🥇Cilësimet e Microsoft-it Windows Server 2016/2019 për ofrimin e shërbimeve DHCP për VXLAN (DFA)

Qëllimi i këtij artikulli është të thjeshtojë konfigurimin e shërbimit DHCP për VXLAN BGP EVPN dhe strukturën DFA duke përdorur Microsoft. Windows Server 2016 / 2019.

Në dokumentacionin zyrtar, shërbimi DHCP bazohet në Microsoft Windows Server 2012 për fabrikën është konfiguruar si një SuperScope, që përmban një pishinë Loopback (në këtë pishinë, pika kryesore është përjashtimi i të gjitha adresave IP nga pishina (adresa IP e përjashtuar = pishinë)) dhe pishina për lëshimin e adresave IP për rrjete reale (pika kryesore këtu është politika që po konfigurohet, në të cilën ID-të e Qarkut të Relesë DHCP filtrohen, dhe kjo ID e Qarkut të Relesë DHCP përmban VNI-në për rrjetin, d.m.th. për një pishinë tjetër, kjo ID e Qarkut të Relesë DHCP do të jetë paksa e ndryshme).

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

Ky artikull përmban përgjigje për pyetjet e mëposhtme:

Përmbajtje

Paraqitje
Pjesa kryesore
Përfundim
Lista e burimeve

Paraqitje

Ky seksion rendit shkurtimisht të gjitha të dhënat burimore: Udhëzime për konfigurimin e pajisjeve të rrjetit, RFC-të e përdorura në paketat DHCP në fabrikat eVPN, një udhëzues referimi për evolucionin e cilësimeve të serverit DHCP në Microsoft. Windows Server 2012 në dokumentacionin e Cisco-s. Gjithashtu, informacion i shkurtër rreth Superscope dhe Policy në shërbimin DHCP në serverat e Microsoft. Windows Server.

Si të konfiguroni DHCP Relay në një VXLAN BGP EVPN, DFA fabric

Konfigurimi i DHCP Relay në një strukturë VXLAN BGP EVPN nuk është tema kryesore e këtij artikulli, pasi është mjaft e thjeshtë. Do të ofroj lidhje për dokumentacionin dhe një spoiler për konfigurimin e pajisjeve të rrjetit.

Shembull i konfigurimit të DHCP Relay në Nexus 9000V v9.2(3)

service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
  vrf member VRF1
  ip address 10.120.0.1/32 tag 1234567
interface Vlan12
  no shutdown
  vrf member VRF1
  no ip redirects
  ip address 10.120.251.1/24 tag 1234567
  no ipv6 redirects
  fabric forwarding mode anycast-gateway
  ip dhcp relay address 10.0.0.5
  ip dhcp relay source-interface loopback10

RFC-të e implementuara në shërbimin DHCP Relay në pëlhurat VXLAN BGP EVPN

RFC#6607: Nën-opsioni 151(0x97) - Përzgjedhja e Nënrrjetit Virtual

•	Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.

Transmetohet "emri" i VRF-së në të cilën ndodhet klienti.

RFC#5107: Nën-opsioni 11(0xb) - Mbivendosja e ID-së së Serverit

•	Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.) 
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.

Ky opsion përdoret për ta detyruar klientin të dërgojë një kërkesë për rinovimin e kontratës së qirasë në adresën IP të përdorur në këtë opsion. (Në Cisco VXLAN BGP EVPN, kjo është adresa e parazgjedhur e portës anycast të klientit.)

RFC#3527: Nën-opsioni 5(0x5) - Përzgjedhja e Lidhjeve

Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.) 

The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.

Adresa e rrjetit nga i cili klienti ka nevojë për një adresë IP.

Evolucioni i dokumentacionit të Cisco-s në lidhje me konfigurimin e DHCP në Microsoft Windows Server 2012

E përfshiva këtë seksion sepse ka një trend pozitiv nga ana e shitësit:

Udhëzuesi i Konfigurimit të Nexus 9000 VXLAN 7.3

Dokumentacioni mbulon vetëm konfigurimin e DHCP Relay në pajisjet e rrjetit.

