Å Ä« raksta mÄrÄ·is ir vienkÄrÅ”ot DHCP pakalpojuma konfigurÄÅ”anu VXLAN BGP EVPN un DFA audumam, izmantojot Microsoft Windows Server 2016/2019.
OficiÄlajÄ dokumentÄcijÄ DHCP pakalpojums, kura pamatÄ ir Microsoft Windows Server 2012 audumam, ir konfigurÄts kÄ SuperScope, kas satur Loopback pÅ«lu (Ŕī pÅ«la galvenÄ iezÄ«me ir visu kopas IP adreÅ”u izslÄgÅ”ana no kopas (izslÄgtÄ IP adrese = pÅ«ls)) un kopas IP adreÅ”u izsniegÅ”anai reÄliem tÄ«kliem (Å”eit ir svarÄ«gÄkais ā politika ir konfigurÄta ā kurÄ tiek filtrÄts DHCP releja Ä·Ädes ID un Å”ajÄ DHCP releja Ä·Ädes ID ir tÄ«kla VNI, t.i., citam pÅ«lam Å”is DHCP relejs. ĶÄdes ID bÅ«s nedaudz atŔķirÄ«gs).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, ā¦, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Å ajÄ rakstÄ ir atbildes uz Å”Ädiem jautÄjumiem:
saturs
-
- ( & )
-
-
Ievads
Å ajÄ daÄ¼Ä Ä«sumÄ ir uzskaitÄ«ti visi sÄkotnÄjie dati: TÄ«kla aprÄ«kojuma konfigurÄÅ”anas instrukcijas, eVPN rÅ«pnÄ«cÄs DHCP paketÄs izmantotie RFC, Microsoft Windows Server 2012 DHCP servera iestatÄ«jumu attÄ«stÄ«ba Cisco dokumentÄcijÄ ir sniegta atsaucei. KÄ arÄ« Ä«sa informÄcija par Superscope un politiku DHCP pakalpojumÄ Microsoft Windows serveros.
KÄ konfigurÄt DHCP releju VXLAN BGP EVPN, DFA audumÄ
DHCP releja konfigurÄÅ”ana VXLAN BGP EVPN audumÄ nav Ŕī raksta galvenÄ tÄma, jo tÄ ir diezgan vienkÄrÅ”a. Es sniedzu saites uz dokumentÄciju un spoileri par tÄ«kla aprÄ«kojuma iestatÄ«jumiem.
DHCP releja iestatÄ«Å”anas piemÄrs ierÄ«cÄ Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC, kas ir ieviesti DHCP Relay pakalpojuma darbÄ«bÄ VXLAN BGP EVPN audumos
RFC#6607: 151. apakÅ”opcija (0x97) ā virtuÄlÄ apakÅ”tÄ«kla izvÄle
ā¢ Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Tiek pÄrsÅ«tÄ«ts tÄ VRF ānosaukumsā, kurÄ atrodas klients.
RFC#5107: 11. apakÅ”opcija (0xb) ā servera ID ignorÄÅ”ana
ā¢ Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Ciscoās proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Opcija tiek izmantota, lai nodroÅ”inÄtu, ka klients nosÅ«ta pieprasÄ«jumu atjaunot adreses nomu uz Å”ajÄ opcijÄ izmantoto IP adresi. (Uz Cisco VXLAN BGP EVPN ir klienta noklusÄjuma vÄrtejas Anycast adrese.)
RFC#3527: 5. apakÅ”opcija (0x5) ā saites atlase
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Ciscoās proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.TÄ«kla adrese, no kuras klientam nepiecieÅ”ama IP adrese.
Cisco dokumentÄcijas attÄ«stÄ«ba par DHCP konfigurÄÅ”anu operÄtÄjsistÄmÄ Microsoft Windows Server 2012
Es iekļÄvu Å”o sadaļu, jo ir pozitÄ«va tendence no pÄrdevÄja puses:
DokumentÄcijÄ ir parÄdÄ«ts tikai tas, kÄ konfigurÄt DHCP releju tÄ«kla iekÄrtÄs.
