安全 : Cisco ASA 5500 系列自适应安全设备

ASA DHCP与备份DHCP服务器列表的代理行为

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述作为一个DHCP代理客户端的新的可适应安全工具(ASA)行为用多个DHCP服务器。

贡献用古斯塔沃Medina, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 5500-X系列Cisco的ASA

  • 行为崔凡吉莱在9.2(1)和9.1(4)介绍

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

图表

上一个行为

这是DHCP的特点的旧有设计的示例,当ASA作为DHCP服务器HA设置的一个代理客户端:

为VPN客户端分配的DHCP地址使用了一个备份服务器型号-服务器列表

  • 当VPN客户端连接, ASA逐次地尝试每个DHCP服务器,直到接收租期或耗尽了列表。

  • 当是时间更新,它尝试更新到记录服务器。如果DHCP更新失败的相位,移动向DHCP重新绑定相位。因为ASA使用一种备份算法,您只尝试用同一个失效的服务器重新绑定。

新的行为

使用增强CSCuc04072,思科更改算法到HA服务器型号-服务器组

当客户端连接:

  • ASA发送在组中发现到所有服务器。

  • ASA选择接收的第一次提供并且下降其他提供。

  • 当地址需要被更新时,尝试用租期服务器(地址获取)的服务器更新。

  • 如果DHCP更新失效,在一定数量的重试次数,状态机移动对DHCP重新绑定相位在预定义的期限以后后。

  • 在重新绑定相位期间, ASA在组中平行将发送请求到所有服务器。在HA环境,租赁信息共享,因此其他服务器能ACK租期,并且ASA回到限制状态。

注意:在重新绑定相位期间,如果没有从的无响应任何在Servers列表的服务器,然后ASA将移动在那以后清除状态和,删除规则增加到服务器是可及的接口。

DHCP代理客户端状态

  • DHCP发现:在此状态下ASA发送发现数据包到有一个路由并且有在接口启用的客户端服务器是可及的在服务器列表的服务器在隧道组下(服务器是指在服务器列表的服务器在隧道群下)。没有一个路由,并且没有客户端启用的服务器没有发送发现数据包。

  • DHCP提供:服务器发送提供。先到先服务ASA选择根据基本类型的提供。

  • DHCP请求:ASA生成包括服务器地址地址选择并且发送此数据包到服务器的数据包(启用的路由联机和客户端)。此数据包帮助其他服务器识别地址从在数据包指定的服务器选择并且作为NAK到其他服务器。

  • 一定的DHCP :ASA来到此状态ACK是否从服务器请求的[the server in DHCP request state]接收。

  • DHCP更新:当租用时间的半通过时,请更新发生。在此状态期间, ASA发送请求到租期服务器(提供对客户端的地址)的服务器。由于某种原因如果租期服务器发生故障,则ASA再试四次到租期服务器。如果服务器仍然不是可及的或不响应,则ASA移动重新绑定状态。

  • DHCP重新绑定:当租用时间的7/8Th通过时,重新绑定发生。在重新绑定状态期间所有服务器(路由联机和支持客户端的)在列表发送请求。如果租期服务器发生故障在此状态,则在租期同步的服务器用租期服务器(租期被同步在服务器之间)服务器的HA设置将提供租期给客户端。

验证

查看租期详细信息,使用show命令的增强版和为代理和服务器过滤视图。

上一个CLI是:

显示IP地址<interface> DHCP租用

并且它被提高了

显示IP地址<interface> DHCP租用[proxy/server] [summary]

语法在这里:

显示IP地址<interface> DHCP租用[proxy/server] [summary]

EXEC模式命令/选项:

  代理在IPL表里显示代理条目

  服务器Show server条目在IPL表里

  条目的概略的Show summary

  | 输出修饰词

故障排除

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

调试dhcpc详细信息255

调试dhcpc错误255

调试dhcpc数据包255



Document ID: 118017