Бул макаланын максаты Microsoft Windows Server 2016/2019 аркылуу VXLAN BGP EVPN жана DFA ткани үчүн DHCP кызматынын конфигурациясын жөнөкөйлөтүү болуп саналат.
Расмий документацияда, кездеме үчүн Microsoft Windows Server 2012ге негизделген DHCP кызматы Loopback пулун камтыган SuperScope катары конфигурацияланган (бул пулдун өзгөчөлүгү бассейндин бардык IP даректерин бассейнден чыгаруу болуп саналат (чыгарылган IP дареги = бассейн)) жана чыныгы тармактар үчүн IP даректерди берүү үчүн бассейндер (бул жерде өзгөчөлүк - саясат конфигурацияланган - анда DHCP релелик схемасы идентификатор чыпкаланган жана бул DHCP релелик схемасы идентификатору тармак үчүн VNI камтыйт, б.а. башка бассейн үчүн бул DHCP реле Circuit ID бир аз башкача болот).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Бул макалада төмөнкү суроолорго жооп бар:
ыраазы
-
- ( & )
-
-
тааныштыруу
Бул бөлүктө бардык баштапкы маалыматтарды кыскача тизмелейт: Тармактык жабдууларды конфигурациялоо боюнча нускамалар, eVPN заводдорундагы DHCP пакеттеринде колдонулган RFCлер, Cisco документтериндеги Microsoft Windows Server 2012деги DHCP сервер орнотууларынын эволюциясы маалымдама үчүн берилген. Ошондой эле Microsoft Windows серверлериндеги DHCP кызматындагы Superscope жана саясат жөнүндө кыскача маалымат.
VXLAN BGP EVPN, DFA кездемесинде DHCP релесин кантип конфигурациялоо керек
VXLAN BGP EVPN кездемесинде DHCP релесин конфигурациялоо бул макаланын негизги темасы эмес, анткени ал абдан жөнөкөй. Мен документацияга шилтемелерди жана тармактык жабдуулардын жөндөөлөрү боюнча спойлерге берем.
Nexus 9000V v9.2(3) түзмөгүндө DHCP релесин орнотуунун мисалы
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
VXLAN BGP EVPN кездемелеринде DHCP Relay кызматынын иштешинде ишке ашырылган RFCs
RFC#6607: Суб-опция 151(0x97) - Виртуалдык ички тармак тандоо
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.кардар жайгашкан VRF "аты" берилет.
RFC#5107: Суб-опция 11(0xb) - Server ID жокко чыгаруу
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Опция кардар бул опцияда колдонулган IP дарекке даректи ижарага берүү өтүнүчүн жөнөтүшүн камсыз кылуу үчүн колдонулат. (Cisco VXLAN BGPде EVPN кардардын демейки шлюзи Anycast дареги болуп саналат.)
RFC#3527: Суб-опция 5(0x5) - Шилтеме тандоо
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Кардарга IP дареги керек болгон тармактын дареги.
Microsoft Windows Server 2012де DHCP конфигурациялоо боюнча Cisco документтеринин эволюциясы
Мен бул бөлүмдү киргиздим, анткени сатуучу тарабынан оң тенденция бар:
Документте DHCP релесин тармактык жабдууларда кантип конфигурациялоо керектиги гана көрсөтүлөт.
Дагы бир макала Windows Server 2012де DHCP конфигурациялоо үчүн колдонулган:
Бул макалада ар бир тармак/VNI өзүнүн SuperScope таңгагын жана Loopback даректеринин өзүнүн топтомун талап кылаарын көрсөтөт:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Тармактык жабдууларды орнотуу үчүн документтерге Windows 2012 Server орнотуулары кошулду. Бардык колдонулган дарек пулдары үчүн ар бир маалымат борборуна бир SuperScope талап кылынат жана бул SuperScope маалымат борборунун чек арасы болуп саналат:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Баары абдан кыскача түшүндүрүлөт:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
Microsoft Windows серверинде DHCP (суперскоп жана саясат)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
SuperScope деген эмне - бул IP даректердин бир нече бассейндерин бир административдик бирдикке бириктирүүгө мүмкүндүк берген функция. Бир эле физикалык тармактагы колдонуучуларга (бир эле VLANда) бир нече бассейндердин IP даректерин жарнамалоо үчүн. Эгерде сурам SuperScope программасынын бир бөлүгү катары даректер пулуна келсе, анда кардарга ушул SuperScope камтылган башка Scope дареги берилиши мүмкүн.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Саясаттар – колдонуучунун түрүнө же параметрине жараша колдонуучуларга IP даректерин дайындоого мүмкүндүк берет. Cisco инженерлери VNI (Virtual Network Identifier) боюнча чыпкалоо үчүн Windows Server 2012 саясатын колдонушат.
