อัตราการ จำกัด การสอดแนมของ Cisco * ip dhcp * ใช้หรือไม่หากการดักจับ DHCP ไม่ได้กำหนดค่าไว้สำหรับการเข้าถึง VLAN


10

ข้ามสถานการณ์ที่การดักฟัง DHCP ถูกเปิดใช้งานบนสวิตช์ของ Cisco แต่สำหรับ VLAN บางตัวเท่านั้น อย่างไรก็ตามพอร์ตการเข้าถึงทั้งหมดมีอัตราการ จำกัด การดักฟัง ip dhcp 15ใช้ไม่ว่าจะมีการกำหนดค่าการดักฟัง DHCP สำหรับการเข้าถึง VLAN ที่กำหนดหรือไม่ก็ตาม

สัญชาตญาณของฉันคือว่าถ้าการดักฟัง DHCP ไม่ได้เปิดใช้งานสำหรับ VLAN นั้นคำสั่งนี้จะไม่ทำอะไรเลยในพอร์ตเหล่านั้น ฉันต้องการลบการกำหนดค่าที่ไม่จำเป็นหากเป็นกรณีนี้ แต่ฉันไม่พบสิ่งใดที่ชัดเจนในการค้นหาอย่างรวดเร็ว

ไม่มีใครรู้ถึงการอ้างอิงที่อยู่นี้? หรือทดสอบกรณีการใช้งานอื่นหรือไม่และสามารถให้ข้อมูลใด ๆ ไม่ทางเดียว

คำตอบ:


8

ดูเหมือนว่าคำตอบคือมันเป็นค่าที่ไม่จำเป็น หากการดักฟัง DHCP ไม่ทำงานบน VLAN นั้นแสดงว่าการกำหนดค่านี้ไม่มีผลกระทบ

ฉันยังไม่พบเอกสารที่ระบุสิ่งนี้ชัดเจนดังนั้นฉันจึงตัดสินใจทดสอบด้วยตัวเอง

เริ่มต้นด้วยการเปิดใช้งานการดักฟัง DHCP สำหรับ VLANs ทั้งหมดและ จำกัด อัตราของหนึ่ง (1) แพ็คเก็ต DHCP ต่อวินาที (สมมติว่าลูกค้าจะส่ง DISCOVER และการร้องขอในหนึ่งวินาทีถ้าเซิร์ฟเวอร์ DHCP ตอบสนองเร็วพอ):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end

เวลาสำหรับการทดสอบการควบคุมซึ่งควรปิดการใช้งานพอร์ตซึ่งเป็นสิ่งที่เกิดขึ้นในเวลาประมาณหนึ่งวินาทีหลังจากการเปลี่ยนพอร์ตเป็นขึ้น / ลง:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut

เนื่องจากตัวควบคุมทำงานตามที่คาดไว้ตอนนี้ฉันลบ VLAN 841 ออกจากการกำหนดค่าการดักฟัง DHCP และเปิดใช้งานพอร์ตอีกครั้ง หนึ่งนาทีต่อมาฉันปิดพอร์ต (เพื่อแสดงการประทับเวลา):

router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router(config)#int fa   0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down

ทำซ้ำหลายครั้งด้วยผลลัพธ์เดียวกันโดยใช้สิ่งต่อไปนี้:

  1. สามอุปกรณ์ไคลเอนต์ที่แตกต่างกัน
  2. 2950 ทำงาน 12.1 (22) EA14
  3. 3750 ทำงาน 12.2 (55) SE8

จะยังคงรักใครสักคนที่จะหาเอกสารสำหรับเรื่องนี้แม้ว่า


โพสต์ที่ดี ฉันใช้วิธีเดียวกันกับการหลีกเลี่ยงการกำหนดค่าที่ไม่จำเป็นในสวิตช์ IOS ขอบคุณสำหรับการแบ่งปันของคุณเพื่อประหยัดเวลาของฉันสำหรับการทดสอบ ~

1
บันทึกไว้ดี ... คำตอบที่ดีอย่างแน่นอน
cpt_fink

-1

ฉันรู้สึกดีกว่าที่จะออกจากคำสั่งบนพอร์ตทั้งหมดเนื่องจากไม่มีผลกระทบใด ๆ กับพอร์ตที่ไม่มีการ dhcp สอดแนมเปิดใช้งาน vlans ที่กำหนดให้กับพวกเขา ข้อดีของมันคือมันช่วยให้คุณสามารถเปลี่ยนพอร์ตเป็นพอร์ตการเข้าถึงใด ๆ ได้ตลอดเวลาโดยไม่ต้องตรวจสอบแต่ละครั้งว่าพวกเขาเป็นส่วนหนึ่งของ dhcp snooping vlan และเพิ่มคำสั่ง จำกัด หากจำเป็น


2
ในขณะที่ไม่มีผลในการทำงานของสวิตช์ (ยกเว้นข้อผิดพลาด) แต่ก็มีผลกระทบ ในกรณีของฉันที่ไซต์ดังกล่าวผู้ดูแลระบบเชื่อว่าเขาได้รับผลประโยชน์จากการแอบอ้าง สิ่งนี้สร้างความสับสนและความรู้สึกผิด ๆ ด้านความปลอดภัย จากประสบการณ์ของฉันการลดความซับซ้อนของการตั้งค่าให้มากที่สุดโดยทั่วไปทำให้เข้าใจได้ง่ายขึ้นว่าเกิดอะไรขึ้นช่วยป้องกันปัญหาและช่วยเหลือในการแก้ไขปัญหา สิ่งนี้สำหรับฉันหมายถึงการลบการกำหนดค่าที่ไม่จำเป็นออกไม่ว่าจะเป็น SVIs / subinterfaces ที่ไม่ได้ใช้ ACLs การตั้งค่าที่ไม่ได้ผล ฯลฯ
YLearn
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.