🥇„Microsoft Windows Server 2016/2019“ konfigūravimas teikti DHCP paslaugas VXLAN (DFA)

Šio straipsnio tikslas yra supaprastinti DHCP paslaugos konfigūravimą VXLAN BGP EVPN ir DFA audiniams naudojant Microsoft Windows Server 2016/2019.

Oficialioje dokumentacijoje DHCP paslauga, pagrįsta „Microsoft Windows Server 2012“, skirta medžiagai, yra sukonfigūruota kaip „SuperScope“, kurioje yra „Loopback“ telkinys (šio telkinio akcentas yra visų telkinio IP adresų pašalinimas iš telkinio (išskirtas IP adresas = baseinas)) ir telkiniai, skirti išduoti IP adresus tikriems tinklams (čia yra svarbiausia – sukonfigūruota politika – kuriame DHCP relės grandinės ID filtruojamas ir šiame DHCP relės grandinės ID yra tinklo VNI, t. y. kitam telkiniui ši DHCP relė Grandinės ID šiek tiek skirsis).

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

Šiame straipsnyje pateikiami atsakymai į šiuos klausimus:

Turinys

įvedimas
Pagrindinė dalis
išvada
Šaltinių sąrašas

įvedimas

Šioje dalyje trumpai išvardijami visi pradiniai duomenys: Tinklo įrangos konfigūravimo instrukcijos, eVPN gamyklose DHCP paketuose naudojami RFC, Microsoft Windows Server 2012 DHCP serverio nustatymų raida Cisco dokumentacijoje. Taip pat trumpa informacija apie Superscope ir Policy DHCP tarnyboje Microsoft Windows serveriuose.

Kaip sukonfigūruoti DHCP relę VXLAN BGP EVPN, DFA audinyje

DHCP relės konfigūravimas VXLAN BGP EVPN audinyje nėra pagrindinė šio straipsnio tema, nes tai gana paprasta. Pateikiu nuorodas į dokumentaciją ir tinklo įrangos nustatymų spoilerį.

DHCP relės nustatymo „Nexus 9000V v9.2(3“) pavyzdys

service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
  vrf member VRF1
  ip address 10.120.0.1/32 tag 1234567
interface Vlan12
  no shutdown
  vrf member VRF1
  no ip redirects
  ip address 10.120.251.1/24 tag 1234567
  no ipv6 redirects
  fabric forwarding mode anycast-gateway
  ip dhcp relay address 10.0.0.5
  ip dhcp relay source-interface loopback10

RFC, kurie yra įdiegti naudojant DHCP Relay paslaugą VXLAN BGP EVPN audiniuose

RFC#6607: 151 (0x97) antrinė parinktis – virtualaus potinklio pasirinkimas

•	Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.

Perduodamas VRF, kuriame yra klientas, „pavadinimas“.

RFC#5107: 11 antrinė parinktis (0xb) – serverio ID nepaisymas

•	Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.) 
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.

Ši parinktis naudojama siekiant užtikrinti, kad klientas siųstų užklausą atnaujinti adreso nuomą šioje parinktyje naudojamu IP adresu. („Cisco VXLAN BGP“ EVPN yra numatytasis kliento šliuzo „Anycast“ adresas.)

RFC#3527: 5 antrinė parinktis (0x5) – nuorodos pasirinkimas

Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.) 

The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.

Tinklo, iš kurio klientui reikalingas IP adresas, adresas.

Cisco dokumentacijos, susijusios su DHCP konfigūravimu Microsoft Windows Server 2012, raida

Įtraukiau šį skyrių, nes pardavėjo tendencija yra teigiama:

„Nexus 9000 VXLAN“ konfigūracijos vadovas 7.3

Dokumentacijoje tik parodyta, kaip tinklo įrangoje sukonfigūruoti DHCP relę.

Kitas straipsnis buvo naudojamas DHCP konfigūruoti sistemoje „Windows Server 2012“:

„Microsoft Windows Server 2012“ konfigūravimas teikti DHCP paslaugas pagal „eVPN“ scenarijų (VXLAN, „Cisco One Fabric“ ir kt.)

Šiame straipsnyje nurodoma, kad kiekvienam tinklui / VNI reikia savo SuperScope paketo ir savo Loopback adresų rinkinio:

If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.

„Nexus 9000 VXLAN“ konfigūracijos vadovas 9.3

Prie tinklo įrangos nustatymo dokumentacijos pridėti Windows 2012 serverio nustatymai. Visuose naudojamuose adresų telkiniuose kiekvienam duomenų centrui reikalingas vienas SuperScope ir šis SuperScope yra duomenų centro riba:

Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.

Cisco Dynamic Fabric Automation

Viskas labai glaustai paaiškinta:

Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn. 

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

DHCP „Microsoft Windows Server“ (superskopas ir politika)

SuperScope

Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.

