0 - SifDestinationIndexTable[0][24323]  <-- the decimal hardware index matches 0x5f03 = 24323

copySegment0  : 0x1 <<----  If you find this as 0x0, means that the traffic is not forwarded out of this port. (refer to Cisco bug ID CSCvi39202)copySegment1  : 0x1
dpuSegment0   : 0x0
dpuSegment1   : 0x0
ecUnicast     : 0x0
etherChannel0 : 0x0
etherChannel1 : 0x0
hashPtr1      : 0x0
stripSegment  : 0x0

Assurez-vous que la surveillance DHCP est activée pour le VLAN donné.

c9500#show platform software fed switch 1 vlan 10
VLAN Fed Information


Vlan Id IF Id               LE Handle           STP Handle          L3 IF Handle        SVI IF              ID MVID 
-----------------------------------------------------------------------------------------------------------------------
10      0x0000000000420011  0x00007f7fac235fa8  0x00007f7fac236798  0x0000000000000000  0x0000000000000000  15



c9500#show platform hardware fed switch active fwd-asic abstraction print-resource-handle 0x00007f7fac235fa8 1  <<---- Last number might be 1 or 0, 1 means detailed, 0 means brief output
Handle:0x7f7fac235fa8 Res-Type:ASIC_RSC_VLAN_LE Res-Switch-Num:255 Asic-Num:255 Feature-ID:AL_FID_L2 Lkp-ftr-id:LKP_FEAT_INVALID ref_count:1
priv_ri/priv_si Handle: (nil)Hardware Indices/Handles: index0:0xf mtu_index/l3u_ri_index0:0x0 sm handle [ASIC 0]: 0x7f7fac23b908 index1:0xf mtu_index/l3u_ri_index1:0x0 sm handle [ASIC 1]: 0x7f7fac23cde8 index2:0xf mtu_index/l3u_ri_index2:0x0 index3:0xf mtu_index/l3u_ri_index3:0x0 
Cookie length: 56
00 00 00 00 00 00 00 00 0a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


