简介
本文档介绍新的自适应安全设备(ASA)行为,该行为充当具有多个DHCP服务器的DHCP代理客户端。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco ASA 5500-X系列
- 9.2(1)和9.1(4)中引入的行为更改
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
图解

以前的行为
以下是ASA在DHCP服务器的HA设置中充当代理客户端时DHCP功能旧设计的示例:
为VPN客户端分配的DHCP地址使用备份服务器型号 — 服务器列表。
- 当VPN客户端连接时,ASA会依次尝试每台DHCP服务器,直到收到租用或耗尽列表。
- 到续约时,它尝试续约到记录服务器。如果DHCP更新阶段失败,则它将移至DHCP重新绑定阶段。由于ASA使用备份算法,因此您只尝试重新绑定同一故障服务器。
新行为
通过增强版CSCuc04072,思科将算法更改为HA服务器模型 — 服务器组。
当客户端连接时:
- ASA将Docines发送到组中的所有服务器。
- ASA选择收到的第一个优惠并丢弃其他优惠。
- 当需要续订地址时,它会尝试与租用服务器(从中获取地址的服务器)续订。
- 如果DHCP更新在一定次数的重试后失败,状态机在预定义的时间段后进入DHCP重新绑定阶段。
- 在重新绑定阶段,ASA将并行向组中的所有服务器发送请求。在HA环境中,租用信息是共享的,因此其他服务器可以确认租用,ASA将返回绑定状态。
注意:在重新绑定阶段,如果服务器列表中的任何服务器都没有响应,则ASA将进入清除状态,然后删除添加到服务器可从其访问的接口的规则。
DHCP代理客户端状态
- DHCP 发现:在此状态下,ASA将发现数据包发送到隧道组下服务器列表中的服务器(服务器是指隧道组下服务器列表中的服务器),这些服务器具有路由并在可访问服务器的接口上启用了客户端。没有路由且未启用客户端的服务器不会发送发现数据包。
- DHCP 提供:服务器发送报价。ASA根据先到先得原则选择服务。
- DHCP 请求:ASA生成一个数据包,该数据包包括从中选择地址的服务器地址,并将此数据包发送到服务器(路由可用且客户端已启用)。 此数据包帮助其他服务器识别地址是从数据包中指定的服务器中选择的,并充当对其他服务器的NAK。
- DHCP绑定:如果从请求的服务器收到ACK [DHCP请求状态下的服务器],ASA将进入此状态。
- DHCP更新:在租用时间过半时续约。在此状态下,ASA向租用服务器(向客户端提供地址的服务器)发送请求。 如果由于某种原因租用服务器关闭,则ASA将重试四次到租用服务器。如果服务器仍无法访问或无法响应,则ASA将移至重新绑定状态。
- DHCP重新绑定:当租用时间的7/8通过时,会发生重新绑定。在重新绑定状态期间,会向列表中的所有服务器(路由可用和客户端启用)发送请求。如果租用服务器处于此状态,则租用中的服务器与租用服务器同步(在服务器之间同步租用的服务器的HA设置)将向客户端提供租用。
验证
要查看租用详细信息,请使用增强的show命令并过滤代理和服务器的视图。
以前的CLI是:
show ip address <interface> dhcp lease
并且增强到
show ip address <interface> dhcp lease [proxy/server] [summary]
语法如下:
show ip address <interface> dhcp lease [proxy/server] [summary]
exec模式命令/选项:
代理在IPL表中显示代理条目
服务器在IPL表中显示服务器条目
summary显示条目的摘要
|输出修饰符
故障排除
注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息。
debug dhcp detail 255
debug dhcp error 255
debug dhcp packet 255