Selle artikli eesmärk on lihtsustada DHCP-teenuse konfigureerimist VXLAN BGP EVPN-i ja DFA-kanga jaoks, kasutades Microsoft Windows Server 2016/2019.
Ametlikus dokumentatsioonis on Microsoft Windows Server 2012-l põhinev DHCP-teenus kanga jaoks konfigureeritud kui SuperScope, mis sisaldab loopback-basseini (selle basseini esiletõst on basseini kõigi IP-aadresside väljajätmine kogumist (välja jäetud IP-aadress = bassein)) ja basseinid tegelike võrkude IP-aadresside väljastamiseks (siin on esiletõst – poliitika on konfigureeritud –, milles DHCP relee vooluahela ID on filtreeritud ja see DHCP relee vooluringi ID sisaldab võrgu VNI-d, st teise basseini jaoks seda DHCP relee Vooluahela ID on veidi erinev).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.See artikkel sisaldab vastuseid järgmistele küsimustele:
Sisu
-
- ( & )
-
-
Sissejuhatus
Selles osas loetletakse lühidalt kõik algandmed: Võrguseadmete konfigureerimise juhised, eVPN-i tehastes DHCP-pakettides kasutatavad RFC-d, Microsoft Windows Server 2012 DHCP-serveri sätete areng Cisco dokumentatsioonis. Samuti lühike teave Superscope'i ja poliitika kohta Microsoft Windowsi serverite DHCP-teenuses.
Kuidas konfigureerida DHCP releed VXLAN BGP EVPN, DFA kangale
DHCP-relee konfigureerimine VXLAN BGP EVPN-kangas ei ole selle artikli põhiteema, kuna see on üsna lihtne. Ma pakun linke dokumentatsioonile ja spoilerit võrguseadmete sätete kohta.
Nexus 9000V v9.2(3) DHCP-relee seadistamise näide
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC-d, mis on rakendatud DHCP Relay teenuse töös VXLAN BGP EVPN kangastes
RFC#6607: alamvalik 151(0x97) – virtuaalse alamvõrgu valik
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Edastatakse selle VRF-i nimi, milles klient asub.
RFC#5107: alamvalik 11(0xb) – serveri ID alistamine
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Seda võimalust kasutatakse tagamaks, et klient saadab aadressirendi pikendamise taotluse selles valikus kasutatud IP-aadressile. (Cisco VXLAN BGP puhul on EVPN kliendi vaikelüüsi Anycasti aadress.)
RFC#3527: alamvalik 5 (0x5) – lingi valimine
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Selle võrgu aadress, kust klient vajab IP-aadressi.
Cisco dokumentatsiooni areng DHCP konfigureerimise kohta Microsoft Windows Server 2012-s
Lisasin selle jaotise, kuna müüja pool on positiivne:
Dokumentatsioon näitab ainult, kuidas konfigureerida DHCP-releed võrguseadmetes.
Windows Server 2012 DHCP konfigureerimiseks kasutati teist artiklit:
See artikkel näitab, et iga võrk/VNI nõuab oma SuperScope'i kogumit ja oma Loopback-aadresside komplekti:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Võrguseadmete seadistamise dokumentatsiooni on lisatud Windows 2012 serveri sätted. Kõigi kasutatavate aadressikogumite jaoks on nõutav üks SuperScope andmekeskuse kohta ja see SuperScope on andmekeskuse piir:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Kõik on väga lühidalt lahti seletatud:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP Microsoft Windows Serveris (superskoop ja poliitika)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Mis on SuperScope - see on funktsioon, mis võimaldab ühendada mitu IP-aadressi kogumit üheks haldusüksuseks. Reklaamida kasutajatele samas füüsilises võrgus (samas VLAN-is) IP-aadresse mitmest kogumist. Kui päring saabus SuperScope'i osana aadresside kogumile, saab kliendile anda aadressi mõnest teisest selles SuperScope'is sisalduvast ulatusest.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Poliitika – võimaldab määrata kasutajatele IP-aadresse sõltuvalt kasutaja tüübist või parameetrist. Cisco insenerid kasutavad VNI (Virtual Network Identifier) järgi filtreerimiseks Windows Server 2012 poliitikaid.
Peamine osa
See osa sisaldab uuringu tulemusi, miks seda ei toetata, kuidas see töötab (loogika), mis on uut ja kuidas see uus meid aitab.
Miks Microsoft Windows Server 2000/2003/2008 ei toetata?
Microsoft Windows Server 2008 ja varasemad versioonid ei töötle valikut 82 ja tagastuspakett saadetakse ilma suvandi 82ta.
- Kliendi päring saadetakse Broadcastile (DHCP Discover).
- Seade (Nexus) saadab paketi DHCP-serverisse (DHCP Discover + valik 82).
- DHCP-server võtab paketi vastu, töötleb seda, saadab tagasi, kuid ilma valikuta 82. (DHCP-pakkumine – ilma valikuta 82)
- Seadmed (Nexus) saavad paketi DHCP-serverist. (DHCP pakkumine) Aga ei saada seda paketti lõppkasutajale.
Nuusutamisandmed – Windows Server 2008-s ja DHCP-kliendisWindows Server 2008 saab päringu võrguseadmetelt. (Valik 82 on loendis olemas)
Windows Server 2008 saadab vastuse võrguseadmetele. (Valik 82 pole paketis valikuna loetletud)
Taotlus kliendilt – DHCP Discover on olemas ja DHCP pakkumine puudub
Võrguseadmete statistika:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Miks on Microsoft Windows Server 2012 konfigureerimine nii keeruline?
Microsoft Windows Server 2012 ei toeta veel RFC#3527 (valik 82 alamvalik 5 (0x5) – lingi valik)
Kuid poliitika funktsioon on juba rakendatud.
