У меня есть Cisco ASA 5505, который использует около 5 сетевых адаптеров для разных сетей. В настоящее время я использую свой ASA для маршрутизации трафика, поскольку это единственное устройство Cisco, которое у меня есть, способное выполнять небольшую маршрутизацию, необходимую для моей сети.
Разделяя вещи, я использую 5 сетевых адаптеров для разных сетей, таких как вне, корп, принтеры, рабочие станции, серверы, и общественный. У каждой есть своя подсеть, которую я держу отдельно для управления всеми ACL через брандмауэр ASA. Все (например, DHCP с SuperScope) отлично работает, за исключением сервера WDS.
Мой вопрос: сейчас у меня есть новый компьютер, подключенный к рабочие станции Сетевой адаптер LAN, который ищет мой сервер WDS, расположенный на серверы LAN. Как я могу получить запросы от всех различных сетевых адаптеров к серверы NIC LAN?
Я никогда особо не любил платформу ASA 5505 .. Мне всегда казалось, что «шесть из одного и полдюжины из другого» слишком много, чтобы найти ей применение в любой из моих сетей.
Я только что провел последние полчаса, читая связка из вещи около то возможность из "обманом в маршрутизации".
Итак, это в основном сводится к следующему.
same-security-traffic permit intra-interface
, и fixup protocol icmp
).Эти две последние команды восходят к тому дню, когда диапазон ASA был диапазоном PIX.
Если бы я был на вашем месте, я бы купил отдельный маршрутизатор и оставил бы ASA или заменил бы все это значительно более мощным межсетевым экраном, который действительно может маршрутизировать трафик.
Как ребята на Форум Cisco уже упоминал вам, dhcp-relay должен исправить все для DHCP-части WDS и так далее.
Остается вопрос об остальном PXE. PXE - это в основном DHCP и TFTP, который сам по себе является службой на основе UDP, работающей на порту 69.
С другой стороны, вы пытались установить статическое сопоставление NAT для сервера WDS на рассматриваемом интерфейсе, а затем указать PXE на это с помощью next-server
атрибут?
Может работать, но для настройки достаточного количества зон NAT вам, вероятно, потребуется сделать их как виртуальные локальные сети и, следовательно, потребуется лицензия Security Plus (25 виртуальных локальных сетей!), А затем теоретически вы сможете просто выполнять простую межсетевую связь. -VLAN маршрутизация, но я подозреваю, что у вас плохая производительность.
Без лабораторных исследований (небольшая боль, так как ASA - это просто свинья, которую нужно подражать, а у меня нет 5505), трудно придумать более точный ответ.
Больше информации:
next-server
это имя ISC DHCPd для DHCP Option 66, как описано здесь http://tools.ietf.org/html/rfc2132#page-25 так как Имя сервера TFTP. Это IP-адрес сервера, на котором расположен TFTP-сервер для загрузки PXE.
Статический NAT - это процесс, который позволяет вам настроить преобразование между двумя IP-адресами, которые находятся в разных сетях, как описано Вот.
Щелчок, треск и хлоп! Узнал, что это все, благодаря Тому, который подарил мне несколько хороших идей. Я пошел, чтобы добавить параметр DHCP 66 в параметры моей области действия, и подумал про себя, следует ли мне добавить его в параметры области подсети «серверы» или параметры области подсети «рабочие станции» ... Затем я хлопнул себя по лбу, когда я понял, что (неопознанный) ПК, пытающийся получить IP-адрес от DHCP-сервера, получает IP-адрес из "неизвестной" подсети, для которой я создал ... Неизвестные ПК .. :)
Мои подсети разбиты следующим образом ...
10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)
У меня все пулы адресов из каждой подсети заблокированы, чтобы НЕ раздавать IP-адреса. Единственная подсеть / область, имеющая доступные IP-адреса, - это «неизвестная» подсеть. Таким образом, если у меня есть зарезервированный IP-адрес в одной из других подсетей, машина получит его. Если я этого не сделаю, он получит IP в мертвой / изолированной / изолированной сети (неизвестно). Так уж получилось, что я хорошо поработал со всеми своими ACL, и неизвестное не может получить ничего, кроме DHCP-сервера, и нет маршрутизации / натсов для неизвестной сети. Итак, ПК получал IP, но на этом он остановился.
Имеет смысл, и я бы никогда не подумал об этом, пока Том не попросил меня попробовать что-нибудь еще. Так что СПАСИБО ТОМ !!!
Что касается ответа на этот вопрос, ответ должен использовать что-то вроде следующего в вашей конфигурации asa, будет работать нормально ...
dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60
10.71.3.2 в этом случае будет моим сервером DC / WDS. Установка «dhcprelay server 10.71.3.2 servers» позволяет этому серверу получать запросы. «Рабочие станции включения dhcprelay» должны быть определены для КАЖДОЙ подсети / интерфейса / области, которым требуется доступ к DHCP-серверу. «dhcprelay setroute workstations» также должен быть определен для каждого (как и строки включения). Я предпочел тайм-аут.