Что такое relay в роутере
DHCP relay
Функция DHCP Relay Option 82 (стандарт RFC 3046) применяется для предоставления DHCP-серверу данных о полученном запросе. В частности, к этим данным можно отнести:
При настройке, например, коммутатора, в режиме DHCP Relay можно значительно повысить эффективность сети за счет сокращения количества DHCP-серверов, которые при другой схеме понадобились бы для каждой подсети. В данном случае коммутатор сам переадресует DHCP-запрос от клиента к удаленному DHCP-серверу и добавит указанные выше данные.
В общем случае, назначение опции DHCP Relay Option 82 — это привязка IP-адреса, выдаваемого DHCP-сервером, к порту коммутатора, к которому подключен клиент, либо к ретранслятору, с которого поступил запрос, что может помочь с систематизацией IP-адресов в локальной сети при использовании DHCP-сервера.
Смотреть что такое «DHCP relay» в других словарях:
DHCP — (Dynamic Host Configuration Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Automatischer Bezug von IP Adressen und weiteren Parametern Ports: 67/UDP (Server oder Relay Agent) 68/UDP (Client) DHCP im TCP/IP‑Protokollstapel: Anwendung… … Deutsch Wikipedia
DHCP-Server — DHCP (Dynamic Host Configuration Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Automatischer Bezug von IP Adressen und weiteren Parametern Ports: 67/UDP (Server oder Relay Agent) 68/UDP (Client) DHCP im TCP/IP‑Protokollstapel:… … Deutsch Wikipedia
DHCP — Не следует путать с HDCP. DHCP Название: Dynamic Host Configuration Protocol Уровень (по модели OSI): Прикладной[источник не указан 24 дня] Семейство: TCP/IP Создан в: 1990 г. Порт/ID … Википедия
Internet Relay Chat — IRC redirects here. For other uses, see IRC (disambiguation). For IRC channels dedicated to Wikipedia, see Wikipedia:IRC Internet Relay Chat (IRC) is a protocol for real time Internet text messaging (chat) or synchronous conferencing.[1] It is… … Wikipedia
Frame relay — У этого термина существуют и другие значения, см. Fr. Frame relay (англ. «ретрансляция кадров», FR) протокол канального уровня сетевой модели OSI. Служба коммутации пакетов Frame Relay в настоящее время широко распространена во всём… … Википедия
Internet Relay Chat — « IRC » redirige ici. Pour les autres significations, voir IRC (homonymie). Ne doit pas être confondu avec mIRC … Wikipédia en Français
Spam and Open Relay Blocking System — SORBS (Spam and Open Relay Blocking System) is a list of e mail servers suspected of sending or relaying spam (a DNS blacklist). It has been augmented with complementary lists that include various other classes of hosts, allowing for customized… … Wikipedia
Dynamic Host Configuration Protocol — DHCP redirects here. For other uses, see DHCP (disambiguation). A DHCP Server settings tab The Dynamic Host Configuration Protocol (DHCP) is a network configuration protocol for hosts on Internet Protocol (IP) networks. Computers that are… … Wikipedia
Dynamic Host Configuration Protocol — DHCP (Dynamic Host Configuration Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Automatischer Bezug von IP Adressen und weiteren Parametern Ports: 67/UDP (Server oder Relay Agent) 68/UDP (Client) DHCP im TCP/IP‑Protokollstapel:… … Deutsch Wikipedia
DHCPv6 — DHCP (Dynamic Host Configuration Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Automatischer Bezug von IP Adressen und weiteren Parametern Ports: 67/UDP (Server oder Relay Agent) 68/UDP (Client) DHCP im TCP/IP‑Protokollstapel:… … Deutsch Wikipedia
Практические аспекты использования DHCP relay+option82
В этой статье я хотел бы осветить практические аспекты использования DHCP relay+option82 как возможность авторизации (в дальнейшем именно эта связка будет иметься ввиду), а так же привести примеры конфигурации свитча Dlink DES-3200-10 и isc-dhcp-server. Практически во всех статьях dhcp relay трактуют так: «можно вынести dhcp-сервер за пределы широковещательного домена». Однако почему-то не упоминают или почти не упоминают, что это хорошая возможность избавиться от широковешательных запросов в пределах того же самого широковешательного домена. И самое главное, на что акцентирую внимание — мы можем быть уверены, благодаря option82, что запрос пришёл именно со свитча с заданным маком и именно с порта с указанным номером, а следовательно — таким образом можно «авторизовать» пользователя.
