L'objectif de cet article est de simplifier la configuration du service DHCP pour VXLAN BGP EVPN et DFA Fabric à l'aide de Microsoft Windows Server 2016/2019.
Dans la documentation officielle, le service DHCP basé sur Microsoft Windows Server 2012 pour la fabric est configuré comme un SuperScope contenant un pool Loopback (le point fort de ce pool est l'exclusion de toutes les adresses IP du pool du pool (adresse IP exclue = pool)) et des pools d'émission d'adresses IP pour les réseaux réels (voici le point culminant - la politique est configurée - dans lequel l'ID du circuit de relais DHCP est filtré et cet ID de circuit de relais DHCP contient le VNI du réseau, c'est-à-dire pour un autre pool ce relais DHCP L'ID du circuit sera légèrement différent).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Cet article contient des réponses aux questions suivantes :
Teneur
-
- ( & )
-
-
introduction
Cette partie répertorie brièvement toutes les données initiales : Instructions de configuration des équipements réseau, RFC utilisés dans les paquets DHCP dans les usines eVPN, l'évolution des paramètres du serveur DHCP sur Microsoft Windows Server 2012 dans la documentation Cisco est fournie à titre de référence. Ainsi que de brèves informations sur la portée et la politique du service DHCP sur les serveurs Microsoft Windows.
Comment configurer le relais DHCP sur une structure VXLAN BGP EVPN, DFA
La configuration du relais DHCP sur une structure VXLAN BGP EVPN n'est pas le sujet principal de cet article, car elle est assez simple. Je fournis des liens vers de la documentation et un spoiler sur les paramètres des équipements réseau.
Exemple de configuration du relais DHCP sur Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC implémentées dans le fonctionnement du service de relais DHCP dans les structures VXLAN BGP EVPN
RFC#6607 : Sous-option 151(0x97) – Sélection de sous-réseau virtuel
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Le « nom » du VRF dans lequel se trouve le client est transmis.
RFC#5107 : Sous-option 11(0xb) – Remplacement de l'ID du serveur
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.L'option est utilisée pour garantir que le client envoie une demande de renouvellement du bail d'adresse à l'adresse IP utilisée dans cette option. (Sur Cisco VXLAN BGP, EVPN est l'adresse Anycast de passerelle par défaut du client.)
RFC#3527 : Sous-option 5(0x5) – Sélection de lien
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Adresse du réseau à partir duquel le client a besoin d'une adresse IP.
Evolution de la documentation Cisco concernant la configuration DHCP sur Microsoft Windows Server 2012
J'ai inclus cette section car il y a une tendance positive de la part du vendeur :
La documentation montre uniquement comment configurer le relais DHCP sur l'équipement réseau.
Un autre article a été utilisé pour configurer DHCP sur Windows Server 2012 :
Cet article indique que chaque réseau/VNI nécessite son propre ensemble SuperScope et son propre ensemble d'adresses de bouclage :
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Ajout des paramètres Windows 2012 Server à la documentation pour la configuration de l'équipement réseau. Pour tous les pools d'adresses utilisés, un SuperScope par centre de données est requis et ce SuperScope constitue la limite du centre de données :
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Tout est expliqué très succinctement :
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP dans Microsoft Windows Server (superscope et stratégie)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Qu'est-ce que SuperScope - c'est une fonctionnalité qui vous permet de combiner plusieurs pools d'adresses IP en une seule unité administrative. Pour annoncer aux utilisateurs sur le même réseau physique (dans le même VLAN) les adresses IP de plusieurs pools. Si la demande parvient à un pool d'adresses dans le cadre d'un SuperScope, le client peut alors recevoir une adresse d'un autre Scope inclus dans ce SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Politiques – vous permettent d'attribuer des adresses IP aux utilisateurs en fonction du type d'utilisateur ou du paramètre. Les ingénieurs Cisco utilisent des stratégies dans Windows Server 2012 pour filtrer par VNI (Virtual Network Identifier).
Principal
Cette section contient les résultats de la recherche, pourquoi elle n'est pas prise en charge, comment elle fonctionne (logique), ce qui est nouveau et comment cette nouveauté nous aidera.
Pourquoi Microsoft Windows Server 2000/2003/2008 n'est-il pas pris en charge ?
Microsoft Windows Server 2008 et les versions antérieures ne traitent pas l'option 82 et le paquet de retour est envoyé sans l'option 82.
- La demande du client est envoyée à Broadcast (DHCP Discover).
- L'équipement (Nexus) envoie le paquet au serveur DHCP (DHCP Discover + Option 82).
- Le serveur DHCP reçoit le paquet, le traite, le renvoie, mais sans option 82. (Offre DHCP – sans option 82)
- L'équipement (Nexus) reçoit un paquet du serveur DHCP. (Offre DHCP) Mais n'envoie pas ce paquet à l'utilisateur final.
Données renifleur - sur Windows Server 2008 et sur le client DHCPWindows Server 2008 reçoit une requête de l'équipement réseau. (L'option 82 est présente dans la liste)
Windows Server 2008 envoie la réponse à l'équipement réseau. (L'option 82 n'est pas répertoriée comme option dans le package)
Demande du client - DHCP Discover est présent et l'offre DHCP est manquante
Statistiques sur les équipements réseaux :
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Pourquoi la configuration est-elle si difficile dans Microsoft Windows Server 2012 ?
Microsoft Windows Server 2012 ne prend pas encore en charge la RFC#3527 (option 82, sous-option 5(0x5) - Sélection de lien)
Mais la fonctionnalité Policy a déjà été implémentée.
