¿Se aplica Cisco * ip dhcp snooping limit rate * si DHCP snooping no está configurado para la VLAN de acceso?

10

Encontré una situación en la que la indagación DHCP estaba habilitada en un conmutador Cisco, pero solo para ciertas VLAN. Sin embargo, todos los puertos de acceso tenían una tasa de límite de inspección IP dhcp 15 aplicada independientemente de si DHCP se configuró o no para la VLAN de acceso asignada.

Mi instinto es que si la indagación DHCP no está habilitada para esa VLAN, entonces esta declaración no está haciendo nada en absoluto en esos puertos. Preferiría eliminar la configuración innecesaria si este es el caso, sin embargo, no pude encontrar nada definitivo en una búsqueda rápida.

¿Alguien sabe de una referencia que aborde esto? ¿O probó alternativamente este caso de uso y puede proporcionar datos de una forma u otra?

YLearn
fuente

Respuestas:

8

Parece que la respuesta es que es una configuración innecesaria. Si la inspección DHCP no se ejecuta en esa VLAN, esta configuración no tiene efecto.

Todavía no pude encontrar documentación que establezca claramente esto, así que decidí probar esto yo mismo.

Comenzó con la inspección DHCP habilitada para todas las VLAN y un límite de velocidad de un (1) paquete DHCP por segundo (suponiendo que el cliente enviará el DESCUBRIMIENTO y la SOLICITUD en un segundo si el servidor DHCP responde lo suficientemente rápido):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Tiempo para la prueba de control, que debería err-deshabilitar el puerto, que es exactamente lo que ocurre en aproximadamente un segundo después de que el puerto pase a subir / subir:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Como el control funcionó como se esperaba, ahora elimino la VLAN 841 de la configuración de inspección DHCP y habilito el puerto nuevamente. Un minuto después, cerré el puerto (para mostrar la marca de tiempo):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Repetido varias veces con los mismos resultados usando lo siguiente:

  1. Tres dispositivos de cliente diferentes
  2. 2950 corriendo 12.1 (22) EA14
  3. 3750 corriendo 12.2 (55) SE8

Sin embargo, todavía me encantaría que alguien encuentre documentación para esto.

YLearn
fuente
Buen post. Estoy en la misma forma de evitar configuraciones innecesarias en los conmutadores IOS. Gracias por su parte para ahorrar mi tiempo para la prueba ~
1
Bien documentado ... definitivamente una buena respuesta.
cpt_fink
-1

Siento que es mejor dejar el comando en todos los puertos ya que no tiene ningún efecto en los puertos que no tienen asignados los vlans habilitados para dhcp snooping. La ventaja de esto es que le brinda la capacidad de cambiar los puertos a cualquier puerto de acceso en cualquier momento sin verificar cada vez si son parte de dhcp snooping vlan y agregar el comando limit si es necesario.

Arun
fuente
2
Si bien no hay ningún efecto en el funcionamiento del interruptor (salvo errores), sí tiene un efecto. En mi caso, en el sitio en cuestión, el administrador del sistema creía falsamente que estaba obteniendo un beneficio de la línea. Esto crea confusión y una falsa sensación de seguridad. En mi experiencia, simplificar la configuración tanto como sea posible generalmente facilita la comprensión de lo que está sucediendo, ayuda a prevenir problemas y ayuda a solucionar problemas. Esto para mí significa eliminar cualquier configuración innecesaria, ya sea SVI / subinterfaces no utilizadas, ACL, configuración inútil, etc.
YLearn