تحريت DHCP في طبقة 2 فقط VLAN - لاسلكي
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يتحرى DHCP لنقاط النهاية اللاسلكية في طبقة-2 فقط شبكة في SD-منفذ (SDA) بناء.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إعادة توجيه بروتوكول الإنترنت (IP)
- بروتوكول فصل المعرف/محدد الموقع (LISP)
- الوضع المتناثر للبث المتعدد دون الاعتماد على بروتوكول محدد (PIM)
- الاتصال اللاسلكي الذي تم تمكينه عبر البنية
متطلبات الأجهزة والبرامج
- المحولات من السلسلة Catalyst 9000
- Catalyst Center، الإصدار 2.3.7.9
- وحدات التحكم Catalyst 9800 Series Wireless LAN Controllers
- نقاط وصول Catalyst 9100 Series
- برنامج Cisco IOS® XE 17.12 والإصدارات الأحدث
القيود
-
يمكن أن تنقل حدود L2 واحدة فقط شبكة VLAN/VNI فريدة في نفس الوقت، ما لم يتم تكوين آليات منع التكرار الحلقي القوية، مثل برامج FlexLink+ أو IM النصية لتعطيل الارتباطات، بشكل صحيح.
نظرة عامة على المستوى الثاني فقط
نظرة عامة
في عمليات نشر الوصول إلى SD النموذجية، تكمن حدود L2/L3 في حافة البنية (FE)، حيث تستضيف FE بوابة العميل في شكل SVI، والتي غالبا ما تسمى "عبارة AnyCast". يتم إنشاء شبكات L3 الظاهرية (VNIs) (الموجهة) لحركة المرور بين الشبكات الفرعية، بينما تقوم شبكات VNI من L2 (المحولة) بإدارة حركة المرور بين الشبكات الفرعية. تتيح التهيئة المتناسقة عبر جميع شبكات التخزين (FE) إمكانية تجوال العميل بسلاسة تامة. تم تحسين إعادة التوجيه: يتم ربط حركة المرور داخل الشبكة الفرعية (L2) مباشرة بين شبكات الإنترنت (FEs)، ويتم توجيه حركة مرور البيانات بين الشبكات الفرعية (L3) إما بين شبكات الإنترنت الخاصة (FE) أو بين شبكات الإنترنت الخاصة (FE) وعقدة حد.
بالنسبة لنقاط النهاية في بنى SDA التي تتطلب نقطة دخول شبكة دقيقة خارج البنية، يجب أن توفر بنية SDA قناة L2 من الحافة إلى بوابة خارجية.
وهذا المفهوم مماثل لعمليات النشر التقليدية لمجمعات إيثرنت حيث تتصل شبكة وصول من الطبقة 2 بموجه من الطبقة 3. تظل حركة مرور البيانات بين شبكات VLAN داخل شبكة L2، بينما يتم توجيه حركة مرور البيانات بين شبكات VLAN بواسطة جهاز L3، غالبا ما ترجع إلى شبكة VLAN مختلفة على شبكة L2.
ضمن سياق LISP، يتتبع مستوى التحكم في الموقع بشكل أساسي عناوين MAC وارتباطات MAC إلى IP المقابلة لها، مثل إدخالات ARP التقليدية. تم تصميم مجموعات الشبكات الخاصة الظاهرية (VNI) من المستوى الثاني/المستوى الثاني فقط لتسهيل التسجيل والحل وإعادة التوجيه بشكل حصري استنادا إلى هذين النوعين من أيام العيد. وبالتالي، فإن أي إعادة توجيه قائمة على LISP في بيئة خاصة بالطراز L2 فقط تعتمد فقط على معلومات عناوين MAC و MAC إلى IP، وتتجاهل تماما عناوين IPv4 أو IPv6. ولتكملة هذه العطلات، تعتمد مجمعات المستوى الثاني فقط بشكل كبير على آليات الفيضان والتعلم، على غرار سلوك المحولات التقليدية. وبالتالي، تصبح فيضان L2 مكونا هاما لمعالجة حركة مرور البث والبث الأحادي غير المعروف والبث المتعدد (BUM) ضمن هذا الحل، ويتطلب إستخدام البث المتعدد الأساسي. وعلى العكس من ذلك، تتم إعادة توجيه حركة مرور البث الأحادي العادية باستخدام عمليات إعادة توجيه LISP القياسية، بشكل أساسي عبر ذاكرات التخزين المؤقت للخريطة.
تحتفظ كل من حواف البنية و"حدود L2" (L2B) بشبكات L2 VNIs، والتي يتم تعيينها إلى شبكات VLAN المحلية (هذا التخطيط هو محلي ذو أهمية بالنسبة للجهاز داخل SDA، مما يسمح لشبكات VLAN المختلفة بالتعيين إلى نفس VNI L2 عبر العقد). في حالة الاستخدام هذه تحديدا، لم يتم تكوين SVI على شبكات VLAN هذه في هذه العقد، مما يعني عدم وجود L3 VNI المقابلة.
تغيير سلوك DHCP في شبكات VLAN من L2 فقط
في تجمعات عبارة AnyCast، يمثل DHCP تحديا لأن كل Fabric Edge يعمل كبوابة لنقاط النهاية المتصلة مباشرة بها، مع نفس العبارة IP عبر جميع شبكات الإنترنت (FEs). لتحديد المصدر الأصلي لحزمة DHCP المنقولة بشكل صحيح، يجب أن تدخل FEs خيار DHCP 82 والخيارات الفرعية الخاصة به، بما في ذلك معلومات LISP RLOC. ويتم تحقيق ذلك مع التطفل على بروتوكول DHCP على شبكة VLAN الخاصة بالعميل في حافة البنية. يعمل التطفل على بروتوكول DHCP على تحقيق غرض مزدوج في هذا السياق: هو يسهل إدراج الخيار 82، و بشكل حاسم، يمنع فيض حزم بث DHCP عبر الجسر-المجال (VLAN/VNI). حتى عند تمكين فيضان الطبقة 2 لعبارة AnyCast، يؤدي التطفل على بروتوكول DHCP بشكل فعال إلى منع حزمة البث من إعادة توجيهها خارج حافة البنية كبث.
في المقابل، تفتقد طبقة 2 فقط VLAN بوابة، أي يبسط تعريف مصدر DHCP. بما أن الحزم لا تنقل بواسطة أي حواف نسيج، فإن الآليات المعقدة لتعريف المصدر غير ضرورية. بدون التطفل على بروتوكول DHCP على شبكة VLAN الخاصة بالمستوى الثاني فقط، يتم تجاوز آلية التحكم في الفيضانات لحزم DHCP بشكل فعال. وهذا يسمح بإعادة توجيه عمليات بث DHCP عبر فيضان L2 إلى الوجهة النهائية، والتي يمكن أن تكون خادم DHCP المتصل مباشرة بعقدة بنية أو جهاز من الطبقة 3 يوفر وظيفة ترحيل DHCP.
تحذير: تنشط وظائف "IP المتعدد إلى MAC" ضمن مجموعة L2 فقط التطفل على DHCP تلقائيا في وضع Bridge VM، الذي يفرض التحكم في طوفان DHCP. وبالتالي، فإن هذا يجعل تجمع L2 VNI غير قادر على دعم DHCP لنقاط النهاية الخاصة به.
البث المتعدد للأسفل
نظرا لاعتماد DHCP الشديد على حركة مرور البث، يجب الاستفادة من فيضان الطبقة 2 لدعم هذا البروتوكول. كما هو الحال مع أي تجمع آخر L2 يمكن أن يغمر، الشبكة الأساسية يجب أن تكون شكلت لحركة مرور البث المتعدد، تحديدا أي مصدر-multicast يستعمل PIM Sparse-mode. بينما يتم إجراء تكوين تحت البث المتعدد تلقائيا عبر سير عمل أتمتة شبكة LAN، إذا تم حذف هذه الخطوة، يلزم تكوين إضافي (يدوي أو قالب).
- قم بتمكين توجيه IP للبث المتعدد على جميع العقد (الحدود والحواف والعقد الوسيطة، وما إلى ذلك).
- قم بتكوين وضع تناثر PIM على واجهة Loopback0 لكل عقدة حد وحافة.