Я немного позанудствую и напомню, как действует DHCP relay. Он перехватит широковещательный запрос (VLAN-а, на который он настроен), обернёт его в L3 и отправит unicast-ом указанному DHCP-серверу. Ну и не лишним будет напомнить, что делаетoption82. Она добавляет в DHCP-пакет два дополнительных параметра:
DHCP-Relay-Circuit-Id — номер порта с которого пришёл запрос.
DHCP-Relay-Remote-Id — (по умолчанию) макадрес свитча с которого пришёл запрос.
Ещё хочется сказать о методах внедрения этой опции в пакет.В оборудовании Dlink есть два способа:
dhcp_relay — добавляет Option82 и как писалось выше, обернёт его в L3 и отправит unicast-ом указанному DHCP-серверу
dhcp_local_relay (DHCP Snooping) — только добавляет Option82 и пересылает широковещательный пакет дальше.
Немного отклонюсь от темы. Дело в том что конструкцию dhcp_local_relay я нашёл только в оборудовании Dlink. Мне стало интересно, почему же другие производители не внедрили такую замечательную опцию? Оказывается, внедрили, и давно. Называется она DHCP Snooping.
Возможно, у кого-то возникнет вопрос: «зачем нам избавляться от широковещательного трафика»? Дело в том, что на практике я очень часто встречался с таким явлением, что при выходе из строя коммутатора, например, в результате грозы, возникают петли, что приводит к широковещательному шторму. Конечно, как вы уже догадались, от одного широковещательного трафика в IPv4 нам все равно не избавиться — это ARP-трафик. Именно он отвечает за построение таблиц MAC-IP. Конечно, можно это запретить и заполнить таблицы вручную. Но, боюсь что возникшие при этом неудобства сведут на нет все прелести от статических ARP-таблиц.
Во всех статьях указано, что DHCP-клиент и DHCP-сервер могут (должны) находиться в разных подсетях — это неправда. Вот наша схема:
Далее я приведу пример конфигураций:
Теперь конфиг isc-dhcp-server (isc-dhcpd-4.2.4 ) на
Linux big-A75F-M2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux:
$sudo apt-get install vlan-tools isc-dhcp-server
$sudo vconfig add eth0 7
$sudo ifconfig eth0.7 10.90.90.92/8
#Создаем VLAN7 и назначаем адрес 10.90.90.92/8 на котором у нас будет висеть сервер DHCP
Конечно, это только стендовый конфиг, но нам самое главное разобраться с принципом работы. Все же забегая в перед я могу сказать, что у меня работает биллинговая система с option82 и конструкцией dhcp_local_relay(dhcp snooping), а в качестве сервера используется freeradius2 с perl-выборкой IP-адресов из базы postgres. Но это уже выходит за рамки данной статьи.
На машине с сервером запускаем:
c0:a0:bb:48:e5:b0 > 00:15:17:db:e3:e0, ethertype IPv4 (0x0800), length 345: 10.90.90.90.68 > 10.90.90.92.67: BOOTP/DHCP, Request from 48:5b:39:43:78:e5, length 303
Listening on LPF/eth0.7/00:15:17:db:e3:e0/10.0.0.0/8
Sending on LPF/eth0.7/00:15:17:db:e3:e0/10.0.0.0/8
Должен вернуть UID процесса, если ни чего не выведет, проверяйте конфигурацию.
Для чего нужна такая проверка? Я помню случаи, когда сервер стартовал, висел в памяти несколько секунд и вылетал. А я тщетно пытался получить получить IP-адрес.
