Prática recomendada usando o "ip-helper" da Cisco para DHCP?

16

Nossa topologia é tal que temos dois 4510 em nossos armários IDF . Cada switch possui uma VLAN de dados e uma VLAN de voz. Os switches são troncalizados na camada 2 para o núcleo, onde estão as interfaces da VLAN, o roteamento acontece e o DHCP é encaminhado para o servidor DHCP.

Qual é a melhor prática para fornecer redundância de serviço DHCP? Se houver dois servidores dhcp e dois endereços "ip-helper", a rede encaminhará apenas solicitações dhcp para o primeiro IP, desde que seja alcançável da perspectiva da rede? Se cair, o dhcp vai para o segundo endereço?

E se o serviço dhcp do primeiro servidor estiver com problemas - mas o servidor ainda estiver acessível através da rede (você pode executar o ping, mas o serviço dhcp estiver inativo)? Ou, e se o escopo do DHCP estiver cheio? O segundo endereço do ip-helper ajudará? O segundo endereço só entrará em jogo se o primeiro servidor estiver com problemas?

Existe alguma maneira de fazer com que o ip-helper "rodeie" entre os dois?

PS. Infelizmente, esta é uma opção apenas do servidor DHCP da Microsoft. Me perguntaram sobre idéias e mencionei o Infoblox, mas isso é no futuro ... talvez.

Obrigado.

dhcp 
Pseudocélula
fonte
Pergunta intimamente relacionada (mas não uma duplicata): networkengineering.stackexchange.com/questions/914/…
Mike Pennington
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

10

O roteador encaminhará todas as solicitações DHCP para todos os servidores configurados com o ip helper. O primeiro servidor a responder com um endereço utilizável vence. Não conheço uma maneira de roubar o roteador.

Ryan
fonte
3
Para esclarecer, as respostas de ambos os servidores são encaminhadas de volta para o cliente e o cliente escolhe qual aceitar.
YLearn
"O primeiro servidor a responder com um endereço utilizável [geralmente] vence."
generalnetworkerror
7

Todo o tráfego de broadcast (DHCPDISCOVERs e DHCPREQUESTs) será encaminhado para todos os endereços do ip-helper. A ordem em que as instruções do ip-helper são configuradas não faz diferença. O dispositivo usará um endereço do primeiro servidor do qual recebe um DHCPOFFER.

A única maneira de contornar um escopo cheio é configurar uma sub-rede secundária na interface. No Cisco IOS, a configuração é assim:

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
Eric Rochow
fonte
1
Esta não é a única maneira de abordar um escopo completo, apenas um dos mais convenientes. Por exemplo, você pode ajustar o tamanho da sub-rede (alterar / 24 para a / 23) ou limpar sua configuração de DHCP (adicione o endereço "reservado" não utilizado de volta ao pool, etc.).
YLearn
1
É verdade, mas essas nem sempre são opções. Talvez eu deva mudar minha redação para a única maneira consistente de evitar que um escopo esteja cheio.
precisa saber é o seguinte
1
Só quero salientar que a adição de uma sub-rede secundária nem sempre é uma opção. O perigo nesta solução é que é fácil de implementar e geralmente é o resultado de uma abordagem reacionária e o pensamento não é dado ao design adequado. De acordo com minha experiência, geralmente descobri que, se alguém usa essa solução regularmente, as redes tendem a ser "confusas" (muitas entradas em tabelas de roteamento, mau planejamento de uso de IP etc.). Em vez de consistente, eu recorreria à palavra que escolhi, que é conveniente.
YLearn
Eu tenho usado o endereço secundário apenas o tempo suficiente para obter as impressoras endereço IP fixo faxes ad tais retomados, então se livrar dele
fredpbaker
2

Todas as ip helper-addresslinhas configuradas na sua VLAN recebem a transmissão DHCP do cliente, adicionam o endereço do roteador (gateway) ao pacote UDP e, em seguida, são unicasts nos servidores DHCP. [Tenho certeza de que a reescrita de pacotes é feita apenas uma vez e, em seguida, uma cópia é enviada para cada servidor DHCP.] Todos os servidores listados configurados recebem o pacote DHCPDiscover pela retransmissão do roteador.

