Podkast 21T51 DHCP Multi VLAN

WERSJA TEKSTOWA

Cześć, witam Cię w kolejnym odcinku mojego podcastu. Dzisiejszy temat to serwer DHCP w środowisku MultiVLAN. W takich scenariuszach typowy MultiVLAN najczęściej spotykany jest nawet w małych lokalizacjach i mamy tutaj dwie możliwości realizacji:

• możliwość uruchomienia serwera DHCP na lokalnym routerze
• serwowanie odpowiedniej adresacji.

Żeby podzielić środowisko MultiVLAN dla różnych zakresów adresacji (każdy VLAN będzie miał różną adresacje IP), stosujemy DHCP scope. W konfiguracji routera najczęściej definiujemy, jakie zakresy adresacji IP będziemy przydzielać dla poszczególnych VLANów dzięki czemu mamy możliwość obsłużenia jednym serwerem DHCP, różnych VLANów, z różną adresacją. Dodatkową opcją jest możliwość wykluczenia danych adresów IP z danej puli, którą używamy. Jest to typowy scenariusz małej sieci, gdzie wszystko mamy na jednym routerze.

Jeśli mamy więcej takich lokalizacji, mamy takich routerów i VLANów na setki, dziesiątki, tysiące, to oczywiście taki model się nie sprawdzi, ponieważ jest nieskalowalny. Potrzebujemy wtedy jakiegoś serwera DHCP, który centralnie będzie obsługiwał wszystkie nasze zapytania, wszystkie lokalizacje i wszystkie VLANy w tych lokalizacjach.

Jak to zrobić? Najczęściej widzę, że jest wykorzystywany serwer Microsoftu, w ramach pakietu, który współpracuje z domeną. Dzięki temu mamy możliwość obsługiwania centralnie wszystkich zakresów adresacji IP. Są oczywiście inne rozwiązania, bardziej zaawansowane, łatwiejsze w monitorowaniu. Nie będziemy o nich dziś mówić. Skupmy się na tym, jak zaimplementować rozwiązanie DHCP w środowisku wielu lokalizacji i wielu VLANów.

Konfigurujemy coś takiego, co się nazywa DHCP Relay lub IP Helper – w zależności od producenta. Każde zapytanie, które idzie z dowolnej lokalizacji, z dowolnego VLANu, idzie standardowo od hosta w postaci broadcastu, jest zamieniane przez router na unicast i wysyłane do serwera centralnego. Taka konfiguracja wskazuje konkretny adres IP tego serwera wirtualnego, w związku z tym nasz router w lokalizacji może wysłać unicastem taki komunikat. Serwer centralny otrzymując taką informację musi w jakiś sposób rozróżnić, skąd to zapytanie przychodzi. Standardowo, jeśli taki pakiet idzie broadcastem w danej sieci LAN, to założenie jest takie, że tylko jeden serwer DHCP w takiej sieci LAN powinien istnieć i w związku z tym zawsze wie, jak odpowiedzieć.

W przypadku centralnego systemu DHCP, jest potrzebna załączona dodatkowa informacja – skąd to zapytanie przychodzi. Oczywiście stosuje się taką informację, jest to dodatkowa opcja w zapytaniu DHCP. Jest w tej opcji informacja, z jakiego adresu IP przychodzi to zapytanie. Tzn. jeżeli mamy router w danej lokalizacji i on zamienia nam to zapytanie w formie brodcastu na unicast, to w tym momencie dołącza opcję DHCP do tego pakietu wysyłanego do centralnego serwera i w tej opcji jest informacja z jakiego adresu IP interface źródłowego przychodzi to zapytanie. Dzięki temu ten serwer centralny jest w stanie powiązać adresację, z jakiej puli IP ma przydzielić adres IP dla danego hosta. Jest to typowy scenariusz.

