Le but de cet article est de simplifier la configuration du service DHCP pour la fabrique VXLAN BGP EVPN et DFA à l'aide de Microsoft Windows Server 2016/2019.Dans la documentation officielle, le service DHCP basé sur Microsoft Windows Server 2012 pour l'usine est configuré en tant que SuperScope contenant le pool de bouclage (dans ce pool, le point culminant est l'exclusion du pool de toutes les adresses IP du pool (adresse IP exclue = pool)) et des pools d'émission d'adresses IP pour les réseaux réels (voici le point culminant - la stratégie est configurée - dans laquelle l'ID de circuit de relais DHCP est filtré et cet ID de circuit de relais DHCP contient le VNI pour le réseau, c'est-à-dire que pour un autre pool, cet ID de circuit de relais DHCP sera légèrement différent).To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
Cet article répond aux questions suivantes:introduction
Cette partie répertorie brièvement toutes les données initiales: des instructions pour configurer l'équipement réseau, les RFC utilisés dans les paquets DHCP dans les usines eVPN et l'évolution des paramètres du serveur DHCP sur Microsoft Windows Server 2012 dans la documentation Cisco sont fournis à titre de référence. Ainsi que de brèves informations sur Superscope et la stratégie dans le service DHCP sur les serveurs Microsoft Windows Server.Configuration du relais DHCP dans l'usine VXLAN BGP EVPN, DFA
La configuration du relais DHCP dans la fabrique VXLAN BGP EVPN n'est pas le sujet principal de cet article, car il est assez simple. Je fournis des liens vers la documentation et un spoiler pour les paramètres de l'équipement réseau.Exemple de configuration de relais DHCP sur Nexus 9000V v9.2 (3)service dhcp
ip dhcp relay
ip dhcp relay information option
ip dhcp relay information option vpn
interface loopback10
vrf member VRF1
ip address 10.120.0.1/32 tag 1234567
interface Vlan12
no shutdown
vrf member VRF1
no ip redirects
ip address 10.120.251.1/24 tag 1234567
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip dhcp relay address 10.0.0.5
ip dhcp relay source-interface loopback10
RFC mis en œuvre dans le fonctionnement du service de relais DHCP dans les usines VXLAN BGP EVPN
RFC#6607: Sub-option 151(0x97) - Virtual Subnet Selection• Sub-option 151(0x97) - Virtual Subnet Selection (Defined in RFC#6607)
Used to convey VRF related information to the DHCP server in an MPLS-VPN and VXLAN EVPN multi-tenant environment.
«» VRF .
RFC#5107: Sub-option 11(0xb) - Server ID Override• Sub-option 11(0xb) - Server ID Override (Defined in RFC#5107.)
The server identifier (server ID) override sub-option allows the DHCP relay agent to specify a new value for the server ID option, which is inserted by the DHCP server in the reply packet. This sub-option allows the DHCP relay agent to act as the actual DHCP server such that the renew requests will come to the relay agent rather than the DHCP server directly. The server ID override sub-option contains the incoming interface IP address, which is the IP address on the relay agent that is accessible from the client. Using this information, the DHCP client sends all renew and release request packets to the relay agent. The relay agent adds all of the appropriate sub-options and then forwards the renew and release request packets to the original DHCP server. For this function, Cisco’s proprietary implementation is sub-option 152(0x98). You can use the ip dhcp relay sub-option type cisco command to manage the function.
, IP . ( Cisco VXLAN BGP EVPN – Anycast .)
RFC#3527: Sub-option 5(0x5) - Link SelectionSub-option 5(0x5) - Link Selection (Defined in RFC#3527.)
