Tweet
🎯 Tại sao phải cấu hình DHCP Relay Agent?
Trong môi trường mạng doanh nghiệp, không phải lúc nào DHCP server cũng nằm trong cùng subnet với các client. Khi DHCP client gửi gói DHCPDISCOVER, đây là một gói broadcast, và broadcast không thể vượt qua ranh giới router.
➡️ Vấn đề: DHCP client không nhận được IP do gói broadcast bị chặn.
➡️ Giải pháp: Router phải được cấu hình như một DHCP Relay Agent để chuyển tiếp (relay) các gói broadcast thành unicast đến DHCP server. Cisco hỗ trợ điều này bằng câu lệnh:
ip helper-address <ip_address>
🧠 Cách hoạt động của DHCP Relay
Ví dụ:
Khi client gửi DHCPDISCOVER:
🔧 Cấu hình trên R1
R1# configure terminal R1(config)# service dhcp R1(config)# interface fa0/0 R1(config-if)# ip helper-address 10.1.1.2
Lưu ý:
💡 Không chỉ DHCP!
Lệnh ip helper-address không chỉ chuyển tiếp DHCP, mà còn 8 loại broadcast khác theo mặc định:
📌 Nếu muốn chặn bớt các dịch vụ không dùng, có thể dùng lệnh:
no ip forward-protocol udp <port>
🛠️ Ví dụ thực tế khi triển khai VLAN mới
Một lần triển khai hệ thống mạng mới cho showroom bán lẻ, team mình tạo thêm một VLAN 172 mới cho hệ thống POS (Point of Sale). DHCP server nằm trong datacenter ở 10.1.1.0/24.
Tình huống xảy ra: Sau khi cấu hình VLAN và trunk đầy đủ, thiết bị POS vẫn không nhận IP. Sau một hồi kiểm tra, phát hiện chưa cấu hình ip helper-address trên interface VLAN của switch layer 3.
Sau khi thêm:
interface vlan 172 ip address 172.16.1.1 255.255.255.0 ip helper-address 10.1.1.2
→ Thiết bị POS nhận IP ngay lập tức!
✅ Tổng kết
Anh em nếu có kinh nghiệm triển khai DHCP Relay trong môi trường SDWAN hoặc phân đoạn mạng (SDA, VRF, Fabric...), hãy chia sẻ thêm nhé!
Trong môi trường mạng doanh nghiệp, không phải lúc nào DHCP server cũng nằm trong cùng subnet với các client. Khi DHCP client gửi gói DHCPDISCOVER, đây là một gói broadcast, và broadcast không thể vượt qua ranh giới router.
➡️ Vấn đề: DHCP client không nhận được IP do gói broadcast bị chặn.
➡️ Giải pháp: Router phải được cấu hình như một DHCP Relay Agent để chuyển tiếp (relay) các gói broadcast thành unicast đến DHCP server. Cisco hỗ trợ điều này bằng câu lệnh:
ip helper-address <ip_address>
🧠 Cách hoạt động của DHCP Relay
Ví dụ:
- Client thuộc subnet 172.16.1.0/24
- DHCP server nằm trong 10.1.1.0/24
- Router R1 có 2 interface:
- Fa0/0 trong LAN client
- Fa0/1 kết nối đến server
Khi client gửi DHCPDISCOVER:
- Gói broadcast đến R1.
- R1 nhận được trên interface Fa0/0.
- R1 chuyển tiếp (relay) gói này dạng unicast đến DHCP server ở IP 10.1.1.2 thông qua Fa0/1.
🔧 Cấu hình trên R1
R1# configure terminal R1(config)# service dhcp R1(config)# interface fa0/0 R1(config-if)# ip helper-address 10.1.1.2
Lưu ý:
- Lệnh service dhcp mặc định đã bật, nhưng nên khai báo rõ để tránh lỗi.
- ip helper-address phải được đặt trên interface kết nối đến client, nơi nhận gói DHCPDISCOVER.
💡 Không chỉ DHCP!
Lệnh ip helper-address không chỉ chuyển tiếp DHCP, mà còn 8 loại broadcast khác theo mặc định:
- TFTP (UDP 69)
- DNS (UDP 53)
- Internet Time Service (UDP 37)
- NetBIOS name service (UDP 137)
- NetBIOS datagram service (UDP 138)
- BOOTP client và server (UDP 67, 68 – chính là DHCP)
- TACACS (UDP 49)
📌 Nếu muốn chặn bớt các dịch vụ không dùng, có thể dùng lệnh:
no ip forward-protocol udp <port>
🛠️ Ví dụ thực tế khi triển khai VLAN mới
Một lần triển khai hệ thống mạng mới cho showroom bán lẻ, team mình tạo thêm một VLAN 172 mới cho hệ thống POS (Point of Sale). DHCP server nằm trong datacenter ở 10.1.1.0/24.
Tình huống xảy ra: Sau khi cấu hình VLAN và trunk đầy đủ, thiết bị POS vẫn không nhận IP. Sau một hồi kiểm tra, phát hiện chưa cấu hình ip helper-address trên interface VLAN của switch layer 3.
Sau khi thêm:
interface vlan 172 ip address 172.16.1.1 255.255.255.0 ip helper-address 10.1.1.2
→ Thiết bị POS nhận IP ngay lập tức!
✅ Tổng kết
- DHCP Relay Agent là giải pháp bắt buộc khi client và DHCP server khác subnet.
- Lệnh ip helper-address là chìa khóa chính, phải đặt đúng chỗ.
- Cẩn thận với các dịch vụ đi kèm để tránh chuyển tiếp không cần thiết.
Anh em nếu có kinh nghiệm triển khai DHCP Relay trong môi trường SDWAN hoặc phân đoạn mạng (SDA, VRF, Fabric...), hãy chia sẻ thêm nhé!
Attached Files