セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

DHCPサーバで設定される ASA はホストが IP アドレスを得ないようにしません

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は DHCP の Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)からの IP アドレスを得ることがホストを引き起こす場合がある特定のコンフィギュレーションに関する問題を記述したものです。

Akash Chaudhary、Mohammad Alhyari、およびジェイ ジョンソンによって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は ASA ソフトウェア バージョン 8.2.5 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

DHCPサーバで設定されて ASA がホストは IP アドレスを得ることができません。

ASA は 2 つのインターフェイスの DHCPサーバで設定されます: VLAN 6 (内部インターフェイス)および VLAN 10 (DMZ2 インターフェイス)。 それらの VLAN の PC は DHCP によって正常に ASA からの IP アドレスを得ることができません。

  • DHCP configration は正しいです。
  • 問題の原因を示す syslog は ASA によって生成されません。
  • ASA で奪取 される パケットキャプチャは DHCP DISCOVER パケットの到達だけを示します。 ASA は OFFER パケットと応答を返しません。

パケットは加速されたセキュリティ パス(ASP)によって廃棄され、DHCP DISCOVER パケットが「保安検査が失敗した Slowpath が廃棄された原因であることを ASP に加えられるキャプチャは示します: 「

ASA# capture asp type asp-drop all
ASA# show capture asp

3 packets captured
1: 14:57:05.627241 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed

2: 14:57:08.627286 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed

3: 14:57:16.626966 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed

解決策

設定はそのサブネットのすべての IP トラフィックを取囲む広い静的なネットワークアドレス変換(NAT)文が含まれています。 ブロードキャスト DHCP DISCOVER パケット(255.255.255.255)失敗を引き起こすこの NAT 一致するために文を送信される:

static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0

間違って設定された NAT 文を取除く場合、問題を解決します。

追加情報

DHCP DISCOVER パケットを模倣すればのに DMZ2 インターフェイスに入る ASA のパケット トレーサー ユーティリティを使用すれば、問題点は NAT 設定によって引き起こされるように明らかにすることができます:

tutera-firewall#packet-tracer input DMZ2 udp 0.0.0.0 68 255.255.255.255 67 detail
.....
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Configuration:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
match ip DMZ1 any DMZ2 any
static translation to 0.0.0.0
translate_hits = 0, untranslate_hits = 641
Additional Information:
NAT divert to egress interface DMZ1
Untranslate 0.0.0.0/0 to 0.0.0.0/0 using netmask 0.0.0.0
Result:
input-interface: DMZ2
input-status: up
input-line-status: up
output-interface: DMZ1
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116354