遇到在 Cisco 交换机上启用 DHCP 侦听的情况,但仅适用于某些 VLAN。但是,无论是否为分配的接入 VLAN 配置了 DHCP 侦听,所有接入端口都应用了ip dhcp 侦听限制速率 15。
我的直觉是,如果没有为那个 VLAN 启用 DHCP 监听,那么这个语句就不会在这些端口上做任何事情。如果是这种情况,我更愿意删除不必要的配置,但是在快速搜索中我找不到任何明确的内容。
有谁知道解决这个问题的参考文献?或者替代地测试这个用例并且可以以一种或另一种方式提供任何数据?
如果未为接入 VLAN 配置 DHCP 侦听,Cisco *ip dhcp 侦听限制速率* 是否适用?
网络工程
思科
dhcp
2021-07-23 19:26:14
2个回答
看来答案是它是不必要的配置。如果 DHCP 侦听未在该 VLAN 上运行,则此配置无效。
我仍然找不到明确说明这一点的文档,所以我决定自己测试一下。
开始时为所有 VLAN 启用 DHCP 侦听,速率限制为每秒一 (1) 个 DHCP 数据包(假设客户端将在一秒钟内发送 DISCOVER 和 REQUEST,如果 DHCP 服务器响应足够快):
router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router#show run int fa 0/8
Building configuration...
Current configuration : 230 bytes
!
interface FastEthernet0/8
switchport access vlan 841
switchport mode access
ip dhcp snooping limit rate 1
shutdown
end
控制测试的时间,它应该错误禁用端口,这正是端口转换为 up/up 后大约一秒钟发生的情况:
router#term mon
router#config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut
由于控制按预期工作,我现在从 DHCP 侦听配置中删除 VLAN 841 并再次启用该端口。一分钟后,我关闭了端口(以显示时间戳):
router(config-if)#no ip dhcp snooping vlan 841
router(config)#do sh ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-840,842-4094
Insertion of option 82 is disabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/8 no 1
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:58:49.150 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:58:52.290 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:58:53.290 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to up
router(config-if)#shut
Feb 13 22:59:55.119 CST: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
Feb 13 22:59:56.119 CST: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down
使用以下方法重复多次,结果相同:
- 三种不同的客户端设备
- 2950 运行 12.1(22)EA14
- 3750 运行 12.2(55)SE8
尽管如此,仍然希望有人为此找到文档。
我觉得最好将命令保留在所有端口上,因为它对没有分配给它们的启用 dhcp 侦听的 vlan 的端口没有任何影响。它的优点是它使您能够随时将端口更改为任何访问端口,而无需每次检查它们是否是 dhcp snooping vlan 的一部分,并在需要时添加限制命令。