Konfigurimi i Microsoft Windows Server 2016/2019 për të ofruar shërbime DHCP për VXLAN (DFA)

Qëllimi i këtij artikulli është të thjeshtojë konfigurimin e shërbimit DHCP për pëlhurën VXLAN BGP EVPN dhe DFA duke përdorur Microsoft Windows Server 2016/2019.

Në dokumentacionin zyrtar, shërbimi DHCP i bazuar në Microsoft Windows Server 2012 për pëlhurën është konfiguruar si një SuperScope që përmban një grup Loopback (pika kryesore e këtij grupi është përjashtimi i të gjitha adresave IP të grupit nga grupi (përjashtuar adresën IP = pishinë)) dhe grupe për lëshimin e adresave IP për rrjetet reale (këtu është pika kryesore - konfigurohet politika - në të cilën ID e qarkut të stafetës DHCP është filtruar dhe kjo ID e qarkut të stafetës DHCP përmban VNI për rrjetin, d.m.th. për një grup tjetër ky rele DHCP ID-ja e qarkut do të jetë paksa e ndryshme).

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

Ky artikull përmban përgjigje për pyetjet e mëposhtme:

• Pse nuk mbështeten Microsoft Windows Server 2000/2003/2008?
• Pse është kaq i vështirë konfigurimi në Microsoft Windows Server 2012?
• Si thjeshtohet konfigurimi në Microsoft Windows Server 2016/2019?

Përmbajtje

• Paraqitje
  • Si të konfiguroni DHCP Relay në një pëlhurë VXLAN BGP EVPN
  • RFC-të që përdoren në DHCP Relay nga pëlhura VXLAN BGP EVPN
  • Evoluimi i dokumentacionit Cisco në lidhje me konfigurimin e DHCP në Microsoft Windows Server 2012
  • DHCP në serverin Microsoft Windows (superskop & politikë)
• Pjesa kryesore
  • Pse nuk mbështetet Microsoft Windows Server 2000/2003/2008?
  • Pse është kaq i vështirë konfigurimi në Microsoft Windows Server 2012?
  • Si thjeshtohet konfigurimi në Microsoft Windows Server 2016/2019?
    • Shembull
    • Vendosja e një shërbimi DHCP në Microsoft Windows Server 2019
• Përfundim
• Lista e burimeve

Paraqitje

Kjo pjesë rendit shkurtimisht të gjitha të dhënat fillestare: Udhëzimet për konfigurimin e pajisjeve të rrjetit, RFC-të e përdorura në paketat DHCP në fabrikat eVPN, evolucioni i cilësimeve të serverit DHCP në Microsoft Windows Server 2012 në dokumentacionin Cisco janë dhënë për referencë. Si dhe informacion të shkurtër rreth Superscope dhe Politikës në shërbimin DHCP në serverët e Microsoft Windows.

Si të konfiguroni DHCP Relay në një pëlhurë VXLAN BGP EVPN, DFA

Konfigurimi i stafetës DHCP në një pëlhurë VXLAN BGP EVPN nuk është tema kryesore e këtij artikulli, pasi është mjaft e thjeshtë. Unë jap lidhje me dokumentacionin dhe një spoiler për cilësimet në pajisjet e rrjetit.

• Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 7.X
• Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 9.3
• DFA (Cisco Dynamic Fabric Automation)

Shembull i konfigurimit të DHCP Relay në Nexus 9000V v9.2(3)

service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
  vrf member VRF1
  ip address 10.120.0.1/32 tag 1234567
interface Vlan12
  no shutdown
  vrf member VRF1
  no ip redirects
  ip address 10.120.251.1/24 tag 1234567
  no ipv6 redirects
  fabric forwarding mode anycast-gateway
  ip dhcp relay address 10.0.0.5
  ip dhcp relay source-interface loopback10

RFC-të që janë implementuar në funksionimin e shërbimit DHCP Relay në pëlhurat VXLAN BGP EVPN

• Lista RFC, për Nexus 9000 v9.3
• Lista RFC, Nexus 9000 v7.x

RFC#6607: Nënopsioni 151(0x97) - Zgjedhja virtuale e nënrrjetit

•	Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.

Transmetohet "emri" i VRF në të cilin ndodhet klienti.

