Namen tega članka je poenostaviti konfiguracijo storitve DHCP za VXLAN BGP EVPN in DFA fabric z uporabo Microsoftovih rešitev. Windows Server 2016 / 2019.
V uradni dokumentaciji storitev DHCP temelji na Microsoftu Windows Server 2012 za tovarno je konfiguriran kot SuperScope, ki vsebuje bazen Loopback (v tem bazenu je vrhunec izključitev vseh IP-naslovov iz bazena (izključeni IP-naslov = bazen)) in bazene za izdajanje IP-naslovov za resnična omrežja (tukaj je vrhunec konfiguriran pravilnik, v katerem se filtrirajo ID-ji DHCP relejskega vezja, ta ID DHCP relejskega vezja pa vsebuje VNI za omrežje, tj. za drug bazen bo ta ID DHCP relejskega vezja nekoliko drugačen).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Ta članek vsebuje odgovore na naslednja vprašanja:
Vsebina
- ( & )
Predstavitev
V tem razdelku so na kratko navedeni vsi izvorni podatki: navodila za konfiguriranje omrežne opreme, dokumenti RFC, ki se uporabljajo v paketih DHCP v tovarnah eVPN, referenčni vodnik za razvoj nastavitev strežnika DHCP na Microsoftovih strežnikih. Windows Server 2012 v dokumentaciji Cisco. Prav tako kratke informacije o superpodročju in pravilniku v storitvi DHCP na Microsoftovih strežnikih. Windows Server.
Kako konfigurirati DHCP Relay na VXLAN BGP EVPN, DFA fabric
Konfiguriranje DHCP releja na omrežju VXLAN BGP EVPN ni glavna tema tega članka, saj je precej preprosto. Ponujam povezave do dokumentacije in spojler o nastavitvah omrežne opreme.
Primer nastavitve DHCP releja na Nexusu 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC-ji, ki so implementirani v delovanje storitve DHCP Relay v tkaninah VXLAN BGP EVPN
RFC#6607: Podmožnost 151(0x97) - Izbira navideznega podomrežja
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.Posreduje se »ime« VRF, v katerem se nahaja odjemalec.
RFC#5107: Podmožnost 11(0xb) – preglasitev ID-ja strežnika
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Opcija se uporablja za zagotovitev, da stranka pošlje zahtevo za podaljšanje zakupa naslova na IP naslov, uporabljen pri tej opciji. (V Cisco VXLAN BGP je EVPN odjemalčev privzeti naslov prehoda Anycast.)
RFC#3527: Podmožnost 5(0x5) – Izbira povezave
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Naslov omrežja, iz katerega odjemalec potrebuje naslov IP.
Razvoj Ciscove dokumentacije glede konfiguracije DHCP na Microsoftovih platformah Windows Server 2012
Ta razdelek sem vključil, ker obstaja pozitiven trend s strani prodajalca:
Dokumentacija samo prikazuje, kako konfigurirati DHCP Relay na omrežni opremi.
Za konfiguracijo DHCP-ja Windows Server Leta 2012 je bil uporabljen drugačen članek:
Ta članek navaja, da vsako omrežje/VNI zahteva svoj sveženj SuperScope in svoj niz naslovov povratne zanke:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Dodane nastavitve Windows Strežnik 2012 v dokumentaciji za konfiguracijo omrežne opreme. Vsi uporabljeni naslovni bazeni zahtevajo en SuperScope na podatkovni center, ta SuperScope pa je meja podatkovnega centra:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Vse je razloženo zelo jedrnato:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP v Microsoftu Windows Server (nadpodročje in politika)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes. Kaj je SuperScope? Je funkcionalnost, ki omogoča združevanje več skupin naslovov IP v eno administrativno enoto. Za oglaševanje uporabnikom v istem fizičnem omrežju (v istem VLAN) naslove IP iz več skupin. Če je zahteva prispela v skupino naslovov kot del SuperScope, lahko odjemalec dobi naslov iz drugega obsega, vključenega v ta SuperScope.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP. Pravilniki – omogočajo dodeljevanje IP-naslovov uporabnikom na podlagi vrste uporabnika ali parametra. Ciscovi inženirji uporabljajo pravilnike v Windows Server 2012 za filtriranje po VNI (identifikatorju virtualnega omrežja).