Негизги бөлүгү
Бул бөлүмдө изилдөөнүн натыйжалары камтылган, эмне үчүн ал колдоого алынбайт, ал кантип иштейт (логика), эмне жаңылык жана бул жаңы бизге кандай жардам берет.
Эмне үчүн Microsoft Windows Server 2000/2003/2008 колдоого алынбайт?
Microsoft Windows Server 2008 жана мурунку версиялары 82-параметрди иштетпейт жана кайтарып берүү пакети 82-опциясыз жөнөтүлөт.
- Кардардын суроо-талабы Broadcast'ка (DHCP Discover) жөнөтүлөт.
- Жабдуу (Nexus) пакетти DHCP серверине жөнөтөт (DHCP Discover + Option 82).
- DHCP сервери пакетти кабыл алат, кайра иштетет, кайра жөнөтөт, бирок 82-вариантсыз. (DHCP сунушу – 82 опциясы жок)
- Жабдуу (Nexus) DHCP серверинен пакетти алат. (DHCP сунушу) Бирок бул пакетти акыркы колдонуучуга жөнөтпөйт.
Sniffer маалыматтары - Windows Server 2008де жана DHCP кардарындаWindows Server 2008 тармактык жабдуулардан суроо-талапты алат. (82-вариант тизмеде бар)
Windows Server 2008 жоопту тармактык жабдууларга жөнөтөт. (82-вариант пакетте опция катары көрсөтүлгөн эмес)
Кардардын суроосу - DHCP Discover бар жана DHCP сунушу жок
Тармактык жабдуулар боюнча статистика:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Эмне үчүн Microsoft Windows Server 2012де конфигурация ушунчалык кыйын?
Microsoft Windows Server 2012 азырынча RFC#3527ди колдобойт (Option 82 Sub-Option 5(0x5) - Шилтеме тандоо)
Бирок Саясат функциясы буга чейин ишке ашырылган.
Бул кандай иштейт:
- Microsoft Windows Server 2012 супер бассейнге (SuperScope) ээ, анда Loopback даректери жана реалдуу тармактар үчүн бассейндер бар.
- IP дарегин берүү үчүн бассейнди тандоо SuperScope'га туура келет, анткени жооп DHCP Relay'ден SuperScope камтылган Loopback Source дареги менен келген.
- Полицияны колдонуу менен, сурам Superscope'дан VNI 82-Option 1 Suboption 0108000600 Agent Circuit ID камтылган мүчө чөйрөсүн тандайт. ("24"+ 24 бит VNI + 0 бит, алардын маанилери мага белгисиз, бирок жыттоочу бул талаада XNUMX маанилерин көрсөтөт.)
Microsoft Windows Server 2016/2019да орнотуу кантип жөнөкөйлөштүрүлгөн?
Microsoft Windows Server 2016 RFC#3527 функциясын ишке ашырат. Башкача айтканда, Windows Server 2016 Option 82 Sub-Option 5(0x5) - Шилтеме тандоо атрибутунан туура тармакты тааный алат
Үч суроо дароо туулат:
- Суперскопсуз иштей алабызбы?
- Саясатсыз кылып, VNIди он алтылык формага которсок болобу?
- Loopback DHCP Source даректерин Scope жок кыла алабызбы?
Q. Суперскопсуз иштей алабызбы?
A. Ооба, IPv4 даректеринин аймагында дароо аймак түзүлүшү мүмкүн.
Q. Саясатсыз кылып, VNIди он алтылык формага которсок болобу?
A. Ооба, тармак тандоо Option 82 Suboption 0x5,
Q. Loopback DHCP Source даректерин Scope жок кыла алабызбы?
A. Жок биз кыла албайбыз. Анткени Microsoft Windows Server 2016/2019 зыяндуу DHCP сурамдарынан коргоого ээ. Башкача айтканда, DHCP сервер бассейнинде жок даректерден келген бардык суроо-талаптар зыяндуу деп эсептелет.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Ошол. Microsoft Windows Server 2016/2019да VXLAN BGP EVPN фабрикасы үчүн DHCP пулун конфигурациялоо үчүн сизге:
- Source Relay даректери үчүн бассейн түзүңүз.
