
<div dir="ltr"><div><div>You are rising a topic of large importance. Taking into account the cloud technologies growing exponentially.<br></div><div><br>Overlapped IP ranges could be accomplished by IPv4 private ranges behind the NAT (central overall IP pool).<br>

DHCP server could allocate private IP addresses to network interfaces of virtual machines.<br>Virtual machines could be gathered in logical groups by using VLANs. Each group has its own VID passed in L2 DHCP packets to DHCP server. ISC DHCP software could read L2 header if using DLPI. Each network interface has already an unique ID - MAC address which could be presented as DHCP CID on DHCP layer.<br>

The scheme could be bound to combination VID + DHCP CID. This gives some flexibility of IP allocation but couldn't secure from malicious user who modifies its own IP address to neighbor's IP. and thus creating flaw.<br>

Or you could use VID + DHCP Option 82 (RFC 3046) if it is supported in virtual network stack of your hypervisor.<br></div><div>It has an advantage that relay agent (e.g. virtual switch) is responsible for insertion of unique Option 82 per port, end user has no control over it, and so the scheme gains more security.<br>

</div>Opensolaris OE family supports virtual switching (etherstub) with some kind of snooping protection <br></div>(ip-spoofing,mac-spoofing,dhcp-spoofing etc). It also has CID support but lacks Relay Agent Information Option, at least for now...<br>

<div><div>I heard that Cisco NEXUS 1000V virtual switch supports both DHCP Option 82 and DHCP snooping which prevents IP address spoofing.<br><br>I rather think you should dig into DHCP Option 82 direction.<br><br></div><div>

Regards,<br></div><div>Serghei Samsi<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-03-05 9:12 GMT+02:00 Liang LR Rong <span dir="ltr"><<a href="mailto:jet.rongl@cn.ibm.com" target="_blank">jet.rongl@cn.ibm.com</a>></span>:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>

<p><font face="Calibri" size="3">Hi DHCP Hackers,</font><br>

<br>

<font face="Calibri" size="3">I am currently working on a project which requires DHCP server to be multi-tenant aware in cloud data center environment.</font><br>

<br>

<font face="Calibri" size="3">What I mean ``multi-tenant aware'' here is that each tenant has a virtual network by utilizing some network virtualization technology. There will be thousands of tenants in a cloud data center. Thus, thousands of virtual networks operated by each tenant separately.</font><br>


<br>

<font face="Calibri" size="3">The requirement is that to save TCO, we should provision one DHCP server (running a single DHCPd instance) to service many tenants. But, the IP address spaces are likely to be overlapped for those tenants. So, the point is that is there any solution or workaround to make the ISC DHCP server to allocate IP address for each tenant separately and these IP address are overlapped when look from the overall address pool?</font><br>


<br>

<font face="sans-serif">Best regards,</font><br>

<br>

<font face="sans-serif">Jet Rong(荣亮)<br>

Software Engineer, System Networking<br>

China Systems and Technology Lab (CSTL), IBM Wuxi<br>

5 floor,A1# building, No.55 Xiuxi Road, Binhu District, Wuxi, China, 214125<br>

无锡市滨湖区绣溪路55号A1楼5F, 214125<br>

Email: <a href="mailto:rliangwx@cn.ibm.com" target="_blank">rliangwx@cn.ibm.com</a></font></p></div><br>_______________________________________________<br>

dhcp-hackers mailing list<br>

<a href="mailto:dhcp-hackers@lists.isc.org">dhcp-hackers@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/dhcp-hackers" target="_blank">https://lists.isc.org/mailman/listinfo/dhcp-hackers</a><br></blockquote></div><br></div></div></div>