RFC#5107: Nënopsioni 11(0xb) - Mbështetja e ID-së së Serverit

•	Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.) 
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.

Opsioni përdoret për të siguruar që klienti të dërgojë një kërkesë për të rinovuar qiranë e adresës në adresën IP të përdorur në këtë opsion. (Në Cisco VXLAN BGP, EVPN është adresa e paracaktuar e portës së klientit Anycast.)

RFC#3527: Nënopsioni 5(0x5) - Zgjedhja e lidhjes

Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.) 

The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.

Adresa e rrjetit nga i cili klienti ka nevojë për një adresë IP.

Evoluimi i dokumentacionit Cisco në lidhje me konfigurimin e DHCP në Microsoft Windows Server 2012

E përfshiva këtë seksion sepse ka një prirje pozitive nga ana e shitësit:

Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 7.3

Dokumentacioni tregon vetëm se si të konfiguroni DHCP Relay në pajisjet e rrjetit.

Një artikull tjetër u përdor për të konfiguruar DHCP në Windows Server 2012:

Konfigurimi i Microsoft Windows Server 2012 për të ofruar shërbime DHCP në një skenar eVPN (VXLAN, Cisco One Fabric, etj.)

Ky artikull tregon se çdo rrjet/VNI kërkon paketën e vet SuperScope dhe grupin e vet të adresave Loopback:

If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.

Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 9.3

U shtuan cilësimet e serverit të Windows 2012 në dokumentacionin për konfigurimin e pajisjeve të rrjetit. Për të gjitha grupet e adresave të përdorura, kërkohet një SuperScope për qendër të dhënash dhe ky SuperScope është kufiri i qendrës së të dhënave:

Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.

Automatizimi Dinamik i Pëlhurës Cisco

Gjithçka është shpjeguar shumë shkurt:

Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn. 

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

DHCP në serverin Microsoft Windows (superskopi dhe politika)

SuperScope

Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.

Çfarë është SuperScope - është një funksionalitet që ju lejon të kombinoni disa grupe adresash IP në një njësi administrative. Për t'u reklamuar përdoruesve në të njëjtin rrjet fizik (në të njëjtin VLAN) adresa IP nga disa grupe. Nëse kërkesa erdhi në një grup adresash si pjesë e një SuperScope, atëherë klientit mund t'i jepet një adresë nga një tjetër Scope e përfshirë në këtë SuperScope.

e Privatësisë

The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.

The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.

Politikat – ju lejojnë të caktoni adresa IP për përdoruesit në varësi të llojit të përdoruesit ose parametrit. Inxhinierët Cisco përdorin politika në Windows Server 2012 për të filtruar sipas VNI (Virtual Network Identifier).

Pjesa kryesore

Ky seksion përmban rezultatet e hulumtimit, pse nuk mbështetet, si funksionon (logjika), çfarë është e re dhe si do të na ndihmojë kjo e re.

Pse nuk mbështetet Microsoft Windows Server 2000/2003/2008?

Microsoft Windows Server 2008 dhe versionet e mëparshme nuk përpunojnë opsionin 82 dhe paketa e kthimit dërgohet pa opsionin 82.

Problemi i Win2k8 R2 DHCP me Option82

1. Kërkesa nga klienti dërgohet në Broadcast (DHCP Discover).
2. Pajisja (Nexus) e dërgon paketën te serveri DHCP (DHCP Discover + Opsioni 82).
3. Serveri DHCP e merr paketën, e përpunon, e kthen, por pa opsionin 82. (Oferta DHCP – pa opsionin 82)
4. Pajisja (Nexus) merr një paketë nga serveri DHCP. (Oferta DHCP) Por nuk ia dërgon këtë paketë përdoruesit përfundimtar.

