Konfigurowanie systemu Microsoft Windows Server 2016/2019 w celu świadczenia usług DHCP dla VXLAN (DFA)

Celem tego artykułu jest uproszczenie konfiguracji usługi DHCP dla VXLAN BGP EVPN i DFA Fabric przy użyciu systemu Microsoft Windows Server 2016/2019.

W oficjalnej dokumentacji usługa DHCP oparta na systemie Microsoft Windows Server 2012 dla sieci szkieletowej jest skonfigurowana jako SuperScope zawierający pulę Loopback (najważniejszą cechą tej puli jest wykluczenie z puli wszystkich adresów IP puli (wykluczony adres IP = pula)) i pule do przydzielania adresów IP dla rzeczywistych sieci (tutaj najważniejsza informacja - skonfigurowana jest polityka - w której filtrowany jest identyfikator obwodu przekaźnika DHCP, a ten identyfikator obwodu przekaźnika DHCP zawiera VNI dla sieci, tj. dla innej puli ten przekaźnik DHCP Identyfikator obwodu będzie nieco inny).

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

W artykule znajdują się odpowiedzi na następujące pytania:

• Dlaczego system Microsoft Windows Server 2000/2003/2008 nie jest obsługiwany?
• Dlaczego konfiguracja w systemie Microsoft Windows Server 2012 jest tak złożona?
• Jak uproszczona jest konfiguracja w systemie Microsoft Windows Server 2016/2019?

Zawartość

• Wprowadzenie
  • Jak skonfigurować przekaźnik DHCP w sieci VXLAN BGP EVPN
  • Dokumenty RFC używane w przekaźniku DHCP z sieci VXLAN BGP EVPN
  • Ewolucja dokumentacji Cisco dotycząca konfiguracji DHCP w systemie Microsoft Windows Server 2012
  • DHCP w systemie Microsoft Windows Server (superskop & polityka)
• Główna część
  • Dlaczego system Microsoft Windows Server 2000/2003/2008 nie jest obsługiwany?
  • Dlaczego konfiguracja w systemie Microsoft Windows Server 2012 jest tak złożona?
  • Jak uproszczona jest konfiguracja w systemie Microsoft Windows Server 2016/2019?
    • Przykład
    • Konfigurowanie usługi DHCP w systemie Microsoft Windows Server 2019
• wniosek
• Lista źródeł

Wprowadzenie

W tej części w skrócie wymieniono wszystkie dane początkowe: instrukcje konfiguracji sprzętu sieciowego, specyfikacje RFC używane w pakietach DHCP w fabrykach eVPN, ewolucję ustawień serwera DHCP w systemie Microsoft Windows Server 2012 w dokumentacji Cisco podano w celach informacyjnych. Jak również krótkie informacje na temat Superzakresu i Polityki w usłudze DHCP na serwerach Microsoft Windows.

Jak skonfigurować przekaźnik DHCP w sieci VXLAN BGP EVPN, DFA Fabric

Konfigurowanie przekaźnika DHCP w sieci VXLAN BGP EVPN nie jest głównym tematem tego artykułu, ponieważ jest dość proste. Podaję linki do dokumentacji i spoiler na temat ustawień sprzętu sieciowego.

• Przewodnik konfiguracji Nexusa 9000 VXLAN 7.X
• Przewodnik konfiguracji Nexusa 9000 VXLAN 9.3
• DFA (Cisco Dynamic Fabric Automation)

Przykład konfiguracji przekaźnika DHCP na Nexusie 9000V v9.2(3)

service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
  vrf member VRF1
  ip address 10.120.0.1/32 tag 1234567
interface Vlan12
  no shutdown
  vrf member VRF1
  no ip redirects
  ip address 10.120.251.1/24 tag 1234567
  no ipv6 redirects
  fabric forwarding mode anycast-gateway
  ip dhcp relay address 10.0.0.5
  ip dhcp relay source-interface loopback10

Dokumenty RFC implementowane podczas działania usługi DHCP Relay w strukturach VXLAN BGP EVPN

• Lista RFC dla Nexusa 9000 v9.3
• Lista RFC, Nexus 9000 v7.x

RFC#6607: Opcja podrzędna 151(0x97) — Wybór wirtualnej podsieci

•	Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.

