拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。
7.1 DHCP部署分析
在这种网络架构中,可以部署DHCP的有2个设备,一个是出口防火墙,另外一个就是用单独的服务器集群部署一台DHCPServer,可以是Linux的或者Windows的,推荐使用服务器搭建DHCP,原因有几个,1、如果使用防火墙搭建DHCP服务,会增加防火墙的负担,因为防火墙上面不仅仅跑IPSEC ***、L2TP ***、NAT、路由、包检测功能,需要创建大量的会话信息,并且处理,而总部的PC量也是非常大的,所以这时候,我们需要保证不给防火墙增加负担,而服务器的话,目前虚拟化很成熟,一台好的服务器,部署了虚拟化环境的话,非常容易虚拟出许多服务来,不管是做冷备还是热备,都是可以的,当然热备的话,Windows需要2012才支持。冷备的意思就是,先只用第一台服务器,当第一台DHCP服务器坏了的话,则用第二台。当然它没有备份功能的,两台服务器之间不知道对方到低分配了哪些IP地址,而2012的话则支持主备功能,就是主分配了地址后,会同步信息给备用,这样当备用充当主用的时候,则可以继续工作在之前的状态。
7.2 Windows DHCP搭建
说明:DHCP使用的是Windows 2003的,因为我这是用虚拟环境搭建的2003来模拟工作中的DHCP服务器,所以没有部署2008或者2012了,那个比较占用资源,其实配置起来非常简单的。 该服务器IP地址为192.168.88.251
1、在添加/删除程序内———-添加/删除Windows 组件————-找到Network Service——–选择DHCP服务,OK就行,注意的是 需要插入对应的光盘。
打开对应的DHCP服务
新建一个范围或者作用域
说明:这样就创建了一个对应的地址池了,分配了对应的网段、网关、DNS与Domain。这个可以根据自己需求定义的,加你命名的时候加上注释,方便后续区分。另外需要注意分配的范围,之前已经看到了后面的252、253、254对应的地址都被使用了的,所以在分配的时候,建议范围是1~250,比如192.168.19.1~250或者251。
对应的创建了4个地址池,主要是该项目中用到的,其实还有VLAN 22与23,但是这里没举例,所以就不添加了,其中对应的网关都为254,而DNS地址是192.168.88.251,其实就是DHCP服务器,因为是模拟环境,所以就用一台服务器充当了几个服务功能。 需要注意的是,这里VLAN 1的功能,主要是给无线AP分配的地址,所以范围不是很大,满足需要就可以了。
结果验证【这里以访客厅、高层人员进行测试,看下面的PC能否获取对应的IP】
经过检查后,都获取不到地址。
DHCP中继配置【最容易忽略的一个点】
分析:为什么会获取不到地址呢,我们虽然在DHCP定义了对应的地址池,但是,当PC请求获取地址的时候,发送DHCP报文,然后经过接入层交换机打上VLAN Tag,转发给核心层,核心层收到以后,会检查自己是否开启了对应的DHCP服务功能,如果存在的话,则会为这个PC分配地址,但是我们定义DHCP服务是在服务器上面,交换机上面并没有,所以导致交换机直接丢弃这个报文,没有任何回应,因为交换机自身没有开启服务,它也不知道到低找谁可以给PC分配地址。这时候就需要配置中继功能了,中继功能就是告诉核心交换机,到哪找到DHCP服务器。
[Core-A]dhcp enable
[Core-A]interface vlan 1
[Core-A-Vlanif1]dhcp select relay
[Core-A-Vlanif1]dhcp relay server-ip 192.168.88.251
说明:首先必须开启DHCP功能,然后在对应的VLAN 下面启用中继功能,然后定义服务器地址在哪,注意的是,所有的VLAN都需要敲,比如 VLAN 1、19、20、21,只要客户需要获取地址的VLAN 都需要桥上。
两台核心交换机的VLAN都需要配置,这里不分主备,都需要定义,因为如果主失效了,备用作为网关的话,那么又没有对应的中继功能,那么导致DHCP获取不到,所以这里都需要配置。