- قم بتمكين الوضع المتناثر ل PIM على كل واجهة IGP (بروتوكول التوجيه السفلي).
- قم بتكوين نقطة إعادة توجيه PIM (RP) على جميع العقد (الحدود والحواف والعقد الوسيطة)، ويتم تشجيع وضع RP على الحدود.
- التحقق من جيران PIM و PIM RP وحالة نفق PIM.
البث عبر واجهات نفق الوصول
تقوم الشبكة اللاسلكية التي تدعم البنية باستخدام وظائف التحويل المحلي ووظائف VTEP في نقطة الوصول (AP) و FE. ومع ذلك، يمنع تحديد IOS-XE 16.10+ إعادة توجيه بث المخرج عبر VXLAN إلى نقاط الوصول. في شبكات L2 فقط، يمنع هذا DHCP Offers/ACKs من الوصول إلى العملاء اللاسلكيين. وتعالج ميزة "نفق الوصول إلى الفيضان" هذا الأمر من خلال تمكين إعادة توجيه البث على واجهات نفق وصول Fabric Edge.
المخطط
طوبولوجيا الشبكة
في هذه الطوبولوجيا:
- 192.168.0.201 و 192.168.0.202 هي حدود مجمعة لموقع البنية، BorderCP-1 هو الحد الوحيد مع تمكين ميزة عدم الوصول من الطبقة 2.
- 192.168.0.101 و 192.168.0.102 هي عقد Fabric Edge
- 172.16.1.7 هي نقطة الوصول في الشبكة الداخلية الظاهرية (VN) مع شبكة VLAN 1021
- 192.168.254.39 هو خادم DHCP
- وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية هي 192.168.254.69
- 4822.54dc.6a15 هي نقطة النهاية التي تدعم DHCP
- يعمل جهاز Fusion كترحيل DHCP للشبكات الفرعية الخاصة بالبنية.
L2 فقط VLAN تشكيل
L2 فقط VLAN نشر من مادة حفازة مركز
المسار: الشبكات الظاهرية من المستوى الثاني / Catalyst Center / التزويد / موقع البنية / الشبكات الظاهرية من المستوى الثاني / تحرير الشبكات الظاهرية من الطبقة 2
تكوين L2VNI مع الاتصال اللاسلكي الذي يدعم البنية
L2 فقط VLAN تشكيل - بناء حواف
تحتوي عقد Fabric Edge على شبكة VLAN التي تم تكوينها مع تمكين CTS و IGMP و IPv6 MLD معطل، بالإضافة إلى تكوين L2 LISP المطلوب. هذا التجمع من المستوى الثاني فقط عبارة عن تجمع لاسلكي؛ لذلك، يتم تكوين الميزات الموجودة عادة في تجمعات L2 اللاسلكية فقط، مثل RA-Guard و DHCPGuard ونفق الوصول إلى الفيضان. لم يتم تمكين غمر ARP على تجمع لاسلكي.
تكوين Fabric Edge (192.168.0.101)
ipv6 nd raguard policy dnac-sda-permit-nd-raguardv6device-role routeripv6 dhcp guard policy dnac-sda-permit-dhcpv6device-role servervlan configuration1031ipv6 nd raguard attach-policy dnac-sda-permit-nd-raguardv6ipv6 dhcp guard attach-policy dnac-sda-permit-dhcpv6cts role-based enforcement vlan-list 1031vlan 1031name L2_Only_Wirelessip igmp snooping querier
no ip igmp snooping vlan 1031 querierno ip igmp snooping vlan 1031no ipv6 mld snooping vlan 1031router lispinstance-id 8240remote-rloc-probe on-route-changeservice etherneteid-table vlan 1031broadcast-underlay 239.0.17.1flood unknown-unicast
flood access-tunnel 232.255.255.1 vlan 1021database-mapping mac locator-set rloc_91947dad-3621-42bd-ab6b-379ecebb5a2bexit-service-ethernet
يتم تكوين الأمر tunnel access للفيضانات في تباين النسخ المتماثل للبث المتعدد الخاص به، حيث يتم تضمين جميع حركة مرور بيانات بروتوكول إدارة مجموعات الإنترنت (BUM) إلى نقاط الوصول باستخدام مجموعة البث المتعدد الخاصة بالمصدر (232.255.255.1) باستخدام نقطة وصول الشبكة المحلية الظاهرية (VLAN) لشبكة VLAN التي يتم إستشارتها من قبل إستطلاع بروتوكول إدارة مجموعات الإنترنت (IGMP) لإعادة توجيه حركة مرور بيانات بروتوكول الإنترنت (BUM).
L2 فقط تشكيل VLAN - لاسلكي lan جهاز تحكم
على جانب وحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، يجب تكوين علامات الموقع المرتبطة بنقاط الوصول إلى البنية باستخدام "لا توجد نقاط وصول في الوضع المؤقت ل ARP-FABRIC" لتعطيل وظائف ARP للوكيل. وبالإضافة إلى ذلك، يجب تمكين "fabric ap-dhcp-broadcast"، حيث يسمح هذا التكوين بإعادة توجيه حزم بث DHCP من نقطة الوصول إلى نقاط النهاية اللاسلكية.
تشكيل WLC نسيجي (192.168.254.69)
wireless tag site RTP-Site-Tag-3description "Site Tag RTP-Site-Tag-3"no fabric ap-arp-cachingfabric ap-dhcp-broadcast
تلميح: مجموعة البث المتعدد اللاسلكي 232.255.255.1 هي المجموعة الافتراضية المستخدمة بواسطة جميع علامات الموقع.
WLC#show wireless tag site detailed RTP-Site-Tag-3Site Tag Name : RTP-Site-Tag-3Description : Site Tag RTP-Site-Tag-3----------------------------------------AP Profile : default-ap-profileLocal-site : YesImage Download Profile: defaultFabric AP DHCP Broadcast : EnabledFabric Multicast Group IPv4 Address : 232.255.255.1RTP-Site-Tag-3 Load : 0
تهيئة اليد من المستوى الثاني (حد البنية)
من منظور عملياتي، ال DHCP نادل (أو مسحاج تخديد/ترحيل) سمحت أن يكون ربطت إلى أي بناء عقدة، بما في ذلك كلا من الحدود والحواف.
إستخدام العقد الحدودية لتوصيل خادم DHCP هو النهج الموصى به، ومع ذلك، يتطلب دراسة التصميم بعناية. وذلك لأنه يجب تكوين الحدود للتسليم من المستوى الثاني على أساس كل واجهة. هذا يسمح ال fabric بركة أن يكون سلمت إلى إما ال نفسه VLAN مثل ضمن ال fabric أو مختلف واحد. هذه المرونة في معرفات شبكات VLAN بين حواف البنية والحدود ممكنة لأن كلا منهما تم تعيينه إلى نفس معرف مثيل L2 LISP. يجب عدم تمكين المنافذ المادية للتسليم من المستوى الثاني في نفس الوقت مع شبكة VLAN نفسها لمنع تكرارات حلقية من الطبقة 2 داخل شبكة الوصول إلى SD. لمزيد من التكرار، يلزم توفر برامج نصية مثل StackWise Virtual أو FlexLink+ أو IM.
في المقابل، لا يتطلب توصيل خادم DHCP أو موجه البوابة بحافة البنية تكوينا إضافيا.
تهيئة L2 يدويا
تكوين حدود البنية/بروتوكول التحكم في الإنترنت (192.168.0.201)
ipv6 nd raguard policy dnac-sda-permit-nd-raguardv6device-role routeripv6 dhcp guard policy dnac-sda-permit-dhcpv6device-role servervlan configuration 31ipv6 nd raguard attach-policy dnac-sda-permit-nd-raguardv6ipv6 dhcp guard attach-policy dnac-sda-permit-dhcpv6cts role-based enforcement vlan-list 31vlan 31name L2_Only_Wirelessip igmp snooping querier
no ip igmp snooping vlan 1031 querierno ip igmp snooping vlan 1031no ipv6 mld snooping vlan 1031router lispinstance-id 8240remote-rloc-probe on-route-changeservice etherneteid-table vlan 31broadcast-underlay 239.0.17.1flood unknown-unicast
flood access-tunnel 232.255.255.1 vlan 1021database-mapping mac locator-set rloc_91947dad-3621-42bd-ab6b-379ecebb5a2bexit-service-ethernetinterface TenGigabitEthernet1/0/44switchport mode trunk<--DHCP Relay/Server interface
تمكين البث المتعدد اللاسلكي
يتم تكوين حواف البنية لإعادة توجيه حزم البث إلى نقاط الوصول عبر آلية نفق وصول الفيضان. يتم تضمين هذه الحزم في مجموعة البث المتعدد 232.255.255.1 على شبكة VLAN الداخلية-VN. تنضم نقاط الوصول تلقائيا إلى مجموعة البث المتعدد هذه، حيث تم تكوين علامة الموقع الخاصة بها مسبقا لاستخدامها.