Если все прошло удачно, в логах мы обнаружим что-то типа:
Dec 2 20:36:17 big-A75F-M2 dhcpd: DHCPREQUEST for 10.0.0.155 from 48:5b:39:43:78:e5 (big-1001PX) via 10.90.90.90
Dec 2 20:36:17 big-A75F-M2 dhcpd: DHCPACK on 10.0.0.155 to 48:5b:39:43:78:e5 (big-1001PX) via 10.90.90.90
Dec 2 20:38:06 big-A75F-M2 dhcpd: Lease for 10.0.0.155 raw option-82 info is CID: 0.4.0.10.0.3 AID: 0.6.c0.a0.bb.48.e5.b0
Теперь одна очень важная вещь, про неё нигде не написано, но я дошёл до неё экспериментальным путём. IP-адрес свитча должен находиться в той же подсети, что и адреса, выдаваемые абонентам. Ни при каких других комбинациях мне не удалось заставить работать связку Dlink DES-3200 (Boot PROM Version: Build 4.00.002 Firmware Version: Build 4.04.004 Hardware Version: C1) и isc-dhcp-server 4.2.4.
И еще не большой бонус, как не погибнуть от броадкастов. Конфиг для Dlink DES-3200 С1:
Это статья не клон и не попытка переписать чужие статьи своими словами. Ниже список похожих публикаций и отличия от них. В своей статье я делал акцент на использование данной конструкции как метод авторизации, а не попытку вынести DHCP-сервер за пределы сети.
Soft Settings
Надо ли включать DNS-Relay?
Большинство пользователей знают, что такое сервис DNS, точнее, зачем он был создан. DNS-сервер получает запрос с именем сайта, а в ответе должен содержаться адрес IP, соответствующий искомому узлу. Именно так компьютеры могут узнавать, к какому адресу надо обращаться, чтобы перейти на тот или иной сайт. Любой домашний и офисный роутер ДНС запросы тоже обрабатывает, а как именно ему удается это выполнять, вроде бы, не так важно.
Но если разобраться с тем, как на самом деле выглядит алгоритм обработки запроса ДНС, то станет понятно – не все роутеры «одинаково хорошие». Некоторые устройства могут обладать функциональностью настоящего DNS-сервера, ну а другие умеют только передавать информацию на маршрутизатор провайдера.
Как устроена система DNS
Обзор разбит на несколько глав, и в первой из них не будет рассматриваться что-либо, имеющее отношение к домашним, либо офисным, сетевым комбайнам. Попытаемся вначале понять, что именно происходит, когда Ваш компьютер пытается открыть сайт. Подразумевается, что адрес DNS-сервера задан в настройках сетевой карты (он может быть получен автоматически, или прописан в явном виде). Сейчас в примере будет рассмотрена последовательность действий, выполняемых маршрутизатором провайдера.
Алгоритм обработки доменных имен
Слово DNS расшифровывается так – Domain Name System. Английские сочетания переводятся с перестановкой слов, то есть, по-русски это будет вот что: Система Доменных Имен. Эта система включает в себя множество машин, обрабатывающих DNS-запросы. Каждая машина (сервер) может относиться к тому или иному уровню. Позже станет понятно, что это значит.
Пример выполнения обработки
Итак, было сказано, что количество DNS-серверов в Интернете не ограничивается одним или двумя. Сервер нулевого уровня, самого высшего – один, и он продублирован 12-ю другими машинами. Адреса этих 13-ти «высших» машин известны любому DNS-серверу. Рассмотрим, что происходит, когда на сервер провайдера присылается запрос DNS:
Любой «внешний» DNS-сервер может сделать одно из двух: либо прислать искомый адрес, либо указать, к какой машине более низкого уровня надо обращаться.
Схема работы системы DNS
Чтобы лучше понять, как все это работает, посмотрите на приведенную здесь схему. Показано, что будет, если готовый ответ придет на шаге «3». Даже для такого случая, как видим, количество пересылаемых пакетов равняется 6-ти. Вот почему рассматриваемый сервис работает достаточно медленно.
Рекурсивный и итеративный запрос
Компьютер присылает провайдеру рекурсивный запрос, то есть такой, ответом на который может быть только IP, соответствующий запрашиваемому имени. Надеемся, это понятно. А вот сам провайдер направляет «внешним» машинам итеративные запросы. Ответом на них может быть как искомый адрес, так и адрес другого (более низшего) DNS-сервера. В последнем случае запрашивающая сторона связывается с машиной, указанной ей в ответе, и все повторяет по-новому (выполняется так называемая итерация).
Иерархия имен и серверов
Как можно понять, сейчас Интернет устроен так, что количество итераций, требуемых для обработки любого рекурсивного запроса, не может превзойти 3 или 4.