Detailed Resource Information (ASIC_INSTANCE# 0)
----------------------------------------
LEAD_VLAN_IGMP_MLD_SNOOPING_ENABLED_IPV4 value 1 Pass   <<---- Verify the highlighted values, if any are flagged as 0 there is an issue with the hardware programming. 
LEAD_VLAN_IGMP_MLD_SNOOPING_ENABLED_IPV6 value 0 Pass 
LEAD_VLAN_ARP_OR_ND_SNOOPING_ENABLED_IPV4 value 1 Pass 
LEAD_VLAN_ARP_OR_ND_SNOOPING_ENABLED_IPV6 value 1 Pass 
LEAD_VLAN_BLOCK_L2_LEARN value 0 Pass 
LEAD_VLAN_CONTENT_MATCHING_ENABLED value 0 Pass 
LEAD_VLAN_DEST_MOD_INDEX_TVLAN_LE value 0 Pass 
LEAD_VLAN_DHCP_SNOOPING_ENABLED_IPV4 value 1 Pass 
LEAD_VLAN_DHCP_SNOOPING_ENABLED_IPV6 value 1 Pass 
LEAD_VLAN_ENABLE_SECURE_VLAN_LEARNING_IPV4 value 0 Pass 
LEAD_VLAN_ENABLE_SECURE_VLAN_LEARNING_IPV6 value 0 Pass 
LEAD_VLAN_EPOCH value 0 Pass 
LEAD_VLAN_L2_PROCESSING_STP_TCN value 0 Pass 
LEAD_VLAN_L2FORWARD_IPV4_MULTICAST_PKT value 0 Pass 
LEAD_VLAN_L2FORWARD_IPV6_MULTICAST_PKT value 0 Pass 
LEAD_VLAN_L3_IF_LE_INDEX_PRIO value 0 Pass 
LEAD_VLAN_L3IF_LE_INDEX value 0 Pass 
LEAD_VLAN_LOOKUP_VLAN value 15 Pass 
LEAD_VLAN_MCAST_LOOKUP_VLAN value 15 Pass 
LEAD_VLAN_RIET_OFFSET value 4095 Pass 
LEAD_VLAN_SNOOPING_FLOODING_ENABLED_IGMP_OR_MLD_IPV4 value 1 Pass 
LEAD_VLAN_SNOOPING_FLOODING_ENABLED_IGMP_OR_MLD_IPV6 value 1 Pass 
LEAD_VLAN_SNOOPING_PROCESSING_STP_TCN_IGMP_OR_MLD_IPV4 value 0 Pass 
LEAD_VLAN_SNOOPING_PROCESSING_STP_TCN_IGMP_OR_MLD_IPV6 value 0 Pass 
LEAD_VLAN_VLAN_CLIENT_LABEL value 0 Pass 
LEAD_VLAN_VLAN_CONFIG value 0 Pass 
LEAD_VLAN_VLAN_FLOOD_ENABLED value 0 Pass 
LEAD_VLAN_VLAN_ID_VALID value 1 Pass 
LEAD_VLAN_VLAN_LOAD_BALANCE_GROUP value 15 Pass 
LEAD_VLAN_VLAN_ROLE value 2 Pass 
LEAD_VLAN_VLAN_FLOOD_MODE_BITS value 3 Pass 
LEAD_VLAN_LVX_VLAN value 0 Pass 
LEAD_VLAN_EGRESS_DEJAVU_CANON value 0 Pass 
LEAD_VLAN_EGRESS_INGRESS_VLAN_MODE value 0 Pass 
LEAD_VLAN_EGRESS_LOOKUP_VLAN value 0 Pass 
LEAD_VLAN_EGRESS_LVX_VLAN value 0 Pass 
LEAD_VLAN_EGRESS_SGACL_DISABLED value 3 Pass 
LEAD_VLAN_EGRESS_VLAN_CLIENT_LABEL value 0 Pass 
LEAD_VLAN_EGRESS_VLAN_ID_VALID value 1 Pass 
LEAD_VLAN_EGRESS_VLAN_LOAD_BALANCE_GROUP value 15 Pass 
LEAD_VLAN_EGRESS_INTRA_POD_BCAST value 0 Pass 
LEAD_VLAN_EGRESS_DHCP_SNOOPING_ENABLED_IPV4 value 1 Pass 
LEAD_VLAN_EGRESS_DHCP_SNOOPING_ENABLED_IPV6 value 1 Pass 
LEAD_VLAN_EGRESS_VXLAN_FLOOD_MODE value 0 Pass 
LEAD_VLAN_MAX value 0 Pass
<SNIP>

Ce tableau énumère différentes commandes courantes show/debug de Punject qui peuvent être utilisées pour tracer le chemin d’un paquet DHCP sur un réseau actif.

Commandes courantes d’affichage et de débogage pour l'injection et la redirection de paquets (Punt/Inject).

debug plat soft fed swit acti inject add-filter cause 255 sub_cause 0 src_mac 0 0 0 dst_mac 0 0 0 src_ipv4 192.168.12.1 dst_ipv4 0.0.0.0 if_id 0xf set platform software trace fed [switch<num|active|standby>] inject verbose       --- > utiliser la commande de filtre montrée pour appliquer les traces à cet hôte en particulier  set platform software trace Fed [switch<num|active|standby>] inject debug boot ---> pour recharger set platform software trace fed [switch<num|active|standby>] punt noise show platform software fed [switch<num|active|standby>] inject cause summary show platform software fed [switch<num|active|standby>] punt cause summary show platform software fed [switch<num|active|standby>] inject cpuq 0 show platform software fed [switch<num|active|standby>] punt cpuq 17 (dhcp queue) show platform software fed [switch<num|active|standby>] active inject packet-capture det show platform software infrastructure inject show platform software infrastructure punt show platform software infrastructure lsmpi driver debug platform software infra punt dhcp debug platform software infra inject

Ces commandes sont utiles pour vérifier si des paquets DHCP sont reçus pour un client en particulier. 

• Cette fonctionnalité vous permet de saisir toutes les communications de surveillance DHCP associées à une adresse MAC de client donnée qui sont traitées par le processeur à l’aide du logiciel IOS-DHCP.
• Cette fonctionnalité est prise en charge pour le trafic IPv4 et IPv6.
• Cette fonctionnalité est activée automatiquement.

