วัตถุประสงค์ของบทความนี้คือเพื่อลดความซับซ้อนในการกำหนดค่าบริการ DHCP สำหรับ VXLAN BGP EVPN และแฟบริค DFA โดยใช้ Microsoft Windows Server 2016/2019
ในเอกสารอย่างเป็นทางการ บริการ DHCP ที่ใช้ Microsoft Windows Server 2012 สำหรับแฟบริคได้รับการกำหนดค่าเป็น SuperScope ที่มีพูลแบ็คแบ็ค (จุดเด่นของพูลนี้คือการแยกที่อยู่ IP ทั้งหมดของพูลออกจากพูล (ที่อยู่ IP ที่ไม่รวม = พูล)) และพูลสำหรับการออกที่อยู่ IP สำหรับเครือข่ายจริง (นี่คือไฮไลต์ - นโยบายได้รับการกำหนดค่า - ซึ่ง ID วงจรรีเลย์ DHCP ถูกกรองและ ID วงจรรีเลย์ DHCP นี้มี VNI สำหรับเครือข่าย เช่น สำหรับพูลอื่น รีเลย์ DHCP นี้ Circuit ID จะแตกต่างออกไปเล็กน้อย)
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.บทความนี้มีคำตอบสำหรับคำถามต่อไปนี้:
Содержание
-
- ( & )
-
-
การแนะนำ
ส่วนนี้จะแสดงรายการข้อมูลเริ่มต้นทั้งหมดโดยย่อ: คำแนะนำสำหรับการกำหนดค่าอุปกรณ์เครือข่าย, RFC ที่ใช้ในแพ็กเก็ต DHCP ในโรงงาน eVPN, วิวัฒนาการของการตั้งค่าเซิร์ฟเวอร์ DHCP บน Microsoft Windows Server 2012 ในเอกสารประกอบของ Cisco มีไว้เพื่อใช้อ้างอิง ตลอดจนข้อมูลโดยย่อเกี่ยวกับ Superscope และนโยบายในบริการ DHCP บน Microsoft Windows Servers
วิธีกำหนดค่า DHCP Relay บน VXLAN BGP EVPN, DFA Fabric
การกำหนดค่ารีเลย์ DHCP บนแฟบริค VXLAN BGP EVPN ไม่ใช่หัวข้อหลักของบทความนี้ เนื่องจากค่อนข้างง่าย ฉันให้ลิงก์ไปยังเอกสารประกอบและสปอยเลอร์เกี่ยวกับการตั้งค่าบนอุปกรณ์เครือข่าย
ตัวอย่างการตั้งค่ารีเลย์ DHCP บน Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC ที่ถูกนำไปใช้ในการทำงานของบริการ DHCP Relay ในแฟบริค VXLAN BGP EVPN
RFC#6607: ตัวเลือกย่อย 151(0x97) - การเลือกเครือข่ายย่อยเสมือน
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.“ชื่อ” ของ VRF ที่ลูกค้าอยู่จะถูกส่งไป
RFC#5107: ตัวเลือกย่อย 11(0xb) - การแทนที่รหัสเซิร์ฟเวอร์
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.ตัวเลือกนี้ใช้เพื่อให้แน่ใจว่าลูกค้าส่งคำขอเพื่อต่ออายุการเช่าที่อยู่ไปยังที่อยู่ IP ที่ใช้ในตัวเลือกนี้ (บน Cisco VXLAN BGP นั้น EVPN คือที่อยู่ Anycast เกตเวย์เริ่มต้นของไคลเอ็นต์)
RFC#3527: ตัวเลือกย่อย 5(0x5) - การเลือกลิงก์
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.ที่อยู่ของเครือข่ายที่ไคลเอ็นต์ต้องการที่อยู่ IP
วิวัฒนาการของเอกสารของ Cisco เกี่ยวกับการกำหนดค่า DHCP บน Microsoft Windows Server 2012
