На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> DHCP , Суперобласть
    Имеется winserver2012R2 с ролью DHCP сервера. Одна суперобласть с нарезанными диапазонами и всё работает вполне адекватно. Но есть момент: если комп физически переключить из одного VLAN в другой, то комп продляет аренду своего старого адреса. Оно и понятно, потому что чисто теоретически (сниффер еще не расчехлял) клиент при включении отправляет запрос на DHCP о том, что надо бы обновить/продлить, сервер видит что в списке арендованных он есть и отправляет тот же самый. По итогу имеем сетевой интерфейс с левым для нового подключения ИП и шлюзом. Вижу один вариант: уменьшение срока аренды с 8 дней до 15 минут и надеяться, что за этот интервал времени комп площадку поменять не успеет. Есть ли другие более гуманные способы? Количество DHCP клиентов ~ 2 тысячи.
      Не понял... вот есть клиент в одном вилане, который получил адрес от сервера... переключаем сервер в другой вилан... вопрос - а как клиент переполз в другой вилан-то?


      Цитата A.I. @
      Есть ли другие более гуманные способы?

      Ну вообще чисто теоретически сервер должен быть подключен к каждому вилану отдельным сетевым интерфейсом (возможно, конечно, виртуальным, но лучше физическим). И к каждому интерфейсу примотан свой DHCP-скоп.
        Есть DHCP-scope на каждую физическую площадку: например в пункте А компы 192.168.100.0/24, в пункте Б компы 192.168.101.0/24
        Комп работал на площадке А, переместили на площадку Б. Он продолжает получать от DHCP адрес площадки А. Если на сервере вручную удалить из арендованных адресов адрес перемещенного компа, то комп при повторном запросе получит адрес из нужного диапазона. Есть ли возможность без уменьшения срока аренды и без ручного удаления решить эту проблему? Да, я думал что сетевые устройства не будут часто переползать из одной сети в другую, но как показала практика, таких движений 1-2 в день точно случается. Каждый раз вручную удалять хлопотно.
        Цитата Akina @
        чисто теоретически сервер должен быть подключен к каждому вилану отдельным сетевым интерфейсом

        Интерфейс один, вилан на интерфейсе один, разделение решил с помощью superscope, и оно вполне корректно работает, потому что на каждой из площадок прописан DHCP relay и в зависимости от того, из какого диапазона получен запрос, из того же диапазона выделяется адрес.
          Цитата A.I. @
          Если на сервере вручную удалить из арендованных адресов адрес перемещенного компа, то комп при повторном запросе получит адрес из нужного диапазона. Есть ли возможность без уменьшения срока аренды и без ручного удаления решить эту проблему?

          Как я понимаю, перемещение сопровождается физическим отключением/подключением клиента. Попробуйте на клиенте при загрузке выполнить ipconfig /release. Теоретически он после этого по renew должен получить адрес из правильного скопа.
            Цитата Akina @

            Как я понимаю, перемещение сопровождается физическим отключением/подключением клиента.

            Да, конечно. Выставил время аренды 15 минут, отключил от сети, подождал 20 минут, на сервере адрес ушел в свободные, включил в сеть, в другой вилан, однако устройство получило свой старый адрес. Есть ли возможность в DHCP сервере с использованием суперобласти, выпилить эту особенность, не прибегая к ipconfig /release на устройствах? То есть отключил в одном месте, адрес на сервере ушел в свободные, подключается из другого места, адрес получает из новой области. Забыв про старый напрочь.
            Цитата Akina @
            Попробуйте на клиенте при загрузке выполнить ipconfig /release. Теоретически он после этого по renew должен получить адрес из правильного скопа.

            помогает в 80% случаев, порой доходит до ручного резервирования по МАСу в нужной области. Опять же, не все сетевые устройства умеют ipconfig/release, у нас много сетевых МФУ и IP телефонов. Опять же, ipconfig /release требует админских прав
              А каким образом DHCP сервер выбирает из какой области нужно выдать адрес, если к нему прилетел такой запрос?
                В нормальных metro ethernet сетях используют option 82 + какой нить AAA, radius например.

                Добавлено
                Цитата Akina @
                Ну вообще чисто теоретически сервер должен быть подключен к каждому вилану отдельным сетевым интерфейсом (возможно, конечно, виртуальным, но лучше физическим). И к каждому интерфейсу примотан свой DHCP-скоп.

                Ужос, а если у мну сотня-другая вланов?
                  Цитата Gonarh @
                  а если у мну сотня-другая вланов?

                  И все они забиндены на один и тот же физ. интерфейс? значит, тегованые... значит, их вполне можно разобрать на виртуальные интерфейсы, каждый в своём вилане (вернее, мне кажется, что именно так и есть), а уж примотать каждый скоп к своему вирт. интерфейсу - вроде не проблема.

                  Мне вообще не нравится схема, когда интерфейс, который раздаёт адреса, не имеет сам адреса в скопе, который он раздаёт...
                    Цитата Akina @
                    а уж примотать каждый скоп к своему вирт. интерфейсу - вроде не проблема.

                    а как это сделать? Биндинг скопа же нет? Только сам сервер можно забиндить...
                      Цитата Akina @
                      Цитата Gonarh @
                      а если у мну сотня-другая вланов?

                      И все они забиндены на один и тот же физ. интерфейс?

                      Нет, интерфейс на котором висит дхцп серв никакого отношения к вланам в которые раздаёт лизы не имеет.

