Настроил по мануалу dhcp snooping + ip source_guard + ip arp inspection. Вроде как всё работает. Но есть неприятные нюансы.
Подключаем в абонентский порт ноутбук. Ноут получает адрес по DHCP, на свиче всё красиво:
Код: Выделить всё
console#sh ip source-guard status
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/1 IP active Deny All
gi1/0/2 IP active 172.20.100.254 64:51:06:5f:92:bc 272 DHCP
gi1/0/3 IP active Deny All
gi1/0/4 IP active Deny All
gi1/0/5 IP active Deny All
gi1/0/6 IP active Deny All
gi1/0/7 IP active Deny All
gi1/0/8 IP active Deny All
gi1/0/9 IP active Deny All
gi1/0/10 IP active Deny All
gi1/0/11 IP active Deny All
gi1/0/12 IP active Deny All
gi1/0/13 IP active Deny All
gi1/0/14 IP active Deny All
gi1/0/15 IP active Deny All
gi1/0/16 IP active Deny All
gi1/0/17 IP active Deny All
console#sh ip dhcp snooping binding
Total number of binding: 1
MAC Address IP Address Lease (sec) Type VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
64:51:06:5f:92:bc 172.20.100.254 78407 learned 272 gi1/0/2
Отключаем ноут из абонентского порта. На свиче всё стабильно как в Кремле:
Код: Выделить всё
console#sh ip source-guard status
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/1 IP active Deny All
gi1/0/2 IP active 172.20.100.254 64:51:06:5f:92:bc 272 DHCP
gi1/0/3 IP active Deny All
gi1/0/4 IP active Deny All
gi1/0/5 IP active Deny All
gi1/0/6 IP active Deny All
gi1/0/7 IP active Deny All
gi1/0/8 IP active Deny All
gi1/0/9 IP active Deny All
gi1/0/10 IP active Deny All
gi1/0/11 IP active Deny All
gi1/0/12 IP active Deny All
gi1/0/13 IP active Deny All
gi1/0/14 IP active Deny All
gi1/0/15 IP active Deny All
gi1/0/16 IP active Deny All
gi1/0/17 IP active Deny All
console#sh ip dhcp snooping binding
Total number of binding: 1
MAC Address IP Address Lease (sec) Type VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
64:51:06:5f:92:bc 172.20.100.254 78407 learned 272 gi1/0/2
Почему так? Разве не правильнее будет сбрасывать привязку при смене статуса порта в down?
Пробуем переключить ноут в любой другой порт - не тут то было! Теперь ноут уже не получает адрес, а в таблице возникает запись:
Код: Выделить всё
console#sh ip dhcp snoop bind
Total number of binding: 2
MAC Address IP Address Lease (sec) Type VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
64:51:06:5f:92:bc 172.20.100.254 77694 learned 272 gi1/0/2
64:51:06:5f:92:bc 0.0.0.0 27 learned 710 gi1/0/22
Ну да ладно, почистим таблицу привязок clear ip dhcp binding * . Но это не работает! Привязки как висели в таблице, так и висят.
За что?