Namen tega članka je poenostaviti konfiguracijo storitve DHCP za VXLAN BGP EVPN in DFA fabric z uporabo Microsoft Windows Server 2016/2019.
V uradni dokumentaciji je storitev DHCP, ki temelji na Microsoft Windows Server 2012 za tkanino, konfigurirana kot SuperScope, ki vsebuje bazen povratne zanke (vrhunec tega bazena je izključitev vseh naslovov IP bazena iz bazena (izključen naslov IP = bazen)) in bazeni za izdajanje naslovov IP za resnična omrežja (tukaj je vrhunec - pravilnik je konfiguriran - v katerem je ID vezja DHCP Relay filtriran in ta ID vezja DHCP Relay Circuit vsebuje VNI za omrežje, tj. za drugo skupino ta DHCP Relay ID vezja bo nekoliko drugačen).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Ta članek vsebuje odgovore na naslednja vprašanja:
Vsebina
-
- ( & )
-
-
Predstavitev
V tem delu so na kratko navedeni vsi začetni podatki: Navodila za konfiguracijo omrežne opreme, RFC-ji, ki se uporabljajo v paketih DHCP v tovarnah eVPN, razvoj nastavitev strežnika DHCP v sistemu Microsoft Windows Server 2012 v dokumentaciji Cisco je na voljo za referenco. Kot tudi kratke informacije o Superscope in Policy v storitvi DHCP na strežnikih Microsoft Windows.
Kako konfigurirati DHCP Relay na VXLAN BGP EVPN, DFA fabric
Konfiguriranje DHCP releja na omrežju VXLAN BGP EVPN ni glavna tema tega članka, saj je precej preprosto. Ponujam povezave do dokumentacije in spojler o nastavitvah omrežne opreme.
Primer nastavitve DHCP releja na Nexusu 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC-ji, ki so implementirani v delovanje storitve DHCP Relay v tkaninah VXLAN BGP EVPN
RFC#6607: Podmožnost 151(0x97) - Izbira navideznega podomrežja
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Posreduje se »ime« VRF, v katerem se nahaja odjemalec.
RFC#5107: Podmožnost 11(0xb) – preglasitev ID-ja strežnika
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Opcija se uporablja za zagotovitev, da stranka pošlje zahtevo za podaljšanje zakupa naslova na IP naslov, uporabljen pri tej opciji. (V Cisco VXLAN BGP je EVPN odjemalčev privzeti naslov prehoda Anycast.)
RFC#3527: Podmožnost 5(0x5) – Izbira povezave
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Naslov omrežja, iz katerega odjemalec potrebuje naslov IP.
Razvoj Ciscove dokumentacije glede konfiguracije DHCP v sistemu Microsoft Windows Server 2012
Ta razdelek sem vključil, ker obstaja pozitiven trend s strani prodajalca:
Dokumentacija samo prikazuje, kako konfigurirati DHCP Relay na omrežni opremi.
Drug članek je bil uporabljen za konfiguracijo DHCP v sistemu Windows Server 2012:
Ta članek navaja, da vsako omrežje/VNI zahteva svoj sveženj SuperScope in svoj niz naslovov povratne zanke:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Dodane nastavitve Windows 2012 Server v dokumentacijo za nastavitev omrežne opreme. Za vsa uporabljena naslovna področja je potreben en SuperScope na podatkovno središče in ta SuperScope je meja podatkovnega centra:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Vse je razloženo zelo jedrnato:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP v Microsoft Windows Server (superscope & policy)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Kaj je SuperScope? Je funkcionalnost, ki omogoča združevanje več skupin naslovov IP v eno administrativno enoto. Za oglaševanje uporabnikom v istem fizičnem omrežju (v istem VLAN) naslove IP iz več skupin. Če je zahteva prispela v skupino naslovov kot del SuperScope, lahko odjemalec dobi naslov iz drugega obsega, vključenega v ta SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Politike – omogočajo dodelitev naslovov IP uporabnikom glede na vrsto uporabnika ali parameter. Ciscovi inženirji uporabljajo pravilnike v sistemu Windows Server 2012 za filtriranje po VNI (identifikator navideznega omrežja).
Glavni organ
Ta razdelek vsebuje rezultate raziskave, zakaj ni podprta, kako deluje (logika), kaj je novega in kako nam bo to novo pomagalo.
Zakaj Microsoft Windows Server 2000/2003/2008 ni podprt?
Microsoft Windows Server 2008 in starejše različice ne obdelujejo možnosti 82 in povratni paket se pošlje brez možnosti 82.
- Zahteva odjemalca se pošlje Broadcast-u (DHCP Discover).
- Oprema (Nexus) pošlje paket strežniku DHCP (DHCP Discover + možnost 82).
- Strežnik DHCP sprejme paket, ga obdela, pošlje nazaj, vendar brez opcije 82. (Ponudba DHCP – brez opcije 82)
- Oprema (Nexus) prejme paket od strežnika DHCP. (Ponudba DHCP) Vendar tega paketa ne pošlje končnemu uporabniku.
Podatki snifferja - na Windows Server 2008 in na odjemalcu DHCPWindows Server 2008 prejme zahtevo omrežne opreme. (Možnost 82 je prisotna na seznamu)
Windows Server 2008 pošlje odgovor omrežni opremi. (Možnost 82 ni navedena kot možnost v paketu)
Zahteva odjemalca – DHCP Discover je prisoten, ponudba DHCP pa manjka
Statistika omrežne opreme:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Zakaj je konfiguracija v sistemu Microsoft Windows Server 2012 tako zapletena?
