Cisco * ip dhcp snooping limit rate * s'applique-t-il si DHCP snooping n'est pas configuré pour le VLAN d'accès?

10

Nous sommes tombés sur une situation où l'espionnage DHCP était activé sur un commutateur Cisco, mais uniquement pour certains VLAN. Cependant, tous les ports d'accès avaient un taux limite d'espionnage dhcp ip 15 appliqué, que l'espionnage DHCP ait été configuré ou non pour le VLAN d'accès affecté.

Mon instinct est que si l'espionnage DHCP n'est pas activé pour ce VLAN, cette déclaration ne fait rien du tout sur ces ports. Je préférerais supprimer la configuration inutile si c'est le cas, mais je n'ai rien trouvé de définitif dans une recherche rapide.

Quelqu'un connaît-il une référence qui résout ce problème? Ou bien avez-vous testé ce cas d'utilisation et pouvez-vous fournir des données d'une manière ou d'une autre?

YApprendre
la source

Réponses:

8

Il semble que la réponse soit qu'il s'agit d'une configuration inutile. Si l'espionnage DHCP ne s'exécute pas sur ce VLAN, cette configuration n'a aucun effet.

Je ne pouvais toujours pas trouver de documentation qui l'indique clairement, alors j'ai décidé de tester cela moi-même.

Commencé avec l'espionnage DHCP activé pour tous les VLAN et une limite de débit d'un (1) paquet DHCP par seconde (en supposant que le client enverra la DÉCOUVERTE et la DEMANDE en une seconde si le serveur DHCP répond assez rapidement):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Temps pour le test de contrôle, qui devrait désactiver le port par erreur, ce qui se produit exactement environ une seconde après la transition du port vers le haut / le haut:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Comme le contrôle a fonctionné comme prévu, je supprime maintenant le VLAN 841 de la configuration d'espionnage DHCP et réactivez le port. Une minute plus tard, je ferme le port (pour afficher l'horodatage):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Répété plusieurs fois avec les mêmes résultats en utilisant ce qui suit:

  1. Trois appareils clients différents
  2. 2950 exécutant 12,1 (22) EA14
  3. 3750 exécutant 12,2 (55) SE8

J'aimerais quand même que quelqu'un trouve de la documentation à ce sujet.

YApprendre
la source
Bon post. Je suis sur le même chemin pour éviter une configuration inutile sur les commutateurs IOS. Merci pour votre part pour économiser mon temps pour le test ~
1
Bien documenté ... définitivement une bonne réponse.
cpt_fink
-1

Je pense qu'il vaut mieux laisser la commande sur tous les ports car cela n'a aucun effet sur les ports qui n'ont pas les vlans activés pour l'espionnage DHCP. L'avantage est qu'il vous donne la possibilité de changer les ports à n'importe quel port d'accès à tout moment sans vérifier à chaque fois s'ils font partie de vlan snooping vhcp et ajouter la commande limit si nécessaire.

Arun
la source
2
Bien qu'il n'y ait aucun effet dans le fonctionnement du commutateur (sauf bogues), il a un effet. Dans mon cas, sur le site en question, l'administrateur du système a cru à tort qu'il tirait un avantage de la ligne. Cela crée de la confusion et un faux sentiment de sécurité. D'après mon expérience, la simplification de la configuration autant que possible facilite généralement la compréhension de ce qui se passe, aide à prévenir les problèmes et facilite le dépannage. Pour moi, cela signifie supprimer toute configuration inutile, qu'il s'agisse de SVI / sous-interfaces inutilisées, d'ACL, de configuration inutile, etc.
YLearn