La percentuale limite di snooping Cisco * ip dhcp * si applica se lo snooping DHCP non è configurato per la VLAN di accesso?

10

Si è imbattuto in una situazione in cui lo snooping DHCP è stato abilitato su uno switch Cisco, ma solo per alcune VLAN. Tuttavia, tutte le porte di accesso avevano una velocità limite di snooping ip dhcp 15 applicata indipendentemente dal fatto che lo snooping DHCP fosse configurato o meno per la VLAN di accesso assegnata.

Il mio istinto è che se lo snooping DHCP non è abilitato per quella VLAN, questa affermazione non sta facendo nulla su quelle porte. Preferirei rimuovere la configurazione non necessaria in questo caso, tuttavia non sono riuscito a trovare nulla di definitivo in una rapida ricerca.

Qualcuno sa di un riferimento che affronta questo? O in alternativa testato questo caso d'uso e può fornire dati in un modo o nell'altro?

cisco  dhcp 
YImparare
fonte

Risposte:

8

Sembra che la risposta sia che si tratta di una configurazione non necessaria. Se lo snooping DHCP non è in esecuzione su quella VLAN, questa configurazione non ha alcun effetto.

Non riuscivo ancora a trovare documentazione che lo affermasse chiaramente, quindi ho deciso di provarlo da solo.

Iniziato con snooping DHCP abilitato per tutte le VLAN e un limite di velocità di un (1) pacchetto DHCP al secondo (supponendo che il client invierà SCOPRI e RICHIEDI in un secondo se il server DHCP risponde abbastanza rapidamente):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Tempo per il test di controllo, che dovrebbe disabilitare la porta in modo errato, che è esattamente ciò che accade in circa un secondo dopo che la porta è passata su / su:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Poiché il controllo ha funzionato come previsto, ora rimuovo VLAN 841 dalla configurazione snooping DHCP e abilito nuovamente la porta. Un minuto dopo, ho chiuso la porta (per mostrare il timestamp):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Ripetuto più volte con gli stessi risultati usando quanto segue:

  1. Tre diversi dispositivi client
  2. 2950 con 12.1 (22) EA14
  3. 3750 in esecuzione 12.2 (55) SE8

Mi piacerebbe comunque che qualcuno trovasse la documentazione per questo.

YImparare
fonte
Buon post. Sono allo stesso modo per evitare configurazioni non necessarie sugli switch IOS. Grazie per la tua condivisione per risparmiare tempo per il test ~
1
Ben documentato ... sicuramente una buona risposta.
cpt_fink
-1

Sento che è meglio lasciare il comando su tutte le porte poiché non ha alcun effetto sulle porte a cui non sono assegnati i vlan abilitati con snooping dhcp. Il vantaggio è che ti dà la possibilità di cambiare le porte in qualsiasi porta di accesso in qualsiasi momento senza controllare ogni volta se fanno parte di dhcp snooping vlan e aggiungere il comando limit se necessario.

Arun
fonte
2
Sebbene non vi sia alcun effetto nel funzionamento dell'interruttore (escludendo i bug), ha un effetto. Nel mio caso, nel sito in questione l'amministratore di sistema credeva erroneamente di trarre vantaggio dalla linea. Questo crea confusione e un falso senso di sicurezza. Nella mia esperienza, semplificare il più possibile la configurazione in generale rende più facile capire cosa sta succedendo, aiuta a prevenire problemi e aiuta nella risoluzione dei problemi. Questo per me significa rimuovere qualsiasi configurazione non necessaria, che si tratti di SVI / sottointerfacce, ACL, configurazioni inutili inutilizzate, ecc.
YLearn
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.