ARGOMENTO:

salve,
riguardo la feature dhcp snooping mi servirebbe qualche chiarimento.
il comando ip dhcp snooping che dovrebbe abilitare globalmente la funzionalita su tutte le vlan significa che una volta dato il comando in tutte le vlan viene attivato oppure dopo aver abilitato globalmente e' anche necessario attivare esplicitamente col comando ip dhcp snooping vlan ... su ogni vlan tale feature?
Quando diciamo che la funzionalita' e' attivata globalmente su tutte le vlan cosa significa che essa risulta attiva anche sulle interfaccie appartenenti alla stesa vlan ma che stanno su switch differenti?
Inoltre quando si predispone lo switch con il comando ip dhcp snooping limit rate ... lo switch quale azione intraprende quando su una porta untrusted viene superato il numero massimo di richieste? mette la porta in shutdown oppure droppa il frame, oltre a cio' il parametro RATE significa numero di richieste al secondo o al minuto o che?
ciao

Ho gli stessi dubbi anch'io.
A proposito di "Quando diciamo che la funzionalita' e' attivata globalmente su tutte le vlan cosa significa che essa risulta attiva anche sulle interfaccie appartenenti alla stesa vlan ma che stanno su switch differenti?" lo escluderei.

sposto sul forum pubblico perchè riguardante i contenuti del corso e non aspetti didattici.

Riguardo al dhcp snooping.

La funzionalità deve essere attivata prima in maniera globale con ip dhcp snooping . Quando viene attivato in questo modo lo switch si predispone ad utilizzare la funzionalità ma di fatto questa rimane silente.

Successivamente la funzionalità deve essere attivata per vlan con ip dhcp snooping vlan N, quando viene configurata in questo modo viene effettivamente abilitato un database per vlan che collega gli indirizzi assegnati sulle varie porte dal dhcp server.
Se un pacchetto viene ricevuto e non onora il database delle assegnazioni viene scartato.

Opzionalmente si può configurare un rate limite per le richieste dhcp con il comando ip dhcp snooping limit rate pps, questo vuol dire che se vengono ricevuto più di un certo numero di pacchetti sull'interfaccia questa viene messa in stato err-disable (simile a port security). Il rate è misurato in pacchetti al secondo, e si consiglia di configurare un rate di 15 pps o al massimo di 100 pps, benchè sia configurabile un rate maggiore.

Buonasera Virgilio, buonasera a tutti. Avrei una domanda relativa al DHCP Snooping. E' sufficiente abilitarlo sull'accesso o anche sul distributore ? Una volta fatta un'installazione di un 3850 (come distributore) con il DHCP snooping abilitato e avendolo anche abilitato sull'accesso (2960) alcune postazione non riuscivano a prendere l'ip.
Grazie
Mario

Ciao!
DHCP Snooping deve essere abilitato solamente sugli switch sui quali ipotizzi che possano essere collegati host che possono effettuare attacchi. Quindi se sul tuo distribution non hai host poco fidati collegati puoi evitare di inserirlo. Ricorda di mettere in trust tutte le porte dalle quali puoi ricevere OFFER dhcp, quindi se lo abiliti sul distribution la porta sulla quale è collegato il dhcp server deve essere in trust.

Grazie Virgilio..tutto chiaro