La celo de ĉi tiu artikolo estas simpligi la agordon de DHCP-servo por VXLAN BGP EVPN kaj DFA-ŝtofo uzante Microsoft Windows Server 2016/2019.
En la oficiala dokumentaro, la DHCP-servo bazita sur Microsoft Windows Server 2012 por la ŝtofo estas agordita kiel SuperScope enhavanta Loopback-poolon (la kulminaĵo de ĉi tiu naĝejo estas la ekskludo de ĉiuj IP-adresoj de la naĝejo de la naĝejo (ekskludita IP-adreso = naĝejo)) kaj naĝejoj por elsendi IP-adresojn por realaj retoj (jen la ĉefaĵo - politiko estas agordita - en kiu DHCP Relay Circuit ID estas filtrita kaj tiu DHCP Relay Circuit ID enhavas la VNI por la reto, t.e. por alia naĝejo ĉi tiu DHCP Relay Circuit ID enhavas la VNI por la reto. Cirkvito ID estos iomete malsama).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Ĉi tiu artikolo enhavas respondojn al la sekvaj demandoj:
Enhavo
-
- ( & )
-
-
Enkonduko
Ĉi tiu parto mallonge listigas ĉiujn komencajn datumojn: Instrukcioj por agordo de retaj ekipaĵoj, RFC-oj uzataj en DHCP-pakoj en eVPN-fabrikoj, la evoluo de DHCP-servilaj agordoj en Microsoft Windows Server 2012 en la Cisco-dokumentado estas provizita por referenco. Same kiel mallongaj informoj pri Superscope kaj Politiko en la DHCP-servo sur Microsoft Windows Servers.
Kiel agordi DHCP Relay sur VXLAN BGP EVPN, DFA-ŝtofo
Agordi DHCP Relay sur VXLAN BGP EVPN-ŝtofo ne estas la ĉefa temo de ĉi tiu artikolo, ĉar ĝi estas sufiĉe simpla. Mi provizas ligilojn al dokumentaro kaj spoiler pri agordoj sur retaj ekipaĵoj.
Ekzemplo de agordo de DHCP Relay sur Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFCoj kiuj estas efektivigitaj en la operacio de la DHCP Relay-servo en VXLAN BGP EVPN-ŝtofoj
RFC#6607: Sub-opcio 151(0x97) - Virtuala Subreta Elekto
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.La "nomo" de la VRF en kiu la kliento situas estas transdonita.
RFC#5107: Sub-opcio 11(0xb) - Anstataŭigo de Servila ID
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.La opcio estas uzata por certigi, ke la kliento sendas peton por renovigi la adresluzon al la IP-adreso uzata en ĉi tiu opcio. (Sur Cisco VXLAN BGP, EVPN estas la defaŭlta enirejo Anycast-adreso de la kliento.)
RFC#3527: Sub-opcio 5(0x5) - Elekto de Ligo
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Adreso de la reto de kiu la kliento bezonas IP-adreson.
Evoluo de Cisco-dokumentaro pri agordado de DHCP sur Microsoft Windows Server 2012
Mi inkludis ĉi tiun sekcion ĉar estas pozitiva tendenco flanke de la vendisto:
La dokumentaro nur montras kiel agordi DHCP Relay sur retaj ekipaĵoj.
Alia artikolo estis uzata por agordi DHCP en Windows Server 2012:
Tiu artikolo indikas ke ĉiu reto/VNI postulas sian propran SuperScope-faskon kaj sian propran aron de Loopback-adresoj:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Aldonis agordojn de Windows 2012 Server al la dokumentaro por agordi retajn ekipaĵojn. Por ĉiuj adresgrupoj uzataj, unu SuperScope per datumcentro estas postulata kaj ĉi tiu SuperScope estas la limo de la datumcentro:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Ĉio estas klarigita tre koncize:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP en Microsoft Windows Server (superskopo kaj politiko)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Kio estas SuperScope - ĝi estas funkcio, kiu permesas vin kombini plurajn arojn da IP-adresoj en unu administran unuon. Reklami al uzantoj sur la sama fizika reto (en la sama VLAN) IP-adresojn de pluraj naĝejoj. Se la peto venis al aro de adresoj kiel parto de SuperScope, tiam la kliento povas ricevi adreson de alia Scope inkluzivita en ĉi tiu SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Politikoj - permesas vin asigni IP-adresojn al uzantoj depende de la tipo de uzanto aŭ parametro. Cisco-inĝenieroj uzas politikojn en Windows Server 2012 por filtri per VNI (Virtuala Network Identifier).