Për të konfiguruar DHCP në Windows Server 2012 përdori një artikull të ndryshëm:

Konfigurimi i Microsoft-it Windows Server 2012 për të ofruar shërbime DHCP në një Skenar eVPN (VXLAN, Cisco One Fabric, etj.)

Ky artikull thotë se çdo rrjet/VNI kërkon paketën e vet SuperScope dhe grupin e vet të adresave Loopback:

If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.

Udhëzuesi i Konfigurimit të Nexus 9000 VXLAN 9.3

Cilësimet e shtuara Windows Serveri 2012 në dokumentacionin e konfigurimit të pajisjeve të rrjetit. Të gjitha grupet e adresave të përdorura kërkojnë një SuperScope për qendër të dhënash, dhe ky SuperScope është kufiri i qendrës së të dhënave:

Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.

Automatizimi Cisco Dynamic Fabric

Gjithçka përshkruhet shumë shkurt:

Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn. 

To configure DHCP on Windows server. 

1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment. 
2. In scope B,  specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope). 
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box. 
4. Set the policy address range to the entire range of the scope.

DHCP në Microsoft Windows Server (superskopi dhe politika)

SuperScope

Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.

SuperScope është një veçori që ju lejon të kombinoni disa grupe adresash IP në një njësi të vetme administrative. Kjo ju lejon të reklamoni adresat IP nga grupe të shumta te përdoruesit në të njëjtin rrjet fizik (VLAN). Nëse bëhet një kërkesë në një grup adresash brenda një SuperScope, klientit mund t'i caktohet një adresë nga një tjetër grup adresash brenda atij SuperScope.

e Privatësisë

The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.

The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.

Politikat – ju lejojnë të caktoni adresa IP përdoruesve bazuar në llojin ose parametrin e përdoruesit. Inxhinierët e Cisco-s përdorin politika në Windows Server 2012 për filtrim sipas VNI (Identifikuesi i Rrjetit Virtual).

Pjesa kryesore

Ky seksion përmban rezultatet e hulumtimit, pse nuk mbështetet, si funksionon (logjika), çfarë është e re dhe si do të na ndihmojë kjo e re.

Pse nuk mbështetet nga Microsoft? Windows Server 2000/2003/2008?

microsoft Windows Server Versionet 2008 dhe më të hershme nuk e përpunojnë Opsionin 82 dhe nuk e dërgojnë paketën e kthimit pa Opsionin 82.

Problem me DHCP-në e Win2k8 R2 me Option82

Kërkesa nga klienti dërgohet te Broadcast (DHCP Discover).
Pajisja (Nexus) dërgon një paketë në serverin DHCP (DHCP Discover + Opsioni 82).
Serveri DHCP e merr paketën, e përpunon atë dhe e dërgon mbrapsht, por pa opsionin 82. (Oferta DHCP - pa opsionin 82)
Pajisja (Nexus) merr një paketë nga serveri DHCP (DHCP Offer) por nuk e përcjell këtë paketë te përdoruesi përfundimtar.

Të dhënat e Sniffer - të aktivizuara Windows Server 2008 dhe në klientin DHCPWindows Server 2008 merr një kërkesë nga pajisjet e rrjetit. (Opsioni 82 është i pranishëm në listë)

Windows Server 2008 dërgon një përgjigje në pajisjet e rrjetit. (Opsioni 82 nuk është në listën e opsioneve në paketë.)