WLC#show ap name AP1 config general | i SiteSite Tag Name : RTP-Site-Tag-3WLC#show wireless tag site detailed RTP-Site-Tag-3Site Tag Name : RTP-Site-Tag-3Description : Site Tag RTP-Site-Tag-3----------------------------------------AP Profile : default-ap-profileLocal-site : YesImage Download Profile: defaultFabric AP DHCP Broadcast : EnabledFabric Multicast Group IPv4 Address : 232.255.255.1RTP-Site-Tag-3 Load : 0
من نقطة الوصول، على اقتران نقطة نهاية لاسلكية للنسيج، يتم تكوين نفق VXLAN (ديناميكي على جانب نقطة الوصول، دائما في جانب Fabric Edge). ضمن هذا النفق، يتم التحقق من مجموعة البث المتعدد لبنية CAPWAP باستخدام أوامر من محطة AP الطرفية.
AP1#show ip tunnel fabricFabric GWs Information:Tunnel-Id GW-IP GW-MAC Adj-Status Encap-Type Packet-In Bytes-In Packet-Out Bytes-out1 192.168.0.101 00:00:0C:9F:F2:BC Forward VXLAN 1117063026 1019814432 1116587492 980205146AP APP Fabric Information:GW_ADDR ENCAP_TYPE VNID SGT FEATURE_FLAG GW_SRC_MAC GW_DST_MACAP1#show capwap mcastIPv4 Multicast:Vlan Group IP Version Query Timer Sent QRV left Port0 232.255.255.1 2 972789.691334200 140626 2 0
من جانب Fabric Edge، تأكد من تمكين التطفل على بروتوكول IGMP لشبكة VLAN الخاصة بنقطة الوصول INFRA-VN، وقد شكلت نقاط الوصول واجهة نفق وصول وانضمت إلى مجموعة البث المتعدد 232.255.255.1
Edge-1#show ip igmp snooping vlan 1021 | i IGMPGlobal IGMP Snooping configuration:IGMP snooping : EnabledIGMPv3 snooping : EnabledIGMP snooping : EnabledIGMPv2 immediate leave : DisabledCGMP interoperability mode : IGMP_ONLYEdge-1#show ip igmp snooping groups vlan 1021 232.255.255.1Vlan Group Type Version Port List-----------------------------------------------------------------------1021 232.255.255.1 igmp v2 Te1/0/12 ----- Access Point PortEdge-1#show device-tracking database interface te1/0/12 | be NetworkNetwork Layer Address Link Layer Address Interface vlan prlvl age state Time leftDH4 172.16.1.7 dc8c.3756.99bc Te1/0/12 1021 0024 1s REACHABLE 251 s(76444 s)Edge-1#show access-tunnel summaryAccess Tunnels General Statistics:Number of AccessTunnel Data Tunnels = 1Name RLOC IP(Source) AP IP(Destination) VRF ID Source Port Destination Port------ --------------- ------------------ ------ ----------- ----------------Ac2 192.168.0.101 172.16.1.7 0 N/A 4789<snip>
تؤكد عمليات التحقق هذه نجاح تمكين البث المتعدد اللاسلكي عبر نقطة الوصول وحافة البنية ووحدة التحكم في الشبكة المحلية اللاسلكية.
تدفق حركة مرور DHCP
اكتشاف DHCP وطلبه - الجانب اللاسلكي
تدفق حركة المرور - اكتشاف DHCP والطلب في L2 فقط
التعرف على حالة نقطة النهاية اللاسلكية ونقطة الوصول المتصلة الخاصة بها وخصائص البنية المقترنة.
WLC#show wireless client summary | i MAC|-|4822.54dc.6a15MAC Address AP Name Type ID State Protocol Method Role-------------------------------------------------------------------------------------------------------------------------4822.54dc.6a15 AP1 WLAN 17 Run 11n(2.4) MAB LocalWLC#show wireless client mac 4822.54dc.6a15 detail | se AP Name|Policy Profile|FabricAP Name: AP1Policy Profile : RTP_POD1_SSID_profileFabric status : EnabledRLOC : 192.168.0.101VNID : 8232SGT : 0Control plane name : default-control-plane
من المهم التأكد من تعطيل كل من ميزات التحويل المركزي و DHCP المركزية على ملف تعريف السياسة. يجب تكوين الأوامر "no central dhcp" و"no central switching" على ملف تعريف السياسة ل SSID.
WLC#show wireless profile policy detailed RTP_POD1_SSID_profile | i CentralFlex Central Switching : DISABLEDFlex Central Authentication : ENABLEDFlex Central DHCP : DISABLEDVLAN based Central Switching : DISABLED
تؤكد هذه التحقق أن نقطة النهاية متصلة ب "AP1"، والتي ترتبط ب Fabric Edge RLOC 192.168.0.101. وبالتالي، يتم تضمين حركة المرور الخاصة بها عبر VXLAN مع VNID 8232 للإرسال من نقطة الوصول إلى حافة البنية.
اكتشاف DHCP وطلبه - حافة البنية
تعلم MAC باستخدام إعلام WLC
أثناء ضم نقطة النهاية، يقوم WLC بتسجيل عنوان MAC لنقطة النهاية اللاسلكية باستخدام مستوى التحكم في البنية. وفي الوقت نفسه، يعلم مستوى التحكم عقدة حافة البنية (التي تتصل بها نقطة الوصول) لإنشاء إدخال تعلم MAC خاص "CP_LEARN"، مشيرا إلى واجهة نفق وصول نقطة الوصول.
Edge-1#show lisp sessionSessions for VRF default, total: 2, established: 2Peer State Up/Down In/Out Users192.168.0.201:4342 Up 2w2d 806/553 44192.168.0.202:4342 Up 2w2d 654/442 44Edge-1#show lisp instance-id 8232 ethernet database wlc 4822.54dc.6a15WLC clients/access-points information for LISP 0 EID-table Vlan 1031 (IID 8232)Hardware Address: 4822.54dc.6a15Type: clientSources: 2Tunnel Update: SignalledSource MS: 192.168.0.201RLOC: 192.168.0.101Up time: 1w6dMetadata length: 34Metadata (hex): 00 01 00 22 00 01 00 0C AC 10 01 07 00 00 10 0100 02 00 06 00 00 00 03 00 0C 00 00 00 00 68 996A D2Edge-1#show mac address-table address 4822.54dc.6a15Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1031 4822.54dc.6a15 CP_LEARN Ac2
إذا تم تعلم عنوان MAC لنقطة النهاية بشكل صحيح عبر واجهة نفق الوصول المطابقة لنقطة الوصول المتصلة الخاصة بها، فإن هذه المرحلة تعتبر مكتملة.
جسر بث DHCP في غمر L2
عندما يتم تعطيل التطفل على بروتوكول DHCP، لا يتم حظر عمليات بث DHCP؛ وبدلا من ذلك، يتم تضمينها في البث المتعدد لفيضان الطبقة 2. وعلى العكس، يؤدي تمكين التطفل على بروتوكول DHCP إلى منع غمر حزم البث هذه.