Ĉefa parto
Ĉi tiu sekcio enhavas la rezultojn de la esplorado, kial ĝi ne estas subtenata, kiel ĝi funkcias (logiko), kio estas nova kaj kiel ĉi tiu nova helpos nin.
Kial Microsoft Windows Server 2000/2003/2008 ne estas subtenata?
Microsoft Windows Server 2008 kaj pli fruaj versioj ne prilaboras opcion 82 kaj la resendpako estas sendita sen opcio 82.
- La peto de la kliento estas sendita al Broadcast (DHCP Discover).
- La ekipaĵo (Nexus) sendas la pakaĵon al la DHCP-servilo (DHCP Discover + Opcio 82).
- DHCP-Servilo ricevas la pakaĵon, prilaboras ĝin, resendas ĝin, sed sen opcio 82. (DHCP-Oferto - sen opcio 82)
- La ekipaĵo (Nexus) ricevas pakaĵon de la DHCP-servilo. (DHCP-Oferto) Sed ne sendas ĉi tiun pakaĵon al la finuzanto.
Sniffer-datumoj - sur Windows Server 2008 kaj sur la DHCP-klientoWindows Server 2008 ricevas peton de reta ekipaĵo. (Opcio 82 ĉeestas en la listo)
Windows Server 2008 sendas la respondon al la reto ekipaĵo. (Opcio 82 ne estas listigita kiel opcio en la pakaĵo)
Peto de la kliento - DHCP Discover ĉeestas kaj DHCP-Oferto mankas
Statistiko pri retaj ekipaĵoj:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Kial agordo estas tiel malfacila en Microsoft Windows Server 2012?
Microsoft Windows Server 2012 ankoraŭ ne subtenas RFC#3527 (Opcio 82 Sub-opcio 5(0x5) - Elekto de Ligo)
Sed la Politikfunkcio jam estis efektivigita.
Kiel ĝi funkcias:
- Microsoft Windows Server 2012 havas bonegan naĝejon (SuperScope) kiu havas Loopback-adresojn kaj naĝejojn por realaj retoj.
- La elekto de la naĝejo por eldonado de IP-adreso falas en SuperScope, ĉar la respondo venis de DHCP Relay kun la Loopback Source-adreso inkluzivita en SuperScope.
- Uzante Politikon, la peto elektas el Superscope tiun membroskopon kies VNI estas enhavita en Opcio 82 Subopcio 1 Agent Circuit ID. ("0108000600"+ 24 bitoj VNI + 24 bitoj, kies valoroj estas nekonataj al mi, sed la snufilo montras valorojn de 0 en ĉi tiu kampo.)
Kiel agordo simpliĝas en Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 efektivigas RFC#3527-funkciecon. Tio estas, Windows Server 2016 povas rekoni la ĝustan reton de la Opcio 82 Sub-opcio 5 (0x5) - Atributo de Elekto de Ligo
Tuj aperas tri demandoj:
- Ĉu ni povas malhavi Superscope?
- Ĉu ni povas fari sen Politiko kaj konverti VNI al deksesuma formo?
- Ĉu ni povas fari sen Scope for Loopback DHCP Font-adresoj?
Q. Ĉu ni povas malhavi Superscope?
A. Jes, amplekso povas esti kreita tuj en la areo de IPv4-adresoj.
Q. Ĉu ni povas fari sen Politiko kaj konverti VNI al deksesuma formo?
A. Jes, reto elekto baziĝas sur Opcio 82 Subopcio 0x5,
Q. Ĉu ni povas fari sen Scope for Loopback DHCP Font-adresoj?
A. Ne, ni ne povas. Ĉar Microsoft Windows Server 2016/2019 havas protekton kontraŭ malicaj DHCP-petoj. Tio estas, ĉiuj petoj de adresoj kiuj ne estas en la DHCP-servila naĝejo estas konsideritaj malicaj.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Tiuj. Por agordi DHCP-poolon por VXLAN BGP EVPN-fabriko sur Microsoft Windows Server 2016/2019, vi nur bezonas:
- Kreu naĝejon por Fontaj Relajso-adresoj.
