目录
01 IP地址分配逻辑
地址池的分配优先级是:DHCP地址池静态绑定> 基于用户组分配IP >基于AM规则分配IP>传统普通动态IP分配
02 IP地址分类及配置介绍
一、IP地址分类
【静态IP类型】
【动态IP地址类型】
【说明】
1、 静态 IP 的业务子网, INC 创建网段下发设备网关 SVI ,终端手动配置对应的静态 IP 地址信息,经准入管控审批后入网
2、 网关设备上可以单独针对设备网管业务配置静态 SVI IP
3、 INC 上面针对业务子网定义为默认地址池(认证后),则终端需认证成功,由 radius 下发 CLASS25 属性,匹配相应的 usergroup 组,由设备完成终端 MAC 与用户组绑定
4、 INC 上面针对动态 IP 的准入管控业务子网,定义为默认地址池,下发特定的 usergroup RG-ONC-PERMIT-GROUP ,导入对应终端的 IP+MAC 绑定信息
5、 INC 上面针对首次入网用户,暂无用户组信息的业务子网,定义为临时地址池,租约时间默认 1min ,可在续租时快速切换到其他组地址
6、 INC 上面针对无关联终端组信息的业务子网定义为区域地址池,通过传统极简的 AM 规则( VLAN+port )来分配希望的精细地址
7、 网关设备上面可以单独针对无线 AP 等业务配置自定义 DHCP pool ,终端延续传统极简按顺序分配地址
二、配置解析
【配置静态IP业务子网】
1、不勾选“动态地址分配”
2、INC下发N18K的配置
interface VLAN 4008
ip address 41.3.0.1 255.0.0.0 //动态IP业务子网网关
ip address 41.9.0.1 255.255.0.0 secondary //静态IP业务子网网关
【配置认证后终端组地址池】
1、选择地址池认证类型:默认(认证后)
2、针对需要认证的策略随行的业务子网,需要创建认证终端组,关联相对应的业务子网
3、INC下发到设备端N18K的配置
ip dhcp pool RG-ONC-IPPOOL-41.7.0.0-255.255.0.0//名称自动生成
solidify//终端组地址池,带solidify属性
user-group student//终端组名称自定义
lease 0 1 0
network 41.7.0.0 255.255.0.0
dns-server 192.168.58.110
default-router 41.7.0.1
user-group student // 生成终端组名称
4、针对非认证的业务子网,比如动态获取地址的需要准入管控的哑终端,需要收集信息,通过Excel模板导入终端IP+MAC;在开启策略随行之后,要针对该业务子网开启免认证。
配置业务子网免认证
5、INC下发到设备端N18K的配置
ip dhcp pool RG-ONC-IPPOOL-10.14.1.0-255.255.255.0//名称自动生成
solidify
user-group RG-ONC-PERMIT-GROUP //终端组名称自动生成
lease 0 1 0
network 10.14.1.0 255.255.255.0
dns-server 192.168.58.110 218.85.157.99
default-router 10.14.1.1
user-group RG-ONC-PERMIT-GROUP
mac 1475.90f9.42bd ip 10.14.1.10 //动态哑终端的IP+MAC绑定信息
【配置认证前临时地址】
1、选择地址池认证类型:普通(认证前)
2、INC下发设备端N18K的配置
ip dhcp pool RG-ONC-IPPOOL-10.51.0.0-255.255.0.0 //名称自动生成
lease 0 0 1 //默认租约时间1min
network 10.51.0.0 255.255.0.0
dns-server 192.168.85.110 218.85.157.99
default-router 10.51.0.1
【配置区域地址池+AM规则】
1、选择地址池认证类型:区域(认证后区域地址池),同时指定关联的subvlan
2、INC下发设备端N18K的配置
address- manage //AM 规则定义可获取的细化 IP ,INC下发或者 N18K 上手动配置
match ip 10.61.0.0 255.255.255.192 vlan 601-602
match ip loose
ip dhcp pool RG-ONC-IPPOOL-10.61.0.0-255.255.255.192 //自动生成
lease 0 1 0
network 10.61.0.0 255.255.255.192
dns-server 192.168.58.110
default-router 10.61.0.1
interface VLAN 2000
ip address 10.12.1.1 255.255.255.0
ip address 10.61.0.1 255.255.255.192 secondary
【N18K通过CLI配置普通地址池】
网关设备端独立CLI配置DHCP POOL,比如给AP的地址池
ip dhcp pool VLAN40
option 138 ip 10.0.1.2 //配置AP的动态地址池
lease 0 8 0
network 10.1.0.0 255.255.255.0
dns-server 192.168.58.110
default-router 10.1.0.254
interface VLAN 40
description JXL-AP-mgt
ip address 10.1.0.254 255.255.255.0
03 IP地址监控
一、INC上IP地址可视化管理
注意:IP地址监控可以看到IP使用率的情况:
认证终端,准入终端:dhcp获取地址的——都可以看到
准入终端:静态地址——可以看到
认证终端:静态地址——看不到,无法进行IP地址管理
【全网IP地址资源利用率】
【业务子网IP可视化查看--图表】
图示状态信息:已分配在线/已分配未知/已分配离线/可分配/保留/搜索IP/冲突IP
【IP地址分配信息--列表】
【认证终端的在线信息】
二、 业务网关N18K上的IP地址维护命令
N18K#show ip dhcp binding //查看分配的地址租约,solidify代表终端组属性
