En redes enrutadas L3, es muy común ver el comando ip helper-address x.x.x.x en la configuración de las interfaces SVI. En el 99% de los casos el comando está en su lugar sólo para permitir a los equipos que se sientan en alguna VLAN obtener la dirección IP de un servidor DHCP que se sienta en una VLAN completamente diferente.

Como todos sabemos, los paquetes de petición DHCP son enviados en broadcast, por lo que un router/l3 dejará caer los broadcasts por defecto y necesitamos tráfico broadcast yendo y viniendo a través de la red para que los servicios DHCP funcionen.

El punto es que el comportamiento del comando ip helper-address es reenviar más protocolos no sólo DHCP. Por defecto este comando permitirá los siguientes protocolos a través del router:

  • Port 37 - Time
  • Port 49 - TACACS
  • Port 53 - DNS
  • Port 67 - BOOTP/DHCP Server
  • Port 68 - BOOTP/DHCP Client
  • Port 69 - TFTP
  • Port 137 - NetBIOS Name Service
  • Port 138 - NetBIOS Datagram Service

Así que tenemos que tener mucho cuidado porque a lo mejor estamos permitiendo que pase algo más que el tráfico deseado.

Por cierto, recuerda que aún podemos permitir más protocolos con la ayuda del comando ip forward-protocol:

R1(config)# ip forward-protocol ?
nd Sun's Network Disk protocol
sdns Network Security Protocol
spanning-tree Use transparent bridging to flood UDP broadcasts
turbo-flood Fast flooding of UDP broadcasts
udp Packets to a specific UDP port