Comment cela fonctionne:
- Microsoft Windows Server 2012 dispose d'un super pool (SuperScope) qui possède des adresses de bouclage et des pools pour les réseaux réels.
- La sélection du pool pour émettre une adresse IP relève de SuperScope, puisque la réponse provient du relais DHCP avec l'adresse source de bouclage incluse dans SuperScope.
- À l’aide de la stratégie, la demande sélectionne dans Superscope la portée du membre dont le VNI est contenu dans l’ID de circuit d’agent de l’option 82, sous-option 1. ("0108000600"+ 24 bits VNI + 24 bits dont les valeurs me sont inconnues, mais le sniffer affiche des valeurs de 0 dans ce champ.)
Comment la configuration est-elle simplifiée dans Microsoft Windows Server 2016/2019 ?
Microsoft Windows Server 2016 implémente la fonctionnalité RFC#3527. Autrement dit, Windows Server 2016 peut reconnaître le réseau correct à partir de l'attribut Option 82, sous-option 5 (0x5) - Sélection de lien.
Trois questions se posent immédiatement :
- Peut-on se passer de Superscope ?
- Pouvons-nous nous passer de Policy et convertir le VNI sous forme hexadécimale ?
- Pouvons-nous nous passer de Scope pour les adresses source DHCP de bouclage ?
Q. Peut-on se passer de Superscope ?
A. Oui, un périmètre peut être créé immédiatement dans le domaine des adresses IPv4.
Q. Pouvons-nous nous passer de Policy et convertir le VNI sous forme hexadécimale ?
A. Oui, la sélection du réseau est basée sur l'option 82, sous-option 0x5,
Q. Pouvons-nous nous passer de Scope pour les adresses source DHCP de bouclage ?
A. Non, nous ne pouvons pas. Parce que Microsoft Windows Server 2016/2019 dispose d'une protection contre les requêtes DHCP malveillantes. Autrement dit, toutes les demandes provenant d'adresses qui ne font pas partie du pool de serveurs DHCP sont considérées comme malveillantes.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Ceux. Pour configurer un pool DHCP pour une usine VXLAN BGP EVPN sur Microsoft Windows Server 2016/2019, vous avez uniquement besoin de :
- Créez un pool pour les adresses de relais source.
- Créer un pool pour les réseaux clients
Ce qui n'est pas nécessaire (mais peut être configuré et cela fonctionnera et ne gênera pas le travail) :
- Créer une politique
- Créer un SuperScope
ExempleExemple de configuration d'un serveur DHCP (il existe 2 vrais clients DHCP - les clients sont connectés à la structure VXLAN)
Exemple de configuration d'un pool d'utilisateurs :
Un exemple de mise en place d'un pool d'utilisateurs (les politiques sont sélectionnées - pour prouver que les politiques n'ont pas été utilisées pour le bon fonctionnement du pool) :
Un exemple de configuration d'un pool d'adresses de relais DHCP source (la plage d'adresses à émettre correspond entièrement à l'exclusion du pool d'adresses) :
Configuration d'un service DHCP sur Microsoft Windows Server 2019
Configuration d'un pool d'adresses de bouclage (source) pour le relais DHCP.
Nous créons un nouveau pool (Scope) dans l'espace IPv4.
Assistant de création de pool. "Suivant >"
Configurez le nom du pool et la description du pool.
Définissez la plage d'adresses IP pour le bouclage et le masque du pool.
Ajout d'exceptions. La plage d’exclusion doit correspondre exactement à la plage du pool.
Durée de location. "Suivant >"
Requête : allez-vous configurer les options DHCP maintenant (DNS, WINS, passerelle, domaine) ou le ferez-vous plus tard. Il serait plus rapide de répondre non, puis d'activer la piscine manuellement. Ou allez jusqu'au bout sans renseigner aucune information et activez le pool à la fin de l'assistant.
Nous confirmons que les options ne sont pas configurées et que le pool n'est pas activé. "Finition"
Nous activons la piscine manuellement. — Sélectionnez Scope et dans le menu contextuel — sélectionnez « Activer ».
Nous créons un pool d'utilisateurs/serveurs.
Nous créons une nouvelle piscine.
Assistant de création de pool. "Suivant >"
Configurez le nom du pool et la description du pool.
Définissez la plage d'adresses IP pour le bouclage et le masque du pool.
Ajout d'exceptions. (Aucune exception n'est requise par défaut) "Suivant >"
Durée de location. "Suivant >"
Requête : allez-vous configurer les options DHCP maintenant (DNS, WINS, passerelle, domaine) ou le ferez-vous plus tard. Installons-le maintenant.
Configurez l'adresse de passerelle par défaut.
Nous configurons les adresses du domaine et du serveur DNS.
Configuration des adresses IP des serveurs WINS.
Activation de la portée.
Le pool est configuré. "Finition"
Conclusion
L'utilisation de Windows Server 2016/2019 réduit la complexité de la configuration d'un serveur DHCP pour une structure VXLAN (ou toute autre structure). (Il n'est pas nécessaire de transférer des liens spéciaux vers des spécialistes informatiques : ID de circuit réseau/agent pour enregistrer les filtres.)
La configuration de Windows Server 2012 fonctionnera-t-elle sur les nouveaux serveurs 2016/2019 - oui, cela fonctionnera.
Ce document contient des références à 2 versions : 7.X et 9.3. Cela est dû au fait que la version 7.0(3)I7(7) est une version suggérée par Cisco et que la version 9.3 est la plus innovante (prenant même en charge la multidiffusion via VXLAN Multisite).
Liste des sources
Source: habr.com