Best Practice bei der Verwendung von Ciscos „IP-Helper“ für DHCP?

16

Unsere Topologie ist so, dass wir zwei 4510 in unseren IDF- Schränken haben. Jeder Switch verfügt über ein Daten-VLAN und ein Sprach-VLAN. Die Switches sind auf der Ebene 2 mit dem Core verbunden, wo sich die VLAN-Schnittstellen befinden, das Routing erfolgt und DHCP an den DHCP-Server weitergeleitet wird.

Was ist die beste Vorgehensweise zur Bereitstellung von DHCP-Dienstredundanz? Wenn es zwei DHCP-Server und zwei "IP-Helfer" -Adressen gibt, leitet das Netzwerk DHCP-Anforderungen nur an die erste IP weiter, solange sie aus Netzwerksicht erreichbar sind? Wenn es ausfällt, geht DHCP zur zweiten Adresse?

Was ist, wenn der DHCP-Dienst des ersten Servers ein Problem hat - der Server ist jedoch weiterhin über das Netzwerk erreichbar (Sie können ihn anpingen, aber der DHCP-Dienst ist inaktiv)? Oder was ist, wenn der DHCP-Bereich voll ist? Hilft die zweite IP-Adresse? Kommt die zweite Adresse nur ins Spiel, wenn der erste Server ausfällt?

Gibt es eine Möglichkeit, den IP-Helfer zum "Round-Robin" zwischen den beiden zu bringen?

PS. Dies ist leider nur eine DHCP-Serveroption von Microsoft. Ich wurde nach Ideen gefragt und habe Infoblox erwähnt, aber das ist in der Zukunft ... vielleicht.

Vielen Dank.

dhcp Pseudocyber
quelle
Eng verwandte Frage (aber nicht ganz ein Duplikat): networkengineering.stackexchange.com/questions/914/…
Mike Pennington
Hat dir eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.
Ron Maupin

Antworten:

10

Der Router leitet alle DHCP-Anforderungen an alle mit ip helper konfigurierten Server weiter. Der erste Server, der mit einer verwendbaren Adresse antwortet, gewinnt. Mir ist keine Möglichkeit zum Round-Robin vom Router bekannt.

Ryan
quelle
3
Zur Verdeutlichung werden die Antworten von beiden Servern zurück an den Client weitergeleitet, und der Client trifft die Wahl, welche er akzeptieren möchte.
YLearn
"Der erste Server, der mit einer verwendbaren Adresse antwortet, gewinnt."
Generalnetworkerror
7

Der gesamte Broadcast-Verkehr (DHCPDISCOVERs und DHCPREQUESTs) wird an alle IP-Helfer-Adressen weitergeleitet. Die Reihenfolge, in der die ip-helper-Anweisungen konfiguriert sind, spielt keine Rolle. Das Gerät übernimmt eine Adresse vom ersten Server, von dem es ein DHCPOFFER erhält.

Die einzige Möglichkeit, einen Bereich zu umgehen, der voll ist, besteht darin, ein sekundäres Subnetz auf der Schnittstelle zu konfigurieren. In Cisco IOS sieht die Konfiguration folgendermaßen aus:

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
Eric Rochow
quelle
1
Dies ist nicht die einzige Möglichkeit, einen vollständigen Bereich anzusprechen, sondern eine der zweckmäßigsten. Zum Beispiel können Sie die Größe des Subnetzes anpassen (ändern Sie / 24 in / 23) oder Ihre DHCP-Konfiguration bereinigen (nicht verwendete "reservierte" Adresse wieder in den Pool hinzufügen usw.).
YLearn
1
Stimmt, aber das sind nicht immer Optionen. Vielleicht sollte ich meinen Wortlaut so ändern, dass nur ein einheitlicher Weg gefunden wird, um einen vollen Bereich zu umgehen.
Eric Rochow
1
Ich möchte nur darauf hinweisen, dass das Hinzufügen eines sekundären Subnetzes auch nicht immer eine Option ist. Die Gefahr bei dieser Lösung besteht darin, dass sie einfach zu implementieren ist und häufig das Ergebnis eines reaktionären Ansatzes ist und nicht an eine ordnungsgemäße Gestaltung gedacht wird. Nach meiner Erfahrung habe ich im Allgemeinen festgestellt, dass die Netzwerke "chaotisch" sind, wenn jemand diese Lösung regelmäßig verwendet (zu viele Einträge in Routingtabellen, schlechte Planung der IP-Nutzung usw.). Anstatt konsequent zu sein, würde ich auf das Wort zurückgreifen, das ich gewählt habe, was zweckmäßig ist.
YLearn
Ich habe die sekundäre Adresse gerade lange genug verwendet, um die Faxe der Drucker mit fester IP-Adresse so nachadressiert zu bekommen, dass wir sie loswerden
Fredpbaker,
2

Alle ip helper-addressin Ihrem VLAN konfigurierten Leitungen empfangen den DHCP-Broadcast vom Client, fügen die Adresse des Routers (Gateways) zum UDP-Paket hinzu und senden Unicasts an die DHCP-Server. [Ich bin sicher, dass das Umschreiben des Pakets nur einmal durchgeführt und dann eine Kopie an jeden DHCP-Server gesendet wird.] Alle aufgelisteten Server, die konfiguriert wurden, empfangen das DHCPDiscover-Paket vom Router-Relay.

