Cześć,
może mi ktoś to wytłumaczyć bo przeczytałem chyba milion artykułów ale nigdzie nie jest to wytłumaczone, a mianowicie:
Switch (dystrybucja) do niego podłączone trzy switch'e access C2960x (klasyczna gwiazda). Dla Uproszczenia jeden link port 26 - access trunk do dystrybucji.
Mamy cztery VLAN'y 10,20,30,40 trunk między dystrybucją, a access'em.
Do accessu mam podpięte komputery(VLAN10), drkuarki(VLAN20) oraz AP (VLAN30 - mgmt AP, VLAN40 - klienci AP).
Zgodnie ze sztuką konfiguruję na access'ie
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40
port 26
ip dhcp snooping trust
port 1-25
ip dhcp snooping limit rate 10
I tu pojawiają się moje pytania:
1. czy limit rate 10 - nie jest za mało ? Jak zweryfikować jaką wartość powinienem wprowadzić ? Cisco zaleca nie więcej niż 100, a na różnych forach/blogach 5,10 lub 25. Może mi ktoś wyjaśnić jak to się sprawdza. Czy powinienem podpiąć się wireshark i liczyć ?
2. czy na portach z AP również ustawiam limit rate ? Jeżeli tak to jak obliczyć z jaką wartością. Czy tu powinien być port trust ?
3. co z parametrem ip dhcp snooping information option 82? Czy wyłączyć ? Co z portami z AP?
4. Jeżeli podepnę małego switch'a niezarządzającego (do switch'a access) czy limit rate powinienem mu zwiększyć ? Jeżeli tak to o ile? (wiem mały switch to zło ale czasem trzeba)
5. Czy coś jeszcze powinienem skonfigurować?
6. Na co uważać i najczęstsze problemy
DHCP Snooping
Re: DHCP Snooping
To z mojej perspektywy w skrócie:
Ad 1. Zalecany limit to 15 - https://www.cisco.com/c/en/us/td/docs/s ... #wp1107675 (to jeszcze z cat4500 i raczej nic się tu nie zmieniło).
Nie wiem czy liczy wszystkie stany DHCP przy negocjacji (czy może tylko DISCOVER i REQUEST) ale mam ustawione 15pps i to w zupełności starcza nawet jak host musi renegocjować inny IP (np. w przypadku jakiegoś konfliktu)
Ad 2. Nie wiem jakie masz AP ale w przypadku WLC to jest zestawiany tunel miedzy kontrolerem a AP i tam leci ruch a sam AP jest traktowany jako jeden host , w innych konfigach np. UBNT to trzeba trunk i wtedy ustawiasz trust
Ad 3. No tu to zależy jeśli chcesz potem uruchomić 'ip verify source port-security' to jak dobrze pamiętam musisz mieć aktywne option 82 (DHCP musi wspierać , Win2k12R2 i 16 wspierają chyba) , w przypadku samego 'ip verify source' option 82 możesz wyłączyć
Ad 4. Tu zależy ile hostów na tym sw będzie podłączonych
Ad 5. To chyba wszystko co potrzeba, ew jeśli chcesz mieć tą bazę hostów zapamiętaną po restarcie sw to musisz wskazać w konfigu jakąś lokalizację sieciową po TFTP gdzie będzie ją zapisywał i odczytywał
Ad 6. A tu już zależy od środowiska, skonfigurujesz , podłączysz hosty , baza się zbuduje i będziesz widział co i jak (ostatnio Keith Barker udostępnia wycinki z nowego CCNA jest jeden live stream z DHCP Snoopingiem - https://www.youtube.com/watch?v=pRZ-BDASQuM )
Ad 1. Zalecany limit to 15 - https://www.cisco.com/c/en/us/td/docs/s ... #wp1107675 (to jeszcze z cat4500 i raczej nic się tu nie zmieniło).
Nie wiem czy liczy wszystkie stany DHCP przy negocjacji (czy może tylko DISCOVER i REQUEST) ale mam ustawione 15pps i to w zupełności starcza nawet jak host musi renegocjować inny IP (np. w przypadku jakiegoś konfliktu)
Ad 2. Nie wiem jakie masz AP ale w przypadku WLC to jest zestawiany tunel miedzy kontrolerem a AP i tam leci ruch a sam AP jest traktowany jako jeden host , w innych konfigach np. UBNT to trzeba trunk i wtedy ustawiasz trust
Ad 3. No tu to zależy jeśli chcesz potem uruchomić 'ip verify source port-security' to jak dobrze pamiętam musisz mieć aktywne option 82 (DHCP musi wspierać , Win2k12R2 i 16 wspierają chyba) , w przypadku samego 'ip verify source' option 82 możesz wyłączyć
Ad 4. Tu zależy ile hostów na tym sw będzie podłączonych
Ad 5. To chyba wszystko co potrzeba, ew jeśli chcesz mieć tą bazę hostów zapamiętaną po restarcie sw to musisz wskazać w konfigu jakąś lokalizację sieciową po TFTP gdzie będzie ją zapisywał i odczytywał
Ad 6. A tu już zależy od środowiska, skonfigurujesz , podłączysz hosty , baza się zbuduje i będziesz widział co i jak (ostatnio Keith Barker udostępnia wycinki z nowego CCNA jest jeden live stream z DHCP Snoopingiem - https://www.youtube.com/watch?v=pRZ-BDASQuM )
Re: DHCP Snooping
Dzięki za odpowiedz, mam jeszcze jedno pytanie dotyczące podpunktu 4.
- czyli rozumiem jak mam switch'a 8 portów (czyli 7 urządzeń) to tu robię 105pps na porcie ? (7x15=105)
- czyli rozumiem jak mam switch'a 8 portów (czyli 7 urządzeń) to tu robię 105pps na porcie ? (7x15=105)
Re: DHCP Snooping
A zakładasz że wszyscy klienci jednocześnie będą komunikować się z DHCP ? Tak naprawdę należałoby podsłuchać Wiresharkiem komunikację inicjującą dla jednego klienta żeby dokładnie policzyć ile pakietów jest przesyłanych między nim a serwerem DHCP ale myślę że 100pps powinno w zupełności wystarczyć.
Re: DHCP Snooping
A ok, rozumiem ideę. Dziaki za pomoc.