Parece que a resposta é que é uma configuração desnecessária. Se o espião DHCP não estiver em execução nessa VLAN, essa configuração não terá efeito.
Ainda não consegui encontrar a documentação que afirma isso claramente, então decidi testar isso sozinho.
Iniciado com a espionagem DHCP ativada para todas as VLANs e um limite de taxa de um (1) pacote DHCP por segundo (supondo que o cliente envie o DISCOVER e REQUEST em um segundo se o servidor DHCP responder com rapidez suficiente):
router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router#show run int fa 0/8
Building configuration...
Current configuration : 230 bytes
!
interface FastEthernet0/8
switchport access vlan 841
switchport mode access
ip dhcp snooping limit rate 1
shutdown
end
Hora do teste de controle, que deve desabilitar a porta incorretamente, exatamente o que ocorre em cerca de um segundo após a transição da porta para cima / para cima:
router#term mon
router#config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut
Como o controle funcionou como esperado, agora removo a VLAN 841 da configuração de espionagem DHCP e habilito a porta novamente. Um minuto depois, fechei a porta (para mostrar o carimbo de data / hora):
router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down
Repetidas várias vezes com os mesmos resultados, usando o seguinte:
- Três dispositivos clientes diferentes
- 2950 executando 12,1 (22) EA14
- 3750 executando 12,2 (55) SE8
Ainda adoraria que alguém encontrasse documentação para isso.
Eu sinto que é melhor deixar o comando em todas as portas, pois isso não tem nenhum efeito nas portas que não possuem as vlans habilitadas para snooping dhcp atribuídas a elas. A vantagem disso é que ele permite alterar as portas para qualquer porta de acesso a qualquer momento, sem sempre verificar se elas fazem parte do dhcp snooping vlan e adicionar o comando limit, se necessário.
fonte