DHCP gözetlemesi erişim VLAN'ı için yapılandırılmamışsa Cisco * ip dhcp gözetleme sınır oranı * geçerli midir?


10

Bir Cisco anahtarında DHCP gözetlemesinin etkinleştirildiği bir durumla karşılaştım, ancak yalnızca belirli VLAN'lar için. Ancak, atanan erişim VLAN'ı için DHCP gözetleme yapılandırılmış olsun veya olmasın , tüm erişim bağlantı noktalarında ip dhcp gözetleme sınırı oranı 15 uygulandı.

İçgüdüm, DHCP gözetlemesi o VLAN için etkinleştirilmemişse, bu ifadenin bu bağlantı noktalarında hiçbir şey yapmamasıdır. Bu durumda gereksiz yapılandırmayı kaldırmayı tercih ederim, ancak hızlı bir aramada kesin bir şey bulamadım.

Bunu ele alan bir referans bilen var mı? Ya da alternatif olarak bu kullanım durumunu test etti ve herhangi bir veriyi şu ya da bu şekilde sağlayabilir mi?

Yanıtlar:


8

Görünüşe göre cevap gereksiz bir konfigürasyon. DHCP gözetlemesi o VLAN'da çalışmıyorsa, bu yapılandırmanın bir etkisi yoktur.

Bunu açıkça ifade eden belgeler bulamadım, bu yüzden bunu kendim test etmeye karar verdim.

Tüm VLAN'lar için DHCP gözetleme etkinken ve saniyede bir (1) DHCP paket hız sınırıyla (DHCP sunucusu yeterince hızlı yanıt verirse istemcinin bir saniye içinde KEŞFEDİN ve İSTEĞİNİ göndereceğini varsayarak) başlar:

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Portu err-devre dışı bırakması gereken kontrol testi süresi, portun yukarı / yukarı geçişinden yaklaşık bir saniye sonra gerçekleşir:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Kontrol beklendiği gibi çalıştığından, VLAN 841'i DHCP gözetleme yapılandırmasından kaldırıyorum ve bağlantı noktasını tekrar etkinleştiriyorum. Bir dakika sonra, bağlantı noktasını kapattım (zaman damgasını göstermek için):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Aşağıdakileri kullanarak aynı sonuçlarla birden çok kez tekrarlayın:

  1. Üç farklı istemci cihazı
  2. 2950 çalışan 12.1 (22) EA14
  3. 3750 çalışan 12.2 (55) SE8

Yine de birisi bunun için belge bulmak isterdim.


İyi yazı. IOS anahtarlarında gereksiz yapılandırmayı önlemek için aynı yoldayım. Test için zaman kazanmak için paylaşımınız için teşekkür ederiz ~

1
İyi belgelenmiş ... kesinlikle iyi bir cevap.
cpt_fink

-1

Komutu tüm bağlantı noktalarında bırakmanın daha iyi olduğunu düşünüyorum, çünkü dhcp gözetleme etkinleştirilmiş vlans'lara atanmamış bağlantı noktaları üzerinde herhangi bir etkisi yoktur. Bunun avantajı, her seferinde dhcp gözetleme vlanının bir parçası olup olmadığını kontrol etmeden ve gerektiğinde limit komutunu eklemeden bağlantı noktalarını istediğiniz zaman herhangi bir erişim portuna değiştirme olanağı vermesidir.


2
Anahtarın (engelleme hataları) çalışmasında bir etkisi olmamakla birlikte, bir etkisi vardır. Benim durumumda, söz konusu sitede sistem yöneticisi yanlış bir şekilde hattan yararlandığına inanıyordu. Bu karışıklık ve sahte bir güvenlik duygusu yaratır. Deneyimlerime göre, yapılandırmayı mümkün olduğunca basitleştirmek genellikle neler olup bittiğini anlamayı kolaylaştırır, sorunları önlemeye yardımcı olur ve sorun gidermeye yardımcı olur. Bana bu o kullanılmayan SVIs / subinterfaces, ACL, yararsız yapılandırma vb olup olmadığı, gereksiz yapılandırmayı kaldırılması anlamına gelir
YLearn
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.