ฉันรวมส่วนนี้ไว้เนื่องจากผู้ขายมีแนวโน้มเชิงบวก:
เอกสารประกอบจะแสดงวิธีกำหนดค่ารีเลย์ DHCP บนอุปกรณ์เครือข่ายเท่านั้น
บทความอื่นใช้เพื่อกำหนดค่า DHCP บน Windows Server 2012:
บทความนี้ระบุว่าแต่ละเครือข่าย/VNI ต้องการชุด SuperScope ของตัวเองและชุดที่อยู่ Loopback ของตัวเอง:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
เพิ่มการตั้งค่า Windows 2012 Server ลงในเอกสารประกอบการตั้งค่าอุปกรณ์เครือข่าย สำหรับกลุ่มที่อยู่ทั้งหมดที่ใช้ ต้องใช้ SuperScope หนึ่งรายการต่อศูนย์ข้อมูล และ SuperScope นี้เป็นขอบเขตของศูนย์ข้อมูล:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
ทุกอย่างอธิบายได้กระชับมาก:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP ใน Microsoft Windows Server (superscope & นโยบาย)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
SuperScope คืออะไร - เป็นฟังก์ชันที่ช่วยให้คุณสามารถรวมที่อยู่ IP หลายกลุ่มไว้ในหน่วยการดูแลระบบเดียว เพื่อโฆษณากับผู้ใช้บนเครือข่ายทางกายภาพเดียวกัน (ใน VLAN เดียวกัน) ที่อยู่ IP จากหลายกลุ่ม หากคำขอมาถึงกลุ่มที่อยู่ซึ่งเป็นส่วนหนึ่งของ SuperScope ลูกค้าก็จะได้รับที่อยู่จากขอบเขตอื่นที่รวมอยู่ใน SuperScope นี้
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
นโยบาย – อนุญาตให้คุณกำหนดที่อยู่ IP ให้กับผู้ใช้โดยขึ้นอยู่กับประเภทของผู้ใช้หรือพารามิเตอร์ วิศวกรของ Cisco ใช้นโยบายใน Windows Server 2012 เพื่อกรองตาม VNI (Virtual Network Identifier)
ส่วนหลัก
ในส่วนนี้ประกอบด้วยผลลัพธ์ของการวิจัย เหตุใดจึงไม่ได้รับการสนับสนุน วิธีการทำงาน (ตรรกะ) มีอะไรใหม่ และสิ่งใหม่นี้จะช่วยเราได้อย่างไร
เหตุใดจึงไม่รองรับ Microsoft Windows Server 2000/2003/2008
Microsoft Windows Server 2008 และเวอร์ชันก่อนหน้าไม่ประมวลผลตัวเลือก 82 และแพ็กเก็ตที่ส่งคืนจะถูกส่งโดยไม่มีตัวเลือก 82
- คำขอจากไคลเอนต์ถูกส่งไปยัง Broadcast (DHCP Discover)
- อุปกรณ์ (Nexus) จะส่งแพ็กเก็ตไปยังเซิร์ฟเวอร์ DHCP (DHCP Discover + Option 82)
- เซิร์ฟเวอร์ DHCP รับแพ็กเก็ต ประมวลผล ส่งกลับ แต่ไม่มีตัวเลือก 82 (ข้อเสนอ DHCP – ไม่มีตัวเลือก 82)
- อุปกรณ์ (Nexus) รับแพ็กเก็ตจากเซิร์ฟเวอร์ DHCP (ข้อเสนอ DHCP) แต่ไม่ได้ส่งแพ็กเก็ตนี้ไปยังผู้ใช้ปลายทาง
ดมข้อมูล - บน Windows Server 2008 และบนไคลเอนต์ DHCPWindows Server 2008 ได้รับการร้องขอจากอุปกรณ์เครือข่าย (ตัวเลือก 82 มีอยู่ในรายการ)
Windows Server 2008 ส่งการตอบสนองต่ออุปกรณ์เครือข่าย (ตัวเลือก 82 ไม่อยู่ในรายการเป็นตัวเลือกในแพ็คเกจ)
