Как уже сказано в названии, у меня проблема с тем, чтобы DHCPd работал на Cisco ASA5505 версии 7.2 с ADSM 5.2 с базовой лицензией. Я знаю его более старый и каждый раз забываю, как работает эта машина.
Во всяком случае, у меня есть 3 VLAN снаружи / внутри / dmz. изнутри наружу и наоборот работает, и я установил все необходимые записи NAT и ACL 6 месяцев назад, и это работает как шарм. Однако по какой-то причине я не могу заставить работать DMZ. Я использовал упакованный трассировщик, чтобы выяснить, могу ли я получить доступ к чему-либо извне из сети DMZ, и это, похоже, работает. Но широковещательные пакеты DHCP отбрасываются!
Я использую DHCP-сервер на ASA, и я не понимаю, что когда я включаю этот сервер, он не работает сразу, но вместо этого мне нужно открыть записи ACL (я думаю), позволяя интерфейсу DMZ получать пакеты bootpc и bootps. Вопрос как?
Проблема в том, что широковещательная передача не имеет адресата как такового, за исключением, конечно, подсети, в которой она транслируется; скажем 192.168.50.0/24. Но это ничего не меняет, и пакеты все равно отбрасываются ...
Мне не ясно, получают ли ваши DHCP-клиенты DMZ адреса от DHCP-сервера. Если это не так, подтвердили ли вы с помощью мастера захвата пакетов, не уверены, есть ли он у вас в ASDM 5.2, что обнаружение DHCP прибывает в ASA? Это будет выглядеть примерно так: 0.0.0.0.68 -> 255.255.255.255.67. Я считаю, что вам понадобится хотя бы открытый порт UDP 67 (BOOTPS) на каждом из интерфейсов ASA, на котором запущен DHCP-сервер. Если сервер работает, он должен принять предложение, запрос и подтверждение.
Здесь ссылка на сайт к конфигурации DHCP от Cisco.
Если ваши DHCP-клиенты работают, но вы не можете выйти наружу, вам следует проверить свои правила NAT / PAT. Попробуй это ссылка на сайт для примера того, как это делается.
Несколько (не связанных) точек:
- Внимательно посмотрите на лицензию - с самой базовой лицензией вы увидите «интерфейс DMZ» в выводе show ver, это означает, что интерфейс DMZ сможет связываться ТОЛЬКО с «внешними» пунктами назначения, а не с другими внутренними сетями.
- Вы смотрели осмотр? Это сильно зависит от версии ОС ASA, но в карте классов по умолчанию, где находятся все операторы "проверки", попробуйте ввести что-то вроде 'inspect bootp' или 'inspect dhcp' ...
HTH