Lo scopo di questo articolo è semplificare la configurazione del servizio DHCP per VXLAN BGP EVPN e struttura DFA utilizzando Microsoft Windows Server 2016/2019.
Nella documentazione ufficiale, il servizio DHCP basato su Microsoft Windows Server 2012 per il fabric è configurato come un SuperScope contenente un pool di Loopback (il punto forte di questo pool è l'esclusione di tutti gli indirizzi IP del pool dal pool (indirizzo IP escluso = pool)) e pool per l'emissione di indirizzi IP per reti reali (ecco il punto culminante - la politica è configurata - in cui l'ID del circuito di inoltro DHCP viene filtrato e questo ID del circuito di inoltro DHCP contiene il VNI per la rete, ovvero per un altro pool questo inoltro DHCP L'ID del circuito sarà leggermente diverso).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Questo articolo contiene le risposte alle seguenti domande:
contenuto
-
- ( & )
-
-
Introduzione
Questa parte elenca brevemente tutti i dati iniziali: istruzioni per la configurazione delle apparecchiature di rete, RFC utilizzati nei pacchetti DHCP nelle fabbriche eVPN, l'evoluzione delle impostazioni del server DHCP su Microsoft Windows Server 2012 nella documentazione Cisco è fornita come riferimento. Oltre a brevi informazioni su Superscope e Policy nel servizio DHCP sui server Microsoft Windows.
Come configurare l'inoltro DHCP su una struttura DFA VXLAN BGP EVPN
La configurazione dell'inoltro DHCP su una struttura EVPN BGP VXLAN non è l'argomento principale di questo articolo, poiché è abbastanza semplice. Fornisco collegamenti alla documentazione e uno spoiler sulle impostazioni sulle apparecchiature di rete.
Esempio di configurazione dell'inoltro DHCP su Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC implementati nel funzionamento del servizio di inoltro DHCP nelle strutture VXLAN BGP EVPN
RFC#6607: opzione secondaria 151(0x97) - Selezione della sottorete virtuale
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Viene trasmesso il “nome” della VRF in cui si trova il cliente.
RFC#5107: Opzione secondaria 11(0xb) - Sostituzione dell'ID server
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.L'opzione viene utilizzata per garantire che il client invii una richiesta di rinnovo del lease dell'indirizzo all'indirizzo IP utilizzato in questa opzione. (Su Cisco VXLAN BGP, EVPN è l'indirizzo Anycast del gateway predefinito del client.)
RFC#3527: Opzione secondaria 5(0x5) - Selezione collegamento
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Indirizzo della rete da cui il client necessita di un indirizzo IP.
Evoluzione della documentazione Cisco relativa alla configurazione DHCP su Microsoft Windows Server 2012
Ho inserito questa sezione perchè c'è un trend positivo da parte del venditore:
La documentazione mostra solo come configurare l'inoltro DHCP sulle apparecchiature di rete.
Un altro articolo è stato utilizzato per configurare DHCP su Windows Server 2012:
Questo articolo indica che ciascuna rete/VNI richiede il proprio bundle SuperScope e il proprio set di indirizzi di loopback:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Aggiunte le impostazioni di Windows 2012 Server alla documentazione per la configurazione delle apparecchiature di rete. Per tutti i pool di indirizzi utilizzati, è richiesto un SuperScope per data center e questo SuperScope rappresenta il confine del data center:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Tutto è spiegato in modo molto succinto:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP in Microsoft Windows Server (ambito esteso e policy)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Cos'è SuperScope: è una funzionalità che ti consente di combinare diversi pool di indirizzi IP in un'unica unità amministrativa. Per pubblicizzare agli utenti sulla stessa rete fisica (nella stessa VLAN) indirizzi IP da diversi pool. Se la richiesta è arrivata a un pool di indirizzi come parte di un SuperScope, al client può essere assegnato un indirizzo da un altro Scope incluso in questo SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Politiche – consentono di assegnare indirizzi IP agli utenti in base al tipo di utente o parametro. Gli ingegneri Cisco utilizzano i criteri in Windows Server 2012 per filtrare in base a VNI (Virtual Network Identifier).
principale
Questa sezione contiene i risultati della ricerca, perché non è supportata, come funziona (logica), cosa c'è di nuovo e come questo nuovo ci aiuterà.
Perché Microsoft Windows Server 2000/2003/2008 non è supportato?
Microsoft Windows Server 2008 e versioni precedenti non elaborano l'opzione 82 e il pacchetto di ritorno viene inviato senza l'opzione 82.
- La richiesta del client viene inviata a Broadcast (DHCP Discover).
- L'apparecchiatura (Nexus) invia il pacchetto al server DHCP (DHCP Discover + Opzione 82).
- Il server DHCP riceve il pacchetto, lo elabora, lo rimanda indietro, ma senza l'opzione 82. (Offerta DHCP – senza opzione 82)
- L'apparecchiatura (Nexus) riceve un pacchetto dal server DHCP. (Offerta DHCP) Ma non invia questo pacchetto all'utente finale.
Dati sniffer: su Windows Server 2008 e sul client DHCPWindows Server 2008 riceve una richiesta dall'apparecchiatura di rete. (L'opzione 82 è presente nell'elenco)
Windows Server 2008 invia la risposta alle apparecchiature di rete. (L'opzione 82 non è elencata come opzione nel pacchetto)
Richiesta dal client: DHCP Discover è presente e l'offerta DHCP manca
Statistiche sulle apparecchiature di rete:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Perché la configurazione è così complessa in Microsoft Windows Server 2012?
