Gilt die Cisco * IP-DHCP-Snooping-Grenzrate *, wenn DHCP-Snooping nicht für das Zugriffs-VLAN konfiguriert ist?

10

Es kam zu einer Situation, in der DHCP-Snooping auf einem Cisco-Switch aktiviert war, jedoch nur für bestimmte VLANs. Auf alle Zugriffsports wurde jedoch eine IP-DHCP-Snooping-Grenzrate 15 angewendet, unabhängig davon, ob DHCP-Snooping für das zugewiesene Zugriffs-VLAN konfiguriert war oder nicht.

Mein Instinkt ist, dass, wenn DHCP-Snooping für dieses VLAN nicht aktiviert ist, diese Anweisung an diesen Ports überhaupt nichts bewirkt. Ich würde es vorziehen, die unnötige Konfiguration zu entfernen, wenn dies der Fall ist, aber ich konnte bei einer Schnellsuche nichts Bestimmtes finden.

Kennt jemand eine Referenz, die dies anspricht? Oder alternativ diesen Anwendungsfall getestet und können auf die eine oder andere Weise beliebige Daten bereitstellen?

cisco dhcp YLearn
quelle

Antworten:

8

Die Antwort scheint zu sein, dass es sich um eine unnötige Konfiguration handelt. Wenn in diesem VLAN kein DHCP-Snooping ausgeführt wird, hat diese Konfiguration keine Auswirkung.

Ich konnte immer noch keine Dokumentation finden, in der dies eindeutig angegeben ist, und habe mich daher entschlossen, dies selbst zu testen.

Begonnen mit aktiviertem DHCP-Snooping für alle VLANs und einem Ratenlimit von einem (1) DHCP-Paket pro Sekunde (vorausgesetzt, der Client sendet DISCOVER und REQUEST in einer Sekunde, wenn der DHCP-Server schnell genug antwortet):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Zeit für den Kontrolltest, bei dem der Port fehlerhaft deaktiviert werden sollte. Dies ist genau das, was ungefähr eine Sekunde nach dem Übergang des Ports zu up / up geschieht:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Da die Steuerung wie erwartet funktioniert hat, entferne ich jetzt VLAN 841 aus der DHCP-Snooping-Konfiguration und aktiviere den Port erneut. Eine Minute später schloss ich den Port (um den Zeitstempel anzuzeigen):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Mehrfach wiederholt mit denselben Ergebnissen wie folgt:

  1. Drei verschiedene Clientgeräte
  2. 2950 mit 12.1 (22) EA14
  3. 3750 mit 12,2 (55) SE8

Würde es trotzdem lieben, wenn jemand Dokumentation dafür findet.

YLearn
quelle
Guter Post. Ich bin auf dem gleichen Weg, um unnötige Konfigurationen auf IOS-Switches zu vermeiden. Vielen Dank für Ihren
1
Gut dokumentiert ... definitiv eine gute Antwort.
cpt_fink
-1

Ich denke, es ist besser, den Befehl an allen Ports zu belassen, da er keine Auswirkungen auf die Ports hat, denen nicht die DHCP-Snooping-fähigen VLANs zugewiesen wurden. Dies hat den Vorteil, dass Sie jederzeit die Ports in einen beliebigen Zugriffsport ändern können, ohne jedes Mal zu überprüfen, ob sie Teil von dhcp snooping vlan sind, und bei Bedarf den Befehl limit hinzuzufügen.

Arun
quelle
2
Der Betrieb des Schalters hat zwar keine Auswirkungen (außer bei Fehlern), hat jedoch Auswirkungen. In meinem Fall glaubte der Systemadministrator an der fraglichen Stelle fälschlicherweise, dass er von der Leitung profitieren würde. Dies schafft Verwirrung und ein falsches Sicherheitsgefühl. Nach meiner Erfahrung erleichtert die Vereinfachung der Konfiguration im Allgemeinen das Verständnis der Vorgänge, hilft, Probleme zu vermeiden, und hilft bei der Fehlerbehebung. Dies bedeutet für mich, unnötige Konfigurationen zu entfernen, unabhängig davon, ob es sich um nicht verwendete SVIs / Subschnittstellen, ACLs, nutzlose Konfigurationen usw. handelt.
YLearn