Introduction
Ce document décrit le nouveau comportement de l'ASA (Adaptive Security Appliance) agissant en tant que client proxy DHCP avec plusieurs serveurs DHCP.
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Gamme Cisco ASA 5500-X
- Changement de comportement introduit aux paragraphes 9.2(1) et 9.1(4)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Diagramme

Comportement précédent
Voici un exemple de l'ancienne conception de la fonctionnalité DHCP quand ASA a agi en tant que client proxy dans une configuration HA de serveurs DHCP :
L'adresse DHCP attribuée aux clients VPN a utilisé un modèle de serveur de sauvegarde - liste de serveurs.
- Lorsqu'un client VPN est connecté, l'ASA tente chaque serveur DHCP en série jusqu'à ce qu'il reçoive un bail ou qu'il ait épuisé la liste.
- Quand il était temps de renouveler, il a essayé de renouveler sur le serveur d'enregistrement. Si la phase de renouvellement DHCP échoue, elle passe à la phase de redémarrage DHCP. Puisque l'ASA utilise un algorithme de sauvegarde, vous avez seulement tenté de rebondir avec le même serveur défaillant.
Nouveau comportement
Avec l'amélioration CSCuc04072, Cisco a modifié l'algorithme en un modèle de serveur HA - groupe de serveurs.
Lorsqu'un client se connecte :
- ASA envoie Découvertes à tous les serveurs du groupe.
- ASA sélectionne la première offre reçue et abandonne les autres offres.
- Lorsqu'une adresse doit être renouvelée, elle tente de renouveler son contrat avec le serveur de bail (serveur à partir duquel l'adresse a été acquise).
- Si le renouvellement DHCP échoue après un certain nombre de nouvelles tentatives, la machine d'état passe à la phase de rebond DHCP après une période prédéfinie.
- Pendant la phase de rebond, l'ASA enverra des requêtes à tous les serveurs du groupe en parallèle. Dans un environnement de haute disponibilité, les informations de bail sont partagées, de sorte que d'autres serveurs peuvent ACK le bail et l'ASA retournera à l'état lié.
Note: Au cours de la phase de rebind, s'il n'y a aucune réponse de l'un des serveurs dans la liste des serveurs, alors l'ASA passe à l'état purge et après cela, supprimez les règles ajoutées à l'interface à partir de laquelle les serveurs étaient accessibles.
États du client proxy DHCP
- Découverte DHCP : Dans cet état, l'ASA envoie des paquets de découverte aux serveurs de la liste des serveurs sous le groupe de tunnels (le serveur fait référence aux serveurs de la liste des serveurs sous le groupe de tunnels) qui ont une route et dont un client est activé sur l'interface par laquelle le serveur est accessible. Les serveurs qui n'ont pas de route et dont le client n'est pas activé ne reçoivent pas de paquet de découverte.
- Offre DHCP : Les serveurs envoient une offre. L'ASA sélectionne l'offre en fonction du premier arrivé, premier servi.
- Requête DHCP : L'ASA génère un paquet qui inclut l'adresse du serveur à partir duquel l'adresse est sélectionnée et envoie ce paquet aux serveurs (route disponible et client activé). Ce paquet aide les autres serveurs à identifier qu'une adresse est sélectionnée à partir du serveur spécifié dans le paquet et agit comme NAK vers d'autres serveurs.
- Liaison DHCP : L'ASA arrive à cet état si un ACK est reçu du serveur demandé [le serveur dans l'état de requête DHCP].
- Renouvellement DHCP : Le renouvellement se produit lorsque la moitié du temps de location est écoulée. Pendant cet état, l'ASA envoie une requête au serveur de bail (le serveur qui a fourni l'adresse au client). Si, pour une raison quelconque, le serveur de bail est en panne, l'ASA recommence quatre fois vers le serveur de bail. Si le serveur n'est toujours pas accessible ou ne répond pas, l'ASA passe à l'état de rebond.
- Rebondissement DHCP : La liaison se produit lorsque 7/8e du temps de bail est passé. Pendant l'état de rebind, tous les serveurs (routage-disponible et client-activé) de la liste reçoivent une requête. Si le serveur de bail est en panne à cet état, le serveur en bail est synchronisé avec le serveur de bail (configuration HA des serveurs où les baux sont synchronisés entre les serveurs) fournira le bail au client.
Vérification
Pour afficher les détails du bail, utilisez la commande show améliorée et filtrez l'affichage pour le proxy et le serveur.
L'interface de ligne de commande précédente était la suivante :
show ip address <interface> dhcp lease
et de
show ip address <interface> dhcp lease [proxy/serveur] [résumé]
La syntaxe est la suivante :
show ip address <interface> dhcp lease [proxy/serveur] [résumé]
commandes/options du mode exec :
proxy Afficher les entrées proxy dans la table IPL
serveur Afficher les entrées du serveur dans la table IPL
résumé Afficher le résumé de l'entrée
| Modificateurs de sortie
Dépannage
Note: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.
debug dhpcc detail 255
debug dhpcc error 255
debug dhpcc packet 255