Kuidas see toimib:
- Microsoft Windows Server 2012-l on superbassein (SuperScope), millel on loopback-aadressid ja kogumid pärisvõrkude jaoks.
- IP-aadressi väljastamise kogumi valik langeb SuperScope'i, kuna vastus tuli DHCP-releelt, mille Loopback Source'i aadress oli lisatud SuperScope'i.
- Poliitika abil valib päring Superscope'ist selle liikme ulatuse, mille VNI sisaldub valiku 82 alamvalikus 1 agendi vooluringi ID. ("0108000600" + 24 bitti VNI + 24 bitti, mille väärtused on mulle teadmata, kuid nuusutaja näitab sellel väljal väärtusi 0.)
Kuidas on Microsoft Windows Server 2016/2019 seadistamine lihtsustatud?
Microsoft Windows Server 2016 rakendab RFC#3527 funktsioone. See tähendab, et Windows Server 2016 suudab õige võrgu tuvastada valiku 82 alamvaliku 5 (0x5) – lingi valimise atribuudi kaudu.
Kohe tekib kolm küsimust:
- Kas saame hakkama ilma Superskoobita?
- Kas saame hakkama ilma poliitikata ja teisendada VNI kuueteistkümnendsüsteemi?
- Kas me saame hakkama ilma Loopback DHCP allika aadressideta?
Q. Kas saame hakkama ilma Superskoobita?
A. Jah, IPv4-aadresside valdkonnas saab ulatuse kohe luua.
Q. Kas saame hakkama ilma poliitikata ja teisendada VNI kuueteistkümnendsüsteemi?
A. Jah, võrgu valik põhineb valikul 82 alamvalikul 0x5,
Q. Kas me saame hakkama ilma Loopback DHCP allika aadressideta?
A. Ei, me ei saa. Kuna Microsoft Windows Server 2016/2019 kaitseb pahatahtlike DHCP-päringute eest. See tähendab, et kõiki päringuid aadressidelt, mis ei ole DHCP-serveri kogumis, peetakse pahatahtlikeks.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Need. Microsoft Windows Server 2016/2019 VXLAN BGP EVPN-i tehase jaoks DHCP-basseini konfigureerimiseks vajate ainult:
- Looge lähterelee aadresside jaoks bassein.
- Looge kliendivõrkude jaoks bassein
Mis pole vajalik (kuid saab konfigureerida ja see töötab ega sega tööd):
- Loo poliitika
- Looge SuperScope
NäideNäide DHCP-serveri seadistamisest (reaalseid DHCP-kliente on kaks - kliendid on ühendatud VXLAN-võrguga)
Näide kasutajate basseini seadistamisest:
Näide kasutajate kogumi seadistamisest (poliitikad on valitud – tõestamaks, et poliitikaid ei kasutatud basseini õigeks toimimiseks):
Lähte DHCP-relee aadresside kogumi konfigureerimise näide (väljastatavate aadresside vahemik vastab täielikult aadresside kogumist väljajätmisele):
DHCP-teenuse seadistamine opsüsteemis Microsoft Windows Server 2019
DHCP-relee loopback-aadresside (allika) basseini konfigureerimine.
Loome IPv4 ruumis uue basseini (Scope).
Basseini loomise viisard. "Järgmine >"
Konfigureerige basseini nimi ja kirjeldus.
Määrake Loopbacki IP-aadresside vahemik ja kogumi mask.
Erandite lisamine. Välistamisvahemik peab täpselt vastama basseini vahemikule.
Rendi aeg. "Järgmine >"
Päring: kas seadistate DHCP valikud kohe (DNS, WINS, Gateway, Domain) või teete seda hiljem. Kiirem oleks vastata ei ja seejärel bassein käsitsi aktiveerida. Või minge lõpuni ilma teavet täitmata ja aktiveerige viisardi lõpus bassein.
Kinnitame, et valikud pole konfigureeritud ja bassein pole aktiveeritud. "Lõpetama"
Aktiveerime basseini käsitsi. — Valige Ulatus ja kontekstimenüüst — valige „Aktiveeri“.
Loome kasutajate/serverite jaoks basseini.
Loome uue basseini.
Basseini loomise viisard. "Järgmine >"
Konfigureerige basseini nimi ja kirjeldus.
Määrake Loopbacki IP-aadresside vahemik ja kogumi mask.
Erandite lisamine. (Vaikimisi erandeid ei nõuta) "Järgmine >"
Rendi aeg. "Järgmine >"
Päring: kas seadistate DHCP valikud kohe (DNS, WINS, Gateway, Domain) või teete seda hiljem. Seadistame selle kohe.
Konfigureerige vaikelüüsi aadress.
Konfigureerime domeeni ja DNS-serveri aadressid.
WINS-serverite IP-aadresside konfigureerimine.
Ulatuse aktiveerimine.
Bassein on konfigureeritud. "Lõpetama"
Järeldus
Windows Server 2016/2019 kasutamine vähendab VXLAN-i (või mõne muu kanga) DHCP-serveri seadistamise keerukust. (Spetsiaalseid linke pole vaja IT-spetsialistidele edastada: Võrgu/agendi vooluringi ID filtrite registreerimiseks.)
Kas Windows Server 2012 konfiguratsioon töötab uutes 2016/2019 serverites – jah, see töötab.
See dokument sisaldab viiteid kahele versioonile: 2.X ja 7. Selle põhjuseks on asjaolu, et versioon 9.3(7.0)I3(7) on Cisco soovitatud väljalase ja versioon 7 on kõige uuenduslikum (toetab isegi Multicasti VXLAN Multisite kaudu).
Allikate loetelu
Allikas: www.habr.com