遇到以下情况:仅在某些VLAN上在Cisco交换机上启用了DHCP侦听。但是,无论是否为分配的访问VLAN配置了DHCP侦听,所有访问端口都应用了ip dhcp侦听限制速率15。

我的直觉是,如果未为该VLAN启用DHCP侦听,则该语句在这些端口上根本不执行任何操作。在这种情况下,我宁愿删除不必要的配置,但是在快速搜索中找不到任何确定的内容。

有人知道解决此问题的引用吗?或替代性地测试了此用例,可以以一种或另一种方式提供任何数据?

#1 楼

看来答案是这是不必要的配置。如果DHCP侦听未在该VLAN上运行,则此配置无效。 br />首先为所有VLAN启用DHCP侦听,并且速率限制为每秒一(1)个DHCP数据包(假设如果DHCP服务器响应足够快,客户端将在一秒钟内发送DISCOVER和REQUEST):

router#show ip dhcp snoop
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-4094
Insertion of option 82 is disabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet0/8              no          1         
router#show run int fa 0/8
Building configuration...

Current configuration : 230 bytes
!
interface FastEthernet0/8
 switchport access vlan 841
 switchport mode access
 ip dhcp snooping limit rate 1
 shutdown
end


控制测试的时间,该测试应该错误禁用端口,这恰好是端口转换为up / up后大约一秒钟内发生的情况:

router#term mon
router#config t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int fa 0/8
router(config-if)#no shut
router(config-if)#
Feb 13 22:57:04.589 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
Feb 13 22:57:07.701 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
Feb 13 22:57:08.553 CST: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/8, putting Fa0/8 in err-disable state
Feb 13 22:57:08.561 CST: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Fa0/8 is receiving more than the threshold set
Feb 13 22:57:10.561 CST: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down
router(config-if)#shut


使用以下命令重复多次,结果相同:


三种不同的客户端设备
运行12.1(22)EA14的2950
运行32.2SE2(55)SE8的3750

仍然会爱上有人为此寻找文档。

评论


好帖子。我以相同的方式避免在IOS交换机上进行不必要的配置。感谢您的分享,以节省我的测试时间〜

–user4619
2014年5月5日在2:28

有据可查...绝对是一个很好的答案。

– cpt_fink
2014年7月3日,下午3:26

#2 楼

我觉得最好在所有端口上保留该命令,因为它对尚未为其分配dhcp snooping启用vlan的端口没有任何影响。它的优点是它使您能够随时将端口更改为任何访问端口,而无需每次都检查它们是否属于dhcp snooping vlan的一部分,并在需要时添加limit命令。

评论


虽然开关的操作没有影响(除非有错误),但确实有影响。就我而言,系统管理员错误地认为他正在从生产线中受益。这会造成混乱和错误的安全感。以我的经验,尽可能简化配置通常可以更轻松地了解正在发生的事情,有助于预防问题并帮助进行故障排除。对我来说,这意味着删除任何不必要的配置,无论是未使用的SVI /子接口,ACL,无用的配置等。

– YLearn♦
2014年7月2日在2:22