                      Добавлено
                      Ребята, почитайте уже про dhcp relay option 82
                      Сообщение отредактировано: Gonarh -
                        Цитата ^D^ima @
                        А каким образом DHCP сервер выбирает из какой области нужно выдать адрес, если к нему прилетел такой запрос?

                        Из каждой подсети роутер знает, что dhcp relay на IP DHCP сервера. На сервере superscope, и в зависимости от того, из какого диапазона прилетело, из того и выдает. Магия :-?
                        Цитата Gonarh @
                        dhcp relay option 82

                        Windows DHCP server документированно такое не умеет.
                        Цитата Akina @

                        Мне вообще не нравится схема, когда интерфейс, который раздаёт адреса, не имеет сам адреса в скопе, который он раздаёт...

                        У меня порядка 100 скопов. на 4 вилана.В идеале для каждой более-менее большой площадки да, это хорошее решение. Для россыпи мелких - не очень.
                        Вообще проблема у меня сводится к тому, что клиент в первый раз получает ИП из нужного скопа (скоп 1). А при его перемещении, продолжает получать из скоп 1 и пофиг ему на виланы и кто выступает в роли dhcp relay, и пофиг на то, что на dhcp сервере lease time давно прошел и адрес выкинут в свободные. Как это починить?
                          АИ, если у тебя свищи управляшки они скорее всего должны уметь опт.82, могу помочь настроить, если серв не обязательно виндовый, могу подогнать на перле дхцп сервер с этой хренью, можем развернуть хоть на пне первом, с лизами из SQL БД. Упираться будет в производительность БД, по крайней мере у меня на овер 4к хостов, нагрузка копеечная, менее процента
                          Прикреплённый файлПрикреплённый файл0000.png (170,73 Кбайт, скачиваний: 481)
                            Gonarh, спасибо, но нужно приготовить именно win server
                            Цитата Gonarh @
                            если у тебя свищи управляшки

                            не все так просто, как 82 отрабатывает с гибридным портом
                              Гибрид всмысле аксесс один влан и пачка вланов в транке на одном порту? Ну опцию можно навешивать не только по-портно но и повланно.
                              Сообщение отредактировано: Gonarh -
                                Цитата Gonarh @
                                ксесс один влан и пачка вланов в транке

                                аха. Ну ок, допустим я решил еще 82 добавить.
                                Я ХЗ как оно отработает на старых 2950, я ХЗ как оно отработает там, где микрот в роли роутера и свитча одновременно и я ХЗ что прописывать в 82, когда у меня влан 100 например в пункте А и в пункте Б, а диапазоны у них разные, и что прописать на серваке...
                                  Не, если микрот, можно забыть. На сколько знаю, как релей он ещё хоть чтото и может, а как серв дхцп с опт82 - нет.
                                  Сообщение отредактировано: Gonarh -
                                    микрот, аха.
                                      Кстати по поводу лизы, сколько клиентов дхцп? Если до 1к, можно опустить и до 2-3 мин. Не страшно.

                                      Добавлено
                                      Ага, 2к, не смертельно.

                                      Добавлено
                                      Если у тебя всякие AD и есть групповые политики на вход систему, можно попробовать придумать костыль с ipconfig /renew

                                      Добавлено
                                      Либо пилить свой дхцп сервер с кучкой потоков слушающий в каждом влане. Это если опт82 не делать.

                                      Добавлено
                                      Цитата A.I. @
                                      и я ХЗ что прописывать в 82, когда у меня влан 100 например в пункте А и в пункте Б, а диапазоны у них разные, и что прописать на серваке...

                                      В опцию 82 пишется номер порта, влан, и идентификатор релея. На основе этой информации серв узнает откуда пришёл запрос, из пункта А или Б

                                      Добавлено
                                      Каталисты 2950 умеют опт82

                                      Добавлено
                                      Цитата A.I. @
                                      Windows DHCP server документированно такое не умеет.

                                      https://blogs.technet.microsoft.com/teamdhc...p-source-guard/
                                      Но это писец. Дампить запросы, вылавливать байты, и рисовать кондишины.
                                      Сообщение отредактировано: Gonarh -
                                        Цитата Gonarh @
                                        Но это писец. Дампить запросы, вылавливать байты, и рисовать кондишины.

                                        че та не энтерпрайзево и адово костыльно. Я доверяю только костылям из FreeBSD :D
                                        Цитата Gonarh @
                                        Либо пилить свой дхцп сервер с кучкой потоков слушающий в каждом влане. Это если опт82 не делать.

                                        я не настолько псих
                                        Цитата Gonarh @
                                        Если у тебя всякие AD и есть групповые политики на вход систему, можно попробовать придумать костыль с ipconfig /renew

                                        на компах - да, на остальных железках опять попадалово
                                        Цитата Gonarh @
                                        Ага, 2к, не смертельно.

                                        выставил 5 минут, один хрен через 2.5 минуты запрос на сервак на освежить ИП. Будем посмотреть что произойдет
                                          Цитата A.I. @
                                          Я доверяю только костылям из FreeBSD :D

                                          А к линуховым? :oops:
                                            Цитата Gonarh @
                                            А к линуховым? :oops:

                                            половина там с запахом серы, так что жить можно :lol:
                                            0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                            0 пользователей:


                                            Рейтинг@Mail.ru
                                            [ Script execution time: 0,0662 ]   [ 18 queries used ]   [ Generated: 28.03.24, 14:59 GMT ]