Glavni organ
Ta razdelek vsebuje rezultate raziskave, zakaj ni podprta, kako deluje (logika), kaj je novega in kako nam bo to novo pomagalo.
Zakaj ga Microsoft ne podpira? Windows Server 2000/2003/2008?
Microsoft Windows Server Različice iz leta 2008 in starejše ne obdelajo možnosti 82 in pošljejo povratni paket brez možnosti 82.
- Zahteva odjemalca se pošlje Broadcast-u (DHCP Discover).
- Oprema (Nexus) pošlje paket strežniku DHCP (DHCP Discover + možnost 82).
- Strežnik DHCP sprejme paket, ga obdela, pošlje nazaj, vendar brez opcije 82. (Ponudba DHCP – brez opcije 82)
- Oprema (Nexus) prejme paket od strežnika DHCP. (Ponudba DHCP) Vendar tega paketa ne pošlje končnemu uporabniku.
Podatki vohunjenja - vklopljeno Windows Server 2008 in na odjemalcu DHCPWindows Server 2008 prejme zahtevo od omrežne opreme. (Možnost 82 je prisotna na seznamu)
Windows Server 2008 pošlje odgovor omrežni opremi. (Možnosti 82 ni na seznamu možnosti v paketu.)
Zahteva odjemalca – DHCP Discover je prisoten, ponudba DHCP pa manjka
Statistika omrežne opreme:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Zakaj Microsoft? Windows Server Je namestitev za leto 2012 tako težka?
Pri Microsoftu Windows Server RFC#3527 (možnost 82, podmožnost 5(0x5) – Izbira povezave) še ne podpira različice 2012.
Toda funkcionalnost pravilnika je že implementirana.
Kako deluje:
- Microsoft Windows Server Leta 2012 je na voljo super-pool (SuperScope), ki vsebuje naslove povratne zanke in poole za resnična omrežja.
- Izbira skupine za izdajanje naslova IP spada v SuperScope, saj je odgovor prišel iz DHCP Relay z naslovom vira povratne zanke, vključenim v SuperScope.
- Z uporabo pravilnika zahteva izbere iz Superscope tistega obsega člana, katerega VNI je vsebovan v ID vezja agenta podmožnosti 82 možnosti 1. (»0108000600«+ 24 bitov VNI + 24 bitov, katerih vrednosti mi niso znane, vendar sniffer v tem polju prikazuje vrednosti 0.)
Kako Microsoft poenostavlja namestitev Windows Server 2016 / 2019?
Pri Microsoftu Windows Server Implementirana funkcionalnost RFC#3527 iz leta 2016. To je Windows Server 2016 lahko prepozna pravilno omrežje iz atributa Možnost 82 Podmožnost 5(0x5) – Izbira povezave
Takoj se pojavijo tri vprašanja:
- Lahko brez Superscope?
- Ali lahko storimo brez politike in pretvorimo VNI v šestnajstiško obliko?
- Ali lahko storimo brez Scope for Loopback DHCP Source naslovov?
Q. Lahko brez Superscope?
A. Da, obseg je mogoče ustvariti takoj na področju naslovov IPv4.
Q. Ali lahko storimo brez politike in pretvorimo VNI v šestnajstiško obliko?
A. Da, izbira omrežja temelji na možnosti 82, podmožnosti 0x5,
Q. Ali lahko storimo brez Scope for Loopback DHCP Source naslovov?
A. Ne, ne moremo. Ker pri Microsoftu Windows Server Od leta 2016/2019 velja zaščita pred zlonamernimi zahtevami DHCP. To pomeni, da se vse zahteve z naslovov, ki niso v naboru strežnika DHCP, štejejo za zlonamerne.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Tisto, kar je treba konfigurirati v Microsoftu Windows Server DHCP bazen 2016/2019 za VXLAN BGP EVPN fabric zahteva samo:
- Ustvarite skupino za naslove Source Relay.