คำขอจากไคลเอ็นต์ - มี DHCP Discover และไม่มีข้อเสนอ DHCP
สถิติเกี่ยวกับอุปกรณ์เครือข่าย:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
เหตุใดการกำหนดค่าจึงซับซ้อนใน Microsoft Windows Server 2012
Microsoft Windows Server 2012 ยังไม่รองรับ RFC#3527 (ตัวเลือกย่อย 82 ตัวเลือก 5(0x5) - การเลือกลิงก์)
แต่ฟังก์ชันนโยบายได้ถูกนำมาใช้แล้ว
วิธีการทำงาน:
- Microsoft Windows Server 2012 มีซูเปอร์พูล (SuperScope) ซึ่งมีที่อยู่ลูปแบ็คและพูลสำหรับเครือข่ายจริง
- การเลือกพูลสำหรับการออกที่อยู่ IP ตกอยู่ใน SuperScope เนื่องจากการตอบกลับมาจาก DHCP Relay พร้อมด้วยที่อยู่ Loopback Source ที่รวมอยู่ใน SuperScope
- เมื่อใช้นโยบาย คำขอจะเลือกจาก Superscope ว่าขอบเขตสมาชิกที่มี VNI อยู่ใน Option 82 Suboption 1 Agent Circuit ID (“0108000600”+ 24 บิต VNI + 24 บิตซึ่งฉันไม่รู้จักค่า แต่ผู้ดมกลิ่นแสดงค่า 0 ในฟิลด์นี้)
การตั้งค่าง่ายขึ้นใน Microsoft Windows Server 2016/2019 อย่างไร
Microsoft Windows Server 2016 ใช้ฟังก์ชัน RFC#3527 นั่นคือ Windows Server 2016 สามารถจดจำเครือข่ายที่ถูกต้องได้จากตัวเลือก 82 ตัวเลือกย่อย 5 (0x5) - แอตทริบิวต์การเลือกลิงก์
คำถามสามข้อเกิดขึ้นทันที:
- เราสามารถทำได้โดยไม่มี Superscope ไหม?
- เราสามารถทำได้โดยไม่มีนโยบายและแปลง VNI เป็นรูปแบบเลขฐานสิบหกหรือไม่
- เราสามารถทำได้โดยไม่มีขอบเขตสำหรับที่อยู่ต้นทาง DHCP ของ Loopback หรือไม่
Q. เราสามารถทำได้โดยไม่มี Superscope ไหม?
A. ใช่ สามารถสร้างขอบเขตได้ทันทีในพื้นที่ที่อยู่ IPv4
Q. เราสามารถทำได้โดยไม่มีนโยบายและแปลง VNI เป็นรูปแบบเลขฐานสิบหกหรือไม่
A. ใช่ การเลือกเครือข่ายจะขึ้นอยู่กับตัวเลือก 82 Suboption 0x5
Q. เราสามารถทำได้โดยไม่มีขอบเขตสำหรับที่อยู่ต้นทาง DHCP ของ Loopback หรือไม่
A. ไม่เราทำไมได้. เนื่องจาก Microsoft Windows Server 2016/2019 มีการป้องกันคำขอ DHCP ที่เป็นอันตราย นั่นคือคำขอทั้งหมดจากที่อยู่ที่ไม่ได้อยู่ในพูลเซิร์ฟเวอร์ DHCP ถือว่าเป็นอันตราย
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.เหล่านั้น. หากต้องการกำหนดค่าพูล DHCP สำหรับโรงงาน VXLAN BGP EVPN บน Microsoft Windows Server 2016/2019 คุณเพียงต้องการ:
- สร้างพูลสำหรับที่อยู่รีเลย์ต้นทาง
- สร้างพูลสำหรับเครือข่ายไคลเอนต์
สิ่งที่ไม่จำเป็น (แต่สามารถกำหนดค่าได้และจะทำงานได้และไม่รบกวนการทำงาน):
- สร้างนโยบาย
- สร้างซูเปอร์สโคป