Të dhënat Sniffer - në Windows Server 2008 dhe në klientin DHCPWindows Server 2008 merr një kërkesë nga pajisjet e rrjetit. (Opsioni 82 është i pranishëm në listë)

Windows Server 2008 dërgon përgjigjen te pajisjet e rrjetit. (Opsioni 82 nuk është i listuar si opsion në paketë)

Kërkesa nga klienti - DHCP Discover është i pranishëm dhe Oferta DHCP mungon

Statistikat për pajisjet e rrjetit:

NEXUS-9000V-SW-1# show ip dhcp relay statistics 
----------------------------------------------------------------------
Message Type             Rx              Tx           Drops  
----------------------------------------------------------------------
Discover                  8               8               0
Offer                     8               8               0
Request(*)                0               0               0
Ack                       0               0               0
Release(*)                0               0               0
Decline                   0               0               0
Inform(*)                 0               0               0
Nack                      0               0               0
----------------------------------------------------------------------
Total                    16              16               0
----------------------------------------------------------------------

DHCP L3 FWD:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
Non DHCP:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
DROP:
DHCP Relay not enabled                           :         0
Invalid DHCP message type                        :         0
Interface error                                  :         0
Tx failure towards server                        :         0
Tx failure towards client                        :         0
Unknown output interface                         :         0
Unknown vrf or interface for server              :         0
Max hops exceeded                                :         0
Option 82 validation failed                      :         0
Packet Malformed                                 :         0
Relay Trusted port not configured                :         0
DHCP Request dropped on MCT                      :         0
*  -  These counters will show correct value when switch 
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#

Pse është kaq i vështirë konfigurimi në Microsoft Windows Server 2012?

Microsoft Windows Server 2012 nuk e mbështet ende RFC#3527 (Opsioni 82 Nën-opsioni 5 (0x5) - Zgjedhja e lidhjes)
Por funksionaliteti i Politikës tashmë është zbatuar.

Si punon kjo:

• Microsoft Windows Server 2012 ka një super pishinë (SuperScope) i cili ka adresa Loopback dhe pishina për rrjetet reale.
• Zgjedhja e grupit për lëshimin e një adrese IP bie në SuperScope, pasi përgjigja erdhi nga DHCP Relay me adresën e burimit Loopback të përfshirë në SuperScope.
• Duke përdorur Politikën, kërkesa zgjedh nga Superscope atë fushë të anëtarit, VNI i të cilit përmbahet në Opsionin 82 Nënopsioni 1 ID e qarkut të agjentit. (“0108000600”+ 24 bit VNI + 24 bit, vlerat e të cilave janë të panjohura për mua, por sniffer tregon vlerat 0 në këtë fushë.)

Si thjeshtohet konfigurimi në Microsoft Windows Server 2016/2019?

Microsoft Windows Server 2016 zbaton funksionalitetin RFC#3527. Kjo do të thotë, Windows Server 2016 mund të njohë rrjetin e saktë nga nën-opcioni 82(5x0) - atributi i përzgjedhjes së lidhjes Option 5

Tre pyetje lindin menjëherë:

• A mund të bëjmë pa Superscope?
• A mund të bëjmë pa Politikë dhe të konvertojmë VNI në formë heksadecimal?
• A mund të bëjmë pa adresat e burimit Scope për Loopback DHCP?

Q. A mund të bëjmë pa Superscope?
A. Po, fushëveprimi mund të krijohet menjëherë në fushën e adresave IPv4.
Q. A mund të bëjmë pa Politikë dhe të konvertojmë VNI në formë heksadecimal?
A. Po, zgjedhja e rrjetit bazohet në Opsionin 82 Nënopcionin 0x5,
Q. A mund të bëjmë pa adresat e burimit Scope për Loopback DHCP?
A. Jo nuk mundemi. Sepse Microsoft Windows Server 2016/2019 ka mbrojtje kundër kërkesave me qëllim të keq DHCP. Kjo do të thotë, të gjitha kërkesat nga adresat që nuk janë në grupin e serverit DHCP konsiderohen me qëllim të keq.

Opsionet e përzgjedhjes së nënrrjetit DHCP

 Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.

A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.

