C3560 ip dhcp snooping: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
(не показана 21 промежуточная версия этого же участника) | |||
Строка 1: | Строка 1: | ||
+ | [[Категория:Cisco]] |
||
− | =ip dhcp snoopping = |
||
+ | [[Категория:Switch]] |
||
+ | [[Категория:Networking]] |
||
+ | [[Категория:DHCP]] |
||
+ | [[Категория:DHCP Relay]] |
||
+ | [[Категория:DHCP Snoopping]] |
||
+ | =ip dhcp snoopping = |
||
+ | TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной |
||
+ | <BR> |
||
+ | Пример маршрута <code>192.168.138.163/32</code> |
||
+ | <PRE> |
||
+ | c3560G-lab.home#show ip route vrf Customers |
||
+ | </PRE> |
||
+ | <PRE> |
||
+ | C 192.168.128.0/20 is directly connected, Loopback110 |
||
+ | 192.168.128.0/32 is subnetted, 1 subnets |
||
+ | L 192.168.128.254 is directly connected, Loopback110 |
||
+ | 192.168.138.0/32 is subnetted, 1 subnets |
||
+ | S 192.168.138.163 is directly connected, Vlan3003 |
||
+ | </PRE> |
||
+ | При этом DHCP binding показываются как глобальные (даже при настроенных VRF) |
||
+ | <PRE> |
||
+ | ip dhcp binding |
||
+ | </PRE> |
||
+ | <PRE> |
||
+ | Bindings from all pools not associated with VRF: |
||
+ | IP address Client-ID/ Lease expiration Type |
||
+ | Hardware address/ |
||
+ | User name |
||
+ | ... |
||
+ | 192.168.138.163 b827.eb51.d8a4 Dec 07 2022 06:10 PM Relay |
||
+ | </PRE> |
||
+ | <BR> |
||
+ | аналогично, Snooping Bindings тоже показываются глобально |
||
+ | <PRE> |
||
+ | show ip dhcp snooping binding |
||
+ | </PRE> |
||
+ | <PRE> |
||
+ | MacAddress IpAddress Lease(sec) Type VLAN Interface |
||
+ | ------------------ --------------- ---------- ------------- ---- -------------------- |
||
+ | B8:27:EB:51:D8:A4 192.168.138.163 47 dhcp-snooping 3003 GigabitEthernet0/6 |
||
+ | Total number of bindings: 1 |
||
+ | </PRE> |
||
=Минимальный конфиг - L2 = |
=Минимальный конфиг - L2 = |
||
Строка 7: | Строка 49: | ||
* <code>ip dhcp snooping trust</code> на порту куда включен сервер |
* <code>ip dhcp snooping trust</code> на порту куда включен сервер |
||
* Глобально |
* Глобально |
||
− | <code>ip dhcp snooping vlan 3003<code> |
+ | ** <code>ip dhcp snooping vlan 3003</code> |
− | <code>ip dhcp snooping</code> |
+ | ** <code>ip dhcp snooping</code> |
==Клиентский порт== |
==Клиентский порт== |
||
<PRE> |
<PRE> |
||
Строка 26: | Строка 68: | ||
end |
end |
||
</PRE> |
</PRE> |
||
− | ==<code>sh ip dhcp snooping</code> |
+ | ==<code>sh ip dhcp snooping</code>== |
<PRE> |
<PRE> |
||
sh ip dhcp snooping |
sh ip dhcp snooping |
||
+ | |||
Switch DHCP snooping is enabled |
Switch DHCP snooping is enabled |
||
DHCP snooping is configured on following VLANs: |
DHCP snooping is configured on following VLANs: |
||
Строка 52: | Строка 95: | ||
GigabitEthernet0/5 yes yes unlimited |
GigabitEthernet0/5 yes yes unlimited |
||
Custom circuit-ids: |
Custom circuit-ids: |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | show ip dhcp snooping binding |
||
+ | </PRE> |
||
+ | <PRE> |
||
+ | MacAddress IpAddress Lease(sec) Type VLAN Interface |
||
+ | ------------------ --------------- ---------- ------------- ---- -------------------- |
||
+ | B8:27:EB:51:D8:A4 10.2.1.2 62 dhcp-snooping 3003 GigabitEthernet0/7 |
||
+ | Total number of bindings: 1 |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | =snooping + relay + ip unnumbered = |
||
+ | * Влан клиентов (в примере 3003) терменируется на свитче |
||
+ | * Настроен IP unnumbered Loopback110 |
||
+ | * Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу |
||
+ | * c VRF тоже работает |
||
+ | * <code>ip helper-address</code> на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах |
||
+ | |||
+ | |||
+ | * <code> ip dhcp relay information trusted</code> на <code>Vlan 3100</code>, куда включен сервер |
||
+ | * <code> ip dhcp snooping vlan 3003</code> |
||
+ | * <code> ip dhcp snooping</code> |
||
+ | ==Логические интерфейсы== |
||
+ | ===Клиентский=== |
||
+ | <PRE> |
||
+ | interface Vlan3003 |
||
+ | ip unnumbered Loopback110 |
||
+ | ip helper-address 172.31.11.1 |
||
+ | end |
||
+ | </PRE> |
||
+ | |||
+ | ===Интерфейс в сторону DHCP-server=== |
||
+ | <PRE> |
||
+ | interface Vlan3100 |
||
+ | ip dhcp relay information trusted |
||
+ | ip address 172.31.11.2 255.255.255.0 |
||
+ | ip helper-address 172.31.11.2 |