- Ustvarite skupino za odjemalska omrežja
Kaj ni potrebno (vendar se lahko konfigurira in bo delovalo in ne bo motilo dela):
- Ustvari pravilnik
- Ustvari SuperScope
PrimerPrimer nastavitve DHCP strežnika (obstajata 2 prava DHCP odjemalca - odjemalci so povezani v VXLAN fabric)
Primer nastavitve skupine uporabnikov:
Primer nastavitve uporabniškega bazena (izbrani so pravilniki – dokaz, da pravilniki niso bili uporabljeni za pravilno delovanje bazena):
Primer konfiguracije skupine za naslove Source DHCP Relay (obseg naslovov za izdajo v celoti ustreza izključitvi iz skupine naslovov):
Nastavitev storitve DHCP v Microsoftu Windows Server 2019
Konfiguriranje skupine za povratne naslove (vir) za DHCP Relay.
Ustvarimo novo področje (Scope) v prostoru IPv4.
Čarovnik za ustvarjanje bazena. "Naprej >"
Konfigurirajte ime in opis bazena.
Nastavite obseg naslovov IP za povratno zanko in masko za skupino.
Dodajanje izjem. Obseg izključitve se mora natančno ujemati z obsegom skupine.
Čas najema. "Naprej >"
Poizvedba: Ali boste konfigurirali možnosti DHCP zdaj (DNS, WINS, Gateway, Domain) ali boste to storili pozneje. Hitreje bi bilo odgovoriti z ne in nato ročno aktivirati bazen. Ali pa pojdite do konca, ne da bi vnesli kakršne koli informacije, in aktivirajte bazen na koncu čarovnika.
Potrjujemo, da možnosti niso konfigurirane in bazen ni aktiviran. "Dokončaj"
Bazen aktiviramo ročno. — Izberite Obseg in v kontekstnem meniju — izberite »Aktiviraj«.
Ustvarimo bazen za uporabnike/strežnike.
Ustvarimo nov bazen.
Čarovnik za ustvarjanje bazena. "Naprej >"
Konfigurirajte ime in opis bazena.
Nastavite obseg naslovov IP za povratno zanko in masko za skupino.
Dodajanje izjem. (Privzeto niso potrebne izjeme) "Naprej >"
Čas najema. "Naprej >"
Poizvedba: Ali boste konfigurirali možnosti DHCP zdaj (DNS, WINS, Gateway, Domain) ali boste to storili pozneje. Postavimo ga zdaj.
Konfigurirajte privzeti naslov prehoda.
Konfiguriramo naslove domene in DNS strežnika.
Konfiguriranje naslovov IP strežnikov WINS.
Aktivacija obsega.
Bazen je konfiguriran. "Dokončaj"
Zaključek
Uporaba Windows Server 2016/2019 zmanjšuje kompleksnost konfiguriranja strežnika DHCP za strukturo VXLAN (ali katero koli drugo strukturo). (Za konfiguracijo filtrov ni treba deliti posebnih ID-jev omrežja/agentskih vezij z IT-strokovnjaki.)
Ali bo konfiguracija delovala za Windows Server 2012 na novih strežnikih 2016/2019 – da, delovalo bo.
Ta dokument vsebuje sklicevanja na 2 različici: 7.X in 9.3. To je posledica dejstva, da je različica 7.0(3)I7(7) Cisco Suggested izdaja, različica 9.3 pa je najbolj inovativna (celo podpira Multicast prek VXLAN Multisite).
Seznam virov
Vir: www.habr.com