Edge-1#show ip dhcp snoopingSwitch DHCP snooping isenabledSwitch DHCP gleaning is disabledDHCP snooping is configured on following VLANs:12-13,50,52-53,333,1021-1026DHCP snooping isoperationalon following VLANs:12-13,50,52-53,333,1021-1026<--VLAN1031 should not be listed, as DHCP snooping must be disabled in L2 Only pools.Proxy bridge is configured on following VLANs:1024Proxy bridge is operational on following VLANs:1024<snip>
بما أن التطفل على بروتوكول DHCP معطل، فإن اكتشاف/طلب DHCP يستخدم واجهة L2LISP0، مما يجسر حركة المرور عبر غمر L2. بناء على إصدار Catalyst Center ولافتات البنية المطبقة، قد تحتوي واجهة L2LISP0 على قوائم الوصول التي تم تكوينها في كلا الاتجاهين؛ لذلك، تأكد من عدم رفض حركة مرور DHCP (منافذ UDP 67 و 68) بشكل صريح بواسطة أي إدخالات للتحكم في الوصول (ACEs).
interface L2LISP0
ip access-group SDA-FABRIC-LISP in
ip access-group SDA-FABRIC-LISP out
Edge-1#show access-list SDA-FABRIC-LISP
Extended IP access list SDA-FABRIC-LISP
10 deny ip any host 224.0.0.22
20 deny ip any host 224.0.0.13
30 deny ip any host 224.0.0.1
40 permit ip any any
أستخدم مجموعة Broadcast-Under التي تم تكوينها لمثيل L2LISP وعنوان IP لحافة البنية Loopback0 للتحقق من إدخال فيضان L2 (S،G) الذي يعمل على توصيل هذه الحزمة إلى عقد بنيوية أخرى. راجع جدولي المسار وmfib للتحقق من صحة المعلمات مثل الواجهة الواردة وقائمة الواجهة الصادرة وعدادات إعادة التوجيه.
Edge-1#show ip interface loopback 0 | i Internet
Internet address is 192.168.0.101/32
Edge-1#show running-config | se 8232
interface L2LISP0.8232
instance-id 8232
remote-rloc-probe on-route-change
service ethernet
eid-table vlan 1031
broadcast-underlay 239.0.17.1
Edge-1#show ip mroute 239.0.17.1 192.168.0.101 | be \(
(192.168.0.101, 239.0.17.1), 00:00:19/00:03:17, flags: FT
Incoming interface: Null0, RPF nbr 0.0.0.0 <-- Local S,G IIF must be Null0
Outgoing interface list:
TenGigabitEthernet1/1/2, Forward/Sparse, 00:00:19/00:03:10, flags: <-- 1st OIF = Te1/1/2 = Border2 Uplink
TenGigabitEthernet1/1/1, Forward/Sparse, 00:00:19/00:03:13, flags: <-- 2nd OIF = Te1/1/1 = Border1 Uplink
Edge-1#show ip mfib 239.0.17.1 192.168.0.101 count
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per second
Other counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)
Default
13 routes, 6 (*,G)s, 3 (*,G/m)s
Group: 239.0.17.1
Source: 192.168.0.101,
SW Forwarding: 1/0/392/0, Other: 1/1/0
HW Forwarding: 7/0/231/0, Other: 0/0/0 <-- HW Forwarding counters (First counter = Pkt Count) must increase
Totals - Source count: 1, Packet count: 8
تلميح: تلميح: إذا لم يتم العثور على إدخال (S،G) أو أن قائمة الواجهة الصادرة (OIL) تحتوي على عدم واجهات صادرة (OIFs)، فإنها تشير إلى وجود مشكلة في تكوين البث المتعدد الأساسي أو العملية الأساسية.
عمليات التقاط الحِزم
شكلت متزامن يطمر ربط على المفتاح أن يسجل على حد سواء المدخل DHCP ربط من ال ap وال يماثل مخرج ربط ل L2 يفيض.
شبكات حزم حافة البنية (192.168.0.101)
monitor capture cap interface TenGigabitEthernet1/0/12 IN <-- Access Point Portmonitor capture cap interface TenGigabitEthernet1/1/1 OUT <-- Multicast Route (L2 Flooding) OIFmonitor capture cap match anymonitor capture cap buffer size 100monitor capture cap limit pps 1000monitor capture cap startmonitor capture cap stop
عند التقاط الحزمة، يجب ملاحظة ثلاث حزم منفصلة:
- اكتشاف DHCP - VXLAN - AP إلى Edge
- اكتشاف DHCP - CAPWAP - AP إلى WLC
- اكتشاف DHCP - VXLAN - طرف مجموعة البث المتعدد
Edge-1#show monitor capture cap buffer display-filter "bootp and dhcp.hw.mac_addr==4822.54dc.6a15"<-- 4822.54dc.6a15 is the endpoint MACStarting the packet display ........ Press Ctrl + Shift + 6 to exit129 4.865410 0.0.0.0 -> 255.255.255.255 DHCP 394 DHCP Discover - Transaction ID 0x824bdf45 <-- From AP to Edge130 4.865439 0.0.0.0 -> 255.255.255.255 DHCP 420 DHCP Discover - Transaction ID 0x824bdf45 <-- From AP to WLC131 4.865459 0.0.0.0 -> 255.255.255.255 DHCP 394 DHCP Discover - Transaction ID 0x824bdf45 <-- From Edge to L2 Flooding GroupEdge-1#show monitor capture cap buffer display-filter "bootp and dhcp.hw.mac_addr==4822.54dc.6a15 and vxlan"Starting the packet display ........ Press Ctrl + Shift + 6 to exit129 4.865410 0.0.0.0 -> 255.255.255.255 DHCP 394 DHCP Discover - Transaction ID 0x824bdf45131 4.865459 0.0.0.0 -> 255.255.255.255 DHCP 394 DHCP Discover - Transaction ID 0x824bdf45Edge-1#show monitor capture cap buffer display-filter "bootp and dhcp.hw.mac_addr==4822.54dc.6a15 and udp.port==5247"Starting the packet display ........ Press Ctrl + Shift + 6 to exit130 4.865439 0.0.0.0 -> 255.255.255.255 DHCP 420 DHCP Discover - Transaction ID 0x824bdf45Edge-1#show monitor capture cap buffer display-filter "bootp and dhcp.hw.mac_addr==4822.54dc.6a15 and vxlan"detail| i InternetInternet Protocol Version 4, Src: 172.16.1.7, Dst: 192.168.0.101 <-- From AP to EdgeInternet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255Internet Protocol Version 4, Src: 192.168.0.101, Dst: 239.0.17.1 <-- From Edge to Upstream (Layer 2 Flooding)Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
تلميح: على الشبكات اللاسلكية التي تم تمكين البنية عليها، توفر حزم VXLAN المغلفة حركة مرور DHCP إلى العملاء أو الخوادم. يتم إرسال بيانات CAPWAP (UDP 5247) المغلفة، مع ذلك، إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) فقط لأغراض التعقب، مثل حالة تعلم IP أو تعقب الجهاز اللاسلكي.
اكتشاف DHCP وطلبه - حد L2
بعد أن يرسل الحافة ال DHCP اكتشاف وطلب ربط عن طريق طبقة 2 يفيض، يغلف مع ال broadcast-under مجموعة 239.0.17.1، هذا ربط إستلمت ب ال L2 حده، تحديدا الحد/CP-1 في هذا سيناريو.
لكي يحدث ذلك، يجب أن يمتلك border/cp-1 مسار بث متعدد مع (S،G) من الحافة، ويجب أن تتضمن قائمة الواجهة الصادرة الخاصة به مثيل L2LISP من نقل L2 VLAN. من المهم ملاحظة أن حدود عدم التدخل من المستوى الثاني تتشارك في نفس معرف مثيل L2LISP، حتى إذا كانت تستخدم شبكات VLAN مختلفة للتسليم.