Przesyłana jest „nazwa” VRF, w którym znajduje się klient.

RFC#5107: Opcja podrzędna 11(0xb) — Zastąpienie identyfikatora serwera

•	Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.) 
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.

Opcja służy do zapewnienia, że ​​klient wyśle ​​żądanie odnowienia dzierżawy adresu na adres IP użyty w tej opcji. (W przypadku Cisco VXLAN BGP, EVPN jest domyślnym adresem Anycast bramy klienta.)

RFC#3527: Opcja podrzędna 5(0x5) — Wybór łącza

Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.) 

The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.

Adres sieci, z której klient potrzebuje adresu IP.

Ewolucja dokumentacji Cisco dotycząca konfiguracji DHCP w systemie Microsoft Windows Server 2012

Uwzględniłem tę sekcję, ponieważ po stronie dostawcy można zaobserwować pozytywny trend:

Przewodnik konfiguracji Nexusa 9000 VXLAN 7.3

Dokumentacja pokazuje jedynie, jak skonfigurować przekaźnik DHCP na sprzęcie sieciowym.

Do konfiguracji DHCP w systemie Windows Server 2012 wykorzystano inny artykuł:

Konfigurowanie systemu Microsoft Windows Server 2012 w celu świadczenia usług DHCP w scenariuszu eVPN (VXLAN, Cisco One Fabric itp.)

W tym artykule wskazano, że każda sieć/VNI wymaga własnego pakietu SuperScope i własnego zestawu adresów Loopback:

If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.

Przewodnik konfiguracji Nexusa 9000 VXLAN 9.3

Do dokumentacji dodano ustawienia serwera Windows 2012 dotyczące konfiguracji sprzętu sieciowego. W przypadku wszystkich używanych pul adresów wymagany jest jeden SuperScope na każde centrum danych i ten SuperScope stanowi granicę centrum danych:

Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.

Automatyzacja dynamicznej tkaniny Cisco

Wszystko zostało bardzo zwięźle wyjaśnione:

Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn. 

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

DHCP w systemie Microsoft Windows Server (superzakres i zasady)

Superzakres

Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.

Czym jest SuperScope - jest to funkcjonalność pozwalająca na połączenie kilku pul adresów IP w jedną jednostkę administracyjną. Aby rozgłaszać użytkownikom w tej samej sieci fizycznej (w tej samej sieci VLAN) adresy IP z kilku pul. Jeżeli żądanie trafiło do puli adresów w ramach SuperScope, wówczas klient może otrzymać adres z innego Zakresu zawartego w tym SuperScope.

Polityka

The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.

The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.

Polityki – pozwalają na przypisanie adresów IP użytkownikom w zależności od typu użytkownika lub parametru. Inżynierowie Cisco używają zasad w systemie Windows Server 2012 do filtrowania według VNI (identyfikatora sieci wirtualnej).

Główna część

Ta sekcja zawiera wyniki badań, dlaczego nie jest wspierane, jak to działa (logika), co nowego i jak to nowe może nam pomóc.

Dlaczego system Microsoft Windows Server 2000/2003/2008 nie jest obsługiwany?

Microsoft Windows Server 2008 i starsze wersje nie przetwarzają opcji 82 i pakiet zwrotny jest wysyłany bez opcji 82.

Problem z DHCP Win2k8 R2 z Option82

1. Żądanie od klienta jest wysyłane do Broadcast (DHCP Discover).
2. Urządzenie (Nexus) wysyła pakiet do serwera DHCP (DHCP Discover + opcja 82).
3. Serwer DHCP odbiera pakiet, przetwarza go, odsyła, ale bez opcji 82. (Oferta DHCP – bez opcji 82)
4. Urządzenie (Nexus) odbiera pakiet z serwera DHCP. (Oferta DHCP) Ale nie wysyła tego pakietu do użytkownika końcowego.

