DHCP Snooping

Problemy związane ze switchingiem
Wiadomość
Autor
marwax
fresh
fresh
Posty: 3
Rejestracja: 06 gru 2019, 20:52

DHCP Snooping

#1

#1 Post autor: marwax »

Cześć,

może mi ktoś to wytłumaczyć bo przeczytałem chyba milion artykułów ale nigdzie nie jest to wytłumaczone, a mianowicie:
Switch (dystrybucja) do niego podłączone trzy switch'e access C2960x (klasyczna gwiazda). Dla Uproszczenia jeden link port 26 - access trunk do dystrybucji.
Mamy cztery VLAN'y 10,20,30,40 trunk między dystrybucją, a access'em.

Do accessu mam podpięte komputery(VLAN10), drkuarki(VLAN20) oraz AP (VLAN30 - mgmt AP, VLAN40 - klienci AP).


Zgodnie ze sztuką konfiguruję na access'ie
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40

port 26
ip dhcp snooping trust

port 1-25
ip dhcp snooping limit rate 10


I tu pojawiają się moje pytania:
1. czy limit rate 10 - nie jest za mało ? Jak zweryfikować jaką wartość powinienem wprowadzić ? Cisco zaleca nie więcej niż 100, a na różnych forach/blogach 5,10 lub 25. Może mi ktoś wyjaśnić jak to się sprawdza. Czy powinienem podpiąć się wireshark i liczyć ?
2. czy na portach z AP również ustawiam limit rate ? Jeżeli tak to jak obliczyć z jaką wartością. Czy tu powinien być port trust ?
3. co z parametrem ip dhcp snooping information option 82? Czy wyłączyć ? Co z portami z AP?
4. Jeżeli podepnę małego switch'a niezarządzającego (do switch'a access) czy limit rate powinienem mu zwiększyć ? Jeżeli tak to o ile? (wiem mały switch to zło ale czasem trzeba)
5. Czy coś jeszcze powinienem skonfigurować?
6. Na co uważać i najczęstsze problemy

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: DHCP Snooping

#2

#2 Post autor: RiFF »

To z mojej perspektywy w skrócie:
Ad 1. Zalecany limit to 15 - https://www.cisco.com/c/en/us/td/docs/s ... #wp1107675 (to jeszcze z cat4500 i raczej nic się tu nie zmieniło).
Nie wiem czy liczy wszystkie stany DHCP przy negocjacji (czy może tylko DISCOVER i REQUEST) ale mam ustawione 15pps i to w zupełności starcza nawet jak host musi renegocjować inny IP (np. w przypadku jakiegoś konfliktu)
Ad 2. Nie wiem jakie masz AP ale w przypadku WLC to jest zestawiany tunel miedzy kontrolerem a AP i tam leci ruch a sam AP jest traktowany jako jeden host , w innych konfigach np. UBNT to trzeba trunk i wtedy ustawiasz trust
Ad 3. No tu to zależy ;) jeśli chcesz potem uruchomić 'ip verify source port-security' to jak dobrze pamiętam musisz mieć aktywne option 82 (DHCP musi wspierać , Win2k12R2 i 16 wspierają chyba) , w przypadku samego 'ip verify source' option 82 możesz wyłączyć
Ad 4. Tu zależy ile hostów na tym sw będzie podłączonych
Ad 5. To chyba wszystko co potrzeba, ew jeśli chcesz mieć tą bazę hostów zapamiętaną po restarcie sw to musisz wskazać w konfigu jakąś lokalizację sieciową po TFTP gdzie będzie ją zapisywał i odczytywał
Ad 6. A tu już zależy od środowiska, skonfigurujesz , podłączysz hosty , baza się zbuduje i będziesz widział co i jak (ostatnio Keith Barker udostępnia wycinki z nowego CCNA jest jeden live stream z DHCP Snoopingiem - https://www.youtube.com/watch?v=pRZ-BDASQuM )

marwax
fresh
fresh
Posty: 3
Rejestracja: 06 gru 2019, 20:52

Re: DHCP Snooping

#3

#3 Post autor: marwax »

Dzięki za odpowiedz, mam jeszcze jedno pytanie dotyczące podpunktu 4.
- czyli rozumiem jak mam switch'a 8 portów (czyli 7 urządzeń) to tu robię 105pps na porcie ? (7x15=105)

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: DHCP Snooping

#4

#4 Post autor: RiFF »

A zakładasz że wszyscy klienci jednocześnie będą komunikować się z DHCP ? Tak naprawdę należałoby podsłuchać Wiresharkiem komunikację inicjującą dla jednego klienta żeby dokładnie policzyć ile pakietów jest przesyłanych między nim a serwerem DHCP ale myślę że 100pps powinno w zupełności wystarczyć.

marwax
fresh
fresh
Posty: 3
Rejestracja: 06 gru 2019, 20:52

Re: DHCP Snooping

#5

#5 Post autor: marwax »

A ok, rozumiem ideę. Dziaki za pomoc.

ODPOWIEDZ