Remarque : Ces commandes sont disponibles sur Cisco IOS XE Gibraltar 16.12.X.

switch#show platform dhcpsnooping client stats {mac-address}

switch#show platform dhcpv6snooping ipv6 client stats  {mac-address}

C9300#show platform dhcpsnooping client stats 0000.1AC2.C148
DHCPSN: DHCP snooping server
DHCPD:  DHCP protocol daemen
L2FWD:  Transmit Packet to driver in L2 format
FWD:    Transmit Packet to driver
Packet Trace for client MAC 0000.1AC2.C148:
Timestamp            Destination MAC  Destination Ip  VLAN  Message      Handler:Action
-------------------- ---------------- --------------- ----  ------------ --------------
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER PUNT:RECEIVED
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER PUNT:TO_DHCPSN
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER BRIDGE:RECEIVED
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER BRIDGE:TO_DHCPD
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER BRIDGE:TO_INJECT
06-27-2019 20:48:28  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPDISCOVER L2INJECT:TO_FWD
06-27-2019 20:48:28  0000.0000.0000   192.168.1.1     0    DHCPDISCOVER INJECT:RECEIVED
06-27-2019 20:48:28  0000.0000.0000   192.168.1.1     0    DHCPDISCOVER INJECT:TO_L2FWD
06-27-2019 20:48:30  0000.0000.0000   10.1.1.3        0    DHCPOFFER    INJECT:RECEIVED
06-27-2019 20:48:30  0000.1AC2.C148   10.1.1.3        0    DHCPOFFER    INTERCEPT:RECEIVED
06-27-2019 20:48:30  0000.1AC2.C148   10.1.1.3        88   DHCPOFFER    INTERCEPT:TO_DHCPSN
06-27-2019 20:48:30  0000.1AC2.C148   10.1.1.3        88   DHCPOFFER    INJECT:CONSUMED
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  PUNT:RECEIVED
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  PUNT:TO_DHCPSN
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  BRIDGE:RECEIVED
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  BRIDGE:TO_DHCPD
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  BRIDGE:TO_INJECT
06-27-2019 20:48:30  FFFF.FFFF.FFFF   255.255.255.255 88   DHCPREQUEST  L2INJECT:TO_FWD
06-27-2019 20:48:30  0000.0000.0000   192.168.1.1     0    DHCPREQUEST  INJECT:RECEIVED
06-27-2019 20:48:30  0000.0000.0000   192.168.1.1     0    DHCPREQUEST  INJECT:TO_L2FWD
06-27-2019 20:48:30  0000.0000.0000   10.1.1.3        0    DHCPACK      INJECT:RECEIVED
06-27-2019 20:48:30  0000.1AC2.C148   10.1.1.3        0    DHCPACK      INTERCEPT:RECEIVED
06-27-2019 20:48:30  0000.1AC2.C148   10.1.1.3        88   DHCPACK      INTERCEPT:TO_DHCPSN

Utilisez ces commandes pour effacer la trace.

switch#clear platform dhcpsnooping pkt-trace ipv4

switch#clear platform dhcpsnooping pkt-trace ipv6

Capture de paquets du chemin d’accès CPU 

Confirmez si les paquets de surveillance DHCP arrivent et quittent correctement le plan de commande.

Remarque :  Pour des références supplémentaires sur la façon d'utiliser l'outil de capture CPU du pilote du moteur de transfert, référez-vous à la section Lecture supplémentaire.

debug platform software fed [switch<num|active|standby>] punt/inject packet-capture start
debug platform software fed [switch<num|active|standby>] punt/inject packet-capture stop 
show platform software fed  [switch<num|active|standby>] punt/inject packet-capture brief


### PUNT ###

DISCOVER
------ Punt Packet Number: 16, Timestamp: 2021/04/14 19:10:09.924 ------
interface : physical: FortyGigabitEthernet1/0/2[if-id: 0x0000000a], pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 347, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68


OFFER
------ Punt Packet Number: 23, Timestamp: 2021/04/14 19:10:11.926 ------
interface : physical: FortyGigabitEthernet1/0/10[if-id: 0x00000012], pal: FortyGigabitEthernet1/0/10 [if-id: 0x00000012]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : vlan: 10, ethertype: 0x8100
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67


REQUEST
------ Punt Packet Number: 24, Timestamp: 2021/04/14 19:10:11.927 ------
interface : physical: FortyGigabitEthernet1/0/2[if-id: 0x0000000a], pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 365, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68