The link selection sub-option provides a mechanism to separate the subnet/link on which the DHCP client resides from the gateway address (giaddr), which can be used to communicate with the relay agent by the DHCP server. The relay agent will set the sub-option to the correct subscriber subnet and the DHCP server will use that value to assign an IP address rather than the giaddr value. The relay agent will set the giaddr to its own IP address so that DHCP messages are able to be forwarded over the network. For this function, Cisco’s proprietary implementation is sub-option 150(0x96). You can use the ip dhcp relay sub-option type ciscocommand to manage the function.
, IP .
Cisco DHCP Microsoft Windows Server 2012
J'ai inclus cette section car il y a une tendance positive de la part du fournisseur:Guide de configuration du Nexus 9000 VXLAN 7.3La documentation montre uniquement le paramètre du relais DHCP sur l'équipement réseau.Un autre article a été utilisé pour configurer DHCP sur Windows Server 2012:Configuration de Microsoft Windows Server 2012 pour fournir des services DHCP dans un scénario eVPN (VXLAN, Cisco One Fabric, etc.)Cet article indique que chaque réseau / VNI a besoin de son propre bundle SuperScope et de son propre propre ensemble d'adresses de bouclage:If multiple DHCP Scopes are required for multiple subnets, you need to create one LoopbackX per subnet/vlan on all LEAFS and create a superscope with a loopbackX range scope and actual client IP subnet scope per vlan.
Guide de configuration du Nexus 9000 VXLAN 9.3Ajout de paramètres Windows 2012 Server à la documentation de configuration de l'équipement réseau. Pour tous les pools d'adresses utilisés, un SuperScope par centre de données est requis et ce SuperScope est la limite du centre de données:Create Superscope for all scopes you want to use for Option 82-based policies.
Note
The Superscope should combine all scopes and act as the administrative boundary.
Cisco Dynamic Fabric Automation atrès largement parlé de tout:Let us assume the switch is using the address from subnet B (it can be the backbone subnet, management subnet, or any customer designated subnet for this purpose) to communicate with the Windows DHCP server. In DFA we have subnets S1, S2, S3, …, Sn for segment s1, s2, s3, …, sn.
To configure DHCP on Windows server.
1. Create a super scope. Within the super scope, create scope B, S1, S2, S3, …, Sn for the subnet B and the subnets for each segment.
2. In scope B, specify the 'Exclusion Range' to be the entire address range (so that the offered address range must not be from this scope).
3. For every segment scope Si, specify a policy that matches on Agent Circuit ID with value of '0108000600XXXXXX', where '0108000600' is a fixed value for all segments, the 6 numbers "XXXXXX" is the segment ID value in hexadecimal. Also ensure to check the Append wildcard(*) check box.
4. Set the policy address range to the entire range of the scope.
DHCP sur Microsoft Windows Server (étendue et politique)
Superscope is an administrative feature of a DHCP server that can be used to group multiple scopes as a single administrative entity. Superscope allows a DHCP server to provide leases from more than one scope to clients on a single physical network. Scopes added to a superscope are called member scopes.
Qu'est-ce que SuperScope? Il s'agit d'une fonctionnalité qui vous permet de combiner plusieurs pools d'adresses IP en une seule unité administrative. Pour annoncer aux utilisateurs du même réseau physique (dans un VLAN) les adresses IP de plusieurs pools. Si la demande a été envoyée au pool d'adresses dans le cadre de SuperScope, vous pouvez attribuer au client une adresse à partir d'une autre étendue incluse dans ce SuperScope.The DHCP Server role in Windows Server 2012 introduces a new feature that allows you to create IPv4 policies that specify custom IP address and option assignments for DHCP clients based on a set of conditions.
The policy based assignment (PBA) feature allows you to group DHCP clients by specific attributes based on fields contained in the DHCP client request packet. PBA enables targeted administration and greater control of the configuration parameters delivered to network devices with DHCP.
