Текущая версия на 09:32, 5 июля 2023

ip dhcp snoopping

TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding) по сути не является обязательной
Пример маршрута 192.168.138.163/32

c3560G-lab.home#show ip route vrf Customers

C     192.168.128.0/20 is directly connected, Loopback110
      192.168.128.0/32 is subnetted, 1 subnets
L        192.168.128.254 is directly connected, Loopback110
      192.168.138.0/32 is subnetted, 1 subnets
S        192.168.138.163 is directly connected, Vlan3003

При этом DHCP binding показываются как глобальные (даже при настроенных VRF)

ip dhcp binding

Bindings from all pools not associated with VRF:
IP address          Client-ID/	 	    Lease expiration        Type
		    Hardware address/
		    User name
...
192.168.138.163     b827.eb51.d8a4          Dec 07 2022 06:10 PM    Relay

аналогично, Snooping Bindings тоже показываются глобально

show ip dhcp snooping binding

MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   192.168.138.163  47          dhcp-snooping   3003  GigabitEthernet0/6
Total number of bindings: 1

Минимальный конфиг - L2

Все в одном Vlan
ip dhcp snooping trust на порту куда включен сервер
Глобально
- ip dhcp snooping vlan 3003
- ip dhcp snooping

Клиентский порт

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end

Порт куда включен DHCP Server

interface GigabitEthernet0/5
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

`sh ip dhcp snooping`

sh ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
3003
DHCP snooping is operational on following VLANs:
3003
Smartlog is configured on following VLANs:
none
Smartlog is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0026.5218.4900 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------
GigabitEthernet0/5         yes        yes             unlimited
  Custom circuit-ids:

show ip dhcp snooping binding

MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
B8:27:EB:51:D8:A4   10.2.1.2         62          dhcp-snooping   3003  GigabitEthernet0/7
Total number of bindings: 1

snooping + relay + ip unnumbered

Влан клиентов (в примере 3003) терменируется на свитче
Настроен IP unnumbered Loopback110
Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
c VRF тоже работает
ip helper-address на Loopback не обязательный и более того можно указывать разные на разных клиентских интерфейсах

ip dhcp relay information trusted на Vlan 3100, куда включен сервер
ip dhcp snooping vlan 3003
ip dhcp snooping

Логические интерфейсы

Клиентский

interface Vlan3003
 ip unnumbered Loopback110
 ip helper-address 172.31.11.1
end

Интерфейс в сторону DHCP-server

interface Vlan3100
 ip dhcp relay information trusted
 ip address 172.31.11.2 255.255.255.0
 ip helper-address 172.31.11.2
end

Loopback

Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай)

interface Loopback110
 ip address 10.3.0.1 255.255.255.0 secondary
 ip address 10.4.0.1 255.255.255.0 secondary
 ip address 10.2.0.1 255.255.0.0
 ip helper-address 172.31.11.1
end

Физические интерфейсы

Клиентский порт

interface GigabitEthernet0/5
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 3100
 switchport trunk allowed vlan 3100
 switchport mode trunk
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
end

Порт куда включен DHCP Server

interface GigabitEthernet0/7
 switchport access vlan 3003
 switchport mode access
 spanning-tree bpdufilter enable
end