BorderCP-1#show vlan id 31VLAN Name Status Ports---- -------------------------------- --------- -------------------------------31 L2_Only_Wireless active L2LI0:8232, Te1/0/44BorderCP-1#show ip mroute 239.0.17.1 192.168.0.101 | be \((192.168.0.101, 239.0.17.1), 00:03:20/00:00:48, flags: MTAIncoming interface: TenGigabitEthernet1/0/42, RPF nbr 192.168.98.3 <-- IIF Te1/0/42 is the RPF interface for 192.168.0.101 (Edge RLOC)Outgoing interface list:TenGigabitEthernet1/0/26, Forward/Sparse, 00:03:20/00:03:24, flags:L2LISP0.8232, Forward/Sparse-Dense, 00:03:20/00:02:39, flags:BorderCP-1#show ip mfib 239.0.17.1 192.168.0.101 countForwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per secondOther counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)Default13 routes, 6 (*,G)s, 3 (*,G/m)sGroup: 239.0.17.1Source: 192.168.0.101,SW Forwarding: 1/0/392/0, Other: 0/0/0HW Forwarding: 3/0/317/0, Other: 0/0/0 <-- HW Forwarding counters (First counter = Pkt Count) must increaseTotals - Source count: 1, Packet count: 4
تلميح: إذا لم يتم العثور على إدخال (S،G)، فإنه يشير إلى وجود مشكلة في تكوين البث المتعدد الأساسي أو العملية الأساسية. إذا لم يكن L2LISP للمثيل المطلوب موجودا ك OIF، فإنه يشير إلى وجود مشكلة في حالة التشغيل UP/DOWN الخاصة بالواجهة الفرعية L2LISP أو حالة تمكين IGMP الخاصة بواجهة L2LISP.
مثل عقدة Fabric Edge، تأكد من عدم إدخال التحكم في الوصول يرفض حزمة DHCP المدخل على واجهة L2LISP0.
BorderCP-1#show ip access-lists SDA-FABRIC-LISPExtended IP access list SDA-FABRIC-LISP10 deny ip any host 224.0.0.2220 deny ip any host 224.0.0.1330 deny ip any host 224.0.0.140 permit ip any any
بعد إزالة تغليف الحزمة ووضعها على شبكة VLAN المطابقة لمعرف فئة المورد (VNI) 8240، تملي طبيعة البث الخاصة بها أن يتم فضت خارج جميع منافذ إعادة توجيه بروتوكول الشجرة المتفرعة لشبكة VLAN 141.
BorderCP-1#show spanning-tree vlan 31 | be InterfaceInterface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Te1/0/44 Desg FWD 2000 128.56 P2p
يؤكد جدول تعقب الجهاز أن الواجهة TE1/0/44، التي تتصل بترحيل Gateway/DHCP، يجب أن تكون منفذ إعادة توجيه STP.
BorderCP-1#show device-tracking database address 172.16.141.254 | be NetworkNetwork Layer Address Link Layer Address Interface vlan prlvl age state Time leftARP 172.16.131.254 f87b.2003.7fd5 Te1/0/44 31 0005 34s REACHABLE 112 s try 0
عمليات التقاط الحِزم
قم بتكوين التقاط حزمة مضمنة بشكل متزامن على المحول لتسجيل كل من حزمة DHCP الواردة من غمر L2 (S،G واجهة واردة) وحزمة الخروج المطابقة إلى ترحيل DHCP. عند التقاط الحزمة، يجب ملاحظة حزمتين متميزتين: تغلف شبكة VXLAN الحزمة من Edge-1، والحزمة غير المغلفة التي تنتقل إلى ترحيل DHCP.
حدود البنية/حزم حزم CP (192.168.0.201)
monitor capture cap interface TenGigabitEthernet1/0/42 IN<--Ingress interface for Edge's S,G Mroute (192.168.0.101, 239.0.17.1)monitor capture cap interface TenGigabitEthernet1/0/44 OUT <-- Interface that connects to the DHCP Relaymonitor capture cap match any
monitor capture cap buffer size 100monitor capture cap startmonitor capture cap stopBorderCP-1#show monitor capture cap buffer display-filter "bootp and dhcp.hw.mac_addr==4822.54dc.6a15"Starting the packet display ........ Press Ctrl + Shift + 6 to exit324 16.695022 0.0.0.0 -> 255.255.255.255 DHCP 394 DHCP Discover - Transaction ID 0x824bdf45 <-- 394 is the Lenght of the VXLAN encapsulated packet325 10.834141 0.0.0.0 -> 255.255.255.255 DHCP 420 DHCP Discover - Transaction ID 0x168bd882 <-- 420 is the Lenght of the CAPWAP encapsulated packet326 16.695053 0.0.0.0 -> 255.255.255.255 DHCP 352 DHCP Discover - Transaction ID 0x824bdf45 <-- 352 is the Lenght of the VXLAN encapsulated packetPacket 324: VXLAN EncapsulatedBorderCP-1#show monitor capture cap buffer display-filter "frame.number==324" detail | i InternetInternet Protocol Version 4, Src: 192.168.0.101, Dst: 239.0.17.1Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255Packet 326: Plain (dot1Q cannot be captured at egress due to EPC limitations)BorderCP-1#show monitor capture cap buffer display-filter "frame.number==326" detailed | i InternetInternet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
عند هذه النقطة، قامت حزمة اكتشاف/الطلب بالخروج من بنية الوصول إلى SD، مختتمة هذا القسم. ومع ذلك، قبل المتابعة، ستملي معلمة مهمة - علامة بث DHCP، المحددة بواسطة نقطة النهاية نفسها - سيناريو إعادة التوجيه لحزم العرض أو ACK اللاحقة. يمكننا فحص إحدى حزم Discover الخاصة بنا لفحص هذه العلامة.
BorderCP-1#show monitor capture cap buffer display-filter "bootp.type==1 and dhcp.hw.mac_addr==4822.54dc.6a15" detailed | sect DynamicDynamic Host Configuration Protocol (Discover)Message type: Boot Request (1)Hardware type: Ethernet (0x01)Hardware address length: 6Hops: 0Transaction ID: 0x00002030Seconds elapsed: 3Bootp flags: 0x8000, Broadcast flag (Broadcast)1... .... .... .... = Broadcast flag: Broadcast <-- Broadcast Flag set by the Endpoint.000 0000 0000 0000 = Reserved flags: 0x0000
تلميح: يمكن إستخدام bootp.type==1 لتصفية حزم اكتشاف وطلب فقط.
عرض DHCP و ACK - بث - حدود L2
تدفق حركة المرور - بث عرض DHCP و ACK في L2 فقط
الآن بعد أن قام اكتشاف DHCP بالخروج من بنية SD-Access، سيقوم ترحيل DHCP بإدراج خيارات ترحيل DHCP التقليدية (على سبيل المثال، GiAddr/GatewayIPAddress) وإعادة توجيه الحزمة كبث أحادي إلى خادم DHCP. في هذا التدفق، لا يضفي نسيج SD-Access أي خيارات DHCP خاصة.
عند وصول "اكتشاف/طلب DHCP" إلى الخادم، يكرم الخادم علامة البث المضمنة أو البث الأحادي. تملي هذه العلامة ما إذا كان وكيل ترحيل DHCP يقوم بإعادة توجيه عرض DHCP إلى جهاز تدفق البيانات من الخادم (حدودنا) كإطار بث أو إرسال أحادي. ومن أجل هذا العرض، يفترض سيناريو للبث.
تعلم MAC وتسجيل البوابة
عندما يرسل ترحيل DHCP عرض DHCP أو ACK، يجب أن تتعلم عقدة L2BN عنوان MAC للعبارة، وتضيفه إلى جدول عناوين MAC الخاص بها، ثم إلى جدول L2/MAC SI، وأخيرا إلى قاعدة بيانات L2LISP لشبكة VLAN 141، المعينة لمثيل L2LISP 8232.
