Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Поведение прокси DHCP ASA с резервным списком сервера DHCP

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает новое поведение Устройства адаптивной защиты (ASA), действующее как Прокси - клиент DHCP со множественными серверами DHCP.

Внесенный Густаво Мединой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco ASA 5500-X Series

  • Изменение поведения, представленное в 9.2 (1) и 9.1 (4)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема

Предыдущее поведение

Когда ASA действовал как прокси - клиент в настройке HA серверов DHCP, вот пример старого дизайна функциональных возможностей DHCP:

Адрес DHCP, назначенный для клиентов VPN, использовал модель сервера резервного копирования - список серверов.

  • Когда клиент VPN соединился, ASA попробовал каждый сервер DHCP последовательно, пока это не получило арендный договор, или это истощило список.

  • Когда пришло время возобновить, это попыталось возобновить к серверу записи. Если DHCP возобновляет подведенную фазу, это переместилось в DHCP, повторно связывают фазу. Так как ASA использует резервный алгоритм, вы только попытались повторно связать с тем же сервером с ошибкой.

Новое поведение

С Усовершенствованием CSCuc04072 Cisco изменила алгоритм на модель сервера HA - группа серверов.

Когда соединяется клиент:

  • ASA передает, Обнаруживает ко всем серверам в группе.

  • ASA выбирает первое полученное предложение и отбрасывает другие предложения.

  • Когда адрес должен быть возобновлен, он пытается возобновить с сервером арендного договора (сервер, от которого адрес был получен).

  • Если DHCP возобновляет сбои после того, как определенное число повторных попыток, шаги механизма состояний к DHCP повторно свяжут фазу после предопределенного периода.

  • Во время повторно связывать фазы ASA отправит запросы ко всем серверам в группе параллельно. В среде HA разделены сведения аренды, таким образом, другие серверы могут ACK, арендный договор и ASA вернутся к состоянию Bound.

Примечание: Во время повторно связывать фазы, если не будет никакого ответа ни от одного из серверов в списке серверов, то ASA перейдет в состояние чистки и после этого, удалит правила, добавленные к интерфейсу, от которого серверы были достижимы.

Состояния прокси - клиента DHCP

  • Обнаружение DHCP: В этом состоянии ASA передает, обнаруживают пакеты к серверам в списке серверов под туннельной группой (сервер обращается к серверам в списке серверов под туннельной группой), которые имеют маршрут и включили клиент на интерфейсе, через который сервер достижим. Серверы, которые не имеют маршрута и не включать клиент, не переданы обнаружить пакет.

  • Предложение DHCP: Серверы передают предложение. ASA выбирает предложение на основе первого, прибывают, сначала служат основанию.

  • Запрос DHCP: ASA генерирует пакет, который включает адрес сервера, от которого адрес выбран и передает этот пакет к серверам (направьте доступный, и клиент включил). Этот пакет помогает другим серверам определять это, адрес выбран от сервера, заданного в пакете, и действует как NAK к другим серверам.

  • DHCP связал: Если ACK получен от сервера, который запрашивают [сервер в состоянии запроса DHCP], ASA прибывает в это состояние.

  • DHCP возобновляет: Возобновите происходит, когда проводят половину времени аренды. Во время этого состояния ASA отправляет запрос к серверу арендного договора (сервер, который предоставил адрес клиенту). Если по некоторым причинам сервер арендного договора не работает, то ASA повторяет четыре раза к серверу арендного договора. Если сервер все еще не достижим или не ответ, то ASA перемещается для повторного связывания состояния.

  • DHCP повторно связывает: Повторно свяжите происходит, когда 7/8-й времени аренды, передан. Во время повторно связывать состояния все серверы (доступный маршруту и клиентско-поддерживающий) в списке отправлены запрос. Если сервер арендного договора не работает в этом состоянии, то сервер в синхронизовании арендного договора с сервером арендного договора (HA настройка серверов, где арендные договоры синхронизируются между серверами) предоставит арендный договор клиенту.

Проверка

Чтобы посмотреть детали арендного договора, используйте расширенную команду показа и фильтруйте представление для прокси и сервера.

Предыдущий CLI был:

show ip обращается к арендному договору dhcp <interface>

и это было улучшено к

show ip обращается к арендному договору dhcp <interface> [прокси/сервер] [сводка]

Синтаксис здесь:

show ip обращается к арендному договору dhcp <interface> [прокси/сервер] [сводка]

команды/опции режима EXEC:

      записи прокси Показа прокси в таблице IPL

     записи Show server сервера в таблице IPL

 итоговая сводка Показа для записи

  | Output modifiers

Устранение неполадок

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

отладьте подробность dhcpc 255

отладьте dhcpc ошибку 255

отладьте dhcpc пакет 255



Document ID: 118017