Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Comportamiento del proxy del DHCP ASA con la lista de reserva del servidor DHCP

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe el nuevo comportamiento adaptante del dispositivo de seguridad (ASA) que actúa como cliente proxy del DHCP con los servidores DHCP múltiples.

Contribuido por el Medina de Gustavo, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • 5500-X Series de Cisco ASA

  • Comportamiento-cambio introducido en 9.2(1) y 9.1(4)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama

Comportamiento previó

Aquí está un ejemplo del viejo diseño de la funcionalidad DHCP cuando el ASA actuaba como cliente proxy en una configuración HA de los servidores DHCP:

El DHCP Address asignado para los clientes VPN utilizó un modelo del servidor de backup - lista de servidores.

  • Cuando un cliente VPN conectó, el ASA intentó cada servidor DHCP en serie hasta que recibiera un arriendo o había agotado la lista.

  • Cuando era hora de renovar, intentó renovar al servidor del expediente. Si el DHCP renueva la fase fallada, se movió a la fase del rebind del DHCP. Puesto que el ASA está utilizando un algoritmo de reserva, usted intentó solamente reencuadernar con el mismo servidor defectuoso.

Nuevo comportamiento

Con la mejora CSCuc04072, Cisco cambió el algoritmo a un modelo del servidor HA - grupo de servidores.

Cuando un cliente conecta:

  • El ASA envía descubre a todos los servidores en el grupo.

  • El ASA selecciona la primera oferta recibida y cae las otras ofertas.

  • Cuando un direccionamiento necesita ser renovado, intenta renovar con el servidor del arriendo (el servidor del cual el direccionamiento fue adquirido).

  • Si el DHCP renueva falla después de que algunas recomprobaciones, los movimientos de la máquina de estado al DHCP reencuadernen la fase después del período predefinido.

  • Durante la fase del rebind, el ASA enviará las solicitudes a todos los servidores en el grupo paralelamente. En un entorno HA, se comparte la información sobre arrendamiento, así que otros servidores pueden el ACK el arriendo y el ASA volverá al estado límite.

Nota: Durante la fase del reencuadernar, si no hay respuesta de los servidores uces de los en los servidores enumera, después el ASA se moverá para purgar el estado y después de ése, quita las reglas agregadas a la interfaz de la cual los servidores eran accesibles.

Estados de cliente proxy del DHCP

  • El DHCP descubre: En este estado el ASA envía descubre los paquetes a los servidores en la lista de servidores bajo grupo de túnel (el servidor refiere a los servidores en la lista de servidores bajo grupo de túnel) que tienen una ruta y tienen un cliente habilitado en la interfaz a través de la cual el servidor es accesible. Los servidores que no tienen una ruta y no tienen el cliente habilitado no se envían un paquete del descubrimiento.

  • Oferta de DHCP: Los servidores envían una oferta. El ASA selecciona la oferta basada en primer haber venido, primero sirve la base.

  • Pedido de DHCP: El ASA genera un paquete que incluya a la dirección del servidor de quien se selecciona el direccionamiento y envíe este paquete a los servidores (ruta disponible y cliente habilitado). Este paquete ayuda a los otros servidores para identificar que un direccionamiento está seleccionado del servidor especificado en el paquete y actúa como NAK a otros servidores.

  • DHCP limitado: El ASA viene a este estado si un ACK se recibe del [the server in DHCP request state] pedido servidor.

  • El DHCP renueva: Renueve ocurre cuando la mitad del Tiempo de validez se pasa. Durante este estado, el ASA envía una solicitud al servidor del arriendo (el servidor que proporcionó al direccionamiento al cliente). Si por alguna razón el servidor del arriendo está abajo, después el ASA revisa cuatro veces al servidor del arriendo. Si el servidor todavía no es accesible o de respuesta, después el ASA se mueve para reencuadernar el estado.

  • Rebind del DHCP: El rebind ocurre cuando 7/8th del Tiempo de validez se pasa. Durante el estado del rebind todos los servidores (ruta-disponibles y cliente-habilitados) en la lista se envían una solicitud. Si el servidor del arriendo está abajo en este estado, después el servidor en el syncs del arriendo con el servidor del arriendo (configuración HA de los servidores donde están synced los arriendos entre los servidores) proporcionará el arriendo al cliente.

Verificación

Para ver los detalles del arriendo, utilice el comando show aumentado y filtre la visión para el proxy y el servidor.

El CLI anterior era:

muestre el arriendo DHCP del <interface> del IP Address

y fue aumentado a

muestre el [proxy/server] del arriendo DHCP del <interface> del IP Address [summary]

El sintaxis está aquí:

muestre el [proxy/server] del arriendo DHCP del <interface> del IP Address [summary]

comandos/opciones del modo EXEC:

  entradas del proxy de la demostración del proxy en la tabla IPL

  entradas de la show server del servidor en la tabla IPL

  resumen sumario de la demostración para la entrada

  |  Modificadores de resultado

Troubleshooting

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

haga el debug del detalle 255 del dhcpc

haga el debug del error 255 del dhcpc

haga el debug del paquete 255 del dhcpc


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118017