¿La mejor práctica usando el "ip-helper" de Cisco para DHCP?

16

Nuestra topología es tal que tenemos dos 4510 en nuestros armarios IDF . Cada conmutador tiene una VLAN de datos y una VLAN de voz. Los conmutadores son troncales de capa 2 al núcleo, donde están las interfaces VLAN, el enrutamiento ocurre y DHCP se reenvía al servidor DHCP.

¿Cuál es la mejor práctica para proporcionar redundancia de servicio DHCP? Si hay dos servidores dhcp y dos direcciones "ip-helper", ¿la red solo reenviará las solicitudes dhcp a la primera IP siempre que sea accesible desde una perspectiva de red? Si se cae, entonces dhcp va a la segunda dirección?

¿Qué sucede si el servicio dhcp del primer servidor tiene un problema, pero aún se puede acceder al servidor a través de la red (puede hacer ping, pero el servicio dhcp está inactivo)? ¿O qué pasa si el alcance de DHCP está lleno? ¿Te ayudará la segunda dirección ip-helper? ¿La segunda dirección solo entrará en juego si el primer servidor está inactivo?

¿Hay alguna manera de hacer que el ip-helper haga "round-robin" entre los dos?

PD. Desafortunadamente, esta es una opción del servidor DHCP de Microsoft. Me preguntaron sobre ideas y mencioné Infoblox, pero eso es en el futuro ... tal vez.

Gracias.

dhcp Pseudocyber
fuente
Pregunta estrechamente relacionada (pero no un duplicado): networkengineering.stackexchange.com/questions/914/…
Mike Pennington
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

10

El enrutador reenviará todas las solicitudes DHCP a todos los servidores configurados con ip helper. El primer servidor en responder con una dirección utilizable gana. No conozco una forma de hacer un round robin desde el enrutador.

Ryan
fuente
3
Para aclarar, las respuestas de ambos servidores se reenvían al cliente y el cliente elige cuál aceptar.
YLearn
"El primer servidor en responder con una dirección utilizable [generalmente] gana".
generalnetworkerror
7

Todo el tráfico de difusión (DHCPDISCOVER y DHCPREQUEST) se reenviará a todas las direcciones ip-helper. El orden en que se configuran las instrucciones de ayuda de ip no hace ninguna diferencia. El dispositivo tomará una dirección del primer servidor del que recibe un DHCPOFFER.

La única forma de evitar que un ámbito esté lleno es configurar una subred secundaria en la interfaz. En Cisco IOS, la configuración se ve así:

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
Eric Rochow
fuente
1
Esta no es la única forma de abordar un alcance completo, solo una de las más convenientes. Por ejemplo, puede ajustar el tamaño de la subred (cambiar el / 24 a / 23) o limpiar su configuración de DHCP (agregar de nuevo la dirección "reservada" no utilizada en el grupo, etc.).
YLearn
1
Es cierto, pero esas no siempre son opciones. Tal vez debería cambiar mi redacción a la única forma consistente de evitar que un alcance esté completo.
Eric Rochow
1
Solo quiero señalar que agregar una subred secundaria tampoco es siempre una opción. El peligro en esta solución es que es fácil de implementar y, a menudo, es el resultado de un enfoque reaccionario y no se piensa en un diseño adecuado. En mi experiencia, en general, he descubierto que si alguien usa esta solución regularmente, las redes tienden a ser "desordenadas" (demasiadas entradas en las tablas de enrutamiento, mala planificación del uso de IP, etc.). En lugar de ser coherente, recurriría a la palabra que elegí, que es conveniente.
YLearn
He usado la dirección secundaria el tiempo suficiente para que las impresoras de direcciones IP fijas se
envíen por
2

Todas las ip helper-addresslíneas configuradas en su VLAN toman la transmisión DHCP del cliente, agregan la dirección del enrutador (puerta de enlace) en el paquete UDP, luego unidifunciones a los servidores DHCP. [Estoy seguro de que la reescritura de paquetes se realiza solo una vez, luego se envía una copia a cada servidor DHCP.] Todos los servidores enumerados configurados reciben el paquete DHCPDiscover por el relé del enrutador.

¡La redundancia de sus servidores DHCP no solo depende de su sistema operativo, sino de la versión específica! Para Windows que se mencionó, sus opciones van desde un verdadero alcance dividido en Windows 2008 R2 hasta redundancia de conmutación por error activa en Windows 2012. Para servidores DHCP no tan robustos (es decir, Windows 2003), puede configurar manualmente una división dividida. alcance. La recomendación común es la regla 80/20 con el 80% de los arrendamientos configurados en lo que usted (y usted solo) considera su servidor DHCP primario y el 20% y el secundario. Las exclusiones se agregan a cada servidor DHCP ya que tienen ámbitos superpuestos.