На каждой итерации уровень запрашиваемой машины понижается, что очень важно. Правда, нумеруются эти уровни в обратном порядке (начиная от «0»), но максимум их может быть только 4. Заметим, что все итерации обычно выполняются сетевым маршрутизатором, выступающим в роли DNS-сервера.
Возможности домашних роутеров
Домашний или офисный сетевой комбайн (роутер) может содержать в себе кеширующий сервер доменных имен. Последний можно задействовать, тогда итерации начнет выполнять сам роутер. А если опцию не включать, все запросы просто перенаправляются к провайдеру. «DNS-пересылка» – вот как называется последний вариант настройки.
Иногда надо использовать пересылку, но в некоторых случаях DNS-машину лучше включить. Соответствующая опция в роутерах носит название «DNS-relay». Отключите ее, и вычислительная нагрузка по работе с доменными именами перейдет на оборудование «за роутером». Заметим, что в некоторых моделях офисных устройств эту опцию включить нельзя, так как она не реализована.
Задействуем опцию в интерфейсе
Специалисты рекомендуют поступать так: сначала лучше проверить работоспособность сети, не включая рассматриваемую опцию.
Затем, Вы ее задействуете, и должны будете заметить, насколько быстрее станут открываться сайты. Если два роутера соединены каскадом, то на втором из них (включенном в локальную сеть первого) опцию задействовать не надо! И в любом случае роутер, подключенный к провайдеру, должен «знать» хотя бы два адреса DNS-серверов, услуги которых Вам предоставляются.
КЭШ и кэширование
Были рассмотрены принципы работы машин, составляющих собой систему, позволяющую по значению доменного имени узнать IP-адрес. Для ускорения работы такой системы каждая машина может делать вот что: она запоминает, что именно чаще всего у нее спрашивают. Речь идет о тех сетевых машинах, которые могут обрабатывать рекурсивный запрос. По идее, подобной функциональностью наделяется и маршрутизатор Вашего провайдера, и офисный или домашний роутер (не каждая модель).
Если сайт, и соответствующий ему адрес, были запомнены, происходит вот что: по запрашиваемому значению находится ответ, который сразу отсылается запрашивающей стороне. Число передаваемых пакетов здесь равно 2. Но если Вы в роутере не включите DNS-relay, количество пакетов станет равным как минимум четырем. Получается, что рассматриваемая опция ускоряет работу вдвое, но только с теми сайтами, которые были запомнены (сохранены в КЭШе).
2 или 4 пакета
Отметим, что в домашних роутерах нельзя включить или отключить кэширование. Либо Вы задействуете кэширующий сервер, либо отключаете его полностью. А сделать его «не кэширующим» не получится, таковы уж особенности web-интерфейса. Можно поступить еще проще – задать в настройках роутера одну из публичных машин ДНС. Вроде бы, число передаваемых пакетов при этом резко сократится. Но делать здесь рекламу общедоступным публичным сервисам (вроде Google, Yandex и т.д.) никто не собирается.
Волчье логово / Ulvens Lair / Wolfshöhle / Wolfs Lair
Шпаргалки и заметки о сетевых технологиях, серверах, СХД, IT в принципе. И о разном другом) Чтоб самому не забывать, и другим помочь.
четверг, 20 июня 2013 г.
DHCP Relay: Теория и практика настройки DHCP-Relay
Теоретическая база
DHCP сообщение выглядит следующим образом:
DHCP-Relay
Все очень просто: в данной схеме присутствует маршрутизатор, который, как известно, разбивает на части широковещательный домен и не передает широковещательные сообщения из одной сети в другую. Следовательно, РС0 и DHCP SERVER находятся в разных широковещательных доменах, а значит, без дополнительных настроек недостижимы. Broadcast от PC0 будет сброшен маршрутизатором, и РС0 не получит требуемого адреса из своей сети.
Тем не менее выход из данной ситуации есть: настройка DHCP-Relay. Мы можем заставить промежуточное устройство передавать широковещательные DHCP-запросы между клиентами и серверами, которые находятся в разных широковещательных доменах.
В случае настройки Relay-агента, в поле giaddr появится адрес того устройства, которое будет пересылать DHCP-запросы. В случае предлагаемой схемы, в поле будет стоять адрес интерфейса маршрутизатора GW, направленного в сторону сегмента, в котором расположен РС0. Ответы от DHCP-сервера будут направлены relay-агенту, а он уже будет отправлять их конечному хосту, запрашивающему сетевые настройки.