Kërkesë për klientin - DHCP Discover është i pranishëm, oferta DHCP mungon

Statistikat mbi pajisjet e rrjetit:

NEXUS-9000V-SW-1# show ip dhcp relay statistics 
----------------------------------------------------------------------
Message Type             Rx              Tx           Drops  
----------------------------------------------------------------------
Discover                  8               8               0
Offer                     8               8               0
Request(*)                0               0               0
Ack                       0               0               0
Release(*)                0               0               0
Decline                   0               0               0
Inform(*)                 0               0               0
Nack                      0               0               0
----------------------------------------------------------------------
Total                    16              16               0
----------------------------------------------------------------------

DHCP L3 FWD:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
Non DHCP:
Total Packets Received                           :         0
Total Packets Forwarded                          :         0
Total Packets Dropped                            :         0
DROP:
DHCP Relay not enabled                           :         0
Invalid DHCP message type                        :         0
Interface error                                  :         0
Tx failure towards server                        :         0
Tx failure towards client                        :         0
Unknown output interface                         :         0
Unknown vrf or interface for server              :         0
Max hops exceeded                                :         0
Option 82 validation failed                      :         0
Packet Malformed                                 :         0
Relay Trusted port not configured                :         0
DHCP Request dropped on MCT                      :         0
*  -  These counters will show correct value when switch 
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#

Pse pikërisht Microsoft? Windows Server A është kaq e vështirë përgatitja e vitit 2012?

Në Microsoft Windows Server 2012 nuk mbështetet ende nga RFC#3527 (Opsioni 82 Nën-opsioni 5(0x5) — Përzgjedhja e Lidhjes)
Por funksionaliteti i Politikës është zbatuar tashmë.

Si punon kjo:

microsoft Windows Server Në vitin 2012 ekziston një super-pool (SuperScope) i cili përmban adresa Loopback dhe pishina për rrjete reale.
Përzgjedhja e një grupi për lëshimin e një adrese IP bie në SuperScope, pasi përgjigja erdhi nga DHCP Relay me adresën Loopback Source të përfshirë në SuperScope.
Duke përdorur Politikën, kërkesa zgjedh nga Superscope anëtarin fushëveprim, VNI-ja e të cilit përmbahet në ID-në e Qarkut të Agjentit të Nënopsionit 1 të Opsionit 82. ("0108000600" + 24 bit të VNI + 24 bit vlera e të cilave është e panjohur për mua, por sniffer tregon vlerën 0 në këtë fushë.)

Si e thjeshton Microsoft konfigurimin Windows Server 2016 / 2019?

Në Microsoft Windows Server Funksionaliteti i RFC#3527 i vitit 2016 u implementua. Kjo është Windows Server 2016 mund të njohë rrjetin e saktë nga atributi Opsioni 82 Nënopsioni 5(0x5) — Përzgjedhja e Lidhjes

Tre pyetje lindin menjëherë:

A mund të bëjmë pa Superscope?
A mund të bëjmë pa Politikë dhe konvertimin e VNI në heksadecimal?
A mund të bëjmë pa Scope për adresat DHCP Source Loopback?

Q. A mund të bëjmë pa Superscope?
A. Po, një fushëveprim mund të krijohet direkt në hapësirën e adresave IPv4.
Q. A mund të bëjmë pa Politikë dhe konvertimin e VNI në heksadecimal?
A. Po, përzgjedhja e rrjetit bazohet në Opsionin 82 Nënopsioni 0x5,
Q. A mund të bëjmë pa Scope për adresat DHCP Source Loopback?
A. Jo, nuk mundemi. Sepse në Microsoft Windows Server Që nga viti 2016/2019, është në fuqi mbrojtja kundër kërkesave dashakeqe DHCP. Kjo do të thotë që të gjitha kërkesat nga adresat që nuk janë në grupin e serverit DHCP konsiderohen dashakeqe.

Opsionet e Zgjedhjes së Nënrrjetit DHCP

 Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.