ACK
------ Punt Packet Number: 25, Timestamp: 2021/04/14 19:10:11.929 ------
interface : physical: FortyGigabitEthernet1/0/10[if-id: 0x00000012], pal: FortyGigabitEthernet1/0/10 [if-id: 0x00000012]
metadata : cause: 79 [dhcp snoop], sub-cause: 11, q-no: 17, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : vlan: 10, ethertype: 0x8100
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67


### INJECT ###

DISCOVER
------ Inject Packet Number: 33, Timestamp: 2021/04/14 19:53:01.273 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 25 [Layer2 frame to BD], sub-cause: 1, q-no: 0, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 347, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68

OFFER
------ Inject Packet Number: 51, Timestamp: 2021/04/14 19:53:03.275 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 1 [L2 control/legacy], sub-cause: 0, q-no: 0, linktype: MCP_LINK_TYPE_LAYER2 [10]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67

REQUEST
------ Inject Packet Number: 52, Timestamp: 2021/04/14 19:53:03.276 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 25 [Layer2 frame to BD], sub-cause: 1, q-no: 0, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 00a3.d144.2046
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 0.0.0.0
ipv4 hdr : packet len: 365, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 67, src port: 68

ACK
------ Inject Packet Number: 53, Timestamp: 2021/04/14 19:53:03.278 ------
interface : pal: FortyGigabitEthernet1/0/2 [if-id: 0x0000000a]
metadata : cause: 1 [L2 control/legacy], sub-cause: 0, q-no: 0, linktype: MCP_LINK_TYPE_LAYER2 [10]
ether hdr : dest mac: ffff.ffff.ffff, src mac: 701f.539a.fe46
ether hdr : ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 255.255.255.255, src ip: 10.0.0.1
ipv4 hdr : packet len: 330, ttl: 255, protocol: 17 (UDP)
udp hdr : dest port: 68, src port: 67

Traces utiles

Il s’agit de traces binaires qui affichent les événements par processus ou composant. Dans cet exemple, les traces affichent des informations sur le composant DHCPSN.

• Les traces peuvent faire l'objet d'une rotation manuelle, ce qui signifie que vous pouvez créer un nouveau fichier avant de commencer le dépannage afin qu’il contienne des informations plus précises et utiles.

9500#request platform software trace rotate all 
9500#set platform software trace fed [switch
    
    
      ] dhcpsn verbose 
    

c9500#show logging proc fed internal | inc dhcp              <<---- DI_Handle must match with the output which retrieves the DI handle 
2021/04/14 19:24:19.159536 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 1
2021/04/14 19:24:19.159975 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): Program trust ports for this vlan
2021/04/14 19:24:19.159978 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): GPN (10) if_id (0x0000000000000012) <<---- if_id must match with the TRUSTED port
2021/04/14 19:24:19.160029 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): trusted_if_q size=1 for vlan=10
2021/04/14 19:24:19.160041 {fed_F0-0}{1}: [dhcpsn] [17035]: (ERR): update ri has failed vlanid[10]
2021/04/14 19:24:19.160042 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to enable
2021/04/14 19:24:27.507358 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): get di for vlan_id 10
2021/04/14 19:24:27.507365 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): Allocated rep_ri for vlan_id 10
2021/04/14 19:24:27.507366 {fed_F0-0}{1}: [inject] [23451]: (verbose): Changing di_handle from 0x7f7fac36b408 to 0x7f7fac23e438 by dhcp snooping 
2021/04/14 19:24:27.507394 {fed_F0-0}{1}: [inject] [23451]: (debug): TX: getting REP RI from dhcpsn failed for egress vlan 10
2021/04/14 19:24:29.511774 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): get di for vlan_id 10
2021/04/14 19:24:29.511780 {fed_F0-0}{1}: [dhcpsn] [23451]: (debug): Allocated rep_ri for vlan_id 10
2021/04/14 19:24:29.511780 {fed_F0-0}{1}: [inject] [23451]: (verbose): Changing di_handle from 0x7f7fac36b408 to 0x7f7fac23e438 by dhcp snooping
2021/04/14 19:24:29.511802 {fed_F0-0}{1}: [inject] [23451]: (debug): TX: getting REP RI from dhcpsn failed for egress vlan 10