Kas yra SuperScope – tai funkcionalumas, leidžiantis sujungti kelis IP adresų telkinius į vieną administracinį vienetą. Reklamuoti naudotojams tame pačiame fiziniame tinkle (tame pačiame VLAN) IP adresus iš kelių telkinių. Jei užklausa buvo pateikta adresų telkiniui kaip SuperScope dalis, klientui gali būti suteiktas adresas iš kitos srities, įtrauktos į šį SuperScope.

Politika

The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.

The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.

Politika – leidžia vartotojams priskirti IP adresus, atsižvelgiant į vartotojo tipą arba parametrą. „Cisco“ inžinieriai naudoja „Windows Server 2012“ strategijas norėdami filtruoti pagal VNI (virtualaus tinklo identifikatorių).

Pagrindinė dalis

Šioje skiltyje pateikiami tyrimo rezultatai, kodėl jis nepalaikomas, kaip jis veikia (logika), kas naujo ir kaip tai mums padės.

Kodėl „Microsoft Windows Server 2000/2003/2008“ nepalaikoma?

„Microsoft Windows Server 2008“ ir ankstesnės versijos neapdoroja 82 parinkties, o grąžinimo paketas siunčiamas be 82 parinkties.

Win2k8 R2 DHCP problema su Option82

Kliento užklausa siunčiama į Broadcast (DHCP Discover).
Įranga (Nexus) siunčia paketą į DHCP serverį (DHCP Discover + 82 parinktis).
DHCP serveris priima paketą, apdoroja, siunčia atgal, bet be 82 parinkties. (DHCP pasiūlymas – be 82 varianto)
Įranga (Nexus) gauna paketą iš DHCP serverio. (DHCP pasiūlymas) Bet nesiunčia šio paketo galutiniam vartotojui.

Sniffer duomenys – Windows Server 2008 ir DHCP kliente„Windows Server 2008“ gauna užklausą iš tinklo įrangos. (Sąraše yra 82 parinktis)

„Windows Server 2008“ siunčia atsakymą į tinklo įrangą. (82 parinktis pakuotėje nepateikta kaip parinktis)

Kliento užklausa – DHCP Discover yra ir trūksta DHCP pasiūlymo

Tinklo įrangos statistika:

NEXUS-9000V-SW-1# show ip dhcp relay statistics 
----------------------------------------------------------------------
Message Type             Rx              Tx           Drops  
----------------------------------------------------------------------
Discover                  8               8               0
Offer                     8               8               0
Request(*)                0               0               0
Ack                       0               0               0
Release(*)                0               0               0
Decline                   0               0               0
Inform(*)                 0               0               0
Nack                      0               0               0
----------------------------------------------------------------------
Total                    16              16               0
----------------------------------------------------------------------

DHCP L3 FWD:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
Non DHCP:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
DROP:
DHCP Relay not enabled                           :         0
Invalid DHCP message type                        :         0
Interface error                                  :         0
Tx failure towards server                        :         0
Tx failure towards client                        :         0
Unknown output interface                         :         0
Unknown vrf or interface for server              :         0
Max hops exceeded                                :         0
Option 82 validation failed                      :         0
Packet Malformed                                 :         0
Relay Trusted port not configured                :         0
DHCP Request dropped on MCT                      :         0
*  -  These counters will show correct value when switch 
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#

Kodėl „Microsoft Windows Server 2012“ taip sudėtinga konfigūruoti?

„Microsoft Windows Server 2012“ dar nepalaiko RFC#3527 (82 parinktis 5 (0x5) antrinė parinktis – nuorodų pasirinkimas)
Tačiau politikos funkcija jau įdiegta.

Kaip tai veikia:

Microsoft Windows Server 2012 turi super baseiną (SuperScope), kuris turi Loopback adresus ir telkinius tikriems tinklams.
IP adreso išdavimo telkinio pasirinkimas patenka į SuperScope, nes atsakymas gautas iš DHCP Relay su Loopback Source adresu, įtrauktu į SuperScope.
Naudojant politiką, užklausa iš Superscope pasirenka tą nario sritį, kurios VNI yra 82 parinkties 1 papildomos parinkties agento grandinės ID. ("0108000600" + 24 bitai VNI + 24 bitai, kurių reikšmės man nežinomos, bet uostytojas šiame lauke rodo 0 reikšmes.)

Kaip supaprastinta sąranka naudojant „Microsoft Windows Server 2016/2019“?

„Microsoft Windows Server 2016“ įdiegia RFC#3527 funkciją. Tai reiškia, kad „Windows Server 2016“ gali atpažinti teisingą tinklą iš 82 parinkties 5 (0x5) papildomos parinkties – nuorodų pasirinkimo atributo.

Iš karto kyla trys klausimai:

Ar galime apsieiti be „Superscope“?
Ar galime apsieiti be politikos ir konvertuoti VNI į šešioliktainę formą?
Ar galime apsieiti be „Lopback“ DHCP šaltinio adresų?

