A taxa limite do Cisco * ip dhcp snooping * se aplica se o snooping DHCP não estiver configurado para a VLAN de acesso?

10

Me deparei com uma situação em que a espionagem DHCP estava ativada em um switch Cisco, mas apenas em determinadas VLANs. No entanto, todas as portas de acesso tiveram uma taxa limite de espionagem ip dhcp 15 aplicada, independentemente de a espionagem DHCP estar ou não configurada para a VLAN de acesso atribuída.

Meu instinto é que, se a espionagem DHCP não estiver ativada para essa VLAN, essa declaração não fará nada nessas portas. Eu preferiria remover a configuração desnecessária, se esse for o caso, no entanto, não consegui encontrar nada definitivo em uma pesquisa rápida.

Alguém sabe de uma referência que aborda isso? Ou testou alternativamente esse caso de uso e pode fornecer dados de uma maneira ou de outra?

YLearn
fonte

Respostas:

8

Parece que a resposta é que é uma configuração desnecessária. Se o espião DHCP não estiver em execução nessa VLAN, essa configuração não terá efeito.

Ainda não consegui encontrar a documentação que afirma isso claramente, então decidi testar isso sozinho.

Iniciado com a espionagem DHCP ativada para todas as VLANs e um limite de taxa de um (1) pacote DHCP por segundo (supondo que o cliente envie o DISCOVER e REQUEST em um segundo se o servidor DHCP responder com rapidez suficiente):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

Hora do teste de controle, que deve desabilitar a porta incorretamente, exatamente o que ocorre em cerca de um segundo após a transição da porta para cima / para cima:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

Como o controle funcionou como esperado, agora removo a VLAN 841 da configuração de espionagem DHCP e habilito a porta novamente. Um minuto depois, fechei a porta (para mostrar o carimbo de data / hora):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

Repetidas várias vezes com os mesmos resultados, usando o seguinte:

  1. Três dispositivos clientes diferentes
  2. 2950 executando 12,1 (22) EA14
  3. 3750 executando 12,2 (55) SE8

Ainda adoraria que alguém encontrasse documentação para isso.

YLearn
fonte
Bom post. Estou no mesmo caminho para evitar configurações desnecessárias nos comutadores IOS. Obrigado por sua parte para salvar o meu tempo para o teste ~
11
Bem documentado ... definitivamente uma boa resposta.
Ct_fink
-1

Eu sinto que é melhor deixar o comando em todas as portas, pois isso não tem nenhum efeito nas portas que não possuem as vlans habilitadas para snooping dhcp atribuídas a elas. A vantagem disso é que ele permite alterar as portas para qualquer porta de acesso a qualquer momento, sem sempre verificar se elas fazem parte do dhcp snooping vlan e adicionar o comando limit, se necessário.

Uma corrida
fonte
2
Embora não haja efeito na operação do comutador (salvo erros), ele tem efeito. No meu caso, no site em questão, o administrador do sistema acreditava falsamente que estava obtendo um benefício da linha. Isso cria confusão e uma falsa sensação de segurança. Na minha experiência, simplificar o máximo possível a configuração geralmente facilita a compreensão do que está acontecendo, ajuda a evitar problemas e ajuda na solução de problemas. Isso significa remover todas as configurações desnecessárias, sejam elas SVIs / subinterfaces não utilizadas, ACLs, configurações inúteis etc.
YLearn