VÄl viens raksts tika izmantots, lai konfigurÄtu DHCP operÄtÄjsistÄmÄ Windows Server 2012:
Å ajÄ rakstÄ ir norÄdÄ«ts, ka katram tÄ«klam/VNI ir nepiecieÅ”ams savs SuperScope komplekts un savs Loopback adreÅ”u kopa:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
TÄ«kla aprÄ«kojuma iestatÄ«Å”anas dokumentÄcijai pievienoti Windows 2012 Server iestatÄ«jumi. Visiem izmantotajiem adreÅ”u kopumiem ir nepiecieÅ”ams viens SuperScope katram datu centram, un Å”is SuperScope ir datu centra robeža:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Viss ir ļoti īsi izskaidrots:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, ā¦, Sn for segment s1, s2, s3, ā¦, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, ā¦, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP operÄtÄjsistÄmÄ Microsoft Windows Server (superskops un politika)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Kas ir SuperScope - tÄ ir funkcionalitÄte, kas ļauj apvienot vairÄkus IP adreÅ”u kopumus vienÄ administratÄ«vajÄ vienÄ«bÄ. Lai reklamÄtu lietotÄjiem vienÄ fiziskajÄ tÄ«klÄ (vienÄ VLAN) IP adreses no vairÄkiem pÅ«liem. Ja pieprasÄ«jums tika nosÅ«tÄ«ts uz adreÅ”u kopu kÄ daļu no SuperScope, tad klientam var pieŔķirt adresi no citas jomas, kas iekļauta Å”ajÄ SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Politikas ā ļauj lietotÄjiem pieŔķirt IP adreses atkarÄ«bÄ no lietotÄja veida vai parametra. Cisco inženieri izmanto politikas operÄtÄjsistÄmÄ Windows Server 2012, lai filtrÄtu pÄc VNI (virtuÄlÄ tÄ«kla identifikatora).
GalvenÄ daļa
Å ajÄ sadaÄ¼Ä ir apkopoti pÄtÄ«juma rezultÄti, kÄpÄc tas netiek atbalstÄ«ts, kÄ tas darbojas (loÄ£ika), kas jauns un kÄ Å”is jaunais mums palÄ«dzÄs.
KÄpÄc Microsoft Windows Server 2000/2003/2008 netiek atbalstÄ«ts?
Microsoft Windows Server 2008 un vecÄkas versijas neapstrÄdÄ 82. opciju, un atgrieÅ”anas pakotne tiek nosÅ«tÄ«ta bez 82. opcijas.
- Klienta pieprasījums tiek nosūtīts uz apraidi (DHCP Discover).
- IekÄrta (Nexus) nosÅ«ta paketi uz DHCP serveri (DHCP Discover + 82. iespÄja).
- DHCP serveris saÅem paketi, apstrÄdÄ to, nosÅ«ta atpakaļ, bet bez opcijas 82. (DHCP piedÄvÄjums ā bez opcijas 82)
- IekÄrta (Nexus) saÅem paketi no DHCP servera. (DHCP piedÄvÄjums) Bet nenosÅ«ta Å”o paketi gala lietotÄjam.
Sniffer dati ā operÄtÄjsistÄmÄ Windows Server 2008 un DHCP klientÄWindows Server 2008 saÅem pieprasÄ«jumu no tÄ«kla aprÄ«kojuma. (SarakstÄ ir 82. iespÄja)
Windows Server 2008 nosÅ«ta atbildi uz tÄ«kla aprÄ«kojumu. (82. opcija komplektÄ nav norÄdÄ«ta kÄ opcija)
PieprasÄ«jums no klienta - DHCP Discover ir klÄt un trÅ«kst DHCP piedÄvÄjuma
Statistika par tīkla aprīkojumu:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
KÄpÄc Microsoft Windows Server 2012 konfigurÄÅ”ana ir tik sarežģīta?
