CiscoスイッチでDHCPスヌーピングが有効になっている状況に遭遇しましたが、特定のVLANに対してのみです。ただし、割り当てられたアクセスVLANにDHCPスヌーピングが設定されているかどうかに関係なく、すべてのアクセスポートにip dhcp snooping limit rate 15が適用されていました。
私の直感は、そのVLANでDHCPスヌーピングが有効になっていない場合、このステートメントはそれらのポートで何も実行しないということです。その場合は不要な設定を削除したいのですが、クイック検索で決定的なものを見つけることができませんでした。
これに対処するリファレンスを知っている人はいますか?または、このユースケースをテストして、何らかの方法でデータを提供できますか?
回答:
答えは不要な設定であるようです。そのVLANでDHCPスヌーピングが実行されていない場合、この構成は効果がありません。
これを明確に示すドキュメントがまだ見つからなかったので、自分でテストすることにしました。
すべてのVLANに対してDHCPスヌーピングを有効にし、1秒あたり1のDHCPパケットのレート制限で開始しました(DHCPサーバーが十分に迅速に応答した場合、クライアントが1秒以内にDISCOVERとREQUESTを送信すると想定)。
router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router#show run int fa 0/8
Building configuration...
Current configuration : 230 bytes
!
interface FastEthernet0/8
switchport access vlan 841
switchport mode access
ip dhcp snooping limit rate 1
shutdown
end
制御テストの時間。ポートがerr-disableになるはずです。これは、ポートがup / upに移行してから約1秒後に発生するものです。
router#term mon
router#config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut
コントロールが期待どおりに機能したので、DHCPスヌーピング構成からVLAN 841を削除し、ポートを再度有効にします。1分後、ポートを閉じました(タイムスタンプを表示するため)。
router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down
以下を使用して同じ結果で複数回繰り返されます:
ただし、これについてのドキュメントを誰かに見つけてもらいたいと思っています。
dhcp snoopingが有効なvlanが割り当てられていないポートには影響がないため、すべてのポートにコマンドを残した方がいいと思います。その利点は、ポートがdhcp snooping vlanの一部であるかどうかを毎回確認したり、必要に応じてlimitコマンドを追加したりすることなく、いつでもポートを任意のアクセスポートに変更できることです。