Cisco ASA5505, трассировка пакетов показывает загрузочные и трафик bootpc сбрасывается на интерфейсе DMZ

Question

Cisco ASA5505, трассировка пакетов показывает загрузочные и трафик bootpc сбрасывается на интерфейсе DMZ

Как уже сказано в заголовке, у меня проблема с тем, чтобы DHCPd работал на Cisco ASA5505 версии 7.2 с ADSM 5.2 с базовой лицензией. Я знаю его старше, и каждый раз я забываю, как работает эта машина.

Во всяком случае, у меня есть 3 VLAN снаружи / внутри / DMZ. работает снаружи и наоборот, и я настроил все необходимые записи NAT и ACL 6 месяцев назад, и это работает как чудо. Однако по какой-то причине я не могу заставить работать DMZ. Я использовал упакованный трассировщик, чтобы выяснить, могу ли я получить доступ к чему-либо снаружи из сети DMZ, и это, похоже, работает. Но широковещательные пакеты DHCP отбрасываются!

Я использую DHCP-сервер на ASA, и что я не получаю, так это то, что когда я включаю этот сервер, он не работает сразу, но вместо этого мне нужно открыть записи ACL (я думаю), позволяющие интерфейсу DMZ получать пакеты bootpc и bootps. Вопрос в том, как?

Проблема в том, что широковещательная рассылка не имеет назначения как такового, кроме, конечно, подсети, в которой она вещает; допустим, 192.168.50.0/24. Но при этом ничего не меняется, и пакеты по-прежнему отбрасываются....

0

cisco access-control-list cisco-asa dmz dhcpd

Источник

Johannes 07 май '13 в 13:29

2 ответа

Другие вопросы по тегам cisco access-control-list cisco-asa dmz dhcpd

Yuri 07 май '13 в 13:37 2013-05-07 13:37 · Answer 1 · 2013-05-07 13:37

Несколько (не связанных) точек:
- Посмотрите внимательно на лицензию - с самой основной лицензией вы увидите "интерфейс DMZ" в выходных данных show ver, это означает, что интерфейс DMZ сможет общаться ТОЛЬКО с "внешними" пунктами назначения, а не с другими внутренними сетями.
- Вы смотрели на осмотр? Это сильно зависит от версии ОС ASA, но в соответствии с картой классов по умолчанию, где находятся все операторы "осмотра", попробуйте ввести что-то вроде "inspect bootp" или "inspect dhcp"...
НТН

Tim 07 май '13 в 14:07 2013-05-07 14:07 · Answer 2 · 2013-05-07 14:07

Мне не ясно, получают ли ваши DMZ DHCP-клиенты адреса от DHCP-сервера. Если это не так, подтвердили ли вы с помощью мастера захвата пакетов, не уверены ли вы в ASDM 5.2, что обнаружение DHCP поступает в ASA? Это будет выглядеть примерно так: 0.0.0.0.68 -> 255.255.255.255.67. Я полагаю, что вам потребуется как минимум UDP-порт 67 (BOOTPS), открытый на каждом из интерфейсов ASA, на которых работает DHCP-сервер. Если сервер работает, он должен принять предложение, запрос и подтверждение.

Вот ссылка на конфигурацию DHCP от Cisco.

Если ваши клиенты DHCP работают, но вы не можете выйти на улицу, вам следует проверить правила NAT / PAT. Попробуйте эту ссылку для примера того, как это делается.