Практическая часть
С теорией все понятно. Теперь применим полученные знания к задачам, возникающим на практике. Попробуем начать с простых задач, и дойдем до (на мой взгляд) более-менее сложных.
Вариант № 1
УСЛОВИЕ: Имеем коммутатор L3 (Cisco 3750-X). Запустим на нем DHCP-Server и будем раздавать настройки всем устройствам, подключенным к нашему коммутатору.
Откровенно говоря, DHCP-сервер лучше всего создавать на маршрутизаторе. Но в данном случае все равно попробуем сделать это на коммутаторе L3, раз он умеет выполнять такую роль. Синтаксис может отличаться в зависимости от версии IOS.
Предлагаемая схема проста и представлена на рисунке ниже.
Создадим SVI для возможности подключения к коммутатору с помощью Telnet/SSH
L3_Core_SW(config)#interface vlan 1
L3_Core_SW(config-if)#ip address 10.10.10.253 255.255.255.0
L3_Core_SW(config-if)#no shutdown
Использовать VLAN 1 не самое правильное решение, но для тестовой схемы будем использовать его. Далее приступим к созданию DHCP-пула. Во-первых, исключим адреса, которые мы выдали серверам, шлюзам, сетевым устройствам. Например исключим диапазон с 10.10.10.250 по 10.10.10.254:
L3_Core_SW(config)#ip dhcp excluded-address 10.10.10.250 10.10.10.254
Создадим пул адресов с именем LocalNet и укажем, какие параметры необходимо выдавать хостам:
L3_Core_SW(config)#ip dhcp pool LocalNet
L3_Core_SW(dhcp-config)#network 10.10.10.0 255.255.255.0
L3_Core_SW(dhcp-config)#default-router 10.10.10.254
L3_Core_SW(dhcp-config)#dns-server 8.8.8.8
L3_Core_SW(dhcp-config)#domain-name LovelyWork
Вариант № 2
УСЛОВИЕ: Возьмем схему из предыдущего варианта и модифицируем её, добавив еще несколько SVI, VLAN, и создав для каждого из VLAN свой DHCP-пул.
К имеющемуся VLAN добавим еще два:
Конфигурация коммутатора будет схожа с предыдущем заданием. Пулы настраиваются точно так же:
L3_Core_SW(config)#vlan 2
L3_Core_SW(config-vlan)#name Department_A
L3_Core_SW(config-vlan)#vlan 3
L3_Core_SW(config-vlan)#name Department_B
L3_Core_SW(config-vlan)#exit
L3_Core_SW(config)#interface vlan 2
L3_Core_SW(config-if)#ip address 172.16.1.13 255.255.255.240
L3_Core_SW(config-if)#no shutdown
L3_Core_SW(config-if)#exit
L3_Core_SW(config)#ip dhcp excluded-address 172.16.1.13 172.16.1.14
L3_Core_SW(config)#ip dhcp pool Dep_A
L3_Core_SW(dhcp-config)#network 172.16.1.0 255.255.255.240
L3_Core_SW(dhcp-config)#default-router 172.16.1.14
L3_Core_SW(dhcp-config)#dns-server 8.8.8.8
L3_Core_SW(dhcp-config)#domain-name LovelyDepartment_A
L3_Core_SW(dhcp-config)#exit
L3_Core_SW(config)#interface vlan 3
L3_Core_SW(config-if)#ip address 172.16.1.29 255.255.255.240
L3_Core_SW(config-if)#no shutdown
L3_Core_SW(config-if)#exit
L3_Core_SW(config)#ip dhcp excluded-address 172.16.1.29 172.16.1.29
L3_Core_SW(config)#ip dhcp pool Dep_B
L3_Core_SW(dhcp-config)#network 172.16.1.16 255.255.255.240L3_Core_SW(dhcp-config)#default-router 172.16.1.30
L3_Core_SW(dhcp-config)#dns-server 8.8.8.8
L3_Core_SW(dhcp-config)#domain-name LovelyDepartment_B
Настроим на интерфейсах роли портов доступа (Access interface), и присвоим интерфейсам соответствие одному из VLAN. Порт g2/0/1 оставим без изменений, по умолчанию он будет находится в VLAN1:
L3_Core_SW(config)#int g2/0/2
L3_Core_SW(config-if)#switchport mode access
L3_Core_SW(config-if)#switchport access vlan 2
L3_Core_SW(config-if)#int g2/0/3
L3_Core_SW(config-if)#switchport mode access
L3_Core_SW(config-if)#switchport access vlan 3
Теперь запустим debug DHCP и посмотрим, каким образом будут обрабатываться сообщения от клиентов, находящихся в разных VLAN:
Каким образом коммутатор понимает, из какого пула необходимо взять адрес? Стоит обратить внимание на то, что коммутатор делает верный выбор пула, и выдает точно те адреса, которые могут существовать в соответствующем VLAN. Как видно из лога, коммутатор сравнивает пулы с адресом интерфейса, на который приходит DHCPDISCOVER. Если это сообщение приходит на интерфейс SVI VLAN 2, а этот интерфейс находится в одном сетевом сегменте с клиентом, значит нужно выбрать тот пул, который будет включать в себя адрес этого SVI. Аналогично с физическими интерфейсами на маршрутизаторе.