Total number of clients : 20
Expired clients : 14
Running clients : 6
IP address Hardware address Lease expiration Type
10.51.0.6 704d.7b3d.edad 000 days 00 hours 00 mins Automatic //临时地址池
10.21.0.6 000c.2950.0017 000 days 03 hours 55 mins Solidify
N18K#show ip dhcp snooping binding
NO. MACADDRESS IPADDRESS LEASE(SEC) TYPE VLAN INNER-VLAN VXLAN INTERFACE
1 000c.2950.0017 10.21.0.6 11878 DHCP-Snooping 2200 200 0 GigabitEthernet 1/2
N18K#show ip dhcp user-group //查看所有的终端组与MAC的绑定关系
NO.1 1475.90f9.42bd in user-group RG-ONC-PERMIT-GROUP
NO.3 000c.2966.8888 in user-group 管理员GLY
N18K#show ip dhcp user-group summary//查看每个终端组地址池的IP分配数
Total number of user group: 4
Total number of user : 26
user-num group-name
---------- ------------------------
4 学生XS
10 老师LS
5 RG-ONC-PERMIT-GROUP
7 管理员GLY
04 动态IP终端的泛载
一、原理介绍:
高校里部署特殊终端需要进行IP地址永久固定,终端每次入网都可以通过DHCP获取到同一个IP地址,可以在对应的用户组下进行MAC+IP的绑定固定
二、控制器及设备配置:
1、在策略》终端管理,创建分组并关联上述动态哑终端业务子网。
2、配置完成后,控制器给设备下发如下配置
ip dhcp pool RG-ONC-IPPOOL-10.14.1.0-255.255.255.0
solidify
user-group RG-ONC-PERMIT-GROUP--------------------表示非认证终端组
lease 0 1 0
network 10.14.1.0 255.255.255.0
dns-server 192.168.58.110
default-router 10.14.1.1
3、如何使得动态哑终端获取到上述地址池的地址,方法有2个:
1)手动新增。
新增完成后,变成准入成功状态
准入成功会下发ip+mac绑定的命令
user-group RG-ONC-PERMIT-GROUP
mac 1457.90f9.42bd ip 10.14.1.10-----------准入成功新下发的命令
2)exclet表导入。可以先点击下载来下载表格模板,按照表格模板填写表格,再点击终端导入将表格导入。
导入完成后变成准入成功状态,同时下发ipmac绑定命令到用户组下,同上。
4、下发绑定之后,该mac的用户dhcp申请地址则申请到固定ip。可以通过show ip dhcp b 查看。
DUT1#show ip dhcp binding
Total number of clients : 59999
Expired clients : 59998
Running clients : 1IP address Hardware address Lease expiration Type
10.14.1.10 1457.90f9.42bd 000 days 00 hours 59 mins Solidify
【设备配置】
//可选
user-group RG-ONC-PERMIT-GROUP
mac 0011.2233.7788 ip 10.14.1.10 -----------CLI手动在设备上配置绑定命令
三、注意事项
1、动态哑终端子网如果需要通过excel表导入终端和ip的关系,需要事先搜集好mac,根据mac规划终端ip
05 DHCP relay广播转单播(安全优化)
一、原理介绍:
极简X网络中,如果18k核心交换机配置了DHCP relay功能,那么当DHCP server 回复的OFFER、ACK报文到达DHCP relay时,DHCPrelay会将单播报文转为广播报文发送到DHCP client,这时如果网络中有攻击者,他就会通过该报文获取到终端的ip等信息。
出于安全方面的考虑,极简X 方案中引入了DHCP relay广播转单播功能,18k会将DHCP OFFER、ACK报文通过单播的形式发送到client,配置方法如下:
ruijie(config)#service dhcp
ruijie(config)#int vlan 4001
ruijie(config-if-VLAN 4001)#ip helper-address 192.168.100.1
ruijie(config-if-VLAN 4001)#ip address 192.168.200.1 255.255.255.0
ruijie(config-if-VLAN 4001)#ip dhcp relay always-unicast
06 DHCP信息同步与定位配置举例
一、原理介绍:
设备将分配出去的IP地址信息同步到SDN控制器,在SDN控制器页面上可以查看分配出去的IP地址,从而进行管理。DHCP同步功能默认开启。
开启DHCP同步功能后,SDN控制器上可以进行:1、每个动态业务子网地址池的实时IP分配情况,2、每个动态业务子网地址池的IP使用率。
二、控制器及设备配置:
【设备配置】
核心N18K设备上:
ip dh server notification batch disable //选配,关闭dhcp同步控制器功能(不建议关闭,默认开启)
no ip dh server notification batch disable //选配,重新打开dhcp同步控制器功能
接入设备上配置mac trap通告控制器:
mac-address-table notification //【必配】mac通告
!
