Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Comportement de proxy DHCP ASA avec la liste de sauvegarde de serveur DHCP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit le nouveau comportement de l'appliance de sécurité adaptable (ASA) agissant en tant que client de proxy DHCP avec de plusieurs serveurs DHCP.

Contribué par Gustavo la Médina, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme 5500-X de Cisco ASA

  • Comportement-modification introduite en 9.2(1) et 9.1(4)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme

Comportement précédent

Voici un exemple de la vieille conception de la fonctionnalité DHCP quand l'ASA a agi en tant que client de proxy dans une installation ha des serveurs DHCP :

L'adresse attribuée DHCP pour des clients vpn a utilisé un modèle de sauvegarde de serveur - liste de serveur.

  • Quand un client vpn s'est connecté, l'ASA a essayé chaque serveur DHCP séquentiel jusqu'à ce qu'elle ait reçu un bail ou elle avait épuisé la liste.

  • Quand il était temps de renouveler, il a tenté de renouveler au serveur de l'enregistrement. Si le DHCP renouvellent la phase a manqué, il s'est déplacée au DHCP relient de nouveau la phase. Puisque l'ASA utilise un algorithme de sauvegarde, vous avez seulement tenté de se relier de nouveau avec le même serveur défaillant.

Nouveau comportement

Avec l'amélioration CSCuc04072, Cisco a changé l'algorithme à un modèle de serveur ha - groupe de serveurs.

Quand un client se connecte :

  • L'ASA envoie la découvre à tous les serveurs dans le groupe.

  • L'ASA sélectionne la première offre reçue et relâche les autres offres.

  • Quand une adresse doit être renouvelée, elle tente de renouveler avec le serveur de bail (le serveur dont l'adresse a été saisie).

  • Si le DHCP renouvellent échoue après qu'un certain nombre de relances, des mouvements d'ordinateur d'état au DHCP relient de nouveau la phase après la période de prédéfinis.

  • Pendant la phase de relier de nouveau, l'ASA enverra des demandes à tous les serveurs dans le groupe en parallèle. Dans un environnement ha, les informations de bail sont partagées, ainsi d'autres serveurs mettent en boîte l'ACK le bail et l'ASA retournera à l'état attaché.

Remarque: Pendant la phase de relier de nouveau, s'il n'y a aucune réponse des serveurs l'uns des dans les serveurs le répertoriez, puis l'ASA se déplacera pour purger l'état et après celui, retirent les règles ajoutées à l'interface de laquelle les serveurs étaient accessibles.

États de client de proxy DHCP

  • Le DHCP les découvrent : Dans cet état l'ASA envoie découvrent des paquets aux serveurs dans la liste de serveur sous le groupe de tunnel (le serveur se réfère à des serveurs dans la liste de serveur sous le groupe de tunnels) qui ont une artère et ont un client activé sur l'interface par laquelle le serveur est accessible. Les serveurs qui n'ont pas une artère et ne font pas activer le client ne sont pas envoyés à un paquet de découvrir.

  • Offre DHCP : Les serveurs envoient une offre. L'ASA sélectionne l'offre basée sur d'abord été livré, servent d'abord la base.

  • Requête DHCP : L'ASA génère un paquet qui inclut l'adresse du serveur dont l'adresse est sélectionnée et envoie ce paquet aux serveurs (artère disponible et client activé). Ce paquet aide les autres serveurs à l'identifier qu'une adresse est sélectionnée du serveur spécifié dans le paquet et agit en tant que NAK à d'autres serveurs.

  • DHCP attaché : L'ASA est livré à cet état si un ACK est reçu du serveur demandé [le serveur dans l'état de requête DHCP].

  • Le DHCP renouvellent : Renouvelez se produit quand la moitié de la durée de bail est passée. Pendant cet état, l'ASA envoie une demande au serveur de bail (le serveur qui a fourni l'adresse au client). Si pour quelque raison le serveur de bail est en panne, alors l'ASA relance quatre fois au serveur de bail. Si le serveur n'est toujours pas accessible ou ne répondant pas, alors l'ASA se déplace pour relier de nouveau l'état.

  • Le DHCP se relient de nouveau : Reliez-vous de nouveau se produit quand 7/8Th de la durée de bail est passé. Pendant l'état de relier de nouveau tous les serveurs (artère-disponibles et client-activés) dans la liste sont envoyés à une demande. Si le serveur de bail est en panne à cet état, alors le serveur dans des syncs de bail avec le serveur de bail (installation ha des serveurs où les baux synced entre les serveurs) fournira le bail au client.

Vérifiez

Pour visualiser les détails de bail, utilisez la commande show améliorée et filtrez la vue pour le proxy et le serveur.

Le CLI précédent était :

affichez le bail DHCP de <interface> d'IP address

et il a été amélioré à

affichez le bail DHCP de <interface> d'IP address [proxy/serveur] [le résumé]

La syntaxe est ici :

affichez le bail DHCP de <interface> d'IP address [proxy/serveur] [le résumé]

commandes/options de mode d'exécution :

  entrées de proxy d'exposition de proxy dans la table chargement initial

  entrées de serveur d'exposition de serveur dans la table chargement initial

  résumé récapitulatif d'exposition pour l'entrée

  Modificateurs de sortie

Dépannez

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

mettez au point le détail 255 de dhcpc

mettez au point l'erreur 255 de dhcpc

mettez au point le paquet 255 de dhcpc


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118017