Como no soy fanático de los ámbitos superpuestos en Windows 2003 ya que las exclusiones tienden a ocultarse de la vista, prefiero simplemente dividir la subred por la mitad para cada servidor DHCP. El bloque A / 24 para arrendamientos de clientes se convierte en dos / 25 bloques. La clave es que la máscara de subred en el ámbito sigue siendo un / 24. Sus direcciones IP de inicio y fin en el rango configurado en el ámbito siguen el / 25. Ahora recomiendo algunas exclusiones para dispositivos de red como la interfaz VLAN IP addr's y HSRP, así como algunas para dispositivos estáticos (por ejemplo, impresoras) en la misma subred. Así que excluyo las primeras 16 (0-15) direcciones (la dirección cero no se usaría, por supuesto, de todos modos) y excluyo las 16 principales (240-255) - 255 transmisiones, por supuesto. En realidad, puede evitar no configurar la exclusión simplemente iniciando y finalizando la dirección IP de manera adecuada.

La información básica del alcance en un alcance dividido 50/50 configurado manualmente (2x / 25 = / 24) es similar a:

DHCP primario
  Alcance inferior: 192.0.2.0/24, inicio 192.0.2.16, final 192.0.2.127, sin exclusiones
DHCP secundario
  Alcance superior: 192.0.2.0/24, inicio 192.0.2.128, final 192.0.2.239, sin exclusiones

Configure ámbitos idénticos (2x / 24) con las exclusiones apropiadas si prefiere este método:

DHCP primario
  Alcance completo: 192.0.2.0/24, inicio 192.0.2.16, final 192.0.2.239, exclusiones 1-15, 128-254
DHCP secundario
  Alcance completo: 192.0.2.0/24, inicio 192.0.2.16, final 192.0.2.239, exclusiones 1-127, 240-254

Como hay un ligero retraso con los paquetes duplicados de DHCPDiscover unicast para cada uno ip helper-address, todo lo demás es igual, el primer servidor DHCP enumerado generalmente será el primero en responder con un DHCPOffer y la dirección elegida por el cliente cuando realice su DHCPRequest Sin embargo, no hay garantía. Coloque su servidor DHCP primario primero en su SVI para la VLAN. Un cliente generalmente recibe múltiples ofertas de DHCP y decide cuál es el mejor que suele recibir. La asignación se completa solo después de que el cliente envía una solicitud de DHCPR al servidor, en caso de que el servidor haya cambiado de opinión sobre el arrendamiento o ya no se pueda contactar con él o ??? - y el servidor envía un DHCPACK.

interfaz vlan123
  desc svi para vl123 dhcp relay example
  dirección IP 192.0.2.1
  Dirección IP de ayuda 192.0.4.1! Servidor DHCP primario
  Dirección IP de ayuda 192.0.4.2! Servidor DHCP secundario

Entre sus VLAN de datos y de voz, es posible que desee alternar lo que considera el servidor DHCP primario para una VLAN determinada. Hago esto para ayudar a extender un poco la carga del arrendamiento.

Si el alcance de un servidor DHCP está lleno, no responderá con un DHCPOffer, por lo que la oferta provendría de otro servidor DHCP, suponiendo que no esté también lleno. Cuando solucione problemas, tenga en cuenta que un cliente de Windows recordará la IP que había arrendado por última vez e intentará recuperarla nuevamente. También tenga en cuenta que cualquier reserva que haga debe hacerse en ambos servidores y contabilizarse en cualquier ACL que tenga, como en los firewalls.

Consulte Comprensión y solución de problemas de DHCP en Catalyst Switch o Enterprise Networks para obtener una explicación detallada y rastrear el proceso de retransmisión DHCP.

generalnetworkerror
fuente
0

El punto de todo esto es que la redundancia DHCP es un 80% un problema del servidor DHCP, puede hacer un enfoque de alcance dividido, Windows 2012 le permite tener una replicación activa y en espera sin clústeres. Solo tenemos copias de seguridad diarias (usamos arrendamientos de 7 días) y luego restauramos a otra caja o VM. Compruebe lo que proporciona el software del servidor DHCP, la dirección de ayuda es realmente la menor de sus preocupaciones

fredpbaker
fuente