Microsoft Windows Server 2012 še ne podpira RFC#3527 (Možnost 82, Podmožnost 5(0x5) - Izbira povezave)
Toda funkcionalnost pravilnika je že implementirana.
Kako deluje:
- Microsoft Windows Server 2012 ima super skupino (SuperScope), ki ima povratne naslove in skupine za resnična omrežja.
- Izbira skupine za izdajanje naslova IP spada v SuperScope, saj je odgovor prišel iz DHCP Relay z naslovom vira povratne zanke, vključenim v SuperScope.
- Z uporabo pravilnika zahteva izbere iz Superscope tistega obsega člana, katerega VNI je vsebovan v ID vezja agenta podmožnosti 82 možnosti 1. (»0108000600«+ 24 bitov VNI + 24 bitov, katerih vrednosti mi niso znane, vendar sniffer v tem polju prikazuje vrednosti 0.)
Kako je namestitev poenostavljena v Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 izvaja funkcionalnost RFC#3527. To pomeni, da lahko Windows Server 2016 prepozna pravo omrežje iz možnosti 82, podmožnost 5(0x5) - atribut Izbira povezave
Takoj se pojavijo tri vprašanja:
- Lahko brez Superscope?
- Ali lahko storimo brez politike in pretvorimo VNI v šestnajstiško obliko?
- Ali lahko storimo brez Scope for Loopback DHCP Source naslovov?
Q. Lahko brez Superscope?
A. Da, obseg je mogoče ustvariti takoj na področju naslovov IPv4.
Q. Ali lahko storimo brez politike in pretvorimo VNI v šestnajstiško obliko?
A. Da, izbira omrežja temelji na možnosti 82, podmožnosti 0x5,
Q. Ali lahko storimo brez Scope for Loopback DHCP Source naslovov?
A. Ne, ne moremo. Ker ima Microsoft Windows Server 2016/2019 zaščito pred zlonamernimi zahtevami DHCP. To pomeni, da se vse zahteve z naslovov, ki niso v skupini strežnikov DHCP, štejejo za zlonamerne.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Tisti. Če želite konfigurirati področje DHCP za tovarno VXLAN BGP EVPN v sistemu Microsoft Windows Server 2016/2019, potrebujete le:
- Ustvarite skupino za naslove Source Relay.
- Ustvarite skupino za odjemalska omrežja
Kaj ni potrebno (vendar se lahko konfigurira in bo delovalo in ne bo motilo dela):
- Ustvari pravilnik
- Ustvari SuperScope
PrimerPrimer nastavitve DHCP strežnika (obstajata 2 prava DHCP odjemalca - odjemalci so povezani v VXLAN fabric)
Primer nastavitve skupine uporabnikov:
Primer nastavitve uporabniškega bazena (izbrani so pravilniki – dokaz, da pravilniki niso bili uporabljeni za pravilno delovanje bazena):
Primer konfiguracije skupine za naslove Source DHCP Relay (obseg naslovov za izdajo v celoti ustreza izključitvi iz skupine naslovov):
Nastavitev storitve DHCP v sistemu Microsoft Windows Server 2019
Konfiguriranje skupine za povratne naslove (vir) za DHCP Relay.
Ustvarimo novo področje (Scope) v prostoru IPv4.
Čarovnik za ustvarjanje bazena. "Naprej >"
Konfigurirajte ime in opis bazena.
Nastavite obseg naslovov IP za povratno zanko in masko za skupino.
Dodajanje izjem. Obseg izključitve se mora natančno ujemati z obsegom skupine.
Čas najema. "Naprej >"
Poizvedba: Ali boste konfigurirali možnosti DHCP zdaj (DNS, WINS, Gateway, Domain) ali boste to storili pozneje. Hitreje bi bilo odgovoriti z ne in nato ročno aktivirati bazen. Ali pa pojdite do konca, ne da bi vnesli kakršne koli informacije, in aktivirajte bazen na koncu čarovnika.
Potrjujemo, da možnosti niso konfigurirane in bazen ni aktiviran. "Dokončaj"
Bazen aktiviramo ročno. — Izberite Obseg in v kontekstnem meniju — izberite »Aktiviraj«.
Ustvarimo bazen za uporabnike/strežnike.
Ustvarimo nov bazen.
Čarovnik za ustvarjanje bazena. "Naprej >"
Konfigurirajte ime in opis bazena.
Nastavite obseg naslovov IP za povratno zanko in masko za skupino.
Dodajanje izjem. (Privzeto niso potrebne izjeme) "Naprej >"
Čas najema. "Naprej >"
Poizvedba: Ali boste konfigurirali možnosti DHCP zdaj (DNS, WINS, Gateway, Domain) ali boste to storili pozneje. Postavimo ga zdaj.
Konfigurirajte privzeti naslov prehoda.
Konfiguriramo naslove domene in DNS strežnika.
Konfiguriranje naslovov IP strežnikov WINS.
Aktivacija obsega.
Bazen je konfiguriran. "Dokončaj"
Zaključek
Uporaba Windows Server 2016/2019 zmanjša zapletenost nastavitve strežnika DHCP za strukturo VXLAN (ali katero koli drugo strukturo). (Ni potrebno prenesti posebnih povezav do strokovnjakov za IT: ID omrežja/agentskega vezja za registracijo filtrov.)
Ali bo konfiguracija za Windows Server 2012 delovala na novih strežnikih 2016/2019 - ja, bo delovala.
Ta dokument vsebuje sklicevanja na 2 različici: 7.X in 9.3. To je posledica dejstva, da je različica 7.0(3)I7(7) Cisco Suggested izdaja, različica 9.3 pa je najbolj inovativna (celo podpira Multicast prek VXLAN Multisite).
Seznam virov
Vir: www.habr.com