Dane sniffera - w systemie Windows Server 2008 i na kliencie DHCPWindows Server 2008 odbiera żądanie od sprzętu sieciowego. (Opcja 82 jest obecna na liście)

Windows Server 2008 wysyła odpowiedź do sprzętu sieciowego. (Opcja 82 nie jest wymieniona jako opcja w pakiecie)

Żądanie od klienta — obecne jest wykrywanie protokołu DHCP i brak oferty DHCP

Statystyki dotyczące sprzętu sieciowego:

NEXUS-9000V-SW-1# show ip dhcp relay statistics 
----------------------------------------------------------------------
Message Type             Rx              Tx           Drops  
----------------------------------------------------------------------
Discover                  8               8               0
Offer                     8               8               0
Request(*)                0               0               0
Ack                       0               0               0
Release(*)                0               0               0
Decline                   0               0               0
Inform(*)                 0               0               0
Nack                      0               0               0
----------------------------------------------------------------------
Total                    16              16               0
----------------------------------------------------------------------

DHCP L3 FWD:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
Non DHCP:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
DROP:
DHCP Relay not enabled                           :         0
Invalid DHCP message type                        :         0
Interface error                                  :         0
Tx failure towards server                        :         0
Tx failure towards client                        :         0
Unknown output interface                         :         0
Unknown vrf or interface for server              :         0
Max hops exceeded                                :         0
Option 82 validation failed                      :         0
Packet Malformed                                 :         0
Relay Trusted port not configured                :         0
DHCP Request dropped on MCT                      :         0
*  -  These counters will show correct value when switch 
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#

Dlaczego konfiguracja w systemie Microsoft Windows Server 2012 jest tak złożona?

Microsoft Windows Server 2012 nie obsługuje jeszcze standardu RFC#3527 (opcja 82 podopcja 5(0x5) — wybór łącza)
Jednak funkcjonalność zasad została już wdrożona.

Jak to działa:

• Microsoft Windows Server 2012 ma superpulę (SuperScope), która zawiera adresy Loopback i pule dla sieci rzeczywistych.
• Wybór puli do przydzielenia adresu IP należy do SuperScope, ponieważ odpowiedź nadeszła z DHCP Relay z adresem źródłowym Loopback zawartym w SuperScope.
• Korzystając z Polityki, żądanie wybiera z Superzakresu ten zakres członkowski, którego VNI jest zawarty w Opcji 82 Podopcja 1 Identyfikator obwodu agenta. („0108000600”+ 24 bity VNI + 24 bity, których wartości są mi nieznane, ale sniffer pokazuje w tym polu wartości 0.)

Jak uproszczona jest konfiguracja w systemie Microsoft Windows Server 2016/2019?

Microsoft Windows Server 2016 implementuje funkcjonalność RFC#3527. Oznacza to, że system Windows Server 2016 może rozpoznać poprawną sieć na podstawie atrybutu Opcja 82 Podopcja 5 (0x5) - Wybór łącza

Od razu pojawiają się trzy pytania:

• Czy możemy obejść się bez Superscope?
• Czy możemy obejść się bez Polityki i przekonwertować VNI na formę szesnastkową?
• Czy możemy obejść się bez zakresu adresów źródłowych DHCP Loopback?

Q. Czy możemy obejść się bez Superscope?
A. Tak, zakres można utworzyć od razu w obszarze adresów IPv4.
Q. Czy możemy obejść się bez Polityki i przekonwertować VNI na formę szesnastkową?
A. Tak, wybór sieci opiera się na opcji 82, podopcji 0x5,
Q. Czy możemy obejść się bez zakresu adresów źródłowych DHCP Loopback?
A. Nie, nie możemy. Ponieważ Microsoft Windows Server 2016/2019 ma ochronę przed złośliwymi żądaniami DHCP. Oznacza to, że wszystkie żądania z adresów, które nie znajdują się w puli serwerów DHCP, są uważane za złośliwe.

Opcje wyboru podsieci DHCP

 Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.

A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.

