Apakah Cisco * ip dhcp snooping limit rate * berlaku jika snooping DHCP tidak dikonfigurasi untuk VLAN akses?

10

Datang di situasi di mana DHCP snooping diaktifkan pada switch Cisco, tetapi hanya untuk VLAN tertentu. Namun, semua port akses memiliki tingkat batas pengintaian ip dhcp 15 diterapkan apakah pengintaian DHCP telah dikonfigurasi untuk VLAN akses yang ditetapkan.

Naluri saya adalah jika pengintai DHCP tidak diaktifkan untuk VLAN itu, maka pernyataan ini tidak melakukan apa-apa pada port tersebut. Saya lebih suka menghapus konfigurasi yang tidak perlu jika ini masalahnya, namun saya tidak dapat menemukan sesuatu yang pasti dalam pencarian cepat.

Adakah yang tahu referensi yang membahas ini? Atau secara alternatif menguji use case ini dan dapat memberikan data dengan satu atau lain cara?

cisco dhcp YPelajari
sumber

Jawaban:

8

Tampaknya jawabannya adalah konfigurasi yang tidak perlu. Jika DHCP snooping tidak berjalan pada VLAN itu, maka konfigurasi ini tidak berpengaruh.

Saya masih tidak dapat menemukan dokumentasi yang dengan jelas menyatakan ini, jadi saya memutuskan untuk mengujinya sendiri.

Dimulai dengan pengintaian DHCP yang diaktifkan untuk semua VLAN dan batas kecepatan satu (1) paket DHCP per detik (dengan asumsi bahwa klien akan mengirim DISCOVER dan REQUEST dalam satu detik jika server DHCP merespons dengan cukup cepat):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Waktu untuk tes kontrol, yang seharusnya menonaktifkan-port, yang persis seperti apa yang terjadi sekitar satu detik setelah port transisi ke atas / atas:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Karena kontrolnya berfungsi seperti yang diharapkan, saya sekarang menghapus VLAN 841 dari konfigurasi snooping DHCP dan mengaktifkan port lagi. Satu menit kemudian, saya menutup port (untuk menunjukkan stempel waktu):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Diulang beberapa kali dengan hasil yang sama menggunakan yang berikut:

  1. Tiga perangkat klien yang berbeda
  2. 2950 menjalankan 12.1 (22) EA14
  3. 3750 berjalan 12.2 (55) SE8

Akan tetap senang jika seseorang menemukan dokumentasi untuk ini.

YPelajari
sumber
Pos yang bagus. Saya berada pada cara yang sama untuk menghindari konfigurasi yang tidak perlu pada switch IOS. Terima kasih atas bagian Anda untuk menghemat waktu saya untuk pengujian ~
1
Didokumentasikan dengan baik ... pasti jawaban yang bagus.
cpt_fink
-1

Saya merasa lebih baik untuk meninggalkan perintah pada semua port karena tidak memiliki efek pada port yang belum mendapat vlan diaktifkan dhcp snooping diaktifkan ditugaskan kepada mereka. Keuntungannya adalah ia memberi Anda kemampuan untuk mengubah port ke port akses mana saja kapan saja tanpa setiap waktu memeriksa apakah mereka adalah bagian dari dhcp snooping vlan dan menambahkan perintah limit jika diperlukan.

Arun
sumber
2
Meskipun tidak ada efek dalam pengoperasian sakelar (bug pembatasan) itu memang memiliki efek. Dalam kasus saya, di situs yang dipermasalahkan admin sistem secara keliru meyakini bahwa ia mendapat manfaat dari saluran tersebut. Ini menciptakan kebingungan dan rasa aman yang salah. Dalam pengalaman saya, menyederhanakan konfigurasi sebanyak mungkin umumnya membuatnya lebih mudah untuk memahami apa yang sedang terjadi, membantu mencegah masalah dan membantu dalam pemecahan masalah.
Bagi