Introduction
Este documento descreve o novo comportamento do Adaptive Security Appliance (ASA) atuando como um DHCP Proxy Client com vários servidores DHCP.
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco ASA 5500-X Series
- Mudança de comportamento introduzida nos pontos 9.2(1) e 9.1(4)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Diagrama

Comportamento anterior
Aqui está um exemplo do projeto antigo da funcionalidade DHCP quando o ASA agiu como um cliente proxy em uma configuração HA de servidores DHCP:
O endereço DHCP atribuído aos clientes VPN usava um modelo de servidor de backup - lista de servidores.
- Quando um cliente VPN se conectou, o ASA tentou cada servidor DHCP serialmente até receber um aluguel ou ter esgotado a lista.
- Quando era hora de renovar, ele tentava renovar para o servidor de registro. Se a fase de renovação do DHCP falhou, ela foi movida para a fase de rebind do DHCP. Como o ASA está usando um algoritmo de backup, você só tentou se recuperar com o mesmo servidor com falha.
Novo comportamento
Com o aprimoramento CSCuc04072, a Cisco alterou o algoritmo para um modelo de servidor HA - grupo de servidores.
Quando um cliente se conecta:
- O ASA envia Descobertas para todos os servidores do grupo.
- O ASA seleciona a primeira oferta recebida e descarta as outras ofertas.
- Quando um endereço precisa ser renovado, ele tenta renovar com o servidor de leasing (servidor do qual o endereço foi adquirido).
- Se a renovação do DHCP falhar após um determinado número de novas tentativas, a máquina de estado passará para a fase de rebind do DHCP após um período predefinido.
- Durante a fase de rebind, o ASA enviará solicitações a todos os servidores do grupo em paralelo. Em um ambiente de HA, as informações de leasing são compartilhadas, de modo que outros servidores possam ACK o leasing e o ASA retorne ao estado vinculado.
Note: Durante a fase de rebind, se não houver resposta de nenhum dos servidores na lista de servidores, o ASA passará para o estado de purgação e, depois disso, removerá as regras adicionadas à interface de onde os servidores estavam acessíveis.
Estados do cliente proxy DHCP
- Descoberta de DHCP: Nesse estado, o ASA envia pacotes de descoberta para os servidores na lista de servidores em grupo de túneis (o servidor se refere aos servidores na lista de servidores em grupo de túneis) que têm uma rota e têm um cliente ativado na interface através da qual o servidor é alcançável. Os servidores que não têm uma rota e não têm o cliente habilitado não recebem um pacote de descoberta.
- Oferta de DHCP: Os servidores enviam uma oferta. O ASA seleciona a oferta com base no primeiro a chegar, primeiro a atender.
- Solicitação DHCP: O ASA gera um pacote que inclui o endereço do servidor do qual o endereço é selecionado e envia esse pacote aos servidores (rota disponível e cliente ativado). Esse pacote ajuda os outros servidores a identificar que um endereço é selecionado do servidor especificado no pacote e atua como NAK para outros servidores.
- DHCP associado: O ASA chega a esse estado se um ACK é recebido do servidor solicitado [o servidor no estado de solicitação DHCP].
- Renovação de DHCP: A renovação ocorre quando metade do tempo do leasing é ultrapassado. Durante esse estado, o ASA envia uma solicitação ao servidor de leasing (o servidor que forneceu o endereço ao cliente). Se, por algum motivo, o servidor de leasing estiver inoperante, o ASA tentará novamente quatro vezes no servidor de leasing. Se o servidor ainda não estiver acessível ou não estiver respondendo, o ASA passará para o estado de rebind.
- Recusar DHCP: A reassociação ocorre quando o dia 8/7 do tempo de concessão é passado. Durante o estado de rebind, todos os servidores (disponível para roteamento e habilitado para cliente) na lista recebem uma solicitação. Se o servidor de leasing estiver inoperante nesse estado, o servidor em leasing sincroniza com o servidor de leasing (configuração HA dos servidores onde os aluguéis são sincronizados entre os servidores) fornecerá o leasing ao cliente.
Verificar
Para exibir os detalhes do aluguel, use o comando show avançado e filtre a exibição de proxy e servidor.
A CLI anterior era:
show ip address <interface> dhcp lease
e foi aprimorado para
show ip address <interface> dhcp lease [proxy/server] [summary]
A sintaxe está aqui:
show ip address <interface> dhcp lease [proxy/server] [summary]
comandos/opções do modo exec:
proxy Mostrar entradas de proxy na tabela IPL
servidor Mostrar entradas do servidor na tabela IPL
resumo Mostrar resumo da entrada
| Modificadores de saída
Troubleshoot
Note: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
debug dhcpc detail 255
debug dhcpc error 255
debug dhcpc packet 255