Die Redundanz Ihrer DHCP-Server hängt nicht nur von Ihrem Betriebssystem ab, sondern auch von der spezifischen Version! Für Windows, das erwähnt wurde, reichen Ihre Optionen von einem echten Split-Scope in Windows 2008 R2 bis zur Active-Failover-Redundanz in Windows 2012. Für weniger robuste DHCP-Server (z. B. Windows 2003) können Sie einen Split-Scope manuell konfigurieren. Umfang. Häufig wird die 80/20-Regel empfohlen, bei der 80% der Leases für den primären DHCP-Server konfiguriert sind (und nur für Sie), 20% für den sekundären. Ausschlüsse werden jedem DHCP-Server hinzugefügt, da sie überlappende Bereiche haben.

Da ich in Windows 2003 kein Fan von überlappenden Bereichen bin, da die Ausschlüsse häufig ausgeblendet werden, ziehe ich es vor, das Subnetz für jeden DHCP-Server einfach in zwei Hälften zu teilen. Ein / 24-Block für Client-Leases wird zu zwei / 25-Blöcken. Der Schlüssel ist, dass die Subnetzmaske im Gültigkeitsbereich immer noch a / 24 ist. Ihre Start- und End-IP-Adresse in dem im Bereich konfigurierten Bereich folgt der / 25. Jetzt empfehle ich einige Ausschlüsse für Netzwerkgeräte wie VLAN-Schnittstellen-IP-Adressen und HSRP sowie einige für statische Geräte (z. B. Drucker) im selben Subnetz. Also schließe ich die ersten 16 (0-15) Adressen aus - eine Nulladresse würde natürlich sowieso nicht verwendet - und die Top 16 (240-255) - 255 Broadcasts natürlich aus. Sie können tatsächlich davon abkommen, den Ausschluss nicht zu konfigurieren, indem Sie einfach die IP-Adresse entsprechend starten und beenden.

Die grundlegenden Bereichsinformationen in einem manuell konfigurierten 50/50 geteilten Bereich (2x / 25 = / 24) ähneln:

DHCP-Primär
  Scope-lower: 192.0.2.0/24, Beginn 192.0.2.16, Ende 192.0.2.127, keine Ausschlüsse
DHCP Secondary
  Scope-Upper: 192.0.2.0/24, Start 192.0.2.128, Ende 192.0.2.239, keine Ausschlüsse

Konfigurieren Sie identische Bereiche (2x / 24) mit entsprechenden Ausschlüssen, wenn Sie diese Methode bevorzugen:

DHCP-Primär
  Scope-Full: 192.0.2.0/24, Beginn 192.0.2.16, Ende 192.0.2.239, Ausschlüsse 1-15, 128-254
DHCP Secondary
  Scope-Full: 192.0.2.0/24, Beginn 192.0.2.16, Ende 192.0.2.239, Ausschlüsse 1-127, 240-254

Da die doppelten DHCPDiscover-Pakete nur geringfügig verzögert werden ip helper-addressund alle anderen gleich sind, antwortet der zuerst aufgeführte DHCP-Server in der Regel zuerst mit einem DHCPOffer und der Adresse, die der Client bei seiner DHCPRequest-Anforderung ausgewählt hat - keine Garantie. Platzieren Sie also Ihren primären DHCP-Server zuerst in Ihrem SVI für das VLAN. Ein Client empfängt normalerweise mehrere DHCPOffers und entscheidet über das Beste, das normalerweise als erstes empfangen wird. Die Zuweisung wird erst abgeschlossen, nachdem der Client eine DHCPRequest zurück an den Server gesendet hat - für den Fall, dass der Server seine Meinung zu dem Leasing geändert hat oder nicht mehr erreichbar ist oder ??? - und der Server sendet einen DHCPACK.

Schnittstelle vlan123
  desc svi für vl123 dhcp relay beispiel
  IP-Adresse 192.0.2.1
  IP-Helfer-Adresse 192.0.4.1! Primärer DHCP-Server
  IP-Helfer-Adresse 192.0.4.2! Sekundärer DHCP-Server

Möglicherweise möchten Sie zwischen Ihren Daten- und Sprach-VLANs das wechseln, was Sie als primären DHCP-Server für ein bestimmtes VLAN betrachten. Ich mache das, um die Mietlast ein wenig zu verteilen.

Wenn der Bereich eines DHCP-Servers voll ist, antwortet dieser nicht mit einem DHCPOffer, sodass das Angebot von einem anderen DHCP-Server stammt, sofern dieser nicht ebenfalls voll ist. Denken Sie bei der Fehlerbehebung daran, dass sich ein Windows-Client die zuletzt geleaste IP merkt, und versuchen Sie, diese erneut abzurufen. Denken Sie auch daran, dass alle Reservierungen, die Sie vornehmen, auf beiden Servern vorgenommen und in all Ihren ACLs berücksichtigt werden müssen, z. B. in Firewalls.

Siehe Verstehen und DHCP - Fehlerbehebung in Catalyst - Switch oder Enterprise Networks für detaillierte Erklärung und Sniffer Spuren des DHCP - Relay - Prozesses.

generalnetworkerror
quelle
0

Der springende Punkt dabei ist, dass die DHCP-Redundanz zu 80% ein Problem mit dem DHCP-Server ist. Sie können einen Split-Scope-Ansatz verwenden. Windows 2012 ermöglicht Ihnen die aktive und Standby-Replikation ohne Clustering. Wir haben nur tägliche Backups (wir verwenden 7-Tage-Leases) und stellen diese dann auf einer anderen Box oder VM wieder her. Überprüfen Sie, was Ihre DHCP-Serversoftware bereitstellt. Die Adresse des Hilfsprogramms ist wirklich die geringste Sorge

Fredpbaker
quelle