c9500#set platform software trace fed [switch
    
    
      ] asic_app verbose 
    
c9500#show logging proc fed internal | inc dhcp
2021/04/14 20:13:56.742637 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 0
2021/04/14 20:13:56.742783 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to disable
2021/04/14 20:14:13.948214 {fed_F0-0}{1}: [dhcpsn] [17035]: (info): VLAN event on vlan 10, enabled 1
2021/04/14 20:14:13.948686 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): Program trust ports for this vlan
2021/04/14 20:14:13.948688 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): GPN (10) if_id (0x0000000000000012) <<---- if_id must match with the TRUSTED port
2021/04/14 20:14:13.948740 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): trusted_if_q size=1 for vlan=10
2021/04/14 20:14:13.948753 {fed_F0-0}{1}: [dhcpsn] [17035]: (ERR): update ri has failed vlanid[10]
2021/04/14 20:14:13.948754 {fed_F0-0}{1}: [dhcpsn] [17035]: (debug): vlan mode changed to enable

Suggested Traces
set platform software trace fed [switch<num|active|standby>] pm_tdl verbose
set platform software trace fed [switch<num|active|standby>] pm_vec verbose
set platform software trace fed [switch<num|active|standby>] pm_vlan verbose

INJECT
set platform software trace fed [switch<num|active|standby>] dhcpsn verbose
set platform software trace fed [switch<num|active|standby>] asic_app verbose
set platform software trace fed [switch<num|active|standby>] inject verbose

PUNT
set platform software trace fed [switch<num|active|standby>] dhcpsn verbose
set platform software trace fed [switch<num|active|standby>] asic_app verbse
set platform software trace fed [switch<num|active|standby>] punt ver

Syslog et explications

Violations des limites de débit de DHCP.

Explication : La surveillance DHCP a détecté une violation de la limite de débit de paquets DHCP sur l’interface spécifiée.

%DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 300 DHCP packets on interface Fa0/2
%DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/2 is receiving more than the threshold set

Usure du serveur DHCP sur un port non sécurisé.

Explication : La fonction de surveillance DHCP a détecté certains types de messages DHCP non autorisés sur l’interface non fiable, ce qui indique qu’un hôte tente d’agir en tant que serveur DHCP. 

%DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port, message type: DHCPOFFER, MAC sa: 5c5a.c7d6.9e1f

   

L’adresse MAC de couche 2 ne correspond pas à l’adresse MAC dans la demande DHCP.

Explication: La fonctionnalité de surveillance DHCP a tenté de valider l'adresse MAC et la vérification a échoué. L'adresse MAC source dans l'en-tête Ethernet ne correspond pas à l'adresse dans le champ chaddr du message de requête DHCP. Il peut y avoir un hôte malveillant qui tente d'effectuer une attaque par déni de service sur le serveur DHCP. 

%DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL: DHCP_SNOOPING drop message because the chaddr doesn't match source mac, message type: DHCPINFORM, chaddr: 0000.0000.0000, MAC sa: 001c.4321.abcd

Problème d’insertion de l’option 82.

Explication: La fonctionnalité de surveillance DHCP a détecté un paquet DHCP avec des valeurs d'option non autorisées sur le port non approuvé, ce qui indique qu'un hôte tente d'agir en tant que relais ou serveur DHCP. 

%DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port

L’adresse MAC de couche 2 reçue sur le mauvais port.

Explication : La fonction de surveillance DHCP a détecté un hôte qui tentait de mener une attaque par déni de service sur un autre hôte du réseau. 

%DHCP_SNOOPING-5-DHCP_SNOOPING_FAKE_INTERFACE: DHCP_SNNOPING drop message with mismatched source interface, the binding is not updated, message type: DHCPREQUEST, MAC sa: 0001.222.555.aaac

Messages DHCP reçus sur l’interface non fiable.

Explication: La fonctionnalité de surveillance DHCP a détecté certains types de messages DHCP non autorisés sur l'interface non approuvée, ce qui indique qu'un hôte tente d'agir en tant que serveur DHCP. 

%DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT: DHCP_SNOOPING drop message on untrusted port: GigabitEthernet1/1, message type: DHCPOFFER, MAC sa: 1234.4567.abcd, vlan: 100, server IP: 10.0.0.1

Échec du transfert de surveillance DHCP. Impossible d’accéder à l'URL.