- Krei naĝejon por klientaj retoj
Kio ne estas necesa (sed povas esti agordita kaj ĝi funkcios kaj ne malhelpos laboron):
- Krei Politikon
- Kreu SuperScope
Ekzemplo:Ekzemplo de starigo de DHCP-servilo (estas 2 realaj DHCP-klientoj - la klientoj estas konektitaj al la VXLAN-ŝtofo)
Ekzemplo de starigo de uzantgrupo:
Ekzemplo pri starigo de uzantkomunumo (politikoj estas elektitaj - por pruvi, ke politikoj ne estis uzataj por ĝusta funkciado de la naĝejo):
Ekzemplo de agordado de aro por Source DHCP Relay-adresoj (la vico da adresoj por elsendo plene respondas al ekskludo de la adresaro):
Agordi DHCP-servon en Microsoft Windows Server 2019
Agordante grupon por Loopback-adresoj (fonto) por DHCP Relay.
Ni kreas novan naĝejon (Scope) en la IPv4-spaco.
Sorĉisto de kreado de naĝejoj. "Sekva >>
Agordu la naĝejon nomon kaj priskribon de la naĝejo.
Agordu la gamon de IP-adresoj por Loopback kaj la maskon por la naĝejo.
Aldonante esceptojn. La ekskludintervalo devas precize kongrui kun la naĝejo.
Luotempo. "Sekva >>
Demando: Ĉu vi agordos DHCP-opciojn nun (DNS, WINS, Enirejo, Domajno) aŭ ĉu vi faros ĝin poste. Estus pli rapide respondi ne, kaj poste aktivigi la naĝejon permane. Aŭ iru ĝis la fino sen plenigi ajnan informon kaj aktivigu la naĝejon ĉe la fino de la sorĉisto.
Ni konfirmas, ke la opcioj ne estas agorditaj kaj la naĝejo ne estas aktivigita. "Finu"
Ni aktivigas la naĝejon permane. — Elektu Amplekson kaj en la kunteksta menuo — elektu "Aktivigi".
Ni kreas naĝejon por uzantoj/serviloj.
Ni kreas novan naĝejon.
Sorĉisto de kreado de naĝejoj. "Sekva >>
Agordu la naĝejon nomon kaj priskribon de la naĝejo.
Agordu la gamon de IP-adresoj por Loopback kaj la maskon por la naĝejo.
Aldonante esceptojn. (Neniaj esceptoj bezonataj defaŭlte) "Sekva >"
Luotempo. "Sekva >>
Demando: Ĉu vi agordos DHCP-opciojn nun (DNS, WINS, Enirejo, Domajno) aŭ ĉu vi faros ĝin poste. Ni starigu ĝin nun.
Agordu la defaŭltan enirejan adreson.
Ni agordas la domajnan kaj DNS-serviladresojn.
Agordante IP-adresojn de WINS-serviloj.
Aktivigo de amplekso.
La naĝejo estas agordita. "Finu"
konkludo
Uzado de Windows Server 2016/2019 reduktas la kompleksecon de agordo de DHCP-servilo por VXLAN-ŝtofo (aŭ ajna alia ŝtofo). (Ne necesas transdoni specialajn ligilojn al IT-specialistoj: Reto/Agent Circuit ID por registri filtrilojn.)
Ĉu la agordo por Windows Server 2012 funkcios sur novaj 2016/2019 serviloj - jes ĝi funkcios.
Ĉi tiu dokumento enhavas referencojn al 2 versioj: 7.X kaj 9.3. Ĉi tio estas pro la fakto, ke versio 7.0(3)I7(7) estas Cisco Suggested-eldono, kaj versio 9.3 estas la plej noviga (eĉ subtenanta Multicast per VXLAN Multisite).
Listo de fontoj
fonto: www.habr.com