Microsoft Windows Server 2012 vÄl neatbalsta RFC#3527 (82. iespÄja, 5. apakÅ”opcija (0x5) ā saites atlase)
TaÄu politikas funkcionalitÄte jau ir ieviesta.
KÄ tas darbojas:
- Microsoft Windows Server 2012 ir super pÅ«ls (SuperScope), kam ir Loopback adreses un pÅ«li reÄliem tÄ«kliem.
- Kopas atlase IP adreses izsniegÅ”anai ietilpst SuperScope, jo atbilde tika saÅemta no DHCP Relay ar cilpas avota adresi, kas iekļauta SuperScope.
- Izmantojot politiku, pieprasÄ«jums no Superscope atlasa to dalÄ«bnieka tvÄrumu, kura VNI ir ietverts 82. iespÄjas 1. apakÅ”opcijas aÄ£enta shÄmas ID. (ā0108000600ā+ 24 biti VNI + 24 biti, kuru vÄrtÄ«bas man nav zinÄmas, bet sniffer Å”ajÄ laukÄ rÄda vÄrtÄ«bas 0.)
KÄ tiek vienkÄrÅ”ota iestatÄ«Å”ana operÄtÄjsistÄmÄ Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 ievieÅ” RFC#3527 funkcionalitÄti. Tas nozÄ«mÄ, ka Windows Server 2016 var atpazÄ«t pareizo tÄ«klu no 82. opcijas apakÅ”opcijas 5(0x5) ā saites atlases atribÅ«ts.
TÅ«lÄ«t rodas trÄ«s jautÄjumi:
- Vai mÄs varam iztikt bez Superscope?
- Vai mÄs varam iztikt bez politikas un pÄrvÄrst VNI heksadecimÄlÄ formÄ?
- Vai mÄs varam iztikt bez cilpas DHCP avota adresÄm?
Q. Vai mÄs varam iztikt bez Superscope?
A. JÄ, tvÄrumu var izveidot nekavÄjoties IPv4 adreÅ”u jomÄ.
Q. Vai mÄs varam iztikt bez politikas un pÄrvÄrst VNI heksadecimÄlÄ formÄ?
A. JÄ, tÄ«kla izvÄle ir balstÄ«ta uz 82. opciju ā apakÅ”opciju 0x5,
Q. Vai mÄs varam iztikt bez cilpas DHCP avota adresÄm?
A. NÄ, mÄs nevaram. TÄ kÄ Microsoft Windows Server 2016/2019 ir aizsardzÄ«ba pret ļaunprÄtÄ«giem DHCP pieprasÄ«jumiem. Tas nozÄ«mÄ, ka visi pieprasÄ«jumi no adresÄm, kas neietilpst DHCP servera pÅ«lÄ, tiek uzskatÄ«ti par ļaunprÄtÄ«giem.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Tie. Lai konfigurÄtu DHCP pÅ«lu VXLAN BGP EVPN rÅ«pnÄ«cai operÄtÄjsistÄmÄ Microsoft Windows Server 2016/2019, jums ir nepiecieÅ”ams tikai:
- Izveidojiet kopu avota releja adresÄm.
- Izveidojiet pūlu klientu tīkliem
Kas nav nepiecieÅ”ams (bet var konfigurÄt un tas darbosies un netraucÄs darbam):
- Izveidot politiku
- Izveidojiet SuperScope
PiemÄrsDHCP servera iestatÄ«Å”anas piemÄrs (ir 2 Ä«sti DHCP klienti - klienti ir savienoti ar VXLAN tÄ«klu)
LietotÄju kopas iestatÄ«Å”anas piemÄrs:
LietotÄju pÅ«la iestatÄ«Å”anas piemÄrs (politikas ir atlasÄ«tas, lai pierÄdÄ«tu, ka politikas netika izmantotas pareizai pÅ«la darbÄ«bai):
Avota DHCP releja adreÅ”u pÅ«la konfigurÄÅ”anas piemÄrs (izsniegÅ”anas adreÅ”u diapazons pilnÄ«bÄ atbilst izslÄgÅ”anai no adreÅ”u kopas):
DHCP pakalpojuma iestatÄ«Å”ana operÄtÄjsistÄmÄ Microsoft Windows Server 2019
DHCP releja kopas konfigurÄÅ”ana Loopback adreses (avota).
