使用Cisco的“ ip-helper”进行DHCP的最佳实践？

16

我们的拓扑结构使得IDF壁橱中有两个4510 。每个交换机都有一个数据VLAN和一个语音VLAN。交换机是第2层中继到核心，该核心是VLAN接口所在的位置，路由发生，并且DHCP转发到DHCP服务器。

提供DHCP服务冗余的最佳实践是什么？如果有两个dhcp服务器和两个“ ip-helper”地址，那么从网络角度来看，网络是否仅将dhcp请求转发到第一个IP？如果出现故障，那么dhcp会转到第二个地址吗？

如果第一台服务器的dhcp服务出现问题怎么办-但仍可以通过网络访问服务器（您可以ping通，但dhcp服务已关闭）？或者如果DHCP作用域已满怎么办？第二个ip-helper地址会有所帮助吗？如果第一台服务器故障了，第二个地址只会发挥作用吗？

有什么方法可以使ip-helper在两者之间“轮循”吗？

PS。不幸的是，这是Microsoft唯一的DHCP服务器选项。当有人问我想法时，我提到了Infoblox，但这是将来的事情。

谢谢。

dhcp

— 伪网络
source

与此密切相关的问题（但不完全重复）：networkengineering.stackexchange.com/questions/914/...

— 迈克·潘宁顿

有什么答案对您有帮助吗？如果是这样，您应该接受答案，这样问题就不会永远弹出来寻找答案。或者，您可以提供并接受自己的答案。

— 罗恩·莫平

10

路由器会将所有DHCP请求转发到配置了ip helper的所有服务器。第一个以可用地址响应的服务器获胜。我不知道如何从路由器进行轮询。

— 瑞安
source

3

为了明确起见，两个服务器的响应都转发回客户端，然后由客户端选择接受哪个客户端。

— YLearn

“第一个使用可用地址进行响应的服务器（通常）获胜。”

— generalnetworkerror

7

所有广播流量（DHCPDISCOVER和DHCPREQUEST）将被转发到所有ip-helper地址。ip-helper语句的配置顺序没有区别。设备将从第一台接收DHCPOFFER的服务器获取地址。

解决范围已满的唯一方法是在接口上配置辅助子网。在Cisco IOS中，配置如下所示：

interface f0/1
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary

— 埃里克·罗肖（Eric Rochow）
source

1

这不是解决全部问题的唯一方法，而是最方便的方法之一。例如，您可以调整子网的大小（将/ 24更改为/ 23）或清理DHCP配置（将未使用的“保留”地址重新添加到池中，等等）。

— YLearn

1

是的，但并非总是这样。也许我应该将措辞更改为绕过完整范围的唯一一致方式。

— 埃里克·罗肖

1

只想指出，添加辅助子网也不总是一种选择。该解决方案的危险在于它易于实现，并且通常是反作用方法的结果，并且没有考虑适当的设计。根据我的经验，我通常发现，如果有人定期使用此解决方案，则网络往往会变得“混乱”（路由表中的条目过多，IP使用计划不正确等）。我会选择使用合适的词，而不是始终如一的，这很方便。

— YLearn

我使用辅助地址的时间刚好足以使固定IP地址的打印机传真广告重新寻址，然后我们就摆脱了它

— fredpbaker

2

ip helper-addressVLAN中配置的所有线路都从客户端进行DHCP广播，将路由器的（网关）地址添加到UDP数据包中，然后单播到DHCP服务器。[我确定数据包重写仅完成一次，然后将副本发送到每个DHCP服务器。]配置的所有列出的服务器均通过路由器中继接收DHCPDiscover数据包。

DHCP服务器的冗余不仅取决于您的操作系统，还取决于特定的版本！对于提到的Windows，您的选择范围从Windows 2008 R2中的真正分裂范围到Windows 2012中的活动故障转移冗余。对于不太坚固的DHCP服务器（即Windows 2003），您可以手动配置范围。常见的建议是80/20规则，其中80％的租约配置在您（和您自己）考虑的主DHCP服务器上，而20％和次要配置。排除项由于作用域重叠而被添加到每个DHCP服务器。

由于我不喜欢Windows 2003中范围重叠的对象，因为排除对象往往会被隐藏起来，因此我更愿意为每个DHCP服务器将子网一分为二。客户租约的/ 24块变为两个/ 25块。他们的关键是范围中的子网掩码仍然是/ 24。您在范围内配置的范围内的起始IP地址和结束IP地址遵循/ 25。现在，我确实建议对某些网络设备进行排除，例如VLAN接口IP地址和HSRP，以及针对同一子网中的静态设备（例如打印机）。因此，我排除了前16个（0-15）地址-当然，无论如何都不会使用零地址-并且排除了前16个（240-255）-当然是255个广播。实际上，您可以通过简单地适当地开始和结束IP地址来避免不配置排除项。

手动配置的50/50分割范围（2x / 25 = / 24）中的基本范围信息类似于：

DHCP主要
  下限范围：192.0.2.0/24，开始192.0.2.16，结束192.0.2.127，不排除
DHCP辅助
  范围上限：192.0.2.0/24，开始192.0.2.128，结束192.0.2.239，不排除

如果您喜欢这种方法，请配置相同的合并范围（2x / 24）和适当的排除项：

DHCP主要
  完整范围：192.0.2.0/24，开始192.0.2.16，结束192.0.2.239，排除1-15、128-254
DHCP辅助
  全范围：192.0.2.0/24，开始192.0.2.16，结束192.0.2.239，排除1-127，240-254

由于每个单播的重复DHCPDiscover数据包之间存在如此微小的延迟，因此ip helper-address所有其他条件都相同，因此列出的第一个DHCP服务器通常将是第一个以DHCPOffer 进行响应的服务器，并且由客户端在选择其DHCPRequest时选择的地址-虽然不能保证。因此，首先将主DHCP服务器放置在VLAN的SVI中。客户端通常会收到多个DHCPOffers，并决定最好的一个，通常是第一个收到的。仅在客户端将DHCPRequest发送回服务器后，分配才完成-如果服务器改变了租约的主意，或者不再可访问或？-服务器发送DHCPACK。

接口vlan123
  desl svi for vl123 dhcp中继示例
  IP地址192.0.2.1
  ip helper-address 192.0.4.1！主DHCP服务器
  ip helper-address 192.0.4.2！备用DHCP服务器

在数据VLAN和语音VLAN之间，您可能希望将给定VLAN的主DHCP服务器替代。我这样做是为了帮助稍微分散租赁负载。

如果DHCP服务器的作用域已满，它将不会通过DHCPOffer进行答复，因此，该提议将来自其他DHCP服务器（假设它也未满）。在进行故障排除时，请记住Windows客户端会记住他们上次租用的IP，并尝试再次获取该IP。还请记住，您必须在两台服务器上都进行任何保留，并且要在您拥有的所有ACL（例如防火墙）中进行说明。

有关DHCP中继过程的详细说明和嗅探记录，请参阅了解Catalyst Switch或企业网络中的DHCP并对其进行故障排除。

— 通用网络错误
source

0

所有这些的要点是，DHCP冗余是DHCP服务器问题的80％，您可以执行拆分范围的方法，Windows 2012使您可以在没有群集的情况下进行活动和备用复制。我们只有每日备份（我们使用7天的租约），然后还原到另一个设备或VM。检查您的DHCP服务器软件提供了什么，帮手地址确实是您最少的担心

— 弗雷德贝克
source