1 拓撲
拓撲可以保存到本地,然後擴大查看,這樣才能看的更清楚。
2 DHCP部署分析
在這種網絡架構中,可以部署DHCP的有2個設備,一個是出口防火牆,另外一個就是用單獨的服務器集群部署一臺DHCPServer,可以是Linux的或者Windows的,推薦使用服務器搭建DHCP,原因有幾個,1、如果使用防火牆搭建DHCP服務,會增加防火牆的負擔,因為防火牆上面不僅僅跑IPSEC VPN、L2TP VPN、NAT、路由、包檢測功能,需要創建大量的會話信息,並且處理,而總部的PC量也是非常大的,所以這時候,我們需要保證不給防火牆增加負擔,而服務器的話,目前虛擬化很成熟,一臺好的服務器,部署了虛擬化環境的話,非常容易虛擬出許多服務來,不管是做冷備還是熱備,都是可以的,當然熱備的話,Windows需要2012才支持。冷備的意思就是,先只用第一臺服務器,當第一臺DHCP服務器壞了的話,則用第二臺。當然它沒有備份功能的,兩臺服務器之間不知道對方到低分配了哪些IP地址,而2012的話則支持主備功能,就是主分配了地址後,會同步信息給備用,這樣當備用充當主用的時候,則可以繼續工作在之前的狀態。
3 Windows DHCP搭建
說明:DHCP使用的是Windows 2003的,因為我這是用虛擬環境搭建的2003來模擬工作中的DHCP服務器,所以沒有部署2008或者2012了,那個比較佔用資源,其實配置起來非常簡單的。 該服務器IP地址為192.168.88.251
1、在添加/刪除程序內———-添加/刪除Windows 組件————-找到Network Service——–選擇DHCP服務,OK就行,注意的是 需要插入對應的光盤。
打開對應的DHCP服務
新建一個範圍或者作用域
說明:這樣就創建了一個對應的地址池了,分配了對應的網段、網關、DNS與Domain。這個可以根據自己需求定義的,加你命名的時候加上註釋,方便後續區分。另外需要注意分配的範圍,之前已經看到了後面的252、253、254對應的地址都被使用了的,所以在分配的時候,建議範圍是1~250,比如192.168.19.1~250或者251。
對應的創建了4個地址池,主要是該項目中用到的,其實還有VLAN 22與23,但是這裡沒舉例,所以就不添加了,其中對應的網關都為254,而DNS地址是192.168.88.251,其實就是DHCP服務器,因為是模擬環境,所以就用一臺服務器充當了幾個服務功能。 需要注意的是,這裡VLAN 1的功能,主要是給無線AP分配的地址,所以範圍不是很大,滿足需要就可以了。
3 結果驗證
4 DHCP中繼配置【最容易忽略的一個點】
分析:為什麼會獲取不到地址呢,我們雖然在DHCP定義了對應的地址池,但是,當PC請求獲取地址的時候,發送DHCP報文,然後經過接入層交換機打上VLAN Tag,轉發給核心層,核心層收到以後,會檢查自己是否開啟了對應的DHCP服務功能,如果存在的話,則會為這個PC分配地址,但是我們定義DHCP服務是在服務器上面,交換機上面並沒有,所以導致交換機直接丟棄這個報文,沒有任何回應,因為交換機自身沒有開啟服務,它也不知道到低找誰可以給PC分配地址。這時候就需要配置中繼功能了,中繼功能就是告訴核心交換機,到哪找到DHCP服務器。
[Core-A]dhcp enable
[Core-A]interface vlan 1
[Core-A-Vlanif1]dhcp select relay
[Core-A-Vlanif1]dhcp relay server-ip 192.168.88.251
說明:首先必須開啟DHCP功能,然後在對應的VLAN 下面啟用中繼功能,然後定義服務器地址在哪,注意的是,所有的VLAN都需要敲,比如 VLAN 1、19、20、21,只要客戶需要獲取地址的VLAN 都需要橋上。
兩臺核心交換機的VLAN都需要配置,這裡不分主備,都需要定義,因為如果主失效了,備用作為網關的話,那麼又沒有對應的中繼功能,那麼導致DHCP獲取不到,所以這裡都需要配置。