Microsoft Windows Server 2012 non supporta ancora RFC#3527 (Opzione 82 Sottoopzione 5(0x5) - Selezione collegamento)
Ma la funzionalità Policy è già stata implementata.
Come funziona:
- Microsoft Windows Server 2012 dispone di un super pool (SuperScope) che dispone di indirizzi di loopback e pool per reti reali.
- La selezione del pool per l'emissione di un indirizzo IP rientra in SuperScope, poiché la risposta è arrivata dal DHCP Relay con l'indirizzo Loopback Source incluso in SuperScope.
- Utilizzando la policy, la richiesta seleziona dall'ambito esteso l'ambito del membro il cui VNI è contenuto nell'ID circuito agente subopzione 82 dell'opzione 1. (“0108000600”+ 24 bit VNI + 24 bit i cui valori non mi sono noti, ma lo sniffer mostra valori pari a 0 in questo campo.)
Come viene semplificata la configurazione in Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 implementa la funzionalità RFC#3527. Ciò significa che Windows Server 2016 è in grado di riconoscere la rete corretta dall'opzione secondaria 82(5x0) dell'opzione 5 - attributo Selezione collegamento
Sorgono subito tre domande:
- Possiamo fare a meno di Superscope?
- Possiamo fare a meno della Policy e convertire VNI in forma esadecimale?
- Possiamo fare a meno dell'ambito per gli indirizzi di origine DHCP di loopback?
Q. Possiamo fare a meno di Superscope?
A. Sì, l'ambito può essere creato immediatamente nell'area degli indirizzi IPv4.
Q. Possiamo fare a meno della Policy e convertire VNI in forma esadecimale?
A. Sì, la selezione della rete si basa sull'opzione 82, sottoopzione 0x5,
Q. Possiamo fare a meno dell'ambito per gli indirizzi di origine DHCP di loopback?
A. No, non possiamo. Perché Microsoft Windows Server 2016/2019 è protetto contro le richieste DHCP dannose. Ciò significa che tutte le richieste provenienti da indirizzi che non si trovano nel pool di server DHCP sono considerate dannose.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Quelli. Per configurare un pool DHCP per una factory VXLAN BGP EVPN su Microsoft Windows Server 2016/2019 è necessario solo:
- Crea un pool per gli indirizzi di inoltro di origine.
- Creare un pool per le reti client
Cosa non è necessario (ma può essere configurato e funzionerà e non interferirà con il lavoro):
- Crea politica
- Crea SuperScope
esempioEsempio di configurazione di un server DHCP (ci sono 2 client DHCP reali: i client sono connessi alla struttura VXLAN)
Esempio di configurazione di un pool di utenti:
Un esempio di impostazione di un pool di utenti (le policy vengono selezionate - per dimostrare che le policy non sono state utilizzate per il corretto funzionamento del pool):
Un esempio di configurazione di un pool per indirizzi di inoltro DHCP di origine (l'intervallo di indirizzi per l'emissione corrisponde pienamente all'esclusione dal pool di indirizzi):
Configurazione di un servizio DHCP su Microsoft Windows Server 2019
Configurazione di un pool per indirizzi di loopback (origine) per l'inoltro DHCP.
Creiamo un nuovo pool (Scope) nello spazio IPv4.
Procedura guidata per la creazione della piscina. "Avanti >"
Configurare il nome e la descrizione del pool.
Imposta l'intervallo di indirizzi IP per Loopback e la maschera per il pool.
Aggiunta di eccezioni. L'intervallo di esclusione deve corrispondere esattamente all'intervallo del pool.
Tempo di noleggio. "Avanti >"
Domanda: configurerai le opzioni DHCP ora (DNS, WINS, Gateway, Dominio) o lo farai più tardi. Sarebbe più veloce rispondere no, e poi attivare manualmente la piscina. Oppure vai alla fine senza inserire alcuna informazione e attiva la piscina alla fine della procedura guidata.
Confermiamo che le opzioni non sono configurate e la piscina non è attivata. "Fine"
Attiviamo la piscina manualmente. — Seleziona Ambito e nel menu contestuale — seleziona “Attiva”.
Creiamo un pool per utenti/server.
Creiamo una nuova piscina.
Procedura guidata per la creazione della piscina. "Avanti >"
Configurare il nome e la descrizione del pool.
Imposta l'intervallo di indirizzi IP per Loopback e la maschera per il pool.
Aggiunta di eccezioni. (Nessuna eccezione richiesta per impostazione predefinita) "Avanti >"
Tempo di noleggio. "Avanti >"
Domanda: configurerai le opzioni DHCP ora (DNS, WINS, Gateway, Dominio) o lo farai più tardi. Impostiamolo adesso.
Configura l'indirizzo del gateway predefinito.
Configuriamo gli indirizzi del dominio e del server DNS.
Configurazione degli indirizzi IP dei server WINS.
Attivazione dell'ambito.
La piscina è configurata. "Fine"
conclusione
L'utilizzo di Windows Server 2016/2019 riduce la complessità della configurazione di un server DHCP per una struttura VXLAN (o qualsiasi altra struttura). (Non è necessario trasferire collegamenti speciali agli specialisti IT: ID circuito rete/agente per registrare i filtri.)
La configurazione per Windows Server 2012 funzionerà sui nuovi server 2016/2019? Sì, funzionerà.
Questo documento contiene riferimenti a 2 versioni: 7.X e 9.3. Ciò è dovuto al fatto che la versione 7.0(3)I7(7) è una versione consigliata da Cisco e la versione 9.3 è la più innovativa (supporta anche il multicast tramite VXLAN Multisite).
Elenco delle fonti
Fonte: habr.com