Te. Aby skonfigurować pulę DHCP dla fabryki VXLAN BGP EVPN w systemie Microsoft Windows Server 2016/2019, potrzebujesz tylko:

• Utwórz pulę dla adresów Source Relay.
• Utwórz pulę dla sieci klienckich

Co nie jest konieczne (ale da się skonfigurować i będzie działać i nie będzie przeszkadzać w pracy):

• Utwórz politykę
• Utwórz SuperScope

PrzykładPrzykład konfiguracji serwera DHCP (istnieje 2 rzeczywistych klientów DHCP - klienci są podłączeni do sieci VXLAN)

Przykład konfiguracji puli użytkowników:

Przykład założenia puli użytkowników (wybierane są polityki - na dowód, że polityki nie zostały użyte do prawidłowego działania puli):

Przykład konfiguracji puli adresów Source DHCP Relay (zakres adresów do wystawienia w pełni odpowiada wykluczeniu z puli adresów):

Konfigurowanie usługi DHCP w systemie Microsoft Windows Server 2019

Konfigurowanie puli adresów Loopback (źródło) dla przekaźnika DHCP.

Tworzymy nową pulę (Scope) w przestrzeni IPv4.

Kreator tworzenia puli. „Dalej >”

Skonfiguruj nazwę i opis puli.

Ustaw zakres adresów IP dla Loopback i maskę puli.

Dodawanie wyjątków. Zakres wykluczenia musi dokładnie odpowiadać zakresowi puli.

Czas wynajmu. „Dalej >”

Zapytanie: Czy skonfigurujesz opcje DHCP teraz (DNS, WINS, Gateway, Domain), czy zrobisz to później. Szybciej byłoby odpowiedzieć „nie”, a następnie ręcznie aktywować pulę. Lub przejdź do końca bez wypełniania jakichkolwiek informacji i aktywuj pulę na końcu kreatora.

Potwierdzamy, że opcje nie są skonfigurowane, a pula nie jest aktywowana. "Skończyć"

Aktywujemy basen ręcznie. — Wybierz Zakres i w menu kontekstowym — wybierz „Aktywuj”.

Tworzymy pulę dla użytkowników/serwerów.

Tworzymy nowy basen.

Kreator tworzenia puli. „Dalej >”

Skonfiguruj nazwę i opis puli.

Ustaw zakres adresów IP dla Loopback i maskę puli.

Dodawanie wyjątków. (Domyślnie nie są wymagane żadne wyjątki) „Dalej >”

Czas wynajmu. „Dalej >”

Zapytanie: Czy skonfigurujesz opcje DHCP teraz (DNS, WINS, Gateway, Domain), czy zrobisz to później. Ustalmy to teraz.

Skonfiguruj adres bramy domyślnej.

Konfigurujemy adresy domeny i serwera DNS.

Konfiguracja adresów IP serwerów WINS.

Aktywacja zakresu.

Pula jest skonfigurowana. "Skończyć"

wniosek

Korzystanie z systemu Windows Server 2016/2019 zmniejsza złożoność konfiguracji serwera DHCP dla sieci szkieletowej VXLAN (lub dowolnej innej sieci szkieletowej). (Nie jest konieczne przekazywanie specjalistom IT specjalnych linków: Identyfikator obwodu sieci/agenta w celu rejestracji filtrów.)

Czy konfiguracja dla Windows Server 2012 będzie działać na nowych serwerach 2016/2019 - tak, będzie działać.

W dokumencie tym znajdują się odniesienia do 2 wersji: 7.X i 9.3. Wynika to z faktu, że wersja 7.0(3)I7(7) jest wersją sugerowaną przez Cisco, a wersja 9.3 jest najbardziej innowacyjną (nawet obsługującą Multicast poprzez VXLAN Multisite).

Lista źródeł

1. Przewodnik konfiguracji Nexusa 9000 VXLAN 7.x
2. Przewodnik konfiguracji Nexusa 9000 VXLAN 9.3
3. DFA (Cisco Dynamic Fabric Automation)
4. Konfigurowanie systemu Microsoft Windows Server 2012 w celu świadczenia usług DHCP w scenariuszu eVPN (VXLAN, Cisco One Fabric itp.)
5. 3.4 Superzakresy DHCP
6. Wprowadzenie do zasad DHCP
7. Problem z DHCP Win2k8 R2 z Option82
8. Opcje wyboru podsieci DHCP

Źródło: www.habr.com