Stratégies - permettent aux utilisateurs d'attribuer des adresses IP en fonction du type d'utilisateur ou du paramètre. Les ingénieurs Cisco utilisent des stratégies dans Windows Server 2012 pour filtrer par VNI (Virtual Network Identifier).Partie principale
Dans cette section, les résultats de la recherche sont effectués, pourquoi ils ne sont pas pris en charge, comment cela fonctionne (logique), ce qui est nouveau et comment cette nouvelle nous aidera.Pourquoi Microsoft Windows Server 2000/2003/2008 n'est-il pas pris en charge?
Microsoft Windows Server 2008 et versions antérieures ne gèrent pas l'option 82 (option 82) et envoient le paquet de retour sans l'option 82.Problème DHCP Win2k8 R2 avec Option82- Une demande du client est envoyée à Broadcast (découverte DHCP).
- L'équipement (Nexus) envoie un paquet à un serveur DHCP (DHCP Discover + Option 82).
- Le serveur DHCP accepte le paquet, le traite, le renvoie, mais sans l'option 82. (Offre DHCP - sans l'option 82)
- L'équipement (Nexus) reçoit un paquet d'un serveur DHCP. (Offre DHCP) Mais n'envoie pas ce paquet à l'utilisateur final.
Données de renifleur - sur Windows Server 2008 et sur le client DHCPWindows Server 2008 . (Option 82 )
Windows Server 2008 . (Option 82 )
– DHCP Discover DHCP Offer
:
NEXUS-9000V-SW-1# show ip dhcp relay statistics
----------------------------------------------------------------------
Message Type Rx Tx Drops
----------------------------------------------------------------------
Discover 8 8 0
Offer 8 8 0
Request(*) 0 0 0
Ack 0 0 0
Release(*) 0 0 0
Decline 0 0 0
Inform(*) 0 0 0
Nack 0 0 0
----------------------------------------------------------------------
Total 16 16 0
----------------------------------------------------------------------
DHCP L3 FWD:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
Non DHCP:
Total Packets Received : 0
Total Packets Forwarded : 0
Total Packets Dropped : 0
DROP:
DHCP Relay not enabled : 0
Invalid DHCP message type : 0
Interface error : 0
Tx failure towards server : 0
Tx failure towards client : 0
Unknown output interface : 0
Unknown vrf or interface for server : 0
Max hops exceeded : 0
Option 82 validation failed : 0
Packet Malformed : 0
Relay Trusted port not configured : 0
DHCP Request dropped on MCT : 0
* - These counters will show correct value when switch
receives DHCP request packet with destination ip as broadcast
address. If request is unicast it will be HW switched
NEXUS-9000V-SW-1#
Pourquoi la configuration est-elle si compliquée dans Microsoft Windows Server 2012?
Dans Microsoft Windows Server 2012, RFC # 3527 (option 82 sous-option 5 (0x5) - sélection de lien) n'est pas encore pris en charge,mais la fonctionnalité de stratégie a déjà été implémentée.Comment ça fonctionne:- Microsoft Windows Server 2012 possède un super pool (SuperScope) dans lequel il existe des adresses de bouclage et des pools pour les réseaux réels.
- Le choix du pool pour l'émission de l'adresse IP appartient à SuperScope, car la réponse est venue du relais DHCP à partir de l'adresse de bouclage source incluse dans SuperScope.
- À l'aide d'une demande de stratégie, il sélectionne dans Superscope la portée du membre dont le VNI est contenu dans l'ID de circuit d'agent de l'option 82 sous-option 1. ("0108000600" + 24 bits VNI + 24 bits dont je ne connais pas les valeurs, mais le renifleur affiche les valeurs 0 dans ce champ.)
La configuration est-elle facile dans Microsoft Windows Server 2016/2019?
Microsoft Windows Server 2016 implémente la fonctionnalité RFC # 3527. Autrement dit, Windows Server 2016 peut reconnaître le bon réseau à partir de l'attribut de l'option 82 sous-option 5 (0x5) - Lesquestions de sélection de lien 3 se posent immédiatement:- Pouvons-nous nous passer de Superscope?
