Внедрение DHCP option 82
Доброго времени суток.
Сложилось так, что сеть разрослась до огромных размеров. И построена она на всяком разношерстном барахле.
После того, как в сеть вошли узлы, которые по-сути не контролируются администраторами основного сегмента (ну это уже временные организационные издержки), а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную), б) были зафиксированы случаи появления Rogue DHCP (опять же рукоблудие пользователей и несанкционированные устройства), в) случалось, что ПЭВМ перемещались по помещениям бесконтрольно, несанкционировано подключаясь к сети (что тоже приводит к полной энтропии), г) в сети обнаруживались совершенно недопустимые устройства.
Разумеется на дисциплинарные меры полагаться нельзя (да и не всегда работает), сеть должны быть устойчивой к подобным явлениям.
Вижу решение в следующем:
Приобрести одинаковые управляемые коммутаторы, которые поддерживают DHCP option 82 (в релее) и DHCP snooping (в идеале вообще нечто всецело запрещающее передачу с IP, не полученных с доверенного DHCP) + поднять таки приличный DHCP сервер в сети (и лучше даже не один, т.к. сеть физически очень большая, сбой канала не должен приводить к неработоспособности большого количества узлов (а используется в т.ч. и VPN, что не добавляет надежности); иными словами по серверу в каждый филиал и по отдельному диапазону в едином адресном пространстве с ограничением иных серверов). DHCP сервер в WS 2008R2 малопригоден для подобных задач, насколько я понимаю (сильно повышается трудоемкость обслуживания: если поднимать ту же opt82, то придется все документировать), посему DHCP желательно поднять на чем-то поприличней, чем на WS (мб на некоторых коммутаторах и поднять).
Теперь встал вопрос о том, на чем же построить такую инфраструктуру? На Cisco и Junniper явно средства не выделят (да и с последним имею негативный опыт общения). Mikrotik как-то не серьезно (хотя с Mikrotik RB проще и удобнее всего было бы разворачивать, много замысловатых конфигураций доводилось строить на всяческих RB — гибкая, интуитивная и продуманная штука, эта RouterOS), хотя я и уверен, что оно вышло бы и дешевле и по производительности было бы достаточно. Mikrotik здесь никто серьезно не воспринимает (кроме меня, впрочем).
В данный момент сеть состоит из кучи разнородных гигабитных коммутаторов (более-менее живых и умирающих, неуправляемых и управляемых, которые никем и ничем в данный момент не управляются), преимущественно D-Link.
Option 82 windows server 2008 r2
The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
Visit Microsoft Q&A to post new questions.
Answered by:
Question
I have changed from ISC DHCP to Win2k8R2 DHCP cluster (lastest update on Feb, 2012), providing IP for IPTV network.
I have encoutered a problem : after changing from ISC DHCP to MS DHCP, many clients cannot get IP.
Topology : client —> dslam (option82 enabled) —> router (as dhcp relay) —> DHCP cluster
After troubleshooting, the reason is : DHCP Discover is inserted with Option82, the ISC returns DHCP Offer with original option82 inside, but MS DHCP returns DHCP Offer without Option82. This cause the dslam drop packet.
The dslam drop packet is Zyxel. If option82 is disabled, users can get IP OK. Another dslam — from Huawei — does not drop that packet. Its users can get IP OK.
I tried to set predefined option82 to MS DHCP but server cannot include option82 in Offer messages.
Does anyone know how to fix this ? Or how to report problem to Microsoft ?
Answers
See if the following help. I also offered a «what is it» link for others that my be following this thread.
What is DHCP Option 82?
Quoted: «To put it simply, DHCP Option 82 is the «DHCP Relay Agent Information Option. Wasn’t that easy? Option 82 was designed to allow a DHCP Relay Agent to insert circuit specific information into a request that is being forwarded to a DHCP server. Specifically the option works by setting two sub-options: Circuit ID and Remote ID.»
http://slaptijack.com/networking/what-is-dhcp-option-82/
There are no known issues around option 82. If your dhcp client honors this option, definining it at Microsoft DHCP Server side should work for you.
http://social.technet.microsoft.com/Forums/en-US/winserverNIS/thread/0675017f-932e-4f59-8f02-6c5ea1c5baa3
Microsoft Windows DHCP Team Blog: Option 082:
You will need to use a «DHCP Server Callout API» to make this work:
Quoted: «Below is a sample callout code which enables option 82 support with Microsoft DHCP Server. DHCP option 82 is “DHCP Relay Agent Information Option” and allows a DHCP Relay Agent to insert circuit specific information into a request that is being forwarded to a DHCP Server.
Microsoft DHCP Server currently drops option 82 in the response packets. This callout DLL stores option 82 inside packet context in DhcpNewPktHook and then adds the option back in the DhcpPktSendHook using the information stored in packet context.»
http://blogs.technet.com/b/teamdhcp/archive/2009/07/06/dhcp-server-callout-api-usage.aspx
Ace Fekay
MVP, MCT, MCITP Enterprise Administrator, MCTS Windows 2008 & Exchange 2007 & Exchange 2010, Exchange 2010 Enterprise Administrator, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP — Directory Services
Complete List of Technical Blogs: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
This posting is provided AS-IS with no warranties or guarantees and confers no rights.
Option 82 windows server 2008 r2
The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
Visit Microsoft Q&A to post new questions.
Answered by:
Question
Our network guys want to implement DHCP option 82 or ‘DHCP snooping’ which provides additional security on the network and prevents unauthorised DHCP servers from responding to DHCP messages sent from clients.
Has anyone any experience of configuring this in Windows 2003 DHCP? There appears to be little info on this on the net
As its not a standard option it needs defining, its the options required I’m a little unsure of.
Name: Relay Agent Information
DataType: Byte Array /
Description: Custom option 82
Any ideas would be most welcome, thanks, Rob
Answers
There are no known issues around option 82. If your dhcp client honours this option, definining it at Microsoft DHCP Server side should work for you.
Let us know if you face any issues.
All replies
There are no known issues around option 82. If your dhcp client honours this option, definining it at Microsoft DHCP Server side should work for you.
Let us know if you face any issues.
Is there any documentation available for the configuration of this?
Sounds like there is some confusion about option 82. This is not an option defined on the DHCP server, it is rather an option field attached to DHCPDISCOVER and REQUEST packets inserted by a DHCP relay agent. Service providers and large enterprises might use this functionality to keep DHCP from being flooded in a VLAN/subnet and making DHCP more secure. Some DHCP servers can limit leases based on the circuit ID provided in the option 82 fields.
Can someone answer the question does Windows Server 2003 leave this option in tact in the replies or does it strip the option out? The relay agent obviously needs the option there to determine which port to return the DHCP traffic to. We are currently on Win2003 DHCP and would like this option to work if at all possible.