Tốc độ giới hạn rình mò của Cisco * ip dhcp * có áp dụng nếu DHCP snooping không được cấu hình cho Vlan truy cập không?


10

Đã gặp tình huống DHCP snooping được bật trên thiết bị chuyển mạch của Cisco, nhưng chỉ đối với một số Vlan nhất định. Tuy nhiên, tất cả các cổng truy cập đều có tốc độ giới hạn rình mò ip dhcp 15 được áp dụng cho dù DHCP snooping có được cấu hình cho Vlan truy cập được chỉ định hay không.

Bản năng của tôi là nếu DHCP snooping không được kích hoạt cho Vlan đó, thì tuyên bố này không làm gì cả trên các cổng đó. Tôi muốn loại bỏ cấu hình không cần thiết nếu đây là trường hợp, tuy nhiên tôi không thể tìm thấy bất cứ điều gì dứt khoát trong một tìm kiếm nhanh.

Có ai biết một tài liệu tham khảo địa chỉ này? Hoặc đã thử nghiệm thay thế trường hợp sử dụng này và có thể cung cấp bất kỳ dữ liệu nào bằng cách này hay cách khác?

Câu trả lời:


8

Nó xuất hiện câu trả lời là nó là cấu hình không cần thiết. Nếu DHCP snooping không chạy trên Vlan đó, thì cấu hình này không có hiệu lực.

Tôi vẫn không thể tìm thấy tài liệu nêu rõ điều này, vì vậy tôi quyết định tự mình kiểm tra nó.

Bắt đầu với DHCP snooping được kích hoạt cho tất cả các Vlan và giới hạn tốc độ của một (1) gói DHCP mỗi giây (giả sử rằng máy khách sẽ gửi DISCOVER và REQUEST trong một giây nếu máy chủ DHCP phản hồi đủ nhanh):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Thời gian cho kiểm tra điều khiển, sẽ vô hiệu hóa cổng, đó chính xác là những gì xảy ra trong khoảng một giây sau khi cổng chuyển sang lên / lên:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Vì điều khiển hoạt động như mong đợi, bây giờ tôi loại bỏ Vlan 841 khỏi cấu hình snooping của DHCP và kích hoạt lại cổng. Một phút sau, tôi đóng cổng (để hiển thị dấu thời gian):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Lặp đi lặp lại nhiều lần với cùng kết quả bằng cách sử dụng như sau:

  1. Ba thiết bị khách khác nhau
  2. 2950 chạy 12.1 (22) EA14
  3. 3750 chạy 12.2 (55) SE8

Mặc dù vậy, vẫn sẽ yêu một người để tìm tài liệu cho việc này.


Bài đăng tốt. Tôi đang trên cùng một cách để tránh cấu hình không cần thiết trên các thiết bị chuyển mạch iOS. Cảm ơn bạn đã chia sẻ để tiết kiệm thời gian kiểm tra của tôi ~

1
Tài liệu tốt ... chắc chắn là một câu trả lời tốt.
cpt_fink

-1

Tôi cảm thấy tốt hơn khi để lại lệnh trên tất cả các cổng vì nó không có bất kỳ ảnh hưởng nào đến các cổng không có các vlans kích hoạt sncoping được gán cho chúng. Ưu điểm của nó là nó cung cấp cho bạn khả năng thay đổi cổng thành bất kỳ cổng truy cập nào bất cứ lúc nào mà không cần kiểm tra xem chúng có phải là một phần của dhcp rình mò vlan và thêm lệnh giới hạn nếu cần.


2
Mặc dù không có tác dụng trong hoạt động của công tắc (chặn lỗi) nhưng nó có hiệu lực. Trong trường hợp của tôi, tại trang web được đề cập, quản trị viên hệ thống đã sai lầm tin rằng anh ta sẽ nhận được lợi ích từ dòng này. Điều này tạo ra sự nhầm lẫn và một cảm giác an toàn sai lầm. Theo kinh nghiệm của tôi, việc đơn giản hóa cấu hình càng nhiều càng tốt thường giúp dễ hiểu hơn những gì đang diễn ra, giúp ngăn ngừa sự cố và hỗ trợ khắc phục sự cố. Điều này với tôi có nghĩa là loại bỏ bất kỳ cấu hình không cần thiết nào, cho dù đó là các SVI / giao diện con không được sử dụng, ACL, cấu hình vô dụng, v.v.
YLearn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.