Применяется ли ограничение Cisco * ip dhcp snooping *, если отслеживание DHCP не настроено для VLAN доступа?

10

Сталкивался с ситуацией, когда отслеживание DHCP было включено на коммутаторе Cisco, но только для определенных VLAN. Однако ко всем портам доступа была применена предельная скорость отслеживания ip dhcp 15, независимо от того, было ли настроено отслеживание DHCP для назначенной сети доступа VLAN.

Мой инстинкт заключается в том, что если DHCP-слежение не включено для этой VLAN, то этот оператор ничего не делает на этих портах. Я бы предпочел удалить ненужную конфигурацию, если это так, но я не смог найти ничего определенного в быстром поиске.

Кто-нибудь знает ссылку на это? Или альтернативно протестировал этот вариант использования и может предоставить какие-либо данные тем или иным способом?

YLearn
источник

Ответы:

8

Похоже, ответ заключается в том, что это ненужная конфигурация. Если DHCP слежение не работает в этой VLAN, то эта конфигурация не имеет никакого эффекта.

Я до сих пор не смог найти документацию, в которой четко об этом говорится, поэтому я решил проверить это сам.

Начинается с отслеживания DHCP, включенного для всех VLAN, и ограничения скорости в один (1) пакет DHCP в секунду (при условии, что клиент отправит DISCOVER и REQUEST за одну секунду, если сервер DHCP отвечает достаточно быстро):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Время для контрольного теста, который должен ошибочно отключить порт, что и происходит примерно через секунду после перехода порта вверх / вверх:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Поскольку управление работало должным образом, я теперь удаляю VLAN 841 из конфигурации отслеживания DHCP и снова включаю порт. Через минуту я закрыл порт (чтобы показать временную метку):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Повторяется несколько раз с одинаковыми результатами, используя следующее:

  1. Три разных клиентских устройства
  2. 2950 работает 12,1 (22) EA14
  3. 3750 работает 12,2 (55) SE8

Все равно любил бы, чтобы кто-то нашел документацию для этого все же.

YLearn
источник
Хороший пост. Я нахожусь на том же пути, чтобы избежать ненужной конфигурации на коммутаторах IOS. Спасибо за вашу долю, чтобы сэкономить мое время для теста ~
1
Хорошо задокументировано ... безусловно, хороший ответ.
cpt_fink
-1

Я чувствую, что лучше оставить команду на всех портах, так как она не оказывает никакого влияния на порты, которым не назначены vlan-ы, поддерживающие dhcp snooping. Преимущество этого состоит в том, что он дает вам возможность в любое время переключать порты на любой порт доступа, не проверяя каждый раз, являются ли они частью dhcp snooping vlan, и добавляя команду limit, если это необходимо.

Arun
источник
2
Хотя это не влияет на работу переключателя (за исключением ошибок), он все же оказывает влияние. В моем случае на рассматриваемом сайте системный администратор ложно полагал, что он получает выгоду от линии. Это создает путаницу и ложное чувство безопасности. По моему опыту, максимально упрощение конфигурации обычно облегчает понимание происходящего, помогает предотвратить проблемы и помогает в устранении неполадок. Для меня это означает удаление любой ненужной конфигурации, будь то неиспользуемые SVI / подынтерфейсы, ACL, бесполезная конфигурация и т. Д.
YLearn