🥇 Að stilla Microsoft Windows Server 2016/2019 til að veita DHCP þjónustu fyrir VXLAN (DFA)

Tilgangur þessarar greinar er að einfalda uppsetningu DHCP þjónustu fyrir VXLAN BGP EVPN og DFA efni með því að nota Microsoft Windows Server 2016/2019.

Í opinberu skjölunum er DHCP þjónustan sem byggir á Microsoft Windows Server 2012 fyrir efnið stillt sem SuperScope sem inniheldur Loopback laug (hápunktur þessarar laugar er útilokun allra IP tölur laugarinnar frá lauginni (undanskilin IP tölu = laug)) og laugar til að gefa út IP vistföng fyrir raunveruleg netkerfi (hér er hápunkturinn - stefnan er stillt - þar sem auðkenni DHCP gengis hringrásar er síað og þetta DHCP gengi hringrás auðkenni inniheldur VNI fyrir netið, þ.e. fyrir aðra laug þetta DHCP gengi Auðkenni hringrásar verður aðeins öðruvísi).

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

Þessi grein inniheldur svör við eftirfarandi spurningum:

efni

Inngangur
Helstu hluti
Ályktun
Listi yfir heimildir

Inngangur

Þessi hluti listar í stuttu máli öll upphafsgögn: Leiðbeiningar um uppsetningu netbúnaðar, RFC sem notuð eru í DHCP pakka í eVPN verksmiðjum, þróun DHCP netþjónastillinga á Microsoft Windows Server 2012 í Cisco skjölum eru til viðmiðunar. Ásamt stuttum upplýsingum um Superscope og stefnu í DHCP þjónustunni á Microsoft Windows Servers.

Hvernig á að stilla DHCP Relay á VXLAN BGP EVPN, DFA efni

Stilling DHCP Relay á VXLAN BGP EVPN efni er ekki aðalefni þessarar greinar, þar sem það er frekar einfalt. Ég útveg hlekki á skjöl og spoiler um stillingar á netbúnaði.

Dæmi um uppsetningu DHCP Relay á Nexus 9000V v9.2(3)

service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
  vrf member VRF1
  ip address 10.120.0.1/32 tag 1234567
interface Vlan12
  no shutdown
  vrf member VRF1
  no ip redirects
  ip address 10.120.251.1/24 tag 1234567
  no ipv6 redirects
  fabric forwarding mode anycast-gateway
  ip dhcp relay address 10.0.0.5
  ip dhcp relay source-interface loopback10

RFC sem eru útfærð í rekstri DHCP Relay þjónustunnar í VXLAN BGP EVPN efnum

RFC#6607: Undirvalkostur 151(0x97) - Sýndarundirnetsval

•	Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.

„Nafn“ VRF sem viðskiptavinurinn er í er sent.

RFC#5107: Undirvalkostur 11(0xb) - Hnekkt auðkenni miðlara

•	Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.) 
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.

Valmöguleikinn er notaður til að tryggja að viðskiptavinurinn sendi beiðni um að endurnýja heimilisfangsleigusamninginn á IP-tölu sem notuð er í þessum valkosti. (Á Cisco VXLAN BGP er EVPN sjálfgefna Anycast-gátt viðskiptavinarins.)

RFC#3527: Undirvalkostur 5(0x5) - Tenglaval

Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.) 

The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.

Heimilisfang netsins sem viðskiptavinurinn þarf IP tölu frá.

Þróun Cisco skjala varðandi uppsetningu DHCP á Microsoft Windows Server 2012

Ég setti þennan hluta með vegna þess að það er jákvæð þróun hjá seljanda:

Nexus 9000 VXLAN Stillingarhandbók 7.3

Skjölin sýna aðeins hvernig á að stilla DHCP Relay á netbúnaði.

Önnur grein var notuð til að stilla DHCP á Windows Server 2012:

Að stilla Microsoft Windows Server 2012 til að veita DHCP þjónustu í eVPN atburðarás (VXLAN, Cisco One Fabric, osfrv.)

Þessi grein gefur til kynna að hvert net/VNI krefst eigin SuperScope búnts og eigið sett af Loopback vistföngum:

If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.

Nexus 9000 VXLAN Stillingarhandbók 9.3

Bætti Windows 2012 Server stillingum við skjölin til að setja upp netbúnað. Fyrir alla vistfangahópa sem notaðir eru, þarf eitt SuperScope í hvert gagnaver og þetta SuperScope er mörk gagnaversins:

Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.

Cisco Dynamic Fabric Automation

Allt er útskýrt mjög skorinort:

Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn. 

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

DHCP í Microsoft Windows Server (yfirsjá og stefna)

SuperScope

Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.

