Le migliori pratiche utilizzando "ip-helper" di Cisco per DHCP?

16

La nostra topologia è tale che abbiamo due 4510 nei nostri armadi IDF . Ogni switch ha una VLAN dati e una VLAN vocale. Gli switch sono di livello 2 collegati al core, dove si trovano le interfacce VLAN, l'instradamento avviene e il DHCP viene inoltrato al server DHCP.

Qual è la migliore pratica per fornire ridondanza del servizio DHCP? Se ci sono due server DHCP e due indirizzi "ip-helper", la rete inoltrerà le richieste DHCP solo al primo IP purché sia ​​raggiungibile dal punto di vista della rete? Se scende, allora dhcp passa al secondo indirizzo?

Cosa succede se il servizio dhcp del primo server presenta un problema, ma il server è ancora raggiungibile tramite la rete (è possibile eseguire il ping, ma il servizio dhcp è inattivo)? O cosa succede se l'ambito DHCP è pieno? Il secondo indirizzo IP-helper sarà di aiuto? Il secondo indirizzo entrerà in gioco solo se il primo server è inattivo?

C'è un modo per far sì che l'helper ip "round robin" tra i due?

PS. Sfortunatamente, questa è un'opzione Server DHCP solo Microsoft. Mi è stato chiesto delle idee e ho menzionato Infoblox, ma è in futuro .... forse.

Grazie.

dhcp 
Pseudocyber
fonte
Domanda strettamente correlata (ma non del tutto duplicata): networkengineering.stackexchange.com/questions/914/…
Mike Pennington
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, alla ricerca di una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

10

Il router inoltrerà tutte le richieste DHCP a tutti i server configurati con l'helper ip. Vince il primo server a rispondere con un indirizzo utilizzabile. Non sono a conoscenza di un modo per round robin dal router.

Ryan
fonte
3
Per chiarire, le risposte di entrambi i server vengono inoltrate al client e il client fa la scelta di quale accettare.
YLearn
"Il primo server a rispondere con un indirizzo utilizzabile [di solito] vince."
generalnetworkerror,
7

Tutto il traffico di trasmissione (DHCPDISCOVER e DHCPREQUESTs) verrà inoltrato a tutti gli indirizzi IP-helper. L'ordine in cui sono configurate le istruzioni dell'helper ip non fa alcuna differenza. Il dispositivo prenderà un indirizzo dal primo server da cui riceve DHCPOFFER.

L'unico modo per aggirare un ambito è quello di configurare una sottorete secondaria sull'interfaccia. In Cisco IOS, la configurazione è simile alla seguente:

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
Eric Rochow
fonte
1
Questo non è l'unico modo per affrontare un ambito completo, solo uno dei più opportuni. Ad esempio, è possibile regolare le dimensioni della sottorete (modificare / 24 in a / 23) o ripulire la configurazione DHCP (aggiungere nuovamente l'indirizzo "riservato" non utilizzato nel pool, ecc.).
YLearn
1
Vero, ma quelli non sono sempre opzioni. Forse dovrei cambiare la mia formulazione nell'unico modo coerente per evitare che un ambito sia pieno.
Eric Rochow,
1
Voglio solo sottolineare che l'aggiunta di una sottorete secondaria non è sempre un'opzione. Il pericolo in questa soluzione è che è facile da implementare ed è spesso il risultato di un approccio reazionario e il pensiero non è dato a una progettazione corretta. Nella mia esperienza ho generalmente scoperto che se qualcuno utilizza questa soluzione regolarmente le reti tendono ad essere "disordinate" (troppe voci nelle tabelle di routing, scarsa pianificazione dell'utilizzo dell'IP, ecc.). Piuttosto che coerente, vorrei ripiegare sulla parola che ho scelto, che è opportuno.
YLearn
Ho usato l'indirizzo secondario abbastanza a lungo per ottenere l'indirizzo IP fisso stampanti fax così riadattato, quindi ci liberiamo di esso
fredpbaker
2

Tutte le ip helper-addresslinee configurate nella VLAN accettano la trasmissione DHCP dal client, aggiungono l'indirizzo del router (gateway) nel pacchetto UDP, quindi unicast ai server DHCP. [Sono sicuro che la riscrittura dei pacchetti viene eseguita una sola volta, quindi una copia inviata a ciascun server DHCP.] Tutti i server elencati configurati ricevono il pacchetto DHCPDiscover dal relay del router.

La ridondanza dei server DHCP non dipende solo dal sistema operativo, ma dalla versione specifica! Per Windows menzionato, le opzioni vanno da un vero ambito diviso in Windows 2008 R2 alla ridondanza di failover attivo in Windows 2012. Per server DHCP non così robusti (ovvero Windows 2003), è possibile configurare manualmente una divisione- scopo. Raccomandazione comune è la regola 80/20 con l'80% dei contratti di locazione configurati su ciò che tu (e solo tu) considerate il vostro server DHCP primario e il 20% e il secondario. Le esclusioni vengono aggiunte a ciascun server DHCP in quanto hanno ambiti sovrapposti.

