Чи застосовується гранична швидкість відстеження Cisco * ip dhcp *, якщо прослуховування DHCP не налаштовано для VLAN доступу?


10

Натрапив на ситуацію, коли для перемикання DHCP було включено перемикач Cisco, але лише для певних VLAN. Однак у всіх портах доступу була застосована гранична швидкість відхилення ip dhcp 15, незалежно від того, чи було налаштовано прослуховування DHCP для призначеної VLAN доступу.

Мій інстинкт полягає в тому, що якщо вивільнення DHCP не ввімкнено для цієї VLAN, тоді ця заява взагалі нічого не робить на цих портах. Я вважаю за краще видалити непотрібну конфігурацію, якщо це так, проте я не зміг знайти нічого остаточного у швидкому пошуку.

Хтось знає про посилання, яке стосується цього? Або альтернативно перевірено цей випадок використання і може надати будь-які дані так чи інакше?

Відповіді:


8

Здається, відповідь полягає в тому, що це непотрібна конфігурація. Якщо затримка DHCP не працює на цій VLAN, ця конфігурація не впливає.

Я досі не міг знайти документацію, яка б чітко це сказала, тому я вирішив перевірити це сам.

Розпочато з увімкненого прослуховування DHCP для всіх VLAN та обмеження швидкості одного (1) пакета DHCP в секунду (якщо припустити, що клієнт надішле DISCOVER і ЗАЯВКА за одну секунду, якщо сервер DHCP відповість досить швидко):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Час тесту контролю, який повинен помилково відключити порт, саме це відбувається приблизно через секунду після переходу порту вгору / вгору:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Оскільки управління працювало, як очікувалося, тепер я видаляю VLAN 841 з конфігурації прослуховування DHCP і знову включаю порт. Через хвилину я закрив порт (щоб показати часову позначку):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Повторюється кілька разів з однаковими результатами, використовуючи наступні:

  1. Три різні клієнтські пристрої
  2. 2950 працює 12.1 (22) EA14
  3. 3750 працює 12.2 (55) SE8

Хоча все-таки хтось хотів би знайти документацію на це.


Гарний пост. Я так само, щоб уникнути зайвої конфігурації на перемикачах IOS. Дякуємо за вашу частку, щоб заощадити мій час на тест ~

1
Добре задокументовано ... безумовно, хороша відповідь.
cpt_fink

-1

Я вважаю, що краще залишити команду на всіх портах, оскільки це не впливає на порти, у яких не ввімкнено dhcp snooping влани, призначені їм. Його перевага полягає в тому, що він дає можливість змінювати порти в будь-який порт доступу в будь-який час, не перевіряючи, чи є вони частиною dhcp snooping vlan, і додаючи команду limit, якщо потрібно.


2
Хоча в роботі комутатора немає ефекту (помилки заборони), він має ефект. У моєму випадку на розглянутому сайті системний адміністратор помилково вважав, що отримує користь від лінії. Це створює плутанину і помилкове почуття безпеки. На мій досвід, максимально спрощена конфігурація, як правило, полегшує розуміння того, що відбувається, допомагає запобігти проблемам і допомагає у вирішенні проблем. Це для мене означає видалення непотрібної конфігурації, будь то невикористані SVI / підінтерфейси, ACL, непотрібна конфігурація тощо
YLearn
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.