Hvað er SuperScope - það er virkni sem gerir þér kleift að sameina nokkra hópa af IP tölum í eina stjórnunareiningu. Til að auglýsa fyrir notendur á sama neti (í sama VLAN) IP tölum frá nokkrum laugum. Ef beiðnin kom til hóps heimilisfönga sem hluti af SuperScope, þá getur viðskiptavinurinn fengið heimilisfang frá öðru Scope sem er innifalið í þessu SuperScope.

Stefna

The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.

The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.

Reglur – leyfa þér að úthluta IP-tölum til notenda eftir tegund notanda eða færibreytu. Verkfræðingar Cisco nota stefnur í Windows Server 2012 til að sía eftir VNI (Virtual Network Identifier).

Helstu hluti

Þessi hluti inniheldur niðurstöður rannsóknarinnar, hvers vegna hún er ekki studd, hvernig hún virkar (rökfræði), hvað er nýtt og hvernig þetta nýja mun hjálpa okkur.

Af hverju er Microsoft Windows Server 2000/2003/2008 ekki studdur?

Microsoft Windows Server 2008 og eldri útgáfur vinna ekki úr valkosti 82 og skilapakkinn er sendur án valkosts 82.

Win2k8 R2 DHCP vandamál með Option82

Beiðnin frá viðskiptavininum er send til Broadcast (DHCP Discover).
Búnaðurinn (Nexus) sendir pakkann á DHCP þjóninn (DHCP Discover + Valkostur 82).
DHCP Server tekur á móti pakkanum, vinnur úr honum, sendir hann til baka, en án valkosts 82. (DHCP tilboð – án valkosts 82)
Búnaðurinn (Nexus) tekur á móti pakka frá DHCP þjóninum. (DHCP tilboð) En sendir ekki þennan pakka til endanotandans.

Sniffer gögn - á Windows Server 2008 og á DHCP biðlaraWindows Server 2008 fær beiðni frá netbúnaði. (Valkostur 82 er til staðar á listanum)

Windows Server 2008 sendir svarið til netbúnaðarins. (Valkostur 82 er ekki skráður sem valkostur í pakkanum)

Beiðni frá viðskiptavininum - DHCP Discover er til staðar og DHCP tilboð vantar

Tölfræði um netbúnað:

NEXUS-9000V-SW-1# show ip dhcp relay statistics 
----------------------------------------------------------------------
Message Type             Rx              Tx           Drops  
----------------------------------------------------------------------
Discover                  8               8               0
Offer                     8               8               0
Request(*)                0               0               0
Ack                       0               0               0
Release(*)                0               0               0
Decline                   0               0               0
Inform(*)                 0               0               0
Nack                      0               0               0
----------------------------------------------------------------------
Total                    16              16               0
----------------------------------------------------------------------

DHCP L3 FWD:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
Non DHCP:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
DROP:
DHCP Relay not enabled                           :         0
Invalid DHCP message type                        :         0
Interface error                                  :         0
Tx failure towards server                        :         0
Tx failure towards client                        :         0
Unknown output interface                         :         0
Unknown vrf or interface for server              :         0
Max hops exceeded                                :         0
Option 82 validation failed                      :         0
Packet Malformed                                 :         0
Relay Trusted port not configured                :         0
DHCP Request dropped on MCT                      :         0
*  -  These counters will show correct value when switch 
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#

Af hverju er uppsetning svona erfið í Microsoft Windows Server 2012?

Microsoft Windows Server 2012 styður ekki enn RFC#3527 (valkostur 82 undirvalkostur 5(0x5) - Tenglaval)
En stefnuvirknin hefur þegar verið innleidd.

Svo sem работает:

Microsoft Windows Server 2012 er með ofurlaug (SuperScope) sem hefur Loopback vistföng og laugar fyrir alvöru netkerfi.
Valið á lauginni til að gefa út IP-tölu fellur undir SuperScope, þar sem svarið kom frá DHCP Relay með Loopback Source vistfanginu innifalið í SuperScope.
Með því að nota stefnu, velur beiðnin úr Superscope það umfang meðlima þar sem VNI er að finna í valkost 82 undirvalkosti 1 Agent Circuit ID. ("0108000600"+ 24 bitar VNI + 24 bitar þar sem gildin eru mér óþekkt, en snifferinn sýnir gildin 0 á þessum reit.)

Hvernig er uppsetningin einfölduð í Microsoft Windows Server 2016/2019?

Microsoft Windows Server 2016 útfærir RFC#3527 virkni. Það er, Windows Server 2016 getur borið kennsl á rétt netkerfi frá valkosti 82 undirvalkosti 5(0x5) - Link Selection eigind

Þrjár spurningar vakna strax:

Getum við verið án Superscope?
Getum við verið án stefnu og umbreytt VNI í sextándegisform?
Getum við verið án svigrúms fyrir Loopback DHCP upprunaheimilisföng?

