Mục đích của bài viết này là đơn giản hóa việc cấu hình dịch vụ DHCP cho VXLAN BGP EVPN và DFA Fabric bằng Microsoft Windows Server 2016/2019.
Trong tài liệu chính thức, dịch vụ DHCP dựa trên Microsoft Windows Server 2012 cho kết cấu được định cấu hình dưới dạng SuperScope chứa nhóm Loopback (điểm nổi bật của nhóm này là loại trừ tất cả các địa chỉ IP của nhóm khỏi nhóm (địa chỉ IP bị loại trừ = pool)) và các pool cấp địa chỉ IP cho mạng thực (đây là điểm nổi bật - chính sách được cấu hình - trong đó DHCP Relay Circuit ID được lọc và DHCP Relay Circuit ID này chứa VNI cho mạng, tức là đối với một pool khác DHCP Relay này ID mạch sẽ hơi khác một chút).
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.Bài viết này chứa câu trả lời cho các câu hỏi sau:
nội dung
-
- ( & )
-
-
Giới thiệu
Phần này liệt kê ngắn gọn tất cả dữ liệu ban đầu: Hướng dẫn cấu hình thiết bị mạng, RFC được sử dụng trong các gói DHCP trong các nhà máy eVPN, sự phát triển của cài đặt máy chủ DHCP trên Microsoft Windows Server 2012 trong tài liệu của Cisco được cung cấp để tham khảo. Cũng như thông tin ngắn gọn về Superscope và Chính sách trong dịch vụ DHCP trên Máy chủ Microsoft Windows.
Cách định cấu hình DHCP Relay trên VXLAN BGP EVPN, DFA
Định cấu hình DHCP Relay trên kết cấu VXLAN BGP EVPN không phải là chủ đề chính của bài viết này vì nó khá đơn giản. Tôi cung cấp các liên kết đến tài liệu và phần giới thiệu về cài đặt trên thiết bị mạng.
Ví dụ về thiết lập DHCP Relay trên Nexus 9000V v9.2(3)
service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC được triển khai trong hoạt động của dịch vụ DHCP Relay trong các loại vải VXLAN BGP EVPN
RFC#6607: Tùy chọn phụ 151(0x97) - Lựa chọn mạng con ảo
• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.“Tên” của VRF nơi đặt máy khách sẽ được truyền đi.
RFC#5107: Tùy chọn phụ 11(0xb) - Ghi đè ID máy chủ
• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.Tùy chọn này được sử dụng để đảm bảo rằng máy khách gửi yêu cầu gia hạn hợp đồng thuê địa chỉ tới địa chỉ IP được sử dụng trong tùy chọn này. (Trên Cisco VXLAN BGP, EVPN là địa chỉ cổng Anycast mặc định của máy khách.)
RFC#3527: Tùy chọn phụ 5(0x5) - Lựa chọn liên kết
Sub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.Địa chỉ của mạng mà khách hàng cần địa chỉ IP.
Sự phát triển của tài liệu Cisco liên quan đến việc định cấu hình DHCP trên Microsoft Windows Server 2012
Tôi đưa vào phần này vì có một xu hướng tích cực từ phía nhà cung cấp:
Tài liệu chỉ trình bày cách cấu hình DHCP Relay trên thiết bị mạng.
Một bài viết khác đã được sử dụng để định cấu hình DHCP trên Windows Server 2012:
Bài viết này chỉ ra rằng mỗi mạng/VNI yêu cầu gói SuperScope riêng và bộ địa chỉ Loopback riêng:
If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Đã thêm cài đặt Windows 2012 Server vào tài liệu để thiết lập thiết bị mạng. Đối với tất cả các nhóm địa chỉ được sử dụng, cần có một SuperScope cho mỗi trung tâm dữ liệu và SuperScope này là ranh giới của trung tâm dữ liệu:
Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Mọi thứ đều được giải thích rất ngắn gọn:
Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP trong Microsoft Windows Server (siêu kính & chính sách)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
SuperScope là gì - đây là chức năng cho phép bạn kết hợp nhiều nhóm địa chỉ IP thành một đơn vị quản trị. Để quảng cáo tới người dùng trên cùng một mạng vật lý (trong cùng một Vlan) địa chỉ IP từ một số nhóm. Nếu yêu cầu đến một nhóm địa chỉ như một phần của SuperScope thì khách hàng có thể được cung cấp một địa chỉ từ một Phạm vi khác có trong SuperScope này.