- Pouvons-nous faire sans politique et traduire VNI sous une forme hexadécimale?
- Peut-on se passer de Scope for Loopback DHCP Source address?
Q. Pouvons-nous nous passer de Superscope?A. Oui, la portée peut être créée immédiatement dans la portée des adresses IPv4.Q. Pouvons-nous nous passer de politique et de traduire VNI sous une forme hexadécimale?A. Oui, la sélection du réseau est basée sur l'option 82, sous-option 0x5,Q. Peut-on se passer de la portée pour les adresses de source DHCP en boucle?R. Non, nous ne pouvons pas. Depuis Microsoft Windows Server 2016/2019 a une protection contre les requêtes DHCP malveillantes. En d'autres termes, toutes les demandes provenant d'adresses qui ne se trouvent pas dans le pool de serveurs DHCP sont considérées comme malveillantes.Options de sélection de sous-réseau DHCP Note
All relay agent IP addresses (GIADDR) must be part of an active DHCP scope IP address range. Any GIADDR outside of the DHCP scope IP address ranges is considered a rogue relay and Windows DHCP Server will not acknowledge DHCP client requests from those relay agents.
A special scope can be created to "authorize" relay agents. Create a scope with the GIADDR (or multiple if the GIADDR's are sequential IP addresses), exclude the GIADDR address(es) from distribution, and then activate the scope. This will authorize the relay agents while preventing the GIADDR addresses from being assigned.
Ceux. Pour configurer un pool DHCP sur un pool DHCP Microsoft Windows Server 2016/2019 pour une fabrique EVPN BGP VXLAN, il vous suffit de:- Créez un pool pour les adresses de relais source.
- Créer un pool pour les réseaux clients
Ce qui n'est pas nécessaire (mais vous pouvez le configurer et cela fonctionnera et n'interférera pas avec le travail):- Créer une politique
- Créer SuperScope
ExempleDHCP ( 2 DHCP — VXLAN )
:
( — ):
Source DHCP Relay ( ):
Configurer le service DHCP sur Microsoft Windows Server 2019Loopback (source) DHCP Relay.
(Scope) IPv4.
. «Next >»
(Description) .
IP Loopback .
. .
. «Next >»
: DHCP (DNS, WINS, Gateway, Domain) . , . .
, , . «Finish»
. — Scope — «Activate».
/.
.
. «Next >»
(Description) .
IP Loopback .
. ( ) «Next >»
. «Next >»
: DHCP (DNS, WINS, Gateway, Domain) . .
.
DNS .
IP WINS .
Scope.
. «Finish»
Conclusion
L'utilisation de Windows Server 2016/2019 réduit la complexité de la configuration d'un serveur DHCP pour une usine VXLAN (ou toute autre usine). (Il n'est pas nécessaire de transférer les offres spéciales des spécialistes informatiques: ID de circuit réseau / agent pour prescrire les filtres.)La configuration de Windows Server 2012 fonctionnera-t-elle sur les nouveaux serveurs 2016/2019 - laissez-la fonctionner.Ce document fournit des liens vers 2 versions: 7.X et 9.3. Cela est dû au fait que la version 7.0 (3) I7 (7) est la version suggérée par Cisco, et la version 9.3 est la plus innovante (jusqu'à la prise en charge de la multidiffusion via VXLAN Multisite).Liste des sources
- Guide de configuration du Nexus 9000 VXLAN 7.x
- Guide de configuration du Nexus 9000 VXLAN 9.3
- DFA (Cisco Dynamic Fabric Automation)
- Configuration de Microsoft Windows Server 2012 pour fournir des services DHCP dans un scénario eVPN (VXLAN, Cisco One Fabric, etc.)
- 3.4 Superscopes DHCP
- Introduction aux politiques DHCP
- Problème DHCP Win2k8 R2 avec Option82
- Options de sélection de sous-réseau DHCP