||
+ | end |
||
+ | </PRE> |
||
+ | |||
+ | ===Loopback=== |
||
+ | Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай) |
||
+ | <PRE> |
||
+ | interface Loopback110 |
||
+ | ip address 10.3.0.1 255.255.255.0 secondary |
||
+ | ip address 10.4.0.1 255.255.255.0 secondary |
||
+ | ip address 10.2.0.1 255.255.0.0 |
||
+ | ip helper-address 172.31.11.1 |
||
+ | end |
||
+ | </PRE> |
||
+ | |||
+ | ==Физические интерфейсы== |
||
+ | ===Клиентский порт=== |
||
+ | <PRE> |
||
+ | interface GigabitEthernet0/5 |
||
+ | switchport trunk encapsulation dot1q |
||
+ | switchport trunk native vlan 3100 |
||
+ | switchport trunk allowed vlan 3100 |
||
+ | switchport mode trunk |
||
+ | spanning-tree bpdufilter enable |
||
+ | ip dhcp snooping trust |
||
+ | end |
||
+ | </PRE> |
||
+ | |||
+ | ===Порт куда включен DHCP Server=== |
||
+ | <PRE> |
||
+ | interface GigabitEthernet0/7 |
||
+ | switchport access vlan 3003 |
||
+ | switchport mode access |
||
+ | spanning-tree bpdufilter enable |
||
+ | end |
||
</PRE> |
</PRE> |
Текущая версия на 09:32, 5 июля 2023
ip dhcp snoopping
TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной
Пример маршрута 192.168.138.163/32
c3560G-lab.home#show ip route vrf Customers
C 192.168.128.0/20 is directly connected, Loopback110 192.168.128.0/32 is subnetted, 1 subnets L 192.168.128.254 is directly connected, Loopback110 192.168.138.0/32 is subnetted, 1 subnets S 192.168.138.163 is directly connected, Vlan3003
При этом DHCP binding показываются как глобальные (даже при настроенных VRF)
ip dhcp binding
Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name ... 192.168.138.163 b827.eb51.d8a4 Dec 07 2022 06:10 PM Relay
аналогично, Snooping Bindings тоже показываются глобально
show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- B8:27:EB:51:D8:A4 192.168.138.163 47 dhcp-snooping 3003 GigabitEthernet0/6 Total number of bindings: 1
Минимальный конфиг - L2
- Все в одном Vlan
ip dhcp snooping trust
на порту куда включен сервер- Глобально
ip dhcp snooping vlan 3003
ip dhcp snooping
Клиентский порт
interface GigabitEthernet0/7 switchport access vlan 3003 switchport mode access spanning-tree bpdufilter enable end
Порт куда включен DHCP Server
interface GigabitEthernet0/5 switchport access vlan 3003 switchport mode access spanning-tree bpdufilter enable ip dhcp snooping trust end
sh ip dhcp snooping
sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 3003 DHCP snooping is operational on following VLANs: 3003 Smartlog is configured on following VLANs: none Smartlog is operational on following VLANs: none DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: 0026.5218.4900 (MAC) Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps) ----------------------- ------- ------------ ---------------- GigabitEthernet0/5 yes yes unlimited Custom circuit-ids:
show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- B8:27:EB:51:D8:A4 10.2.1.2 62 dhcp-snooping 3003 GigabitEthernet0/7 Total number of bindings: 1
snooping + relay + ip unnumbered
- Влан клиентов (в примере 3003) терменируется на свитче
- Настроен IP unnumbered Loopback110
- Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
- c VRF тоже работает
ip helper-address
на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах
ip dhcp relay information trusted
наVlan 3100
, куда включен серверip dhcp snooping vlan 3003
ip dhcp snooping
Логические интерфейсы
Клиентский
interface Vlan3003 ip unnumbered Loopback110 ip helper-address 172.31.11.1 end
Интерфейс в сторону DHCP-server
interface Vlan3100 ip dhcp relay information trusted ip address 172.31.11.2 255.255.255.0 ip helper-address 172.31.11.2 end
Loopback
Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай)
interface Loopback110 ip address 10.3.0.1 255.255.255.0 secondary ip address 10.4.0.1 255.255.255.0 secondary ip address 10.2.0.1 255.255.0.0 ip helper-address 172.31.11.1 end
Физические интерфейсы
Клиентский порт
interface GigabitEthernet0/5 switchport trunk encapsulation dot1q switchport trunk native vlan 3100 switchport trunk allowed vlan 3100 switchport mode trunk spanning-tree bpdufilter enable ip dhcp snooping trust end
Порт куда включен DHCP Server
interface GigabitEthernet0/7 switchport access vlan 3003 switchport mode access spanning-tree bpdufilter enable end