C3560 ip dhcp snooping

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску


ip dhcp snoopping

TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной
Пример маршрута 192.168.138.163/32 

c3560G-lab.home#show ip route vrf Customers

C     192.168.128.0/20 is directly connected, Loopback110
      192.168.128.0/32 is subnetted, 1 subnets
L        192.168.128.254 is directly connected, Loopback110
      192.168.138.0/32 is subnetted, 1 subnets
S        192.168.138.163 is directly connected, Vlan3003

При этом DHCP binding показываются как глобальные (даже при настроенных VRF) 

ip dhcp binding

Bindings from all pools not associated with VRF:
IP address          Client-ID/	 	    Lease expiration        Type
		    Hardware address/
		    User name
...
192.168.138.163     b827.eb51.d8a4          Dec 07 2022 06:10 PM    Relay


аналогично, Snooping Bindings тоже показываются глобально 

show ip dhcp snooping binding

MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   192.168.138.163  47          dhcp-snooping   3003  GigabitEthernet0/6
Total number of bindings: 1

Минимальный конфиг - L2

  • Все в одном Vlan
  • ip dhcp snooping trust на порту куда включен сервер
  • Глобально
    • ip dhcp snooping vlan 3003
    • ip dhcp snooping

Клиентский порт

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end

Порт куда включен DHCP Server

interface GigabitEthernet0/5
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

sh ip dhcp snooping

sh ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
3003
DHCP snooping is operational on following VLANs:
3003
Smartlog is configured on following VLANs:
none
Smartlog is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0026.5218.4900 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------
GigabitEthernet0/5         yes        yes             unlimited
  Custom circuit-ids:

show ip dhcp snooping binding

MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   10.2.1.2         62          dhcp-snooping   3003  GigabitEthernet0/7
Total number of bindings: 1


snooping + relay + ip unnumbered

  • Влан клиентов (в примере 3003) терменируется на свитче
  • Настроен IP unnumbered Loopback110
  • Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
  • c VRF тоже работает
  • ip helper-address на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах


  • ip dhcp relay information trusted на Vlan 3100, куда включен сервер
  • ip dhcp snooping vlan 3003
  • ip dhcp snooping

Логические интерфейсы

Клиентский

interface Vlan3003
 ip unnumbered Loopback110
 ip helper-address 172.31.11.1
end

Интерфейс в сторону DHCP-server

interface Vlan3100
 ip dhcp relay information trusted
 ip address 172.31.11.2 255.255.255.0
 ip helper-address 172.31.11.2
end

Loopback

Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай) 

interface Loopback110
 ip address 10.3.0.1 255.255.255.0 secondary
 ip address 10.4.0.1 255.255.255.0 secondary
 ip address 10.2.0.1 255.255.0.0
 ip helper-address 172.31.11.1
end

Физические интерфейсы

Клиентский порт

interface GigabitEthernet0/5
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 3100
 switchport trunk allowed vlan 3100
 switchport mode trunk
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

Порт куда включен DHCP Server

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end
Источник — https://noname.com.ua/mediawiki/index.php?title=C3560_ip_dhcp_snooping&oldid=11514