क्या Cisco * ip dhcp स्नूपिंग लिमिट रेट * लागू होता है यदि DHCP स्नूपिंग एक्सेस VLAN के लिए कॉन्फ़िगर नहीं किया गया है?


10

एक ऐसी स्थिति में आया जहां एक Cisco स्विच पर DHCP स्नूपिंग सक्षम था, लेकिन केवल कुछ VLAN के लिए। हालाँकि, सभी एक्सेस पोर्ट्स में एक IP dhcp स्नूपिंग सीमा दर 15 लागू थी कि DHCP स्नूपिंग को असाइन किए गए एक्सेस VLAN के लिए कॉन्फ़िगर किया गया था या नहीं।

मेरी वृत्ति यह है कि अगर डीएचसीपी स्नूपिंग उस वीएलएएन के लिए सक्षम नहीं है, तो यह कथन उन बंदरगाहों पर कुछ भी नहीं कर रहा है। यदि यह मामला है, तो मैं अनावश्यक कॉन्फ़िगरेशन को निकालना पसंद करूंगा, हालांकि मुझे त्वरित खोज में कुछ भी निश्चित नहीं मिला।

क्या किसी को उस संदर्भ का पता है जो इसे संबोधित करता है? या वैकल्पिक रूप से इस उपयोग के मामले का परीक्षण किया और किसी भी डेटा को एक या दूसरे तरीके से प्रदान कर सकता है?

जवाबों:


8

ऐसा प्रतीत होता है कि उत्तर यह अनावश्यक विन्यास है। यदि डीएचसीएल स्नूपिंग उस वीएलएएन पर नहीं चल रहा है, तो इस कॉन्फ़िगरेशन का कोई प्रभाव नहीं है।

मुझे अभी भी प्रलेखन नहीं मिला है जो स्पष्ट रूप से यह बताता है, इसलिए मैंने खुद इसका परीक्षण करने का फैसला किया।

सभी वीएलएएन के लिए सक्षम डीएचसीपी स्नूपिंग के साथ शुरू हुआ और प्रति सेकंड एक (1) डीएचसीपी पैकेट की दर सीमा (यह मानते हुए कि क्लाइंट डीएचसीपी सर्वर पर्याप्त जवाब देता है, तो एक सेकंड में डिस्कोवर्स और अनुरोध भेज देगा):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

नियंत्रण परीक्षण के लिए समय, जिसे पोर्ट को गलत तरीके से अक्षम करना चाहिए, जो पोर्ट ट्रांसफ़ॉर्मेशन को बढ़ाने के लिए लगभग एक सेकंड में होता है:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

चूंकि नियंत्रण ने अपेक्षा के अनुरूप काम किया, इसलिए मैं अब डीएचसीपी स्नूपिंग कॉन्फ़िगरेशन से वीएलएएन 841 को हटा देता हूं और फिर से पोर्ट को सक्षम करता हूं। एक मिनट बाद, मैंने बंदरगाह बंद कर दिया (टाइमस्टैम्प दिखाने के लिए):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

निम्न का उपयोग करके एक ही परिणाम के साथ कई बार दोहराया गया:

  1. तीन अलग-अलग क्लाइंट डिवाइस
  2. 2950 12.1 (22) EA14 चल रहा है
  3. 3750 12.2 (55) एसई 8 चल रहा है

हालांकि किसी को इसके लिए प्रलेखन ढूंढना पसंद होगा।


अच्छी पोस्ट। IOS स्विच पर अनावश्यक कॉन्फ़िगरेशन से बचने के लिए मैं उसी तरह हूं। परीक्षण के लिए अपना समय बचाने के लिए आपके हिस्से के लिए धन्यवाद ~

1
अच्छी तरह से प्रलेखित ... निश्चित रूप से एक अच्छा जवाब।
cpt_fink

-1

मुझे लगता है कि सभी पोर्ट पर कमांड को छोड़ना बेहतर है क्योंकि पोर्ट पर कोई प्रभाव नहीं पड़ता है जो कि dhcp स्नूपिंग सक्षम vlans उन्हें सौंपा गया है। इसका लाभ यह है कि यह आपको हर बार जाँच के बिना पोर्ट्स को किसी भी एक्सेस पोर्ट में बदलने की क्षमता देता है, चाहे वे dhcp स्नूपिंग वलान का हिस्सा हों और यदि आवश्यक हो तो लिमिट कमांड जोड़ते हैं।


2
जबकि स्विच के संचालन में कोई प्रभाव नहीं है (कीड़े को रोकना) इसका प्रभाव पड़ता है। मेरे मामले में, सिस्टम एडमिन के सवाल पर साइट पर यह विश्वास था कि उसे लाइन से लाभ मिल रहा था। इससे भ्रम और सुरक्षा की झूठी भावना पैदा होती है। मेरे अनुभव में, विन्यास को यथासंभव सरल बनाना आम तौर पर यह समझना आसान बनाता है कि क्या हो रहा है, समस्याओं को रोकने में मदद करता है और समस्या निवारण में सहायता करता है। मेरे लिए यह किसी भी अनावश्यक विन्यास को दूर करने का अर्थ है, चाहे वह अप्रयुक्त SVIs / subinterfaces, एसीएल, बेकार config, आदि है
YLearn
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.