Ato. Për të konfiguruar një grup DHCP për një fabrikë VXLAN BGP EVPN në Microsoft Windows Server 2016/2019, ju duhet vetëm:

• Krijoni një grup për adresat e burimit relay.
• Krijoni një grup për rrjetet e klientëve

Çfarë nuk është e nevojshme (por mund të konfigurohet dhe do të funksionojë dhe nuk do të ndërhyjë në punë):

• Krijo politikë
• Krijo SuperScope

ShembullShembull i konfigurimit të një serveri DHCP (ka 2 klientë të vërtetë DHCP - klientët janë të lidhur me strukturën VXLAN)

Shembull i konfigurimit të një grupi përdoruesish:

Një shembull i konfigurimit të një grupi përdoruesish (politikat janë zgjedhur - për të vërtetuar se politikat nuk janë përdorur për funksionimin e saktë të grupit):

Një shembull i konfigurimit të një grupi për adresat e burimit DHCP Relay (gama e adresave për lëshim korrespondon plotësisht me përjashtimin nga grupi i adresave):

Vendosja e një shërbimi DHCP në Microsoft Windows Server 2019

Konfigurimi i një grupi për adresat Loopback (burimi) për DHCP Relay.

Ne krijojmë një grup të ri (Scope) në hapësirën IPv4.

Magjistari i krijimit të pishinës. "Tjetër >"

Konfiguro emrin e pishinës dhe përshkrimin e pishinës.

Caktoni gamën e adresave IP për Loopback dhe maskën për pishinën.

Shtimi i përjashtimeve. Gama e përjashtimit duhet të përputhet saktësisht me diapazonin e pishinës.

Koha e qirasë. "Tjetër >"

Pyetje: A do t'i konfiguroni opsionet e DHCP tani (DNS, WINS, Gateway, Domain) apo do ta bëni më vonë. Do të ishte më e shpejtë të përgjigjesh jo, dhe më pas të aktivizosh pishinën me dorë. Ose shkoni deri në fund pa plotësuar asnjë informacion dhe aktivizoni pishinën në fund të magjistarit.

Ne konfirmojmë që opsionet nuk janë konfiguruar dhe grupi nuk është aktivizuar. "Falo"

Ne aktivizojmë pishinën me dorë. — Zgjidhni Fushëveprimin dhe në menynë e kontekstit — zgjidhni "Aktivizo".

Ne krijojmë një grup për përdoruesit/serverët.

Le të krijojmë një pishinë të re.

Magjistari i krijimit të pishinës. "Tjetër >"

Konfiguro emrin e pishinës dhe përshkrimin e pishinës.

Caktoni gamën e adresave IP për Loopback dhe maskën për pishinën.

Shtimi i përjashtimeve. (Nuk kërkohen përjashtime si parazgjedhje) "Next >"

Koha e qirasë. "Tjetër >"

Pyetje: A do t'i konfiguroni opsionet e DHCP tani (DNS, WINS, Gateway, Domain) ose do ta bëni më vonë. Le ta vendosim tani.

Konfiguro adresën e paracaktuar të portës.

Ne konfigurojmë adresat e domenit dhe serverit DNS.

Konfigurimi i adresave IP të serverëve WINS.

Aktivizimi i fushës.

Pishina është e konfiguruar. "Falo"

Përfundim

Përdorimi i Windows Server 2016/2019 zvogëlon kompleksitetin e konfigurimit të një serveri DHCP për një pëlhurë VXLAN (ose çdo pëlhurë tjetër). (Nuk është e nevojshme të transferoni lidhje speciale te specialistët e IT-së: ID-ja e qarkut të rrjetit/agjentit për të regjistruar filtrat.)

A do të funksionojë konfigurimi për Windows Server 2012 në serverët e rinj 2016/2019 - po, do të funksionojë.

Ky dokument përmban referenca për 2 versione: 7.X dhe 9.3. Kjo për faktin se versioni 7.0(3)I7(7) është një version i sugjeruar nga Cisco dhe versioni 9.3 është më inovativi (madje duke mbështetur Multicast nëpërmjet VXLAN Multisite).

Lista e burimeve

1. Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 7.x
2. Udhëzuesi i konfigurimit të Nexus 9000 VXLAN 9.3
3. DFA (Cisco Dynamic Fabric Automation)
4. Konfigurimi i Microsoft Windows Server 2012 për të ofruar shërbime DHCP në një skenar eVPN (VXLAN, Cisco One Fabric, etj.)
5. 3.4 Superskopët DHCP
6. Hyrje në politikat DHCP
7. Problemi i Win2k8 R2 DHCP me Option82
8. Opsionet e përzgjedhjes së nënrrjetit DHCP

Burimi: www.habr.com