A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.

dmth. për të konfiguruar në Microsoft Windows Server Grupi DHCP 2016/2019 për strukturën VXLAN BGP EVPN kërkon vetëm:

Krijo një grup për adresat e Burimit të Releve.
Krijo një grup për rrjetet e klientëve

Çfarë nuk është e nevojshme (por mund të konfigurohet dhe do të funksionojë dhe nuk do të ndërhyjë në punë):

Krijo Politikë
Krijo SuperScope

ShembullShembull i konfigurimit të serverit DHCP (ekzistojnë dy klientë të vërtetë DHCP - klientët janë të lidhur me strukturën VXLAN)

Shembull i krijimit të një grupi përdoruesish:

Shembull i konfigurimit të një grupi përdoruesish (politikat e përzgjedhura për të vërtetuar se politikat nuk janë përdorur që grupi të funksionojë siç duhet):

Shembull i konfigurimit të një grupi për adresat e Burimit të Releve DHCP (diapazoni i adresave që do të lëshohen është saktësisht i njëjtë me përjashtimin e grupit të adresave):

Konfigurimi i shërbimit DHCP në Microsoft Windows Server 2019

Konfigurimi i një grupi për adresat Loopback (burimi) për DHCP Relay.

Ne krijojmë një pishinë të re (Scope) në hapësirën IPv4.

Asistent për krijimin e pishinës. "Tjetra >"

Ne konfigurojmë emrin e pishinës dhe përshkrimin (Përshkrimin) e pishinës.

Ne caktojmë diapazonin e adresës IP për Loopback dhe maskën për pishinën.

Shto përjashtime. Diapazoni i përjashtimeve duhet të përputhet saktësisht me diapazonin e grupit.

Koha e qirasë. "Tjetra >"

Kërkesë: A do t'i konfiguroni opsionet DHCP tani (DNS, WINS, Gateway, Domain) apo do ta bëni më vonë? Është më e shpejtë të përgjigjeni "jo" dhe pastaj të aktivizoni grupin manualisht. Si alternativë, mund të vazhdoni deri në fund pa plotësuar asnjë informacion dhe ta aktivizoni grupin në fund të asistentit.

Ne konfirmojmë që opsionet nuk janë konfiguruar dhe grupi nuk është aktivizuar. "Finish"

Aktivizoni pishinën manualisht. — Zgjidhni Fusha dhe zgjidhni "Aktivizo" nga menyja e kontekstit.

Ne krijojmë një pishinë për përdoruesit/serverët.

Le të krijojmë një pishinë të re.

Asistent për krijimin e pishinës. "Tjetra >"

Ne konfigurojmë emrin e pishinës dhe përshkrimin (Përshkrimin) e pishinës.

Ne caktojmë diapazonin e adresës IP për Loopback dhe maskën për pishinën.

Shto përjashtime. (Si parazgjedhje, nuk kërkohen përjashtime.) "Tjetra >"

Koha e qirasë. "Tjetra >"

Kërkesë: A do t'i konfiguroni opsionet DHCP tani (DNS, WINS, Gateway, Domain) apo do ta bëni më vonë? Po, do ta konfigurojmë tani.

Vendosja e adresës së portës hyrëse të parazgjedhur.

Ne konfigurojmë adresat e domenit dhe serverit DNS.

Ne konfigurojmë adresat IP të serverëve WINS.

Aktivizimi i Fushëveprimit.

Pishina është konfiguruar. "Përfundo"

Përfundim

Përdorim Windows Server Versioni 2016/2019 zvogëlon kompleksitetin e konfigurimit të një serveri DHCP për një strukturë VXLAN (ose çdo strukturë tjetër). (Nuk ka nevojë të ndani ID-të e veçanta të Qarkut të Rrjetit/Agjentit me specialistët e IT-së për të konfiguruar filtrat.)

A do të funksionojë konfigurimi për Windows Server 2012 në serverat e rinj 2016/2019 – po, do të funksionojë.

Ky dokument i referohet dy versioneve: 7.X dhe 9.3. Kjo ndodh sepse versioni 7.0(3)I7(7) është versioni i sugjeruar nga Cisco, ndërsa versioni 9.3 është më inovativi (duke përfshirë mbështetjen për Multicast nëpërmjet VXLAN Multisite).