- Кардар тармактары үчүн бассейн түзүү
Эмне кереги жок (бирок конфигурациялоого болот жана ал иштейт жана ишке тоскоол болбойт):
- Саясат түзүү
- SuperScope түзүү
мисалDHCP серверин орнотуунун мисалы (2 чыныгы DHCP кардары бар - кардарлар VXLAN тканына туташкан)
Колдонуучу пулун орнотуунун мисалы:
Колдонуучу пулун түзүүнүн мисалы (саясаттар бассейндин туура иштеши үчүн колдонулбаганын далилдөө үчүн тандалган):
Source DHCP Relay даректери үчүн пулду конфигурациялоонун мисалы (чыгаруу үчүн даректер диапазону дарек пулунан чыгарууга толугу менен туура келет):
Microsoft Windows Server 2019да DHCP кызматын орнотуу
DHCP Relay үчүн Loopback даректери (булак) үчүн пулду конфигурациялоо.
Биз IPv4 мейкиндигинде жаңы бассейнди (Scope) түзөбүз.
Бассейн түзүү устасы. "Кийинки >"
Бассейндин атын жана сыпаттамасын конфигурациялаңыз.
Loopback үчүн IP даректеринин диапазонун жана бассейн үчүн масканы коюңуз.
Өзгөчө учурларды кошуу. Четтетүү диапазону бассейн диапазонуна так дал келиши керек.
Ижарага алуу убактысы. "Кийинки >"
Суроо: DHCP параметрлерин азыр конфигурациялайсызбы (DNS, WINS, шлюз, домен) же кийинчерээк жасайсызбы. Жок деп жооп берип, анан бассейнди кол менен активдештирүү тезирээк болмок. Же эч кандай маалыматты толтурбастан аягына чейин барып, устанын аягындагы бассейнди иштетиңиз.
Параметрлер конфигурацияланбаганын жана бассейн иштетилбегенин ырастайбыз. "Бүттү"
Бассейнди кол менен иштетебиз. — Аймакты тандаңыз жана контексттик менюдан — «Активдештирүүнү» тандаңыз.
Биз колдонуучулар/серверлер үчүн бассейн түзөбүз.
Биз жаңы бассейн түзөбүз.
Бассейн түзүү устасы. "Кийинки >"
Бассейндин атын жана сыпаттамасын конфигурациялаңыз.
Loopback үчүн IP даректеринин диапазонун жана бассейн үчүн масканы коюңуз.
Өзгөчө учурларды кошуу. (Демейки боюнча эч кандай өзгөчөлүктөр талап кылынбайт) "Кийинки >"
Ижарага алуу убактысы. "Кийинки >"
Суроо: DHCP параметрлерин азыр конфигурациялайсызбы (DNS, WINS, шлюз, домен) же кийинчерээк жасайсызбы. Келиңиз, аны азыр орнотобуз.
Демейки шлюз дарегин конфигурациялаңыз.
Биз домен жана DNS сервер даректерин конфигурациялайбыз.
WINS серверлеринин IP даректерин конфигурациялоо.
Аймакты активдештирүү.
Бассейн конфигурацияланган. "Бүттү"
жыйынтыктоо
Windows Server 2016/2019 колдонуу DHCP серверин VXLAN ткани (же башка кездеме) үчүн орнотуунун татаалдыгын азайтат. (IT адистерине атайын шилтемелерди өткөрүп берүүнүн кереги жок: чыпкаларды каттоо үчүн Network/Agent Circuit ID.)
Windows Server 2012 конфигурациясы жаңы 2016/2019 серверлеринде иштейби - ооба иштейт.
Бул документте 2 версияга шилтемелер бар: 7.X жана 9.3. Бул 7.0(3)I7(7) версиясы Cisco Suggested релиз, ал эми 9.3 версиясы эң инновациялык (ал тургай VXLAN Multisite аркылуу Multicast колдогон) экендигине байланыштуу.
Булактардын тизмеси
Source: www.habr.com