Q. Ar galime apsieiti be „Superscope“?
A. Taip, apimtį galima sukurti iš karto IPv4 adresų srityje.
Q. Ar galime apsieiti be politikos ir konvertuoti VNI į šešioliktainę formą?
A. Taip, tinklo pasirinkimas pagrįstas 82 parinktimi 0x5,
Q. Ar galime apsieiti be „Lopback“ DHCP šaltinio adresų?
A. Ne mes negalime. Kadangi „Microsoft Windows Server 2016/2019“ turi apsaugą nuo kenkėjiškų DHCP užklausų. Tai reiškia, kad visos užklausos iš adresų, kurių nėra DHCP serverio telkinyje, laikomos kenkėjiškomis.

DHCP potinklio pasirinkimo parinktys

 Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.

A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.

Tie. Norėdami sukonfigūruoti DHCP telkinį VXLAN BGP EVPN gamyklai Microsoft Windows Server 2016/2019, jums reikia tik:

Sukurkite šaltinio perdavimo adresų telkinį.
Sukurkite klientų tinklų telkinį

Kas nėra būtina (bet galima sukonfigūruoti ir tai veiks ir netrukdys darbui):

Sukurti politiką
Sukurkite SuperScope

PavyzdysDHCP serverio nustatymo pavyzdys (yra 2 tikri DHCP klientai – klientai prijungti prie VXLAN tinklo)

Vartotojų telkinio nustatymo pavyzdys:

Vartotojų telkinio nustatymo pavyzdys (pasirinktos strategijos – kad būtų įrodyta, kad strategijos nebuvo naudojamos tinkamam telkinio veikimui):

Šaltinio DHCP perdavimo adresų telkinio konfigūravimo pavyzdys (išduodamų adresų diapazonas visiškai atitinka išskyrimą iš adresų telkinio):

DHCP paslaugos nustatymas „Microsoft Windows Server 2019“.

DHCP Relay Loopback adresų (šaltinio) telkinio konfigūravimas.

Sukuriame naują telkinį (Scope) IPv4 erdvėje.

Baseino kūrimo vedlys. "Kitas>"

Konfigūruokite baseino pavadinimą ir aprašą.

Nustatykite Loopback IP adresų diapazoną ir telkinio kaukę.

Išimčių pridėjimas. Išskyrimo diapazonas turi tiksliai atitikti baseino diapazoną.

Nuomos laikas. "Kitas>"

Užklausa: ar dabar sukonfigūruosite DHCP parinktis (DNS, WINS, Gateway, Domain), ar tai padarysite vėliau. Greičiau būtų atsakyti ne, o tada suaktyvinti telkinį rankiniu būdu. Arba eikite iki galo neužpildę jokios informacijos ir vedlio pabaigoje suaktyvinkite telkinį.

Patvirtiname, kad parinktys nesukonfigūruotos ir baseinas nesuaktyvintas. "Baigti"

Baseiną aktyvuojame rankiniu būdu. — Pasirinkite Apimtis ir kontekstiniame meniu pasirinkite „Suaktyvinti“.

Sukuriame baseiną vartotojams/serveriams.

Kuriame naują baseiną.

Baseino kūrimo vedlys. "Kitas>"

Konfigūruokite baseino pavadinimą ir aprašą.

Nustatykite Loopback IP adresų diapazoną ir telkinio kaukę.

Išimčių pridėjimas. (Pagal numatytuosius nustatymus nereikia jokių išimčių) "Kitas >"

Nuomos laikas. "Kitas>"

Užklausa: ar dabar sukonfigūruosite DHCP parinktis (DNS, WINS, Gateway, Domain), ar tai padarysite vėliau. Dabar nustatykime.

Konfigūruokite numatytąjį šliuzo adresą.

Konfigūruojame domeno ir DNS serverio adresus.

WINS serverių IP adresų konfigūravimas.

Apimties aktyvinimas.

Baseinas sukonfigūruotas. "Baigti"

išvada

Naudojant „Windows Server 2016/2019“, sumažėja DHCP serverio VXLAN audeklo (ar bet kurio kito audinio) nustatymo sudėtingumas. (Nebūtina perduoti specialių nuorodų IT specialistams: Tinklo/Agento grandinės ID, norint registruoti filtrus.)

Ar „Windows Server 2012“ konfigūracija veiks naujuose 2016/2019 serveriuose – taip, veiks.

Šiame dokumente pateikiamos nuorodos į 2 versijas: 7.X ir 9.3. Taip yra dėl to, kad 7.0(3)I7(7) versija yra „Cisco Suggested“ versija, o 9.3 versija yra pati novatoriškiausia (net palaikanti Multicast per VXLAN Multisite).

Šaltinių sąrašas

Šaltinis: www.habr.com

„Microsoft Windows Server 2016/2019“ konfigūravimas teikti DHCP paslaugas VXLAN (DFA)