A redundância de seus servidores DHCP não depende apenas do seu sistema operacional, mas da versão específica! No Windows mencionado, suas opções variam de um verdadeiro escopo dividido no Windows 2008 R2 a redundância de failover ativo no Windows 2012. Para servidores DHCP não tão robustos (como o Windows 2003), você pode configurar manualmente um escopo. A recomendação comum é a regra 80/20, com 80% das concessões configuradas no que você (e você sozinho) considera seu servidor DHCP primário e 20% e o secundário. As exclusões são adicionadas a cada servidor DHCP, pois possuem escopos sobrepostos.

Como não sou fã de escopos sobrepostos no Windows 2003, pois as exclusões tendem a ficar ocultas, prefiro simplesmente dividir a sub-rede ao meio para cada servidor DHCP. Um bloco A / 24 para concessões de clientes se torna dois blocos / 25. Eles chave é a máscara de sub-rede no escopo ainda é um / 24. Seus endereços IP inicial e final no intervalo configurado no escopo seguem o / 25. Agora, recomendo algumas exclusões para dispositivos de rede, como endereços de IP da interface de VLAN e HSRP, bem como algumas para dispositivos estáticos (por exemplo, impressoras) na mesma sub-rede. Portanto, excluo os primeiros 16 (0-15) endereços - o endereço zero não seria usado, é claro, de qualquer maneira - e excluo os 16 (240-255) - 255 principais, é claro. Na verdade, você pode evitar a configuração da exclusão simplesmente iniciando e finalizando o endereço IP de forma adequada.

As informações básicas do escopo em um escopo dividido 50/50 configurado manualmente (2x / 25 = / 24) são semelhantes a:

DHCP Primário
  Escopo inferior: 192.0.2.0/24, início 192.0.2.16, final 192.0.2.127, sem exclusões
Secundário DHCP
  Escopo superior: 192.0.2.0/24, início 192.0.2.128, final 192.0.2.239, sem exclusões

Configure escopos idênticos (2x / 24) com exclusões apropriadas, se você preferir este método:

DHCP Primário
  Escopo completo: 192.0.2.0/24, início 192.0.2.16, final 192.0.2.239, exclusões 1-15, 128-254
Secundário DHCP
  Escopo completo: 192.0.2.0/24, início 192.0.2.16, final 192.0.2.239, exclusões 1-127, 240-254

Como há um pequeno atraso com os pacotes DHCPDiscover duplicados unicast para cada um deles ip helper-address, todos os demais são iguais, o primeiro servidor DHCP listado geralmente será o primeiro a responder com um DHCPOffer e o endereço escolhido pelo cliente quando ele faz seu DHCPRequest - sem garantia. Portanto, coloque seu servidor DHCP primário primeiro no seu SVI para a VLAN. Um cliente geralmente recebe vários DHCPOffers e decide o melhor, que geralmente é o primeiro recebido. A atribuição é concluída somente depois que o cliente envia um DHCPRequest de volta ao servidor - caso o servidor tenha mudado de idéia sobre a concessão ou não esteja mais acessível ou ??? - e o servidor envia um DHCPACK.

interface vlan123
  desc svi para vl123 dhcp relay example
  endereço IP 192.0.2.1
  endereço auxiliar ip 192.0.4.1! Servidor DHCP primário
  endereço auxiliar ip 192.0.4.2! Servidor DHCP secundário

Entre suas VLANs de dados e de voz, convém alternar o que você considera o servidor DHCP primário para uma determinada VLAN. Faço isso para ajudar a espalhar um pouco a concessão.

Se o escopo de um servidor DHCP estiver cheio, ele não responderá com um DHCPOffer; portanto, a oferta virá de outro servidor DHCP, supondo que ele também não esteja cheio. Ao solucionar problemas, lembre-se de que um cliente Windows lembrará o IP que havia concedido por último e tentará obtê-lo novamente. Lembre-se também de que todas as reservas que você fizer devem ser feitas nos dois servidores e contabilizadas em quaisquer ACLs que você possui, como nos firewalls.

Consulte Noções básicas e solução de problemas de DHCP no Catalyst Switch ou Enterprise Networks para obter explicações detalhadas e rastrear sniffer do processo de retransmissão DHCP.

generalnetworkerror
fonte
0

O ponto de tudo isso é que a redundância DHCP é 80% um problema do servidor DHCP, você pode fazer uma abordagem de escopo dividido, o Windows 2012 permite que você esteja ativo e em espera com replicação sem cluster. Temos apenas backups diários (usamos concessões de 7 dias) e, em seguida, restauramos em outra caixa ou VM. Verifique o que o software do servidor DHCP fornece, o endereço auxiliar é realmente a menor das suas preocupações

fredpbaker
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.