Q. Getum við verið án Superscope?
A. Já, umfang er hægt að búa til strax á sviði IPv4 vistfönga.
Q. Getum við verið án stefnu og umbreytt VNI í sextándegisform?
A. Já, netval byggist á valkosti 82 undirvalkosti 0x5,
Q. Getum við verið án svigrúms fyrir Loopback DHCP upprunaheimilisföng?
A. Nei við getum það ekki. Vegna þess að Microsoft Windows Server 2016/2019 hefur vernd gegn skaðlegum DHCP beiðnum. Það er að segja að allar beiðnir frá netföngum sem eru ekki í DHCP miðlarahópnum eru taldar illgjarnar.

Valkostir DHCP undirnets

 Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.

A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.

Þeir. Til að stilla DHCP laug fyrir VXLAN BGP EVPN verksmiðju á Microsoft Windows Server 2016/2019 þarftu aðeins:

Búðu til laug fyrir Source Relay vistföng.
Búðu til laug fyrir net viðskiptavina

Það sem er ekki nauðsynlegt (en hægt er að stilla það og það mun virka og truflar ekki vinnuna):

Búðu til stefnu
Búðu til SuperScope

DæmiDæmi um uppsetningu DHCP netþjóns (það eru 2 raunverulegir DHCP viðskiptavinir - viðskiptavinirnir eru tengdir VXLAN efninu)

Dæmi um uppsetningu notendahóps:

Dæmi um uppsetningu notendahóps (reglur eru valdar - til að sanna að reglur hafi ekki verið notaðar fyrir réttan rekstur hópsins):

Dæmi um að stilla hóp fyrir uppruna DHCP Relay vistföng (svið vistfönga til útgáfu samsvarar að öllu leyti útilokun frá vistfangahópnum):

Setja upp DHCP þjónustu á Microsoft Windows Server 2019

Stilla laug fyrir Loopback vistföng (uppspretta) fyrir DHCP Relay.

Við búum til nýja laug (Scope) í IPv4 rýminu.

Töframaður til að búa til sundlaugar. "Næsta >"

Stilltu heiti laugarinnar og lýsingu á lauginni.

Stilltu svið IP vistfanga fyrir Loopback og grímuna fyrir sundlaugina.

Bætir við undantekningum. Útilokunarsviðið verður að passa nákvæmlega við sundlaugarsviðið.

Leigutími. "Næsta >"

Fyrirspurn: Ætlarðu að stilla DHCP valkosti núna (DNS, WINS, Gateway, Domain) eða munt þú gera það síðar. Það væri fljótlegra að svara nei, og virkja síðan sundlaugina handvirkt. Eða farðu til enda án þess að fylla út upplýsingar og virkjaðu sundlaugina í lok töframannsins.

Við staðfestum að valkostirnir eru ekki stilltir og sundlaugin er ekki virkjuð. "Klára"

Við virkum sundlaugina handvirkt. — Veldu Umfang og í samhengisvalmyndinni — veldu „Virkja“.

Við búum til laug fyrir notendur/þjóna.

Við búum til nýja sundlaug.

Töframaður til að búa til sundlaugar. "Næsta >"

Stilltu heiti laugarinnar og lýsingu á lauginni.

Stilltu svið IP vistfanga fyrir Loopback og grímuna fyrir sundlaugina.

Bætir við undantekningum. (Engar undantekningar krafist sjálfgefið) "Næsta >"

Leigutími. "Næsta >"

Fyrirspurn: Ætlarðu að stilla DHCP valkosti núna (DNS, WINS, Gateway, Domain) eða munt þú gera það síðar. Við skulum setja það upp núna.

Stilltu sjálfgefið heimilisfang gáttar.

Við stillum heimilisföng léns og DNS netþjóns.

Stilla IP tölur WINS netþjóna.

Virkjun umfangs.

Sundlaugin er stillt upp. "Klára"

Ályktun

Notkun Windows Server 2016/2019 dregur úr flókið við að setja upp DHCP netþjón fyrir VXLAN efni (eða annað efni). (Ekki er nauðsynlegt að flytja sérstaka tengla á upplýsingatæknisérfræðinga: Net-/umboðshringrásakenni til að skrá síur.)

Mun uppsetningin fyrir Windows Server 2012 virka á nýjum 2016/2019 netþjónum - já það mun virka.

Þetta skjal inniheldur tilvísanir í 2 útgáfur: 7.X og 9.3. Þetta er vegna þess að útgáfa 7.0(3)I7(7) er Cisco Suggested útgáfa og útgáfa 9.3 er nýstárlegast (styður jafnvel Multicast í gegnum VXLAN Multisite).

Listi yfir heimildir

Heimild: www.habr.com

Stillir Microsoft Windows Server 2016/2019 til að veita DHCP þjónustu fyrir VXLAN (DFA)