Лучшая практика использования «-ip-helper» Cisco для DHCP?

Наша топология такова, что у нас есть два 4510 в наших IDF шкафах. Каждый коммутатор имеет VLAN данных и голосовую VLAN. Коммутаторы представляют собой уровень 2, транкинированный в ядро, где находятся интерфейсы VLAN, происходит маршрутизация, и DHCP перенаправляется на сервер DHCP .

Какова наилучшая практика для резервирования службы DHCP? Если есть два сервера dhcp и два «ip-хелперных» адреса, будет ли сеть перенаправлять только запросы DHCP на первый IP-адрес до тех пор, пока это будет доступно с точки зрения сети? Если он опускается, то dhcp переходит ко второму адресу?

Что делать, если у службы сервера dhcp первого сервера есть проблема, но сервер по-прежнему доступен через сеть (вы можете выполнить ping, но служба dhcp не работает)? Или что, если область DHCP заполнена? Помог ли второй адрес ip-помощника? Будет ли второй адрес работать только в том случае, если первый сервер не работает?

Есть ли способ получить ip-хелпер для «round-robin» между двумя?

PS. К сожалению, это опция Microsoft DHCP Server. Меня спросили об идеях, и я упомянул Infoblox, но это в будущем .... может быть.

Спасибо.

15 голосов | спросил Pseudocyber 14 PM00000050000004231 2013, 17:30:42

4 ответа


10

Маршрутизатор пересылает все запросы DHCP на все серверы, настроенные с помощью ip-помощника. Побеждает первый сервер, который отвечает на полезный адрес. Я не знаю о способе кругового поворота с маршрутизатора.

ответил Ryan 14 PM00000050000005431 2013, 17:55:54
6

Весь широковещательный трафик (DHCPDISCOVERs и DHCPREQUEST) будет перенаправлен на все ip-хелпер-адреса. Порядок, в котором настроены операторы ip-helper, не имеет значения. Устройство берет адрес с первого сервера, из которого он получает DHCPOFFER.

Единственный способ охватить область действия - настроить вторичную подсеть на интерфейсе. В Cisco IOS конфигурация выглядит так:

Интерфейс
  f0 /1
ip-адрес 192.168.1.1 255.255.255.0
IP-адрес 192.168.2.1 255.255.255.0 вторичный
 
ответил Eric Rochow 14 PM00000050000000531 2013, 17:59:05
2

Все строки ip helper-address , сконфигурированные в вашей VLAN, принимают DHCP-трансляцию от клиента, добавляют адрес маршрутизатора (шлюза) в пакет UDP, а затем одноадресные для DHCP-серверов. [Я уверен, что переписывание пакетов выполняется только один раз, а затем копия, отправленная на каждый DHCP-сервер.] Все перечисленные серверы настроены на получение пакета DHCPDiscover маршрутизатором.

Резервирование ваших DHCP-серверов зависит не только от вашей ОС, но и от конкретной версии! Для Windows, о котором упоминалось, ваши параметры варьируются от истинного сплит-области в Windows 2008 R2 - резервное резервирование с резервным доступом в Windows 2012. Для не очень надежных серверов DHCP (т. Е. Windows 2003) вы можете вручную настроить разделенную область. Общая рекомендация - правило 80/20, при котором 80% лизинга настроено на то, что вы (и только вы) рассматриваете ваш основной сервер DHCP и 20% и вторичный. Исключения добавляются на каждый DHCP-сервер, поскольку они имеют перекрывающиеся области.

Поскольку я не поклонник перекрывающихся областей в Windows 2003, поскольку исключения имеют тенденцию скрываться от представления, я предпочитаю просто разделять подсеть пополам на каждый DHCP-сервер. Блок A /24 для аренды клиентов становится два /25 блоков. Они являются маской подсети в области все еще a /24. Ваши начальные и конечные IP-адреса в диапазоне, заданном в области, следуют за /25. Теперь я рекомендую некоторые исключения для сетевых устройств, таких как VLAN-интерфейс IP addr и HSRP, а также некоторые для статических устройств (например, принтеров) в той же подсети. Таким образом, я исключаю первые 16 (0-15) адресов - нулевой адрес, конечно же, не будет использоваться, и, конечно же, исключить передачу из списка 16 (240-255) - 255. Вы действительно можете уйти, не настраивая исключение, просто начиная и заканчивая IP-адрес соответствующим образом.

Основная информация о области в настраиваемой вручную области 50/50 (2x /25 = /24) аналогична:

Первичный DHCP
  Сфера - ниже: 192.0.2.0/24, начало 192.0.2.16, конец 192.0.2.127, без исключений
DHCP Secondary
  Верхняя часть области: 192.0.2.0/24, начало 192.0.2.128, конец 192.0.2.239, без исключений

Настройте идентичные области (2x /24) с соответствующими исключениями, если вы предпочитаете этот метод:

Первичный DHCP
  Полноценный охват: 192.0.2.0/24, начало 192.0.2.16, конец 192.0.2.239, исключения 1-15, 128-254
DHCP Secondary
  Полноценный охват: 192.0.2.0/24, начало 192.0.2.16, конец 192.0.2.239, исключения 1-127, 240-254

Поскольку всякая такая небольшая задержка с повторяющимися пакетами DHCPDiscover для одноадресной передачи каждого ip helper-address , при прочих равных условиях, первый указанный DHCP-сервер обычно будет первым, кто отвечает DHCPOffer, и адрес, выбранный клиентом, когда он делает свой DHCPRequest - никаких гарантий. Поэтому сначала разместите свой основной сервер DHCP в своем SVI для VLAN. Клиент обычно получает несколько DHCPOffers и решает на лучшее, которое обычно получается первым. Назначение завершается только после того, как клиент отправит DHCPRequest обратно на сервер - в случае, если сервер изменил свое мнение об аренде или уже недоступен или ??? - и сервер отправляет DHCPACK.

интерфейс vlan123
  desc svi для примера реле vl123 dhcp
  ip-адрес 192.0.2.1
  ip helper-address 192.0.4.1! Первичный сервер DHCP
  ip helper-address 192.0.4.2! Вторичный сервер DHCP

Между вашими данными и голосами VLAN вы можете захотеть чередовать то, что вы считаете основным DHCP-сервером для данной VLAN. Я делаю это, чтобы немного увеличить объем аренды.

Если область DHCP-сервера заполнена, она не ответит DHCPOffer, поэтому offer будет поступать с другого DHCP-сервера, если предположить, что он также не заполнен. Имейте в виду, что при устранении неполадок клиент Windows будет помнить IP-адрес, который они последний раз арендовали, и попытаться получить это снова. Также имейте в виду, что любые сделанные вами оговорки должны выполняться на обоих серверах и учитываться в любых ACL, которые у вас есть, например, в брандмауэрах.

См. Понимание и устранение неполадок DHCP в коммутаторе Catalyst или корпоративных сетях для подробного объяснения и следов сниффера процесса ретрансляции DHCP.

ответил generalnetworkerror 15 AM000000110000003331 2013, 11:16:33
0

Дело в том, что избыточность DHCP составляет 80% от проблемы с сервером DHCP, вы можете использовать подход с разделенной областью, окна 2012 позволяют вам иметь активный и резервный репликации без кластеризации. У нас просто ежедневные резервные копии (мы используем 7-дневный лизинг), а затем восстанавливаем их в другой блок или виртуальную машину. Проверьте, что предоставляет программное обеспечение DHCP-сервера, а адрес-помощник - наименее опасный.

ответил fredpbaker 15 AM00000040000000731 2013, 04:20:07

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132