C3560 ip dhcp snooping: различия между версиями

Текущая версия на 09:32, 5 июля 2023

Содержание

ip dhcp snoopping

Минимальный конфиг - L2

Клиентский порт

Порт куда включен DHCP Server

`sh ip dhcp snooping`

snooping + relay + ip unnumbered

Логические интерфейсы

Клиентский

Интерфейс в сторону DHCP-server

Loopback

Физические интерфейсы

Клиентский порт

Порт куда включен DHCP Server

Навигация

Действия на странице

Действия на странице

Персональные инструменты

Навигация

Поиск

Инструменты

@@ Строка 4: / Строка 4: @@
 [[Категория:DHCP]]
 [[Категория:DHCP Relay]]
+[[Категория:DHCP Snoopping]]
-=ip dhcp snoopping =
+=ip dhcp snoopping =
+TL;DR: Это фича которая позволяет использовать один сегмент сети в разных вланах, при этом каталист сам добавляет /32 маршруты. Сама привязка (snooping binding)  по сути не является обязательной
+<BR>
+Пример маршрута <code>192.168.138.163/32</code>
+<PRE>
+c3560G-lab.home#show ip route vrf Customers
+</PRE>
+<PRE>
+C     192.168.128.0/20 is directly connected, Loopback110
+.168.128.0/32 is subnetted, 1 subnets
+L        192.168.128.254 is directly connected, Loopback110
+.168.138.0/32 is subnetted, 1 subnets
+S        192.168.138.163 is directly connected, Vlan3003
+</PRE>
+При этом DHCP binding показываются как глобальные (даже при настроенных VRF)
+<PRE>
+ip dhcp binding
+</PRE>
+<PRE>
+Bindings from all pools not associated with VRF:
+IP address          Client-ID/	 	    Lease expiration        Type
+		    Hardware address/
+		    User name
+...
+.168.138.163     b827.eb51.d8a4          Dec 07 2022 06:10 PM    Relay
+</PRE>
+<BR>
+аналогично, Snooping Bindings  тоже показываются глобально
+<PRE>
+show ip dhcp snooping binding
+</PRE>
+<PRE>
+MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
+------------------  ---------------  ----------  -------------  ----  --------------------
+B8:27:EB:51:D8:A4   192.168.138.163  47          dhcp-snooping   3003  GigabitEthernet0/6
+Total number of bindings: 1
+</PRE>
 =Минимальный конфиг - L2 =
@@ Строка 73: / Строка 109: @@
 =snooping + relay + ip unnumbered =
+* Влан клиентов (в примере 3003) терменируется на свитче
+* Настроен IP unnumbered Loopback110
+* Влан 3100 заведен со свитча на dhcp server и используется для пересылки запросов к серверу
+* c VRF тоже работает
+* <code>ip helper-address</code> на Loopback  не обязательный и более того можно указывать разные на разных клиентских интерфейсах
+* <code> ip dhcp relay information trusted</code> на <code>Vlan 3100</code>, куда включен сервер
+* <code> ip dhcp snooping vlan 3003</code>
+* <code> ip dhcp snooping</code>
+==Логические интерфейсы==
+===Клиентский===
+<PRE>
+interface Vlan3003
+ ip unnumbered Loopback110
+ ip helper-address 172.31.11.1
+end
+</PRE>
+===Интерфейс в сторону DHCP-server===
+<PRE>
+interface Vlan3100
+ ip dhcp relay information trusted
+ ip address 172.31.11.2 255.255.255.0
+ ip helper-address 172.31.11.2
+end
+</PRE>
+===Loopback===
+Адресов более чем дин по-тому что клиенты могут получать адреса из разных диапазонов (частный случай)
+<PRE>
+interface Loopback110
+ ip address 10.3.0.1 255.255.255.0 secondary
+ ip address 10.4.0.1 255.255.255.0 secondary
+ ip address 10.2.0.1 255.255.0.0
+ ip helper-address 172.31.11.1
+end
+</PRE>
+==Физические интерфейсы==
+===Клиентский порт===
+<PRE>
+interface GigabitEthernet0/5
+ switchport trunk encapsulation dot1q
+ switchport trunk native vlan 3100
+ switchport trunk allowed vlan 3100
+ switchport mode trunk
+ spanning-tree bpdufilter enable
+ ip dhcp snooping trust
+end
+</PRE>
+===Порт куда включен DHCP Server===
+<PRE>
+interface GigabitEthernet0/7
+ switchport access vlan 3003
+ switchport mode access
+ spanning-tree bpdufilter enable
+end
+</PRE>