Poiché non sono un fan degli ambiti sovrapposti in Windows 2003 poiché le esclusioni tendono a essere nascoste alla vista, preferisco semplicemente dividere la sottorete a metà per ciascun server DHCP. Un blocco / 24 per i contratti di locazione client diventa due / 25 blocchi. La chiave è che la subnet mask nell'ambito è ancora a / 24. Gli indirizzi IP di inizio e fine nell'intervallo configurato nell'ambito rientrano in / 25. Ora raccomando alcune esclusioni per dispositivi di rete come l'interfaccia VLAN IP addr e HSRP, nonché alcune per dispositivi statici (ad es. Stampanti) nella stessa sottorete. Quindi escludo i primi 16 (0-15) indirizzi - l'indirizzo zero non sarebbe usato, ovviamente, comunque - ed escludo i primi 16 (240-255) - 255 broadcast, ovviamente. Puoi effettivamente evitare di non configurare l'esclusione semplicemente avviando e terminando l'indirizzo IP in modo appropriato.

Le informazioni di base sull'ambito in un ambito suddiviso 50/50 configurato manualmente (2x / 25 = / 24) sono simili a:

DHCP primario
  Scope-lower: 192.0.2.0/24, inizio 192.0.2.16, fine 192.0.2.127, nessuna esclusione
DHCP secondario
  Scope-upper: 192.0.2.0/24, inizio 192.0.2.128, fine 192.0.2.239, nessuna esclusione

Configurare ambiti identici (2x / 24) con le esclusioni appropriate se si preferisce questo metodo:

DHCP primario
  Scope-full: 192.0.2.0/24, inizio 192.0.2.16, fine 192.0.2.239, esclusioni 1-15, 128-254
DHCP secondario
  Scope-full: 192.0.2.0/24, inizio 192.0.2.16, fine 192.0.2.239, esclusioni 1-127, 240-254

Poiché si verifica un ritardo ogni tanto lieve con i pacchetti duplicati DHCPDiscover unicast a ciascuno ip helper-address, a parità di tutti gli altri, il primo server DHCP elencato sarà in genere il primo a rispondere con un DHCPOffer e l'indirizzo scelto dal client quando effettua la richiesta DHCPR - nessuna garanzia però. Quindi posiziona prima il tuo server DHCP primario nella tua SVI per la VLAN. Un client riceve in genere più offerte DHCP e decide quale sia la migliore, di solito la prima ricevuta. L'assegnazione viene completata solo dopo che il client ha inviato una richiesta DHCPR al server, nel caso in cui il server abbia cambiato idea sul contratto di locazione o non sia più raggiungibile o ??? - e il server invia un DHCPACK.

interfaccia vlan123
  desc svi per l'esempio di relè dhcp vl123
  indirizzo IP 192.0.2.1
  indirizzo helper indirizzo 192.0.4.1! Server DHCP primario
  indirizzo IP helper 192.0.4.2! Server DHCP secondario

Tra i tuoi dati e le VLAN vocali, potresti voler alternare quello che consideri il server DHCP primario per una determinata VLAN. Lo faccio per aiutare a distribuire un po 'il contratto di locazione.

Se l'ambito di un server DHCP è pieno, non risponderà con un DHCPOffer, quindi l' offerta verrebbe da un altro server DHCP, supponendo che non sia anche piena. Durante la risoluzione dei problemi, tenere presente che un client Windows ricorderà l'IP che avevano noleggiato per ultimo e tenterà di ottenerlo nuovamente. Inoltre, tieni presente che qualsiasi prenotazione effettuata deve essere effettuata su entrambi i server e contabilizzata in tutti gli ACL presenti, ad esempio nei firewall.

Vedere Informazioni e risoluzione dei problemi relativi a DHCP in Catalyst Switch o Enterprise Networks per spiegazioni dettagliate e tracce dello sniffer del processo di inoltro DHCP.

generalnetworkerror
fonte
0

Il punto di tutto ciò è che la ridondanza DHCP è l'80% un problema del server DHCP, è possibile eseguire un approccio con ambito diviso, Windows 2012 consente di avere attivo e standby con replica senza clustering. Abbiamo solo backup giornalieri (utilizziamo contratti di locazione di 7 giorni) e quindi ripristiniamo su un altro box o VM. Controlla cosa fornisce il software del server DHCP, l'indirizzo dell'assistente è davvero l'ultimo dei tuoi dubbi

fredpbaker
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.