BorderCP-1#show mac address-table interface te1/0/44Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----31 f87b.2003.7fd5 DYNAMIC Te1/0/44BorderCP-1#show vlan id 31VLAN Name Status Ports---- -------------------------------- --------- -------------------------------31 L2_Only_Wireless active L2LI0:8232, Te1/0/44BorderCP-1#show device-tracking database mac | i 7fd5|vlanMAC Interface vlan prlvl state Time left Policy Input_indexf87b.2003.7fd5 Te1/0/44 31 NO TRUST MAC-REACHABLE 61 s LISP-DT-GLEAN-VLAN 64BorderCP-1#show lisp ins 8232 dynamic-eid summary | i Name|f87b.2003.7fd5Dyn-EID Name Dynamic-EID Interface Uptime Last PendingAuto-L2-group-8232 f87b.2003.7fd5 N/A 6d06h never 0BorderCP-1#show lisp instance-id 8232 ethernet databasef87b.2003.7fd5LISP ETR MAC Mapping Database for LISP 0 EID-table Vlan 31 (IID 8232), LSBs: 0x1Entries total 1, no-route 0, inactive 0, do-not-register 0f87b.2003.7fd5/48, dynamic-eid Auto-L2-group-8240, inherited from default locator-set rloc_0f43c5d8-f48d-48a5-a5a8-094b87f3a5f7, auto-discover-rlocsUptime: 6d06h, Last-change: 6d06hDomain-ID: localService-Insertion: N/ALocator Pri/Wgt Source State192.168.0.201 10/10 cfg-intf site-self, reachableMap-server Uptime ACK Domain-ID192.168.0.201 6d06h Yes 0192.168.0.202 6d06h Yes 0
إذا تم التعرف على عنوان MAC الخاص بالبوابة بشكل صحيح وتم وضع علامة ACK ك نعم" لمستويات التحكم في البنية، فإن هذه المرحلة تعتبر مكتملة.
جسر بث DHCP في غمر L2
بدون تمكين التطفل على بروتوكول DHCP، لا يتم حظر عمليات بث DHCP ويتم تضمينها في البث المتعدد للفيضانات من الطبقة 2. وعلى العكس من ذلك، إذا تم تمكين التطفل على بروتوكول DHCP، يتم منع تدفق حزم بث DHCP.
BorderCP-1#show ip dhcp snoopingSwitch DHCP snooping is enabledSwitch DHCP gleaning is disabledDHCP snooping is configured on following VLANs:1001DHCP snooping is operational on following VLANs:1001 <-- VLAN31 should not be listed, as DHCP snooping must be disabled in L2 Only pools.Proxy bridge is configured on following VLANs:noneProxy bridge is operational on following VLANs:none
لأن التطفل على بروتوكول DHCP غير ممكن في حدود L2Border، لا يلزم تكوين ثقة التطفل على بروتوكول DHCP.
في هذه المرحلة، يتم بالفعل التحقق من صحة قائمة التحكم في الوصول ل L2LISP في كلا الجهازين.
أستخدم مجموعة Broadcast-Base التي تم تكوينها لمثيل L2LISP وعنوان IP للمستوى 2 Border Loopback0 للتحقق من إدخال فيضان L2 (S،G) الذي سيقوم بتوصيل هذه الحزمة إلى عقد بنيوية أخرى. راجع جدولي المسار وmfib للتحقق من صحة المعلمات مثل الواجهة الواردة وقائمة الواجهة الصادرة وعدادات إعادة التوجيه.
BorderCP-1#show ip int loopback 0 | i InternetInternet address is 192.168.0.201/32BorderCP-1#show run | se 8232interface L2LISP0.8232instance-id 8232remote-rloc-probe on-route-changeservice etherneteid-table vlan 1031broadcast-underlay 239.0.17.1BorderCP-1#show ip mroute 239.0.17.1 192.168.0.201 | be \((192.168.0.201, 239.0.17.1), 1w5d/00:02:52, flags: FTAIncoming interface: Null0, RPF nbr 0.0.0.0 <-- Local S,G IIF must be Null0Outgoing interface list:TenGigabitEthernet1/0/42, Forward/Sparse, 1w3d/00:02:52, flags: <-- Edge1 Downlink
TenGigabitEthernet1/0/43, Forward/Sparse, 1w3d/00:02:52, flags: <-- Edge2 DownlinkBorderCP-1#show ip mfib 239.0.17.1 192.168.0.201 countForwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per secondOther counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)Default13 routes, 6 (*,G)s, 3 (*,G/m)sGroup: 239.0.17.1Source: 192.168.0.201,SW Forwarding: 1/0/392/0, Other: 1/1/0HW Forwarding: 92071/0/102/0, Other: 0/0/0 <-- HW Forwarding counters (First counter = Pkt Count) must increaseTotals - Source count: 1, Packet count: 92071
تلميح: إذا لم يتم العثور على إدخال (S،G) أو أن قائمة الواجهة الصادرة (OIL) تحتوي على عدم واجهات صادرة (OIFs)، فإنها تشير إلى وجود مشكلة في تكوين البث المتعدد الأساسي أو العملية الأساسية.
مع هذه التصحيحات، على طول إلتقاط الحزمة مماثل إلى الخطوات السابقة، نختتم هذا قسم، بما أن عرض DHCP سيتم منعه كبث إلى كل حواف البنية باستخدام محتويات قائمة الواجهة الصادرة، في هذه الحالة، خارج الواجهة TenGig1/0/42 وTenGig1/0/43.
عرض DHCP و ACK - البث - Edge
تماما مثل التدفق السابق، نقوم الآن بالتحقق من حدود L2Border S،G في حافة البنية، حيث تشير الواجهة الواردة باتجاه L2BN ويحتوي النفط على مثيل L2LISP المعين إلى شبكة VLAN 1031.
Edge-1#show vlan id 1031VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1031 L2_Only_Wireless active L2LI0:8232, Te1/0/2, Te1/0/17, Te1/0/18, Te1/0/19, Te1/0/20, Ac2, Po1Edge-1#show ip mroute 239.0.17.1 192.168.0.201 | be \((192.168.0.201, 239.0.17.1), 1w3d/00:01:52, flags: JTIncoming interface: TenGigabitEthernet1/1/2, RPF nbr 192.168.98.2 <-- IIF Te1/1/2 is the RPF interface for 192.168.0.201 (L2BN RLOC)aOutgoing interface list:L2LISP0.8232, Forward/Sparse-Dense, 1w3d/00:02:23, flags:Edge-1#show ip mfib 239.0.17.1 192.168.0.201 countForwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per secondOther counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)Default13 routes, 6 (*,G)s, 3 (*,G/m)sGroup: 239.0.17.1Source: 192.168.0.201,SW Forwarding: 1/0/96/0, Other: 0/0/0HW Forwarding: 76236/0/114/0, Other: 0/0/0<-- HW Forwarding counters (First counter = Pkt Count) must increaseTotals - Source count: 1, Packet count: 4
تلميح: إذا لم يتم العثور على إدخال (S،G)، فإنه يشير إلى وجود مشكلة في تكوين البث المتعدد الأساسي أو العملية الأساسية. إذا لم يكن L2LISP للمثيل المطلوب موجودا ك OIF، فإنه يشير إلى وجود مشكلة في حالة التشغيل UP/DOWN الخاصة بالواجهة الفرعية L2LISP أو حالة تمكين IGMP الخاصة بواجهة L2LISP.
تم التحقق من صحة قائمة التحكم بالوصول (ACL) إلى L2LISP بالفعل في كلا الجهازين.
بعد إزالة تغليف الحزمة ووضعها على شبكة VLAN المطابقة لمعرف فئة المورد (VNI) 8232، تملي طبيعة البث الخاصة بها أن يتم فضت خارج جميع منافذ إعادة توجيه بروتوكول الشجرة المتفرعة السلكية لشبكة VLAN1031.
Edge-1#show spanning-tree vlan 1041 | be InterfaceInterface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Te1/0/2 Desg FWD 20000 128.2 P2p EdgeTe1/0/17 Desg FWD 2000 128.17 P2pTe1/0/18 Back BLK 2000 128.18 P2pTe1/0/19 Desg FWD 2000 128.19 P2pTe1/0/20 Back BLK 2000 128.20 P2p
ومع ذلك، فإن الواجهة التي نبحث عنها لبث عرض DHCP هي واجهة Access-Tunnel المقترنة بنقطة الوصول. ولا يمكن إجراء هذا إلا لأنه تم تمكين "نفق الوصول إلى الفيضان" على معرف IID 8232 ل L2LISP، وإلا فسيتم حظر هذه الحزمة لإعادة توجيهها إلى واجهة AccessTunnel.
Edge-1#show lisp instance-id 8232 ethernet | se Multicast FloodMulticast Flood Access-Tunnel: enabledMulticast Address: 232.255.255.1Vlan ID: 1021Edge-1#show ip igmp snooping groups vlan1021 232.255.255.1Vlan Group Type Version Port List-----------------------------------------------------------------------1021 232.255.255.1 igmp v2 Te1/0/12 <-- AP1 Port
مع ال igmp يتطفل مدخل ل ال multicast يفيض مجموعة، DHCP يرسل عرض و ACKs إلى ال ap physical ميناء.