5 再次結果驗證
當PC連接到訪客廳的時候,獲取到了對應IP地址為192.168.19.1,網關與DNS等參數都是OK的。
當PC連接到Boss的時候,獲取到了對應的IP地址 為192.168.20.1,網關與DNS參數都OK
6客戶問題反映、優化與總結
雖然DHCP已經部署完畢,客戶端也獲取到了地址,在測試的時候沒有發現問題,但是在用過一段時間後,客戶反映說,當PC重新連接到交換機後,需要很長一段時間才能獲取到地址,或者是第一次出現獲取不到地址的情況,這種情況特別是筆記本比較明顯。
分析:為什麼會出現這種情況呢,這的查看端口狀態了。當我把一個PC接到一臺交換機上面的時候,交換機接口會UP,但是由於該接口開啟了STP功能,則會先進行STP計算,雖然是MSTP,但是對於邊緣接口處理並不好,我們可以看查看狀態。
我們可以看到,E0/0/2剛剛UP,但是對應的STP狀態為DISCARDING,丟棄狀態,這是MSTP最初始的狀態,說明MSTP還在計算當中,計算該接口的角色是什麼。
現在已經變Learning狀態了
到最後才變為Forwarding,這個時間可能經過30~50s,而我們知道當一個PC接入到一個網絡後,在10~15s之類,沒有獲取到IP地址的話,則會自動獲取一個169的地址,所以造成客戶有些獲取地址緩慢或者直接獲取不到地址的情況。
7優化
1、除了上聯接口以外,面對客戶的網絡關閉STP(不推薦)
2、啟用邊緣端口功能,讓面對客戶的網絡直接跳過STP檢測(推薦)
注意第一個不推薦的原因是,如果客戶私接一個設備,然後還是環路的話,STP是可以有效阻斷的,但是如果關閉了的話,造成了環路,廣播風暴的話,則容易造成網絡癱瘓。而服務器集群交換機則不需要配置,因為正常情況下,服務器是不會輕易動的。而且進入也需要批准等情況,所以不配置也可以。
以Boss為例,訪客廳、財務都需要配置,參考即可,注意核心設備不需要配置
[boss]port-group 1
[boss-port-group-1]stp edged-port enable
說明:財務跟訪客廳按照這個配置即可,這裡的port-group不需要關聯接口了,因為在最開始的時候我們已經關聯過了,所以這裡直接配置即可。
可以看到所有的接口都配置邊緣端口功能。
8最終測試結果驗證
這次再次接入到Boss設備上面,看端口狀態、與DHCP獲取情況。
可以看到這次接入到E0/0/3上面,而查看後直接轉發狀態,並沒有經歷之前的丟棄、偵聽等狀態了。
9總結
DHCP這塊最容易2個點就是 1、DHCP中繼 2、STP的存在,另外的是DHCP分配了這麼多地址池,它為什麼會知道客戶 就是需要那個呢,其實這是中繼在起作用,當一個數據包抵達核心交換機後,交換機會查看中繼配置,以單播包發送給DHCP服務器,包的源地址就是對應的VLAN 的網段,而DHCP收到後,分配的地址就根據這個VLAN 的網關來分配的,這樣的話 你VLAN 19請求到的自然是與VLAN 19對應的網段。
另外一個DHCP中繼的Feature功能。
假設該網段有2臺DHCP服務器,默認情況下用A,當A失效後才使用B。那麼我們就不能想剛剛那樣配置了,需要配置一個DHCP Group。
[Core-A]dhcp server group 1
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.251
[Core-A-dhcp-server-group-1]dhcp-server 192.168.88.250
[Core-A]int vlan 100
[Core-A-Vlanif100]dhcp selec relay
[Core-A-Vlanif100]dhcp relay server-select 1
說明:該配置的意思就是說,定義了2個DHCP服務器地址,默認情況下使用第一個,當第一個壞了後才使用第二個,然後在接口下調用,調用的方式跟之前不同,之前是直接寫IP地址,而這裡是調用這個組。
閱讀更多 思恆科技 的文章
