Parece que la respuesta es que es una configuración innecesaria. Si la inspección DHCP no se ejecuta en esa VLAN, esta configuración no tiene efecto.
Todavía no pude encontrar documentación que establezca claramente esto, así que decidí probar esto yo mismo.
Comenzó con la inspección DHCP habilitada para todas las VLAN y un límite de velocidad de un (1) paquete DHCP por segundo (suponiendo que el cliente enviará el DESCUBRIMIENTO y la SOLICITUD en un segundo si el servidor DHCP responde lo suficientemente rápido):
router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router#show run int fa 0/8
Building configuration...
Current configuration : 230 bytes
!
interface FastEthernet0/8
switchport access vlan 841
switchport mode access
ip dhcp snooping limit rate 1
shutdown
end
Tiempo para la prueba de control, que debería err-deshabilitar el puerto, que es exactamente lo que ocurre en aproximadamente un segundo después de que el puerto pase a subir / subir:
router#term mon
router#config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut
Como el control funcionó como se esperaba, ahora elimino la VLAN 841 de la configuración de inspección DHCP y habilito el puerto nuevamente. Un minuto después, cerré el puerto (para mostrar la marca de tiempo):
router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down
Repetido varias veces con los mismos resultados usando lo siguiente:
- Tres dispositivos de cliente diferentes
- 2950 corriendo 12.1 (22) EA14
- 3750 corriendo 12.2 (55) SE8
Sin embargo, todavía me encantaría que alguien encuentre documentación para esto.
Siento que es mejor dejar el comando en todos los puertos ya que no tiene ningún efecto en los puertos que no tienen asignados los vlans habilitados para dhcp snooping. La ventaja de esto es que le brinda la capacidad de cambiar los puertos a cualquier puerto de acceso en cualquier momento sin verificar cada vez si son parte de dhcp snooping vlan y agregar el comando limit si es necesario.
fuente