لا تزال عملية عرض DHCP و ACK متسقة. بدون تمكين التطفل على بروتوكول DHCP، لا يتم إنشاء أية إدخالات في جدول التطفل على بروتوكول DHCP. وبالتالي، يتم إنشاء إدخال تعقب الجهاز لنقطة النهاية التي تم تمكين DHCP عليها بواسطة حزم ARP المجمعة. ومن المتوقع أيضا أن تعرض أوامر مثل "show platform dhcpsnooping client stats" لا بيانات، حيث يتم تعطيل التطفل على بروتوكول DHCP.
Edge-1#show device-tracking database interface Ac2 | be NetworkNetwork Layer Address Link Layer Address Interface vlan prlvl age state Time leftARP 172.16.131.4 4822.54dc.6a15 Ac2 1031 0005 45s REACHABLE 207 s try 0Edge-1#show ip dhcp snooping binding vlan 1041MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------Total number of bindings: 0
عرض DHCP و ACK - Unicast - حد L2
تدفق حركة المرور - Unicast DHCP عرض و ACK في L2 فقط
هنا السيناريو مختلف قليلا، تحدد نقطة النهاية علامة بث DHCP على أنها غير محددة أو "0".
لا يرسل ترحيل DHCP عرض/ACK كبث، ولكن كحزمة بث unicast بدلا من ذلك، مع غاية {upper}mac address مشتق من عنوان جهاز العميل داخل حمولة DHCP. يعمل هذا على تعديل الطريقة التي يتم بها معالجة الحزمة بواسطة بنية SD-Access بشكل جذري، حيث يستخدم ذاكرة التخزين المؤقت لخريطة L2LISP لإعادة توجيه حركة المرور، وليس طريقة تضمين البث المتعدد للطبقة 2.
حد الموصلات البينية/بروتوكول التحكم في الوصول (CP) (192.168.0.201) حزمة CatPure: مدخل DHCP عرض
BorderCP-1#show monitor capture cap buffer display-filter "bootp.type==1 and dhcp.hw.mac_addr==4822.54dc.6a15" detailed | sect DynamicDynamic Host Configuration Protocol (Discover)Message type: Boot Request (1)Hardware type: Ethernet (0x01)Hardware address length: 6Hops: 0Transaction ID: 0x00002030Seconds elapsed: 0Bootp flags: 0x0000, Broadcast flag (Unicast)0... .... .... .... = Broadcast flag: Unicast.000 0000 0000 0000 = Reserved flags: 0x0000Client IP address: 0.0.0.0Your (client) IP address: 0.0.0.0Next server IP address: 0.0.0.0Relay agent IP address: 0.0.0.0Client MAC address: 48:22:54:dc:6a:15 (48:22:54:dc:6a:15)
في هذا السيناريو، يتم إستخدام فيضان L2 حصريا لاكتشاف/طلبات، بينما تتم إعادة توجيه العروض/وحدات التحكم في الوصول للوسائط (ACK) عبر ذاكرة التخزين المؤقت لخريطة L2LISP، مما يعمل على تبسيط العملية الإجمالية. من خلال الانضمام إلى مبادئ إعادة توجيه البث الأحادي، تستعلم حدود L2 مستوى التحكم لعنوان MAC للوجهة. بافتراض "تعلم MAC وإشعار WLC" بنجاح على حافة البنية، يحتوي مستوى التحكم على معرف نقطة النهاية (EID) هذا مسجل.
BorderCP-1#show lisp instance-id 8232 ethernet server 4822.54dc.6a15LISP Site Registration InformationSite name: site_uciDescription: map-server configured from Catalyst CenterAllowed configured locators: anyRequested EID-prefix:EID-prefix: 4822.54dc.6a15/48 instance-id 8232First registered: 00:53:30Last registered: 00:53:30Routing table tag: 0Origin: Dynamic, more specific of any-macMerge active: NoProxy reply: YesSkip Publication: NoForce Withdraw: NoTTL: 1d00hState: completeExtranet IID: UnspecifiedRegistration errors:Authentication failures: 0Allowed locators mismatch: 0ETR 192.168.0.101:51328, last registered 00:53:30, proxy-reply, map-notifyTTL 1d00h, no merge, hash-function sha1state complete, no security-capabilitynonce 0xBB7A4AC0-0x46676094xTR-ID 0xDEF44F0B-0xA801409E-0x29F87978-0xB865BF0Dsite-ID unspecifiedDomain-ID 1712573701Multihoming-ID unspecifiedsourced by reliable transportLocator Local State Pri/Wgt Scope192.168.0.101 yes up 10/10 IPv4 noneETR 192.168.254.69:58507, last registered 00:53:30, no proxy-reply, no map-notify <-- Registered by the Wireless LAN ControllerTTL 1d00h, no merge, hash-function sha2state complete, no security-capabilitynonce 0x00000000-0x00000000xTR-ID N/Asite-ID N/Asourced by reliable transportAffinity-id: 0 , 0WLC AP bit: ClearLocator Local State Pri/Wgt Scope192.168.0.101 yes up 0/0 IPv4 none <-- RLOC of Fabric Edge with the Access Point where the endpoint is connected
بعد استعلام الحد إلى مستوى التحكم (محلي أو بعيد)، تحدد دقة LISP إدخال ذاكرة تخزين مؤقت للخرائط لعنوان MAC لنقطة النهاية.
BorderCP-1#show lisp instance-id 8232 ethernet map-cache 4822.54dc.6a15LISP MAC Mapping Cache for LISP 0 EID-table Vlan 31 (IID 8232), 1 entries4822.54dc.6a15/48, uptime: 4d07h, expires: 16:33:09, via map-reply, complete, local-to-siteSources: map-replyState: complete, last modified: 4d07h, map-source: 192.168.0.206Idle, Packets out: 46(0 bytes), counters are not accurate (~ 00:13:12 ago)Encapsulating dynamic-EID trafficLocator Uptime State Pri/Wgt Encap-IID192.168.0.101 4d07h up 10/10 -
مع حل وحدة التحكم في الشبكة المحلية اللاسلكية (RLOC)، يتم تضمين عرض DHCP في البث الأحادي وإرساله مباشرة إلى Edge-1 على 192.168.0.101، مع VNI 8240.
BorderCP-1#show mac address-table address aaaa.dddd.bbbbMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----31 4822.54dc.6a15 CP_LEARN L2LI0BorderCP-1#show platform software fed switch active matm macTable vlan 141 mac aaaa.dddd.bbbbVLAN MAC Type Seq# EC_Bi Flags machandle siHandle riHandle diHandle *a_time *e_time ports Con
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------31 4822.54dc.6a15 0x1000001 0 0 64 0x718eb52c48e8 0x718eb52c8b68 0x718eb44c6c18 0x0 0 1064 RLOC 192.168.0.101 adj_id 1044 NoBorderCP-1#show ip route 192.168.0.101Routing entry for 192.168.0.101/32Known via "isis", distance 115, metric 20, type level-2Redistributing via isis, bgp 65001TAdvertised by bgp 65001 level-2 route-map FABRIC_RLOCLast update from 192.168.98.3 on TenGigabitEthernet1/0/42, 1w3d agoRouting Descriptor Blocks:* 192.168.98.3, from 192.168.0.101, 1w3d ago, via TenGigabitEthernet1/0/42Route metric is 20, traffic share count is 1
مع ال نفسه منهجية كما في قسم سابق، على قبض حركة مرور على حد سواء مدخل من ال DHCP ترحيل وإلى ال RLOC مخرج قارن أن يراقب ال VXLAN عملية كبسلة في unicast إلى الحافة RLOC.
عرض DHCP و ACK - Unicast - Edge
يستلم الحافة ال unicast DHCP عرض/ACK من الحدود، يزيل كبسلة الحركة مرور وراجع ه {upper}mac address طاولة أن يحدد المخرج صحيح ميناء. بخلاف عرض البث/وحدات التحكم في الوصول (ACK)، ستقوم عقدة Edge بعد ذلك بإعادة توجيه الحزمة فقط إلى نفق الوصول المحدد حيث تكون نقطة النهاية متصلة، بدلا من إغراق الحزمة بجميع المنافذ.
