Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Comportamento do proxy ASA DHCP com lista alternativa do servidor DHCP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o comportamento adaptável novo da ferramenta de segurança (ASA) que atua como um cliente de proxy DHCP com servidores DHCP múltiplos.

Contribuído por Gustavo Medina, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • 5500-X Series de Cisco ASA

  • Comportamento-mudança introduzida em 9.2(1) e em 9.1(4)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama

Comportamento anterior

Está aqui um exemplo do projeto velho da funcionalidade de DHCP quando o ASA atuou como um cliente de proxy em uma instalação HA dos servidores DHCP:

O endereço de DHCP atribuído para clientes VPN usou um modelo do servidor de backup - lista de servidor.

  • Quando um cliente VPN conectou, o ASA tentou cada servidor DHCP em série até que recebeu um aluguer ou esgotasse a lista.

  • Quando era hora de renovar, tentou renovar ao server do registro. Se o DHCP renova a fase falhada, moveu-se para o DHCP reencaderna a fase. Desde que o ASA está usando um algoritmo alternativo, você tentou somente reencadernar com o mesmo servidor falho.

Comportamento novo

Com o realce CSCuc04072, Cisco mudou o algoritmo a um modelo de servidor HA - grupo de servidor.

Quando um cliente conectar:

  • O ASA envia descobre a todos os server no grupo.

  • O ASA seleciona a primeira oferta recebida e deixa cair as outras ofertas.

  • Quando um endereço precisa de ser renovado, tenta renovar com o server do aluguer (o server de que o endereço foi adquirido).

  • Se o DHCP renova falha depois que um determinado número de novas tentativas, movimentos da máquina de estado ao DHCP reencadernam a fase após o período predefinido.

  • Durante a fase reencadernar, o ASA enviará pedidos a todos os server no grupo paralelamente. Em um ambiente HA, a informação de lease é compartilhada, assim que outros server enlatam o ACK o aluguer e o ASA irá para trás ao estado de limite.

Nota: Durante a fase reencadernar, se não há nenhuma resposta de alguns dos server nos server alista, a seguir o ASA mover-se-á para remover o estado e após aquele, remove as regras adicionadas à relação de que os server eram alcançáveis.

Estados de cliente de proxy DHCP

  • O DHCP descobre: Neste estado o ASA envia descobre pacotes aos server na lista de servidor sob o grupo de túneis (o server refere server na lista de servidor sob o grupo de túneis) que têm uma rota e têm um cliente permitido na relação através de que o server é alcançável. Os server que não têm uma rota e não têm o cliente permitido não são enviados a um pacote da descoberta.

  • Oferta de DHCP: Os server enviam uma oferta. O ASA seleciona a oferta baseada em uma primeira vinda, serve primeiramente a base.

  • Requisição DHCP: O ASA gerencie um pacote que inclua o endereço do servidor de que o endereço é selecionado e envie este pacote aos server (rota disponível e cliente permitido). Este pacote ajuda os outros server a identificar que um endereço está selecionado do server especificado no pacote e atua como o NAK a outros server.

  • DHCP limitado: O ASA vem a este estado se um ACK é recebido do [the server in DHCP request state] pedido server.

  • O DHCP renova: Renove ocorre quando a metade do Lease Time é passada. Durante este estado, o ASA envia um pedido ao server do aluguer (o server que forneceu o endereço ao cliente). Se por qualquer motivo o server do aluguer está para baixo, a seguir o ASA experimenta de novo quatro vezes ao server do aluguer. Se o server não é ainda alcançável ou não respondendo, a seguir o ASA move-se para reencadernar o estado.

  • O DHCP reencaderna: Reencadernar ocorre quando 7/8 deth do Lease Time é passado. Durante reencadernar indique que todos os server (rota-disponíveis e cliente-permitidos) na lista estão enviados a um pedido. Se o server do aluguer está para baixo neste estado, a seguir o server em sincronizações do aluguer com o server do aluguer (instalação HA dos server onde os alugueres são sincronizados entre os server) fornecerá o aluguer ao cliente.

Verificar

Para ver os detalhes do aluguer, use o comando show aumentado e filtre a vista para o proxy e o server.

O CLI precedente era:

mostre o aluguer DHCP do <interface> do endereço IP de Um ou Mais Servidores Cisco ICM NT

e foi aumentado a

mostre o [summary] do [proxy/server] do aluguer DHCP do <interface> do endereço IP de Um ou Mais Servidores Cisco ICM NT

A sintaxe está aqui:

mostre o [summary] do [proxy/server] do aluguer DHCP do <interface> do endereço IP de Um ou Mais Servidores Cisco ICM NT

comandos/opções do modo exec:

  entradas do proxy da mostra do proxy na tabela IPL

  entradas do show server do server na tabela IPL

  sumário sumário da mostra para a entrada

  |  Modificadores de saída

Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

debugar o detalhe 255 do dhcpc

debugar o erro 255 do dhcpc

debugar o pacote 255 do dhcpc



Document ID: 118017