The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Chính sách – cho phép bạn gán địa chỉ IP cho người dùng tùy thuộc vào loại người dùng hoặc tham số. Các kỹ sư của Cisco sử dụng các chính sách trong Windows Server 2012 để lọc theo VNI (Mã định danh mạng ảo).
Phần chính
Phần này chứa các kết quả nghiên cứu, tại sao nó không được hỗ trợ, cách thức hoạt động (logic), có gì mới và tính năng mới này sẽ giúp chúng ta như thế nào.
Tại sao Microsoft Windows Server 2000/2003/2008 không được hỗ trợ?
Microsoft Windows Server 2008 và các phiên bản cũ hơn không xử lý tùy chọn 82 và gói trả lại được gửi mà không có tùy chọn 82.
- Yêu cầu từ client được gửi tới Broadcast (DHCP Discover).
- Thiết bị (Nexus) gửi gói đến máy chủ DHCP (DHCP Discover + Option 82).
- Máy chủ DHCP nhận gói, xử lý gói và gửi lại nhưng không có tùy chọn 82. (Ưu đãi DHCP – không có tùy chọn 82)
- Thiết bị (Nexus) nhận gói tin từ máy chủ DHCP. (Ưu đãi DHCP) Nhưng không gửi gói này đến người dùng cuối.
Dữ liệu đánh hơi - trên Windows Server 2008 và trên máy khách DHCPWindows Server 2008 nhận được yêu cầu từ thiết bị mạng. (Tùy chọn 82 có trong danh sách)
Windows Server 2008 gửi phản hồi tới thiết bị mạng. (Tùy chọn 82 không được liệt kê dưới dạng tùy chọn trong gói)
Yêu cầu từ máy khách - Có DHCP Discover và thiếu Ưu đãi DHCP
Thống kê về thiết bị mạng:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Tại sao cấu hình trong Microsoft Windows Server 2012 lại phức tạp như vậy?
Microsoft Windows Server 2012 chưa hỗ trợ RFC#3527 (Tùy chọn 82 Tùy chọn phụ 5(0x5) - Lựa chọn liên kết)
Nhưng chức năng Chính sách đã được triển khai.
Cách thức hoạt động:
- Microsoft Windows Server 2012 có một siêu nhóm (SuperScope) có địa chỉ Loopback và nhóm cho các mạng thực.
- Việc lựa chọn nhóm để cấp địa chỉ IP thuộc về SuperScope, vì phản hồi đến từ DHCP Relay với địa chỉ Nguồn vòng lặp có trong SuperScope.
- Bằng cách sử dụng Chính sách, yêu cầu chọn từ Superscope phạm vi thành viên có VNI được chứa trong Tùy chọn 82 Suboption 1 ID Mạch Đại lý. (“0108000600”+ 24 bit VNI + 24 bit mà tôi không xác định được giá trị, nhưng trình thám thính hiển thị giá trị 0 trong trường này.)
Việc thiết lập được đơn giản hóa như thế nào trong Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 triển khai chức năng RFC#3527. Tức là Windows Server 2016 có thể nhận dạng đúng mạng từ Tùy chọn 82 Tùy chọn phụ 5(0x5) - Thuộc tính Lựa chọn liên kết
Ba câu hỏi ngay lập tức nảy sinh:
- Chúng ta có thể làm được mà không cần Superscope không?
- Chúng ta có thể làm mà không cần Chính sách và chuyển VNI sang dạng thập lục phân không?
- Chúng ta có thể thực hiện mà không có Phạm vi cho các địa chỉ Nguồn DHCP Loopback không?
Q. Chúng ta có thể làm được mà không cần Superscope không?
A. Có, phạm vi có thể được tạo ngay lập tức trong khu vực địa chỉ IPv4.
Q. Chúng ta có thể làm mà không cần Chính sách và chuyển VNI sang dạng thập lục phân không?
A. Có, lựa chọn mạng dựa trên Tùy chọn 82 Tùy chọn phụ 0x5,
Q. Chúng ta có thể thực hiện mà không có Phạm vi cho các địa chỉ Nguồn DHCP Loopback không?
A. Không chúng tôi không thể. Bởi vì Microsoft Windows Server 2016/2019 có tính năng bảo vệ chống lại các yêu cầu DHCP độc hại. Nghĩa là, tất cả các yêu cầu từ các địa chỉ không nằm trong nhóm máy chủ DHCP đều bị coi là độc hại.
Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.Những thứ kia. Để định cấu hình nhóm DHCP cho nhà máy VXLAN BGP EVPN trên Microsoft Windows Server 2016/2019, bạn chỉ cần:
- Tạo một nhóm cho các địa chỉ Chuyển tiếp nguồn.
- Tạo một nhóm cho các mạng khách hàng
Những gì không cần thiết (nhưng có thể được cấu hình và nó sẽ hoạt động và không ảnh hưởng đến công việc):
- Tạo chính sách
- Tạo siêu phạm vi
Ví dụVí dụ về thiết lập máy chủ DHCP (có 2 máy khách DHCP thực - các máy khách được kết nối với cấu trúc VXLAN)
Ví dụ về thiết lập nhóm người dùng:
Một ví dụ về thiết lập nhóm người dùng (các chính sách được chọn - để chứng minh rằng các chính sách không được sử dụng để vận hành chính xác nhóm):
Một ví dụ về cách định cấu hình nhóm cho các địa chỉ Chuyển tiếp DHCP nguồn (phạm vi địa chỉ được cấp hoàn toàn tương ứng với việc loại trừ khỏi nhóm địa chỉ):
Thiết lập dịch vụ DHCP trên Microsoft Windows Server 2019
Định cấu hình nhóm địa chỉ Loopback (nguồn) cho DHCP Relay.
Chúng tôi tạo một nhóm mới (Phạm vi) trong không gian IPv4.
Trình hướng dẫn tạo hồ bơi. "Tiếp theo>"
Định cấu hình tên nhóm và mô tả của nhóm.
Đặt phạm vi địa chỉ IP cho Loopback và mặt nạ cho nhóm.
Thêm ngoại lệ. Phạm vi loại trừ phải khớp chính xác với phạm vi nhóm.
Thời gian thuê. "Tiếp theo >"
Truy vấn: Bạn sẽ cấu hình các tùy chọn DHCP bây giờ (DNS, WINS, Gateway, Domain) hay sẽ thực hiện sau. Sẽ nhanh hơn nếu trả lời không và sau đó kích hoạt nhóm theo cách thủ công. Hoặc đi đến cuối mà không điền bất kỳ thông tin nào và kích hoạt nhóm ở cuối trình hướng dẫn.
Chúng tôi xác nhận rằng các tùy chọn không được định cấu hình và nhóm không được kích hoạt. "Hoàn thành"
Chúng tôi kích hoạt nhóm bằng tay. — Chọn Phạm vi và trong menu ngữ cảnh — chọn “Kích hoạt”.
Chúng tôi tạo một nhóm cho người dùng/máy chủ.
Chúng tôi tạo ra một hồ bơi mới.
Trình hướng dẫn tạo hồ bơi. "Tiếp theo>"
Định cấu hình tên nhóm và mô tả của nhóm.
Đặt phạm vi địa chỉ IP cho Loopback và mặt nạ cho nhóm.
Thêm ngoại lệ. (Mặc định không có ngoại lệ nào được yêu cầu) "Tiếp theo >"
Thời gian thuê. "Tiếp theo >"
Truy vấn: Bạn sẽ cấu hình các tùy chọn DHCP bây giờ (DNS, WINS, Gateway, Domain) hay sẽ thực hiện sau. Hãy thiết lập nó ngay bây giờ.
Cấu hình địa chỉ cổng mặc định.
Chúng tôi định cấu hình tên miền và địa chỉ máy chủ DNS.
Cấu hình địa chỉ IP của máy chủ WINS.
Kích hoạt phạm vi.
Hồ bơi đã được cấu hình. "Hoàn thành"
Kết luận
Sử dụng Windows Server 2016/2019 giúp giảm bớt sự phức tạp của việc thiết lập máy chủ DHCP cho kết cấu VXLAN (hoặc bất kỳ loại kết cấu nào khác). (Không cần thiết phải chuyển các liên kết đặc biệt đến các chuyên gia CNTT: ID Mạch Mạng/Đại lý để đăng ký bộ lọc.)
Cấu hình cho Windows Server 2012 có hoạt động trên các máy chủ mới 2016/2019 không - vâng, nó sẽ hoạt động.
Tài liệu này chứa tài liệu tham khảo cho 2 phiên bản: 7.X và 9.3. Điều này là do phiên bản 7.0(3)I7(7) là phiên bản được Cisco đề xuất và phiên bản 9.3 là phiên bản cải tiến nhất (thậm chí còn hỗ trợ Multicast qua VXLAN Multisite).
Danh sách các nguồn
Nguồn: www.habr.com