Meilleure pratique d'utilisation de «ip-helper» de Cisco pour DHCP?

16

Notre topologie est telle que nous avons deux 4510 dans nos placards IDF . Chaque commutateur possède un VLAN de données et un VLAN vocal. Les commutateurs sont reliés en couche 2 au cœur, où se trouvent les interfaces VLAN, le routage se produit et DHCP est transmis au serveur DHCP.

Quelle est la meilleure pratique pour fournir une redondance de service DHCP? S'il y a deux serveurs DHCP et deux adresses "ip-helper", le réseau ne transmettra-t-il les demandes DHCP qu'à la première IP tant qu'il sera accessible du point de vue du réseau? S'il tombe en panne, alors DHCP va à la deuxième adresse?

Que faire si le service DHCP du premier serveur rencontre un problème - mais que le serveur est toujours accessible via le réseau (vous pouvez le ping, mais le service DHCP est en panne)? Ou si la portée DHCP est pleine? Est-ce que la deuxième adresse ip-helper aidera? La deuxième adresse n'entrera-t-elle en jeu que si le premier serveur est en panne?

Existe-t-il un moyen d'obtenir l'ip-helper de "round-robin" entre les deux?

PS. Malheureusement, il s'agit d'une option de serveur DHCP Microsoft uniquement. On m'a demandé des idées et j'ai mentionné Infoblox, mais c'est à l'avenir ... peut-être.

Merci.

dhcp 
Pseudocyber
source
Question étroitement liée (mais pas tout à fait en double): networkengineering.stackexchange.com/questions/914/…
Mike Pennington
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

10

Le routeur transmettra toutes les demandes DHCP à tous les serveurs configurés avec ip helper. Le premier serveur à répondre avec une adresse utilisable gagne. Je ne suis pas au courant d'un moyen de round-robin à partir du routeur.

Ryan
source
3
Pour clarifier, les réponses des deux serveurs sont retransmises au client et le client choisit lequel accepter.
Apprendre
"Le premier serveur à répondre avec une adresse utilisable [généralement] gagne."
generalnetworkerror
7

Tout le trafic de diffusion (DHCPDISCOVERs et DHCPREQUESTs) sera transmis à toutes les adresses d'assistance IP. L'ordre dans lequel les instructions ip-helper sont configurées ne fait aucune différence. L'appareil prendra une adresse du premier serveur dont il reçoit un DHCPOFFER.

La seule façon de contourner une étendue étant pleine est de configurer un sous-réseau secondaire sur l'interface. Dans Cisco IOS, la configuration ressemble à ceci:

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
Eric Rochow
source
1
Ce n'est pas le seul moyen d'aborder un champ d'application complet, mais l'un des plus opportuns. Par exemple, vous pouvez ajuster la taille du sous-réseau (changer le / 24 en a / 23) ou nettoyer votre configuration DHCP (ajouter l'adresse "réservée" inutilisée dans le pool, etc.).
Apprendre
1
C'est vrai, mais ce ne sont pas toujours des options. Peut-être devrais-je changer ma formulation pour la seule façon cohérente de contourner une portée pleine.
Eric Rochow
1
Je veux juste souligner que l'ajout d'un sous-réseau secondaire n'est pas toujours une option non plus. Le danger de cette solution est qu'elle est facile à mettre en œuvre et est souvent le résultat d'une approche réactionnaire et que la conception n'est pas appropriée. D'après mon expérience, j'ai généralement constaté que si quelqu'un utilise régulièrement cette solution, les réseaux ont tendance à être "désordonnés" (trop d'entrées dans les tables de routage, mauvaise planification de l'utilisation IP, etc.). Plutôt que cohérent, je retomberais sur le mot que j'ai choisi, qui est opportun.
Apprendre
J'ai utilisé l'adresse secondaire juste assez longtemps pour obtenir les télécopies des imprimantes à adresse IP fixe et par exemple réadressées, puis nous nous en débarrassons
fredpbaker
2

Toutes les ip helper-addresslignes configurées dans votre VLAN prennent la diffusion DHCP du client, ajoutent l'adresse du routeur (passerelle) dans le paquet UDP, puis unicast aux serveurs DHCP. [Je suis sûr que la réécriture de paquets n'est effectuée qu'une seule fois, puis une copie envoyée à chaque serveur DHCP.] Tous les serveurs répertoriés configurés reçoivent le paquet DHCPDiscover par le relais du routeur.

