C3560 ip dhcp snooping: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
 
(не показано 18 промежуточных версий этого же участника)
Строка 1: Строка 1:
  +
[[Категория:Cisco]]
=ip dhcp snoopping =
 
  +
[[Категория:Switch]]
  +
[[Категория:Networking]]
  +
[[Категория:DHCP]]
  +
[[Категория:DHCP Relay]]
  +
[[Категория:DHCP Snoopping]]
   
   
  +
=ip dhcp snoopping =
  +
TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной
  +
<BR>
  +
Пример маршрута <code>192.168.138.163/32</code>
  +
<PRE>
  +
c3560G-lab.home#show ip route vrf Customers
  +
</PRE>
  +
<PRE>
  +
C 192.168.128.0/20 is directly connected, Loopback110
  +
192.168.128.0/32 is subnetted, 1 subnets
  +
L 192.168.128.254 is directly connected, Loopback110
  +
192.168.138.0/32 is subnetted, 1 subnets
  +
S 192.168.138.163 is directly connected, Vlan3003
  +
</PRE>
  +
При этом DHCP binding показываются как глобальные (даже при настроенных VRF)
  +
<PRE>
  +
ip dhcp binding
  +
</PRE>
  +
<PRE>
  +
Bindings from all pools not associated with VRF:
  +
IP address Client-ID/ Lease expiration Type
  +
Hardware address/
  +
User name
  +
...
  +
192.168.138.163 b827.eb51.d8a4 Dec 07 2022 06:10 PM Relay
  +
</PRE>
  +
<BR>
  +
аналогично, Snooping Bindings тоже показываются глобально
  +
<PRE>
  +
show ip dhcp snooping binding
  +
</PRE>
  +
<PRE>
  +
MacAddress IpAddress Lease(sec) Type VLAN Interface
  +
------------------ --------------- ---------- ------------- ---- --------------------
  +
B8:27:EB:51:D8:A4 192.168.138.163 47 dhcp-snooping 3003 GigabitEthernet0/6
  +
Total number of bindings: 1
  +
</PRE>
   
 
=Минимальный конфиг - L2 =
 
=Минимальный конфиг - L2 =
Строка 26: Строка 68:
 
end
 
end
 
</PRE>
 
</PRE>
==<code>sh ip dhcp snooping</code>===
+
==<code>sh ip dhcp snooping</code>==
 
<PRE>
 
<PRE>
 
sh ip dhcp snooping
 
sh ip dhcp snooping
  +
 
Switch DHCP snooping is enabled
 
Switch DHCP snooping is enabled
 
DHCP snooping is configured on following VLANs:
 
DHCP snooping is configured on following VLANs:
Строка 52: Строка 95:
 
GigabitEthernet0/5 yes yes unlimited
 
GigabitEthernet0/5 yes yes unlimited
 
Custom circuit-ids:
 
Custom circuit-ids:
  +
</PRE>
  +
  +
<PRE>
  +
show ip dhcp snooping binding
  +
</PRE>
  +
<PRE>
  +
MacAddress IpAddress Lease(sec) Type VLAN Interface
  +
------------------ --------------- ---------- ------------- ---- --------------------
  +
B8:27:EB:51:D8:A4 10.2.1.2 62 dhcp-snooping 3003 GigabitEthernet0/7
  +
Total number of bindings: 1
  +
</PRE>
  +
  +
  +
=snooping + relay + ip unnumbered =
  +
* Влан клиентов (в примере 3003) терменируется на свитче
  +
* Настроен IP unnumbered Loopback110
  +
* Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
  +
* c VRF тоже работает
  +
* <code>ip helper-address</code> на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах
  +
  +
  +
* <code> ip dhcp relay information trusted</code> на <code>Vlan 3100</code>, куда включен сервер
  +
* <code> ip dhcp snooping vlan 3003</code>
  +
* <code> ip dhcp snooping</code>
  +
==Логические интерфейсы==
  +
===Клиентский===
  +
<PRE>
  +
interface Vlan3003
  +
ip unnumbered Loopback110
  +
ip helper-address 172.31.11.1
  +
end
  +
</PRE>
  +
  +
===Интерфейс в сторону DHCP-server===
  +
<PRE>
  +
interface Vlan3100
  +
ip dhcp relay information trusted
  +
ip address 172.31.11.2 255.255.255.0
  +
ip helper-address 172.31.11.2
  +
end
  +
</PRE>
  +
  +
===Loopback===
  +
Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай)
  +
<PRE>
  +
interface Loopback110
  +
ip address 10.3.0.1 255.255.255.0 secondary
  +
ip address 10.4.0.1 255.255.255.0 secondary
  +
ip address 10.2.0.1 255.255.0.0
  +
ip helper-address 172.31.11.1
  +
end
  +
</PRE>
  +
  +
==Физические интерфейсы==
  +
===Клиентский порт===
  +
<PRE>
  +
interface GigabitEthernet0/5
  +
switchport trunk encapsulation dot1q
  +
switchport trunk native vlan 3100
  +
switchport trunk allowed vlan 3100
  +
switchport mode trunk
  +
spanning-tree bpdufilter enable
  +
ip dhcp snooping trust
  +
end
  +
</PRE>
  +
  +
===Порт куда включен DHCP Server===
  +
<PRE>
  +
interface GigabitEthernet0/7
  +
switchport access vlan 3003
  +
switchport mode access
  +
spanning-tree bpdufilter enable
  +
end
 