interface GigabitEthernet 0/16 //【必配】接入全部端口都需要配置
switchport protected
snmp trap mac-notification added //mac地址添加消息使能
snmp trap mac-notification removed //mac地址删除消息使能
switchport access vlan 550!
snmp-server host 172.18.31.3 informs version 2c comefrom2
snmp-server host 172.18.31.3 traps version 2c comefrom2
snmp-server enable traps //【必配】配置trap,inform通告控制器
snmp-server community ruijie rw //【必配】接入设备团体字,与控制器SNMP协议连接
【控制器配置】
无
三、注意事项:
1、设备和控制器存在部分情况无法实时同步上下线信息的情况,控制器会在每天凌晨2点做一次统一校验同步。
2、只有当接入设备重新学习到终端的MAC后通告控制器,控制器才能显示出对应的接入设备端的接入位置。
3、mac trap 通告当前最多支持1000个mac,100pps速率,超过这个则可能会丢包。
四、效果展示:
1.SDN控制器上监控各个动态业务子网地址池的利用率,超过70%将会告警
2.SDN控制器上点开业务子网,可以查看业务子网同步到实时分配的IP地址信息,已分配ip有在线(mac trap有通告上线)、下线(mac老化或被clear)、未知(mac trap没通告或丢包)三种状态。
07 DHCP信息保存同步
一、设备重启导致DHCP与用户组信息丢失场景
设备通过认证获取终端MAC与用户组的绑定信息,然后根据终端组信息分配不同的IP网段地址。如果设备整机发生重启(或升级),会造成DHCP在线租约表项信息丢失可能造成IP地址冲突,并且终端与用户组绑定信息表丢失,所有认证终端都要再进行一次获取临时IP地址认证的情况。为了避免出现上述问题,需要把DHCP表项信息和终端的用户组信息绑定表写入到FLASH文件中,一旦设备发生整机重启,设备启机后就会从FLASH文件中恢复这些重要信息。
【DHCP信息写flash配置】
ip dhcp database enable //【必配】配置写FLASH文件,默认时间间隔为1天,从配置的时间点作为时间起点
ip dhcp database enable timing at 2:55 //【选配】指定时间点写FLASH文件
ip dhcp database enable interval 86400 //【选配】配置写FLASH文件的时间间隔,推荐默认的1天,以防过频繁写FLASH造成擦写FLASH异常
ip dhcp database update-now //【选配】配置即可执行写FLASH文件
【DHCP snooping信息写flash配置】
ip dhcp snooping database write-delay 86400 //【选配】配置写FLASH文件的时间间隔1天,以防过频繁写FLASH造成擦写FLASH异常
ip dhcp snooping database write-to-flash //【选配】配置即可执行写FLASH文件
【用户组信息写flash配置】
user-group database enable //【选配】终端用户组信息写FLASH文件(设备默认已经开启该功能)
user-group database update-now //【选配】终端用户组信息即刻写FLASH文件,隐藏命令
二、DHCP信息同步控制器与定位场景
设备将分配出去的IP地址信息同步到SDN控制器,在SDN控制器页面上可以查看分配出去的IP地址,从而进行管理。DHCP同步功能默认开启。
l 设备和控制器 可能存在 DHCP 信息 不一致 ,控制器会在每天凌晨2点做一次统一校验同步。
l 搭配接入设备的 SNMP trap ,可以实现终端用户的定位及上下线记录。
l mac trap 通告当前最多支持1000个mac,100pps速率,超过可能会丢包。
【核心设备N18K配置】
ip dh server notification batch disable //选配,关闭dhcp同步控制器功能(不建议关闭)
no ip dh server notification batch disable //选配,重新打开dhcp同步控制器功能
【接入设备配置】
snmp-server community (key) rw //【必配】接入设备团体字,与控制器SNMP协议连接
snmp-server enable traps //【必配】使能traps
snmp-server host (onc-ip) informs version 2c (key) //【必配】配置inform通告控制器
mac-address-table notification // 【必配】全局使能mac地址消息通告
interface x/x //【必配】接入端口配置
snmp trap mac-notification added //mac地址添加消息使能
snmp trap mac-notification removed //mac地址删除消息使能
【INC上DHCP在线信息同步】
认证终端的在线信息
IP地址分配信息列表
4680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