再次结果验证
当PC连接到访客厅的时候,获取到了对应IP地址为192.168.19.1,网关与DNS等参数都是OK的。
当PC连接到Boss的时候,获取到了对应的IP地址 为192.168.20.1,网关与DNS参数都OK
客户问题反映、优化与总结
虽然DHCP已经部署完毕,客户端也获取到了地址,在测试的时候没有发现问题,但是在用过一段时间后,客户反映说,当PC重新连接到交换机后,需要很长一段时间才能获取到地址,或者是第一次出现获取不到地址的情况,这种情况特别是笔记本比较明显。
分析:为什么会出现这种情况呢,这的查看端口状态了。当我把一个PC接到一台交换机上面的时候,交换机接口会UP,但是由于该接口开启了STP功能,则会先进行STP计算,虽然是MSTP,但是对于边缘接口处理并不好,我们可以看查看状态。
我们可以看到,E0/0/2刚刚UP,但是对应的STP状态为DISCARDING,丢弃状态,这是MSTP最初始的状态,说明MSTP还在计算当中,计算该接口的角色是什么。
现在已经变Learning状态了
到最后才变为Forwarding,这个时间可能经过30~50s,而我们知道当一个PC接入到一个网络后,在10~15s之类,没有获取到IP地址的话,则会自动获取一个169的地址,所以造成客户有些获取地址缓慢或者直接获取不到地址的情况。
优化
1、除了上联接口以外,面对客户的网络关闭STP(不推荐)
2、启用边缘端口功能,让面对客户的网络直接跳过STP检测(推荐)
注意第一个不推荐的原因是,如果客户私接一个设备,然后还是环路的话,STP是可以有效阻断的,但是如果关闭了的话,造成了环路,广播风暴的话,则容易造成网络瘫痪。而服务器集群交换机则不需要配置,因为正常情况下,服务器是不会轻易动的。而且进入也需要批准等情况,所以不配置也可以。
以Boss为例,访客厅、财务都需要配置,参考即可,注意核心设备不需要配置
[boss]port-group 1
[boss-port-group-1]stp edged-port enable
说明:财务跟访客厅按照这个配置即可,这里的port-group不需要关联接口了,因为在最开始的时候我们已经关联过了,所以这里直接配置即可。
可以看到所有的接口都配置边缘端口功能。
最终测试结果验证
这次再次接入到Boss设备上面,看端口状态、与DHCP获取情况。
可以看到这次接入到E0/0/3上面,而查看后直接转发状态,并没有经历之前的丢弃、侦听等状态了。
总结
DHCP这块最容易2个点就是 1、DHCP中继 2、STP的存在,另外的是DHCP分配了这么多地址池,它为什么会知道客户 就是需要那个呢,其实这是中继在起作用,当一个数据包抵达核心交换机后,交换机会查看中继配置,以单播包发送给DHCP服务器,包的源地址就是对应的VLAN 的网段,而DHCP收到后,分配的地址就根据这个VLAN 的网关来分配的,这样的话 你VLAN 19请求到的自然是与VLAN 19对应的网段。
另外一个DHCP中继的Feature功能。
假设该网段有2台DHCP服务器,默认情况下用A,当A失效后才使用B。那么我们就不能想刚刚那样配置了,需要配置一个DHCP Group。
[Core-A]dhcp server group 1
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.251
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.250
[Core-A]int vlan 100
[Core-A-Vlanif100]dhcp selec relay
[Core-A-Vlanif100]dhcp relay server-select 1
说明:该配置的意思就是说,定义了2个DHCP服务器地址,默认情况下使用第一个,当第一个坏了后才使用第二个,然后在接口下调用,调用的方式跟之前不同,之前是直接写IP地址,而这里是调用这个组。
本文首发于公众号:网络之路博客