</PRE>
 
</PRE>

Текущая версия на 09:32, 5 июля 2023


ip dhcp snoopping

TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной
Пример маршрута 192.168.138.163/32

c3560G-lab.home#show ip route vrf Customers
C     192.168.128.0/20 is directly connected, Loopback110
      192.168.128.0/32 is subnetted, 1 subnets
L        192.168.128.254 is directly connected, Loopback110
      192.168.138.0/32 is subnetted, 1 subnets
S        192.168.138.163 is directly connected, Vlan3003

При этом DHCP binding показываются как глобальные (даже при настроенных VRF)

ip dhcp binding
Bindings from all pools not associated with VRF:
IP address          Client-ID/	 	    Lease expiration        Type
		    Hardware address/
		    User name
...
192.168.138.163     b827.eb51.d8a4          Dec 07 2022 06:10 PM    Relay


аналогично, Snooping Bindings тоже показываются глобально

show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   192.168.138.163  47          dhcp-snooping   3003  GigabitEthernet0/6
Total number of bindings: 1

Минимальный конфиг - L2

  • Все в одном Vlan
  • ip dhcp snooping trust на порту куда включен сервер
  • Глобально
    • ip dhcp snooping vlan 3003
    • ip dhcp snooping

Клиентский порт

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end

Порт куда включен DHCP Server

interface GigabitEthernet0/5
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

sh ip dhcp snooping

sh ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
3003
DHCP snooping is operational on following VLANs:
3003
Smartlog is configured on following VLANs:
none
Smartlog is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0026.5218.4900 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------
GigabitEthernet0/5         yes        yes             unlimited
  Custom circuit-ids:
show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   10.2.1.2         62          dhcp-snooping   3003  GigabitEthernet0/7
Total number of bindings: 1


snooping + relay + ip unnumbered

  • Влан клиентов (в примере 3003) терменируется на свитче
  • Настроен IP unnumbered Loopback110
  • Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
  • c VRF тоже работает
  • ip helper-address на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах


  • ip dhcp relay information trusted на Vlan 3100, куда включен сервер
  • ip dhcp snooping vlan 3003
  • ip dhcp snooping

Логические интерфейсы

Клиентский

interface Vlan3003
 ip unnumbered Loopback110
 ip helper-address 172.31.11.1
end

Интерфейс в сторону DHCP-server

interface Vlan3100
 ip dhcp relay information trusted
 ip address 172.31.11.2 255.255.255.0
 ip helper-address 172.31.11.2
end

Loopback

Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай)

interface Loopback110
 ip address 10.3.0.1 255.255.255.0 secondary
 ip address 10.4.0.1 255.255.255.0 secondary
 ip address 10.2.0.1 255.255.0.0
 ip helper-address 172.31.11.1
end

Физические интерфейсы

Клиентский порт

interface GigabitEthernet0/5
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 3100
 switchport trunk allowed vlan 3100
 switchport mode trunk
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

Порт куда включен DHCP Server

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end