Explication: Échec du transfert de la liaison de surveillance DHCP. 

%DHCP_SNOOPING-4-AGENT_OPERATION_FAILED: DHCP snooping binding transfer failed. Unable to access URL

Mises en garde relatives à la surveillance DHCP

Numéro d’identification de bogue Cisco	Description
CSCvi39202	DHCP échoue lorsque l’autorisation de surveillance de DHCP est activée sur l’EtherChannel de liaison ascendante.
CSCvp49518	La base de données de surveillance DHCP n’est pas actualisée après le rechargement.
CSCvk16813	Le trafic client DHCP abandonné avec surveillance DHCP et liaisons ascendantes de canal de port ou de pile croisée.
CSCvd51480	Dissociation de la surveillance DHCP et du suivi des périphériques.
CSCvm55401	La surveillance DHCP peut abandonner les paquets de l’option 82 de DHCP avec la commande ip DHCP snooping information option allow-untrusted.
CSCvx25841	L’état de confiance de la surveillance DHCP est rompu en cas de changement dans le segment du protocole REP.
CSCvs15759	Le serveur DHCP envoie un paquet NAK pendant le processus de renouvellement de DHCP.
CSCvk34927	Le tableau de surveillance DHCP non mis à jour à partir du fichier de base de données de surveillance DHCP lors du rechargement.

Surveillance DHCP à la frontière de la trame SDA

Interface CLI de l'état de la surveillance de DHCP.

Une nouvelle interface CLI disponible pour que SDA puisse vérifier les données statistiques de surveillance de DHCP.

Remarque : Pour obtenir des références supplémentaires sur le processus/flux de paquets et le décodage DHCP de périphérie de fabric Cisco SD-Access, reportez-vous au guide de la section Informations connexes.

switch#show platform fabric border dhcp snooping ipv4 statistics

switch#show platform fabric border dhcp snooping ipv6 statistics

SDA-9300-BORDER#show platform fabric border dhcp snooping ipv4 statistics 
Timestamp           Source IP    Destination IP  Source Remote Locator  Lisp Instance ID  VLAN  PROCESSED   ERRORED  Handler:Action
------------------- ----------   --------------  ---------------------  ----------------  ----- ---------   -------  -------------------
08-05-2019 00:24:16 10.30.30.1   10.40.40.1      192.168.0.1             8189              88    10          0        PLATF_DHCP:RECEIVED
08-05-2019 00:24:16 10.30.30.1   10.40.40.1      192.168.0.1             8189              88    11          0        PLATF_DHCP:TO_GLEAN

SDA-9300-BORDER#show platform fabric border dhcp snooping ipv6 statistics
Timestamp            Source IP              Destination IP          Source Remote Locator  Lisp Instance ID  VLAN  PROCESSED  ERRORED  Handler:Action 
-------------------  ---------------------- ----------------------  ---------------------  ----------------  ----  ---------  -------  -------------------
08-05-2019 00:41:46  11:11:11:11:11:11:11:1 22:22:22:22:22:22:22:1  192.168.0.3             8089              120   12         0        PLATF_DHCP:RECEIVED
08-05-2019 00:41:47  11:11:11:11:11:11:11:1 22:22:22:22:22:22:22:1  192.168.0.3             8089              120   12         0        PLATF_DHCP:TO_GLEAN

Informations connexes

Guide de configuration des services d'adressage IP, Cisco IOS XE Amsterdam 17.3.x (commutateurs Catalyst 9200)

Guide de configuration des services d'adressage IP, Cisco IOS XE Amsterdam 17.3.x (commutateurs Catalyst 9300)

Guide de configuration des services d'adressage IP, Cisco IOS XE Amsterdam 17.3.x (commutateurs Catalyst 9400)

Guide de configuration des services d'adressage IP, Cisco IOS XE Amsterdam 17.3.x (commutateurs Catalyst 9500)

Guide de configuration des services d'adressage IP, Cisco IOS XE Amsterdam 17.3.x (commutateurs Catalyst 9600)

Processus DHCP, flux de paquets et décodage de Cisco SD-Access Fabric Edge

Configurer la capture de paquets de CPU du FED sur les commutateurs Catalyst 9000

Assistance et documentation techniques - Cisco Systems