Назад | Перейти на главную страницу

Использование Cisco ASA 5505 для пересылки запросов PXE (WDS)

У меня есть Cisco ASA 5505, который использует около 5 сетевых адаптеров для разных сетей. В настоящее время я использую свой ASA для маршрутизации трафика, поскольку это единственное устройство Cisco, которое у меня есть, способное выполнять небольшую маршрутизацию, необходимую для моей сети.

Разделяя вещи, я использую 5 сетевых адаптеров для разных сетей, таких как вне, корп, принтеры, рабочие станции, серверы, и общественный. У каждой есть своя подсеть, которую я держу отдельно для управления всеми ACL через брандмауэр ASA. Все (например, DHCP с SuperScope) отлично работает, за исключением сервера WDS.

Мой вопрос: сейчас у меня есть новый компьютер, подключенный к рабочие станции Сетевой адаптер LAN, который ищет мой сервер WDS, расположенный на серверы LAN. Как я могу получить запросы от всех различных сетевых адаптеров к серверы NIC LAN?

Я никогда особо не любил платформу ASA 5505 .. Мне всегда казалось, что «шесть из одного и полдюжины из другого» слишком много, чтобы найти ей применение в любой из моих сетей.

Я только что провел последние полчаса, читая связка из вещи около то возможность из "обманом в маршрутизации".

Итак, это в основном сводится к следующему.

  • С базовой лицензией вы можете использовать только две VLAN (что, вероятно, достаточно важно).
  • Таблица маршрутизации имеет более низкий приоритет, чем таблица преобразования (это плохо для производительности маршрутизации).
  • Без тонких команд ASA не будет пересылать пакет обратно из того же интерфейса, из которого он пришел (same-security-traffic permit intra-interface, и fixup protocol icmp).

Эти две последние команды восходят к тому дню, когда диапазон ASA был диапазоном PIX.

Если бы я был на вашем месте, я бы купил отдельный маршрутизатор и оставил бы ASA или заменил бы все это значительно более мощным межсетевым экраном, который действительно может маршрутизировать трафик.

Как ребята на Форум Cisco уже упоминал вам, dhcp-relay должен исправить все для DHCP-части WDS и так далее.

Остается вопрос об остальном PXE. PXE - это в основном DHCP и TFTP, который сам по себе является службой на основе UDP, работающей на порту 69.

С другой стороны, вы пытались установить статическое сопоставление NAT для сервера WDS на рассматриваемом интерфейсе, а затем указать PXE на это с помощью next-server атрибут?

Может работать, но для настройки достаточного количества зон NAT вам, вероятно, потребуется сделать их как виртуальные локальные сети и, следовательно, потребуется лицензия Security Plus (25 виртуальных локальных сетей!), А затем теоретически вы сможете просто выполнять простую межсетевую связь. -VLAN маршрутизация, но я подозреваю, что у вас плохая производительность.

Без лабораторных исследований (небольшая боль, так как ASA - это просто свинья, которую нужно подражать, а у меня нет 5505), трудно придумать более точный ответ.

Больше информации:

next-server это имя ISC DHCPd для DHCP Option 66, как описано здесь http://tools.ietf.org/html/rfc2132#page-25 так как Имя сервера TFTP. Это IP-адрес сервера, на котором расположен TFTP-сервер для загрузки PXE.

Статический NAT - это процесс, который позволяет вам настроить преобразование между двумя IP-адресами, которые находятся в разных сетях, как описано Вот.

Щелчок, треск и хлоп! Узнал, что это все, благодаря Тому, который подарил мне несколько хороших идей. Я пошел, чтобы добавить параметр DHCP 66 в параметры моей области действия, и подумал про себя, следует ли мне добавить его в параметры области подсети «серверы» или параметры области подсети «рабочие станции» ... Затем я хлопнул себя по лбу, когда я понял, что (неопознанный) ПК, пытающийся получить IP-адрес от DHCP-сервера, получает IP-адрес из "неизвестной" подсети, для которой я создал ... Неизвестные ПК .. :)

Мои подсети разбиты следующим образом ...

10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)

У меня все пулы адресов из каждой подсети заблокированы, чтобы НЕ раздавать IP-адреса. Единственная подсеть / область, имеющая доступные IP-адреса, - это «неизвестная» подсеть. Таким образом, если у меня есть зарезервированный IP-адрес в одной из других подсетей, машина получит его. Если я этого не сделаю, он получит IP в мертвой / изолированной / изолированной сети (неизвестно). Так уж получилось, что я хорошо поработал со всеми своими ACL, и неизвестное не может получить ничего, кроме DHCP-сервера, и нет маршрутизации / натсов для неизвестной сети. Итак, ПК получал IP, но на этом он остановился.

Имеет смысл, и я бы никогда не подумал об этом, пока Том не попросил меня попробовать что-нибудь еще. Так что СПАСИБО ТОМ !!!

Что касается ответа на этот вопрос, ответ должен использовать что-то вроде следующего в вашей конфигурации asa, будет работать нормально ...

dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60

10.71.3.2 в этом случае будет моим сервером DC / WDS. Установка «dhcprelay server 10.71.3.2 servers» позволяет этому серверу получать запросы. «Рабочие станции включения dhcprelay» должны быть определены для КАЖДОЙ подсети / интерфейса / области, которым требуется доступ к DHCP-серверу. «dhcprelay setroute workstations» также должен быть определен для каждого (как и строки включения). Я предпочел тайм-аут.