Introducción
Este documento describe el nuevo comportamiento de Adaptive Security Appliance (ASA) que actúa como cliente proxy DHCP con varios servidores DHCP.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco ASA serie 5500-X
- Cambio de comportamiento introducido en 9.2(1) y 9.1(4)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Diagrama

Comportamiento anterior
Este es un ejemplo del antiguo diseño de la funcionalidad DHCP cuando ASA actuó como cliente proxy en una configuración HA de servidores DHCP:
La dirección DHCP asignada para los clientes VPN utilizó un modelo de servidor de respaldo - lista de servidores.
- Cuando se conectó un cliente VPN, el ASA probó cada servidor DHCP en serie hasta que recibió un arrendamiento o se agotó la lista.
- Cuando llegó el momento de renovar, intentó renovarlo al servidor de registro. Si la fase de renovación de DHCP falló, se desplazó a la fase de devolución de DHCP. Dado que el ASA utiliza un algoritmo de copia de seguridad, sólo ha intentado volver a buscar el mismo servidor con error.
Nuevo comportamiento
Con la mejora CSCuc04072, Cisco cambió el algoritmo a un modelo de servidor HA - grupo de servidores.
Cuando un cliente se conecta:
- ASA envía Descubrimientos a todos los servidores del grupo.
- ASA selecciona la primera oferta recibida y deja de lado las demás.
- Cuando es necesario renovar una dirección, intenta renovarla con el servidor de arrendamiento (servidor desde el que se adquirió la dirección).
- Si la renovación de DHCP falla después de un cierto número de reintentos, la máquina de estado pasa a la fase de devolución de DHCP después del período predefinido.
- Durante la fase de devolución, el ASA enviará solicitudes a todos los servidores del grupo en paralelo. En un entorno HA, la información de arrendamiento se comparte, por lo que otros servidores pueden ACK del arrendamiento y ASA volverá al estado enlazado.
Nota: Durante la fase de devolución, si no hay respuesta de ninguno de los servidores en la lista de servidores, el ASA pasará al estado de purga y después de eso, elimine las reglas agregadas a la interfaz desde la que se pudo acceder a los servidores.
Estados del Cliente Proxy DHCP
- Detección de DHCP: En este estado, el ASA envía paquetes de detección a los servidores de la lista de servidores bajo el grupo de túnel (el servidor se refiere a los servidores de la lista de servidores bajo el grupo de túnel) que tienen una ruta y un cliente habilitado en la interfaz a través de la cual se puede alcanzar el servidor. A los servidores que no tienen una ruta y no tienen el cliente habilitado no se les envía un paquete de detección.
- Oferta DHCP: Los servidores envían una oferta. El ASA selecciona la oferta en función de la base de orden de llegada.
- Solicitud DHCP: El ASA genera un paquete que incluye la dirección del servidor desde la que se selecciona la dirección y envía este paquete a los servidores (ruta disponible y cliente habilitado). Este paquete ayuda a los otros servidores a identificar que se selecciona una dirección del servidor especificado en el paquete y actúa como NAK a otros servidores.
- Límite DHCP: El ASA llega a este estado si se recibe un ACK del servidor solicitado [el servidor en el estado de solicitud DHCP].
- Renovación de DHCP: La renovación se produce cuando se pasa la mitad del tiempo de arrendamiento. Durante este estado, ASA envía una solicitud al servidor de arrendamiento (el servidor que proporcionó la dirección al cliente). Si, por alguna razón, el servidor de arrendamiento está inactivo, el ASA se reintenta cuatro veces al servidor de arrendamiento. Si el servidor aún no se puede alcanzar o no responde, el ASA pasa al estado de reconexión.
- Devolución de DHCP: El nuevo enlace se produce cuando se pasa el 7/8º del tiempo de arrendamiento. Durante el estado de devolución, todos los servidores (route-available y client-enabled) de la lista reciben una solicitud. Si el servidor de arrendamiento está inactivo en este estado, el servidor en arrendamiento se sincroniza con el servidor de arrendamiento (configuración HA de los servidores donde se sincronizan los arrendamientos entre los servidores) proporcionará el arrendamiento al cliente.
Verificación
Para ver los detalles de arrendamiento, utilice el comando show mejorado y filtre la vista para proxy y servidor.
La CLI anterior era:
show ip address <interface> dhcp lease
y se mejoró
show ip address <interface> dhcp lease [proxy/server] [summary]
La sintaxis está aquí:
show ip address <interface> dhcp lease [proxy/server] [summary]
comandos/opciones del modo exec:
proxy Mostrar entradas de proxy en la tabla IPL
servidor Mostrar entradas del servidor en la tabla IPL
resumen Mostrar resumen para la entrada
| Modificadores de salida
Troubleshoot
Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.
debug dhcpc detail 255
debug dhcpc error 255
debug dhcpc packet 255