Czy obowiązuje limit szybkości szpiegowania Cisco * ip dhcp *, jeśli nie jest skonfigurowane szpiegowanie DHCP dla dostępu VLAN?

10

Wystąpiło to w sytuacji, gdy włączono szpiegowanie DHCP na przełączniku Cisco, ale tylko dla niektórych sieci VLAN. Jednak wszystkie porty dostępu miały zastosowaną wartość graniczną szpiegowania IP dhcp 15 niezależnie od tego, czy skonfigurowano szpiegowanie DHCP dla przypisanej sieci VLAN.

Moją instynkt jest taki, że jeśli szpiegowanie DHCP nie jest włączone dla tej sieci VLAN, to to stwierdzenie nic nie robi na tych portach. W takim przypadku wolałbym usunąć niepotrzebną konfigurację, jednak nie mogłem znaleźć niczego ostatecznego w szybkim wyszukiwaniu.

Czy ktoś wie o referencji, która dotyczy tego? Lub alternatywnie przetestowałeś ten przypadek użycia i czy możesz podać jakieś dane w ten czy inny sposób?

cisco dhcp YLearn
źródło

Odpowiedzi:

8

Wydaje się, że odpowiedź jest taka, że ​​jest to niepotrzebna konfiguracja. Jeśli szperanie DHCP nie działa w tej sieci VLAN, ta konfiguracja nie ma wpływu.

Nadal nie mogłem znaleźć dokumentacji, która wyraźnie to stwierdza, więc postanowiłem to przetestować sam.

Rozpoczęło się od włączenia szpiegowania DHCP dla wszystkich sieci VLAN i ograniczenia prędkości jednego (1) pakietu DHCP na sekundę (przy założeniu, że klient wyśle ​​ODKRYWANIE i ŻĄDANIE w ciągu jednej sekundy, jeśli serwer DHCP zareaguje wystarczająco szybko):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Czas na test kontrolny, który powinien błędnie wyłączyć port, co dokładnie dzieje się w około sekundę po przejściu portu w górę / w górę:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Ponieważ kontrola działała zgodnie z oczekiwaniami, teraz usuwam VLAN 841 z konfiguracji szpiegowania DHCP i ponownie włączam port. Minutę później zamknąłem port (aby pokazać znacznik czasu):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Powtarzane wiele razy z tymi samymi wynikami przy użyciu:

  1. Trzy różne urządzenia klienckie
  2. 2950 z uruchomionym 12.1 (22) EA14
  3. 3750 z uruchomionym 12.2 (55) SE8

Jednak nadal chciałbym, aby ktoś znalazł na to dokumentację.

YLearn
źródło
Dobry post Jestem w ten sam sposób, aby uniknąć niepotrzebnej konfiguracji przełączników IOS. Dzięki za udział w oszczędzaniu czasu na test ~
1
Dobrze udokumentowane ... zdecydowanie dobra odpowiedź.
cpt_fink
-1

Wydaje mi się, że lepiej pozostawić polecenie na wszystkich portach, ponieważ nie ma ono żadnego wpływu na porty, które nie mają przypisanych do nich vlanów z włączonym podglądem dhcp. Zaletą tego jest to, że daje możliwość zmiany portów na dowolny port dostępowy w dowolnym czasie, bez każdorazowego sprawdzania, czy są one częścią vl dhcp snooping i dodawania polecenia limit w razie potrzeby.

Bieg
źródło
2
Chociaż działanie przełącznika nie ma żadnego efektu (blokowanie błędów), ma ono wpływ. W moim przypadku administrator witryny, o której mowa, fałszywie wierzył, że czerpie korzyści z linii. Powoduje to zamieszanie i fałszywe poczucie bezpieczeństwa. Z mojego doświadczenia wynika, że ​​uproszczenie konfiguracji w jak największym stopniu ogólnie ułatwia zrozumienie, co się dzieje, pomaga zapobiegać problemom i pomaga w rozwiązywaniu problemów. To dla mnie oznacza usunięcie niepotrzebnej konfiguracji, czy to nieużywane SVI / podinterface, ACL, bezużyteczna konfiguracja itp.
YLearn