Cisco 3650 Serie Bedienungsanleitung
Fehlerbehebung bei langsamem oder zeitweiligem dhcp auf dhcp relay agents
Inhaltsverzeichnis
Quicklinks
Fehlerbehebung bei langsamem oder
zeitweiligem DHCP auf Catalyst 9000 DHCP
Relay Agents
Inhalt
Einleitung
Voraussetzungen
Anforderungen
Verwendete Komponenten
Einleitung
In diesem Dokument wird die Fehlerbehebung bei langsamen DHCP-Adresszuweisungen
(Dynamic Host Configuration Protocol) oder zeitweiligen DHCP-Adresszuweisungsfehlern auf
Catalyst Switches der Serie 9000 als DHCP-Relay-Agents beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
DHCP- und DHCP-Relay-Agenten
Internet Control Message Protocol (ICMP)
Control Plane Policing (CoPP)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-
Versionen:
Catalyst Switches der Serie 9000
Cisco IOS XE® Versionen 16.x und 17.x
Inhaltsverzeichnis
Verwandte Anleitungen für Cisco 3650 Serie
Inhaltszusammenfassung für Cisco 3650 Serie
-
Seite 1: Inhaltsverzeichnis
(Dynamic Host Configuration Protocol) oder zeitweiligen DHCP-Adresszuweisungsfehlern auf Catalyst Switches der Serie 9000 als DHCP-Relay-Agents beschrieben. Voraussetzungen Anforderungen Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen: DHCP- und DHCP-Relay-Agenten Internet Control Message Protocol (ICMP) Control Plane Policing (CoPP) -
Seite 2: Verwandte Produkte
Sie die möglichen Auswirkungen aller Befehle verstehen. Verwandte Produkte Dieses Dokument kann auch mit folgenden Hardware- und Softwareversionen verwendet werden: Catalyst Switches der Serien 3650/3850 mit Cisco IOS XE® 16.x Hintergrundinformationen Die Control Plane Policing (CoPP)-Funktion erhöht die Sicherheit auf Ihrem Gerät durch Schutz der CPU vor unnötigem Datenverkehr und Denial-of-Service-Angriffen (DoS). - Seite 3 Relay-Agent ein neues Unicast-Paket, das von der Schnittstelle stammt, an der die DHCP Discover-Nachricht empfangen wurde, und an die IP-Adresse gerichtet ist, wie in der Konfiguration ip helper-address definiert. Nachdem das Paket erstellt wurde, wird es von der Hardware weitergeleitet und an den DHCP-Server gesendet, wo es verarbeitet und schließlich an den Relay- Agent zurückgesendet werden kann, sodass der DHCP-Prozess für den Client fortgesetzt werden kann.
-
Seite 4: Szenario 1: Icmp-Umleitungen
9 19 EWLC Control Yes 13000 13000 0 0 10 16 EWLC Data Yes 2000 2000 0 0 11 13 L2 LVX Data Pack Yes 1000 1000 0 0 BROADCAST <-- Policer Index 0 13 10 Openflow Yes 200 200 0 0 14 13 Sw forwarding Yes 1000 1000 0 0 15 8 Topology Control Yes 13000 16000 0 0 16 12 Proto Snooping Yes 2000 2000 0 0... - Seite 5 Die Abfolge der Ereignisse ist wie folgt: 1. Ein Benutzer unter 10.10.10.100 initiiert eine Telnet-Verbindung mit Gerät 10.100.100.100, einem Remote-Netzwerk. 2. Die Ziel-IP-Adresse befindet sich in einem anderen Subnetz, sodass das Paket an das Standardgateway 10.10.10.15 des Benutzers gesendet wird. 3.
-
Seite 6: Lösung
10.10.10.1 *Sep 29 12:50:33.284: ICMP: redirect sent to 10.10.10.100 for dest 10.100.100.100, use gw 10.10.10.1 Vorsicht: Aufgrund der Skalierbarkeit wird empfohlen, die Konsolenprotokollierung und die Terminalüberwachung zu deaktivieren, bevor Sie ICMP-Debugging aktivieren. Eine Embedded Packet Capture auf der CPU der Catalyst Serie 9300 zeigt das anfängliche TCP SYN für die Telnet-Verbindung auf der CPU sowie die generierte ICMP-Umleitung. -
Seite 7: Szenario 2: Icmp Nicht Erreichbar
IP CEF switching turbo vector <snip> Weitere Informationen zu ICMP-Umleitungen und dem Zeitpunkt ihrer Versendung finden Sie unter folgendem Link: https://www.cisco.com/c/en/us/support/docs/ip/routing-information-protocol- rip/13714-43.html Szenario 2: ICMP nicht erreichbar Stellen Sie sich dieselbe Topologie vor, in der der Benutzer unter 10.10.10.100 eine Telnet- Verbindung mit 10.100.100.100 initiiert. - Seite 8 9300-Switch#show running-config interface vlan 10 Building Configuration.. Current Configuration : 491 bytes interface Vlan10 ip address 10.10.10.15 255.255.255.0 no ip proxy-arp ip access-group BLOCK-TELNET in <-- inbound ACL 9300-Switch# 9300-Switch#show ip access-list BLOCK-TELNET Extended IP access list BLOCK-TELNET 10 deny tcp any any eq telnet <-- block telnet 20 permit ip any any 9300-Switch#...
-
Seite 9: Lösung
Das Paket "ICMP Destination Unreachable" stammt von der für den Client bestimmten Catalyst 9300 VLAN 10-Schnittstelle und enthält die ursprünglichen Paket-Header, für die das ICMP-Paket gesendet wird. Lösung Deaktivieren Sie in diesem Szenario das Verhalten, bei dem blockierte Pakete durch eine ACL blockiert werden, um die Meldung "ICMP Destination Unreachable"... -
Seite 10: Szenario 3: Icmp-Ttl Überschritten
Inbound access list is BLOCK-TELNET Proxy ARP is disabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are never sent ICMP unreachables are never sent <-- IP unreachables disabled ICMP mask replies are never sent IP fast switching is enabled IP Flow switching is disabled IP CEF switching is enabled... - Seite 11 generiert eine ICMP-Meldung über eine Überschreitung der TTL. Der ICMP-Pakettyp ist 11 mit Code 0 (bei der Übertragung ist die TTL abgelaufen). Dieser Pakettyp kann nicht über CLI-Befehle deaktiviert werden. Das Problem mit dem DHCP-Datenverkehr kommt in diesem Szenario ins Spiel, da die Pakete, die in Loops zusammengefasst werden, der ICMP-Umleitung unterliegen, da sie dieselbe Schnittstelle auslassen, auf der sie empfangen wurden.
-
Seite 12: Lösung
Deaktivieren Sie die ICMP-Umleitungen über die CLI no ip redirects. 9300-Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 9300-Switch(config)#interface vlan 10 9300-Switch(config-if)#no ip redirects <-- disable IP redirects 9300-Switch(config-if)#end Zugehörige Informationen Konfigurieren der eingebetteten Paketerfassung Verständnis von ICMP-Umleitungen Technischer Support und Dokumentation für Cisco Systeme... - Seite 13 Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.