Таким образом, можно создавать множество пулов адресов без каких-либо проблем.
Вариант № 3
DHCPServer#sh run
Building configuration.
*Mar 2 02:02:59.417: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 2311 bytes
!
! Last configuration change at 02:02:59 UTC Tue Mar 2 1993
!
version 12.2
!
hostname DHCPServer
!
ip dhcp excluded-address 10.10.10.253 10.10.10.254
ip dhcp excluded-address 172.16.1.13 172.16.1.14
ip dhcp excluded-address 172.16.1.29 172.16.1.30
!
ip dhcp pool LocalNet
network 10.10.10.0 255.255.255.0
default-router 10.10.10.254
dns-server 8.8.8.8
domain-name LovelyWork
!
ip dhcp pool Dep_A
network 172.16.1.0 255.255.255.240
default-router 172.16.1.14
dns-server 8.8.8.8
domain-name LovelyDepartment_A
!
ip dhcp pool Dep_B
network 172.16.1.16 255.255.255.240
default-router 172.16.1.30
dns-server 8.8.8.8
domain-name LovelyDepartment_B
!
!
interface GigabitEthernet2/0/24
no switchport
ip address 10.10.5.200 255.255.255.0
!
end
Коммутатор, выполняющий роль relay-агента и маршрутизатора для межсетевого взаимодействия, имеет следующую конфигурацию:
RelayAgent#sh run
!
hostname RelayAgent
!
ip routing
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
switchport access vlan 2
switchport mode access
!
interface GigabitEthernet1/0/3
switchport access vlan 3
switchport mode access
!
interface GigabitEthernet1/0/4
switchport access vlan 4
switchport mode access
!
!
interface Vlan1
ip address 10.10.10.253 255.255.255.0
ip helper-address 10.10.5.200
!
interface Vlan2
ip address 172.16.1.13 255.255.255.240
ip helper-address 10.10.5.200
!
interface Vlan3
ip address 172.16.1.29 255.255.255.240
ip helper-address 10.10.5.200
!
interface Vlan4
ip address 10.10.5.253 255.255.255.0
!
Для настройки relay к каждому SVI был добавлен helper-address, ссылающийся на DHCP-сервер.
Подключим клиентское устройство к порт Gi1/0/3 (VLAN 3) на коммутаторе RelayAgent и рассмотрим лог команды debug:
*Mar 2 03:05:17.120: DHCPD: setting giaddr to 172.16.1.29.
*Mar 2 03:05:17.120: DHCPD: BOOTREQUEST from 0100.0d60.7886.dc forwarded to 10.10.5.200.
Ответ от DHCP-сервера приходит соответственно на SVI, принадлежащий VLAN 4, в котором и расположен DHCP-сервер. Этот ответ обрабатывается и перенаправляется клиенту. При этом relay-агент создает ARP-запись для выдаваемого сервером адреса:
Стоит посмотреть, есть ли какие-либо интересные изменения в логе debug на самом DHCP-сервере:
Вариант №4
Можно составить еще какие-либо схемы, используя дополнительные промежуточные устройства. Но логика настройки и работы DHCP остается неизменно.