يحدد جدول عنوان MAC المنفذ AccessTunnel2 كمنفذ ظاهري مرتبط ب AP1.
Edge-1#show mac address-table address 4822.54dc.6a15Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1031 4822.54dc.6a15 CP_LEARN Ac2Edge-1#show interfaces accessTunnel 2 descriptionInterface Status Protocol DescriptionAc2 up up Radio MAC: dc8c.37ce.58a0, IP: 172.16.1.7Edge-1#show device-tracking database address 172.16.1.7 | be NetworkNetwork Layer Address Link Layer Address Interface vlan prlvl age state Time leftDH4 172.16.1.7 dc8c.3756.99bc Te1/0/12 1021 0024 6s REACHABLE 241 s try 0(86353 s)Edge-1#show cdp neighbors tenGigabitEthernet 1/0/12 | be DeviceDevice ID Local Intrfce Holdtme Capability Platform Port IDAP1 Ten 1/0/12 119 R T AIR-AP480 Gig 0
لا تزال عملية عرض DHCP و ACK متسقة. بدون تمكين التطفل على بروتوكول DHCP، لا يتم إنشاء أي وظائف في جدول التطفل على بروتوكول DHCP. وبالتالي، يتم إنشاء إدخال تعقب الجهاز لنقطة النهاية التي تم تمكين DHCP عليها بواسطة حزم ARP المجمعة، وليس DHCP. ومن المتوقع أيضا أن تعرض أوامر مثل "show platform dhcpsnooping client stats" لا بيانات، نظرا لتعطيل التطفل على بروتوكول DHCP.
Edge-1#show device-tracking database interface te1/0/2 | be NetworkNetwork Layer Address Link Layer Address Interface vlan prlvl age state Time leftARP 172.16.141.1 aaaa.dddd.bbbb Te1/0/2 1041 0005 45s REACHABLE 207 s try 0Edge-1#show ip dhcp snooping binding vlan 1041MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------Total number of bindings: 0
من المهم للغاية ملاحظة أن بنية الوصول إلى SD لا تؤثر على إستخدام علامة البث الأحادي أو إشارة البث، حيث أن هذا السلوك عبارة عن سلوك نقطة نهاية فقط. بينما قد يتم تجاوز هذه الوظيفة بواسطة ترحيل DHCP أو خادم DHCP نفسه، فإن كلا الآليتين ضروريتان لعملية DHCP بسلاسة في بيئة L2 فقط: تدفق L2 مع البث المتعدد للأسفل لعروض البث/ACK، والتسجيل المناسب لنقطة النهاية في مستوى التحكم لعرض/ACK للبث الأحادي.
معاملة DHCP - التحقق اللاسلكي
من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، تتم مراقبة حركة DHCP من خلال مسارات RA.
WLC#debug wireless mac 48:22:54:DC:6A:15 to-file bootflash:client6a15RA tracing start event,conditioned on MAC address: 48:22:54:dc:6a:15Trace condition will be automatically stopped in 1800 seconds.Execute 'no debug wireless mac 48:22:54:dc:6a:15' to manually stop RA tracing on this condition.WLC#no debug wireless mac 48:22:54:dc:6a:15
RA tracing stop event,
conditioned on MAC address: 48:22:54:dc:6a:15WLC#more flash:client6a15 | i DHCP2025/08/11 06:13:48.600929726 {wncd_x_R0-0}{1}: [sisf-packet] [15981]: (info): RX: DHCPv4 from interface capwap_90000006 on vlan 1 Src MAC: 4822.54dc.6a15 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4822.54dc.6a152025/08/11 06:13:50.606037404 {wncd_x_R0-0}{1}: [sisf-packet] [15981]: (info): RX: DHCPv4 from interface capwap_90000006 on vlan 1 Src MAC: f87b.2003.7fd5 Dst MAC: 4822.54dc.6a15 src_ip: 172.16.131.254, dst_ip: 172.16.131.4, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 172.16.131.254, yiaddr: 172.16.131.4, CMAC: 4822.54dc.6a152025/08/11 06:13:50.609855406 {wncd_x_R0-0}{1}: [sisf-packet] [15981]: (info): RX: DHCPv4 from interface capwap_90000006 on vlan 1 Src MAC: 4822.54dc.6a15 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4822.54dc.6a152025/08/11 06:13:50.613054692 {wncd_x_R0-0}{1}: [sisf-packet] [15981]: (info): RX: DHCPv4 from interface capwap_90000006 on vlan 1 Src MAC: f87b.2003.7fd5 Dst MAC: 4822.54dc.6a15 src_ip: 172.16.131.254, dst_ip: 172.16.131.4, BOOTPREPLY, SISF_DHCPACK, giaddr: 172.16.131.254, yiaddr: 172.16.131.4, CMAC: 4822.54dc.6a15
في نهاية الحركة، تتم إضافة نقطة النهاية إلى قاعدة بيانات تتبع الأجهزة الموجودة على وحدة التحكم في الشبكة المحلية اللاسلكية.
WLC#show wireless device-tracking database mac 4822.54dc.6a15MAC VLAN IF-HDL IP ZONE-ID/VRF-NAME--------------------------------------------------------------------------------------------------4822.54dc.6a15 1 0x90000006 172.16.131.4 0x00000000fe80::b070:b7e1:cc52:69ed 0x80000001
تم تصحيح أخطاء حركة DHCP بالكامل على نقطة الوصول نفسها.
AP1#debug client 48:22:54:DC:6A:15AP1#term monAP1#
Aug 11 05:37:47 AP1 kernel: [*08/11/2025 05:37:47.3530] [1754890667:353058] [AP1] [48:22:54:dc:6a:15] < wifi0> [U:W] DHCP_DISCOVER : TransId 0x76281006Aug 11 05:37:47 AP1 kernel: [*08/11/2025 05:37:47.3531] chatter: dhcp_req_local_sw_nonat: 1754890667.353086: 0.0.0.0.68 > 255.255.255.255.67: udp 310Aug 11 05:37:47 AP1 kernel: [*08/11/2025 05:37:47.3533] chatter: dhcp_from_inet: 1754890667.353287600: 0.0.0.0.68 > 255.255.255.255.67: udp 310Aug 11 05:37:47 AP1 kernel: [*08/11/2025 05:37:47.3533] chatter: dhcp_reply_nonat: 1754890667.353287600: 0.0.0.0.68 > 255.255.255.255.67: udp 310Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3587] chatter: dhcp_from_inet: 1754890669.358709760: 172.16.131.254.67 > 172.16.131.4.68: udp 309Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3588] chatter: dhcp_reply_nonat: 1754890669.358709760: 172.16.131.254.67 > 172.16.131.4.68: udp 309Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3589] [1754890669:358910] [AP1] [48:22:54:dc:6a:15][D:W] DHCP_OFFER : TransId 0x76281006 tag:534 Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3671] [1754890669:367110] [AP1] [48:22:54:dc:6a:15] < wifi0> [U:W] DHCP_REQUEST : TransId 0x76281006Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3671] chatter: dhcp_req_local_sw_nonat: 1754890669.367134760: 0.0.0.0.68 > 255.255.255.255.67: udp 336Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3709] [1754890669:370945] [AP1] [48:22:54:dc:6a:15][D:W] DHCP_ACK : TransId 0x76281006 tag:536 Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3733] [1754890669:373312] [AP1] [48:22:54:dc:6a:15] < wifi0> [D:A] DHCP_OFFER : TransId 0x76281006 [Tx Success] tag:534Aug 11 05:37:49 AP1 kernel: [*08/11/2025 05:37:49.3983] [1754890669:398318] [AP1] [48:22:54:dc:6a:15] < wifi0> [D:A] DHCP_ACK : TransId 0x76281006 [Tx Success] tag:53* U:W = Uplink Packet from Client to Wireless Driver
* D:W = Downlink Packet from Client to Click Module
* D:A = Downlink Packet from Client sent over the air
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Aug-2025
|
الإصدار الأولي |
التعليقات