La redondance de vos serveurs DHCP ne dépend pas seulement de votre OS, mais de la version spécifique! Pour Windows qui a été mentionné, vos options vont d'une véritable portée fractionnée dans Windows 2008 R2 à une redondance de basculement actif dans Windows 2012. Pour les serveurs DHCP peu robustes (c'est-à-dire Windows 2003), vous pouvez configurer manuellement une répartition- portée. La recommandation courante est la règle 80/20 avec 80% des baux configurés sur ce que vous (et vous seul) considérez comme votre serveur DHCP principal et 20% et le secondaire. Des exclusions sont ajoutées à chaque serveur DHCP car elles ont des étendues qui se chevauchent.

Comme je ne suis pas un fan des étendues qui se chevauchent dans Windows 2003, car les exclusions ont tendance à être cachées, je préfère simplement diviser le sous-réseau en deux pour chaque serveur DHCP. Le bloc A / 24 pour les baux clients devient deux blocs / 25. Leur clé est le masque de sous-réseau dans la portée est toujours un / 24. Vos adresses IP de début et de fin dans la plage configurée dans la portée suivent le / 25. Maintenant, je recommande certaines exclusions pour les périphériques réseau comme les adresses IP d'interface VLAN et HSRP ainsi que certaines pour les périphériques statiques (par exemple les imprimantes) dans le même sous-réseau. J'exclus donc les 16 premières adresses (0-15) - l'adresse zéro ne serait pas utilisée, bien sûr, de toute façon - et j'exclus les 16 (240-255) - 255 premières diffusions, bien sûr. Vous pouvez réellement vous en sortir en ne configurant pas l'exclusion en démarrant et en terminant simplement l'adresse IP de manière appropriée.

Les informations de portée de base dans une portée partagée 50/50 configurée manuellement (2x / 25 = / 24) sont similaires à:

DHCP primaire
  Portée inférieure: 192.0.2.0/24, début 192.0.2.16, fin 192.0.2.127, aucune exclusion
DHCP secondaire
  Scope-upper: 192.0.2.0/24, start 192.0.2.128, end 192.0.2.239, no exclusions

Configurez des étendues identiques (2x / 24) avec les exclusions appropriées si vous préférez cette méthode:

DHCP primaire
  Portée complète: 192.0.2.0/24, début 192.0.2.16, fin 192.0.2.239, exclusions 1-15, 128-254
DHCP secondaire
  Portée complète: 192.0.2.0/24, début 192.0.2.16, fin 192.0.2.239, exclusions 1-127, 240-254

Comme il y a un tout petit retard avec les paquets DHCPDiscover en double unicast à chacun ip helper-address, toutes choses étant égales par ailleurs, le premier serveur DHCP répertorié sera généralement le premier à répondre avec un DHCPOffer, et l'adresse choisie par le client lors de sa demande DHCPRequest - pas de garantie cependant. Placez donc votre serveur DHCP principal en premier dans votre SVI pour le VLAN. Un client reçoit généralement plusieurs DHCPOffers et décide du meilleur qui est généralement le premier reçu. L'affectation ne se termine qu'après que le client a renvoyé une DHCPRequest au serveur - au cas où le serveur changerait d'avis sur le bail ou ne serait plus joignable ou ??? - et le serveur envoie un DHCPACK.

interface vlan123
  desc svi pour l'exemple de relais vl123 dhcp
  adresse IP 192.0.2.1
  ip helper-address 192.0.4.1! Serveur DHCP principal
  ip helper-address 192.0.4.2! Serveur DHCP secondaire

Entre vos données et vos VLAN vocaux, vous souhaiterez peut-être alterner ce que vous considérez comme le serveur DHCP principal pour un VLAN donné. Je fais cela pour aider à répartir un peu la charge de location.

Si la portée d'un serveur DHCP est pleine, il ne répondra pas avec un DHCPOffer, donc l' offre proviendrait d'un autre serveur DHCP, en supposant qu'il n'est pas également plein. Gardez à l'esprit lors du dépannage qu'un client Windows se souviendra de l'IP qu'il avait loué en dernier et tentera de l'obtenir à nouveau. Gardez également à l'esprit que toutes les réservations que vous faites doivent être effectuées sur les deux serveurs et comptabilisées dans toutes les listes de contrôle d'accès que vous avez, comme dans les pare-feu.

Voir Comprendre et dépanner DHCP dans Catalyst Switch ou Enterprise Networks pour des explications détaillées et des traces de reniflage du processus de relais DHCP.

erreur générale de réseau
source
0

Le point de tout cela est que la redondance DHCP est à 80% un problème de serveur DHCP, vous pouvez faire une approche de portée partagée, Windows 2012 vous permet d'avoir une réplication active et en veille avec réplication sans clustering. Nous avons juste des sauvegardes quotidiennes (nous utilisons des baux de 7 jours), puis restaurons sur une autre box ou VM. Vérifiez ce que votre logiciel de serveur DHCP fournit, l'adresse d'assistance est vraiment le moindre de vos soucis

Fredpbaker
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.