Inne rozszerzenie tych dwóch przypadków, o których opowiadałem jest to możliwość i często spotykany scenariusz zastosowania dwóch urządzeń w danej lokalizacji. Chcemy mieć niezawodność wyjścia do WAN – czy to do Internetu, czy do sieci firmowej – to chcemy mieć dwa urządzenia będące Gateway-em i standardowo wykorzystuje się dwa mechanizmy: mechanizm wirtualizacji – mamy np dwa przełączniki, które wirtualizujemy jako jeden logiczny i na nim ustawiamy serwer DHCP, jeśli jest to mała lokalizacja, czy Relay-a. Jest to prosty scenariusz do realizacji. Natomiast najczęściej w małych lokalizacjach nie spotykam bardziej zaawansowanych urządzeń, które potrafią się stackować, tylko prostsze, tańsze, które mogą działać jedynie w oparciu o drugą możliwość, czyli o VRRP. W przypadku VRRP nasz gateway jest reprezentowany przez wirtualny adres IP i jest to myślę, że dobrze pewnie Tobie też znane. Tu się pojawia pewien problem. Jeżeli chcesz implementować serwer DHCP lokalnie a masz dwa takie gateway-e to pojawia się pytanie: OK, ale w jaki sposób przy awarii jednego z tych gateway-ów – bo oczywiście reprezentujemy oba przez jeden wirtualny adres IP, więc adres IP się nie zmieni. Co się natomiast stanie w tej tablicy serwera DHCP, gdzie jest zapisywana rezerwacja dla każdego adresu IP na pewien okres, który mamy skonfigurowany. Jeśli nam takie urządzenie przy VRRP zostanie wyłączone, uszkodzone, to to drugie urządzenie nie ma informacji o rezerwacji adresów. Tu pojawia się problem, dlatego, że wykonanie takiego przełączenia bez informacji o aktualnych rezerwacjach może spowodować konflikt adresów. Ten drugi serwer DHCP, który nie ma informacji historycznej, może przydzielić ten sam adres IP. Jest to nawet bardzo prawdopodobne, dlatego, że mają najczęściej taką samą konfiguracje te dwa serwery, więc zaczynają przydzielanie adresów od konkretnego, tego samego adresu IP.

Jest rozwiązanie na ten przypadek, w zależności od producenta, ale można konfigurować lokalne serwery DHCP przy dwóch urządzeniach typu gateway z synchronizacją informacji pomiędzy nimi. Każdy z serwerów ma informację o tej rezerwacji adresu, czyli lease time dla każdego hosta, który w danej sieci funkcjonuje. Jest to jedna z możliwości. Druga, częściej spotykana z mojego punktu widzenia, w projektach z którymi się stykam – jeśli ktoś już wykorzystuje dwa gatewaye, to idzie w stronę wykorzystania serwera DHCP centralnego. Przypadek wcześniej opisany, który tutaj też bardzo pomaga, dlatego, że w przypadku, gdy mamy dwa gatewaye i one pracują w VRRP, ale nie wykorzystują żadnej historycznej informacji o czasie rezerwacji dla serwera lub adresu IP hosta, to nie ma problemu w przełączeniu. Gdy ulegnie nam uszkodzeniu jeden gateway, drugi nadal będzie przesyłał wszystkie zapytania DHCP do centralnego serwera, a ten będzie miał informacje historyczną o tej rezerwacji czasowej dla poszczególnych adresów IP.

Podsumowując, konfiguracja DHCP sprawdza się na routerze, gateway-u lokalnym, jeśli jest to w zasadzie jedna sieć lokalna i nie potrzebujemy koordynować tej informacji z niczym innym. W przypadku większej ilości lokalizacji, korzystamy najczęściej z centralnego serwera DHCP, z możliwością wykorzystania serwera DHCP w trybie HA. czyli z możliwością synchronizacji informacji o przydzielonych adresach IP.

Tyle na dziś, dziękuję Ci za uwagę, jeśli masz jakieś pytania co do tego tematu, zapraszam Cię do pisania w komentarzu. Jeśli nie, to dziękuję Ci i do usłyszenia już za tydzień.