ตัวอย่างตัวอย่างการตั้งค่าเซิร์ฟเวอร์ DHCP (มีไคลเอนต์ DHCP จริง 2 ตัว - ไคลเอนต์เชื่อมต่อกับแฟบริค VXLAN)
ตัวอย่างการตั้งค่ากลุ่มผู้ใช้:
ตัวอย่างการตั้งค่ากลุ่มผู้ใช้ (เลือกนโยบาย - เพื่อพิสูจน์ว่าไม่ได้ใช้นโยบายสำหรับการดำเนินการที่ถูกต้องของพูล):
ตัวอย่างการกำหนดค่าพูลสำหรับที่อยู่ DHCP Relay ต้นทาง (ช่วงของที่อยู่สำหรับการออกสอดคล้องกับการแยกออกจากกลุ่มที่อยู่):
การตั้งค่าบริการ DHCP บน Microsoft Windows Server 2019
การกำหนดค่าพูลสำหรับที่อยู่ Loopback (แหล่งที่มา) สำหรับ DHCP Relay
เราสร้างพูลใหม่ (ขอบเขต) ในพื้นที่ IPv4
วิซาร์ดการสร้างพูล "ถัดไป >"
กำหนดค่าชื่อพูลและคำอธิบายของพูล
ตั้งค่าช่วงที่อยู่ IP สำหรับ Loopback และมาสก์สำหรับพูล
การเพิ่มข้อยกเว้น ช่วงการแยกต้องตรงกับช่วงพูลทุกประการ
เวลาเช่า. "ถัดไป >"
คำถาม: คุณจะกำหนดค่าตัวเลือก DHCP ตอนนี้ (DNS, WINS, เกตเวย์, โดเมน) หรือจะดำเนินการในภายหลัง มันจะเร็วกว่าถ้าตอบไม่ แล้วเปิดใช้งานพูลด้วยตนเอง หรือไปที่จุดสิ้นสุดโดยไม่ต้องกรอกข้อมูลใดๆ และเปิดใช้งานพูลที่ส่วนท้ายของวิซาร์ด
เรายืนยันว่าไม่ได้กำหนดค่าตัวเลือกและไม่ได้เปิดใช้งานพูล "เสร็จ"
เราเปิดใช้งานพูลด้วยตนเอง — เลือกขอบเขตและในเมนูบริบท — เลือก “เปิดใช้งาน”
เราสร้างพูลสำหรับผู้ใช้/เซิร์ฟเวอร์
เราสร้างสระน้ำใหม่
วิซาร์ดการสร้างพูล "ถัดไป >"
กำหนดค่าชื่อพูลและคำอธิบายของพูล
ตั้งค่าช่วงที่อยู่ IP สำหรับ Loopback และมาสก์สำหรับพูล
การเพิ่มข้อยกเว้น (ไม่มีข้อยกเว้นตามค่าเริ่มต้น) "ถัดไป >"
เวลาเช่า. "ถัดไป >"
คำถาม: คุณจะกำหนดค่าตัวเลือก DHCP ตอนนี้ (DNS, WINS, เกตเวย์, โดเมน) หรือจะดำเนินการในภายหลัง มาตั้งค่ากันตอนนี้เลย
กำหนดค่าที่อยู่เกตเวย์เริ่มต้น
เรากำหนดค่าโดเมนและที่อยู่เซิร์ฟเวอร์ DNS
การกำหนดค่าที่อยู่ IP ของเซิร์ฟเวอร์ WINS
การเปิดใช้งานขอบเขต
พูลได้รับการกำหนดค่าแล้ว "เสร็จ"
ข้อสรุป
การใช้ Windows Server 2016/2019 ช่วยลดความซับซ้อนในการตั้งค่าเซิร์ฟเวอร์ DHCP สำหรับแฟบริค VXLAN (หรือแฟบริคอื่นๆ) (ไม่จำเป็นต้องถ่ายโอนลิงก์พิเศษไปยังผู้เชี่ยวชาญด้านไอที: Network/Agent Circuit ID เพื่อลงทะเบียนตัวกรอง)
การกำหนดค่าสำหรับ Windows Server 2012 จะทำงานบนเซิร์ฟเวอร์ใหม่ปี 2016/2019 หรือไม่ - ใช่ว่าจะใช้งานได้
เอกสารนี้มีการอ้างอิงถึง 2 เวอร์ชัน: 7.X และ 9.3 เนื่องจากเวอร์ชัน 7.0(3)I7(7) เป็นเวอร์ชันที่ Cisco แนะนำ และเวอร์ชัน 9.3 เป็นเวอร์ชันที่ล้ำสมัยที่สุด (แม้จะรองรับ Multicast ผ่าน VXLAN Multisite ก็ตาม)
รายการแหล่งที่มา
ที่มา: will.com