DHCP-Snooping-Verwirrung

7

Ich versuche herauszufinden, wie man DHCP-Snooping und dynamische Arp-Inspektion in unserem Gastnetzwerk aktiviert, und bin ein wenig verwirrt ...

Hier ist die Situation:

Wir haben eine Hub-and-Spoke-Topologie mit einem Haupt-Core-Switch, der mit mehreren Layer 3 / Distribution-Switches verbunden ist. Die Edge-Switches übertragen den gesamten Gastnetzwerkverkehr auf Gast-VLAN 10. Dieser Verkehr wird dann über eine VRF vom Rest des Netzwerks auf Schicht 3 getrennt. Zwischen jedem Verteilungsschalter und dem Hauptkern befindet sich ein anderes Gastnetzwerk vlan, vlan 8xx. Die Switches der Zugriffsschicht sind Cisco 2960S und die Core / Distribution-Switches sind 4507.

Der DHCP-Server stellt eine Verbindung zum Hauptkern her.

Ich weiß, dass ich DHCP-Snooping auf VLAN 10 aktivieren und die Trunk-Schnittstellen als vertrauenswürdige Schnittstellen festlegen muss, aber ich bin verwirrt, wenn ich mich auf der Verteilungsschicht befinde, auf der es an die VRF weitergeleitet wird. Muss ich auch das Snooping auf den vrf-Gast-vlans (8xx) aktivieren?

Alicia
quelle

Antworten:

7

Wenn keine DHCP-Clients direkt mit Ihrer Distribution oder Ihrem Core verbunden sind, müssen Sie dort kein DHCP-Snooping konfigurieren. Sie würden Ihre Access Layer-Switches nur so konfigurieren, dass sie jedem Port mit Ausnahme Ihrer Uplinks zu den Verteilungs-Switches nicht vertrauen.

Adam Loveless
quelle