MÄs izveidojam jaunu pÅ«lu (Scope) IPv4 telpÄ.
Baseina izveides vednis. "NÄkamais >"
KonfigurÄjiet baseina nosaukumu un baseina aprakstu.
Iestatiet IP adreŔu diapazonu Loopback un kopas masku.
IzÅÄmumu pievienoÅ”ana. IzslÄgÅ”anas diapazonam precÄ«zi jÄatbilst baseina diapazonam.
Nomas laiks. "NÄkamais >"
VaicÄjums: vai konfigurÄsit DHCP opcijas tagad (DNS, WINS, vÄrteja, domÄns) vai darÄ«siet to vÄlÄk. ÄtrÄk bÅ«tu atbildÄt nÄ un pÄc tam manuÄli aktivizÄt baseinu. Vai arÄ« ejiet lÄ«dz beigÄm, neaizpildot nekÄdu informÄciju, un vedÅa beigÄs aktivizÄjiet pÅ«lu.
MÄs apstiprinÄm, ka opcijas nav konfigurÄtas un baseins nav aktivizÄts. "Pabeigt"
MÄs aktivizÄjam baseinu manuÄli. ā Atlasiet jomu un konteksta izvÄlnÄ atlasiet āAktivizÄtā.
MÄs izveidojam baseinu lietotÄjiem/serveriem.
Veidojam jaunu baseinu.
Baseina izveides vednis. "NÄkamais >"
KonfigurÄjiet baseina nosaukumu un baseina aprakstu.
Iestatiet IP adreŔu diapazonu Loopback un kopas masku.
IzÅÄmumu pievienoÅ”ana. (PÄc noklusÄjuma nav nepiecieÅ”ami izÅÄmumi) "NÄkamais >"
Nomas laiks. "NÄkamais >"
VaicÄjums: vai konfigurÄsit DHCP opcijas tagad (DNS, WINS, vÄrteja, domÄns) vai darÄ«siet to vÄlÄk. Tagad iestatÄ«sim to.
KonfigurÄjiet noklusÄjuma vÄrtejas adresi.
MÄs konfigurÄjam domÄna un DNS servera adreses.
WINS serveru IP adreÅ”u konfigurÄÅ”ana.
TvÄruma aktivizÄÅ”ana.
Baseins ir konfigurÄts. "Pabeigt"
SecinÄjums
Windows Server 2016/2019 izmantoÅ”ana samazina DHCP servera iestatÄ«Å”anas sarežģītÄ«bu VXLAN tÄ«klam (vai jebkuram citam audumam). (Nav nepiecieÅ”ams pÄrsÅ«tÄ«t Ä«paÅ”as saites IT speciÄlistiem: TÄ«kla/aÄ£enta shÄmas ID, lai reÄ£istrÄtu filtrus.)
Vai Windows Server 2012 konfigurÄcija darbosies jaunos 2016/2019 serveros - jÄ, tas darbosies.
Å ajÄ dokumentÄ ir atsauces uz 2 versijÄm: 7.X un 9.3. Tas ir saistÄ«ts ar faktu, ka versija 7.0(3)I7(7) ir Cisco ieteiktais laidiens, un versija 9.3 ir visnovatoriskÄkÄ (pat atbalsta Multicast, izmantojot VXLAN Multisite).
Avotu saraksts
Avots: www.habr.com