使用 Cisco ASA 5505 转发 PXE (WDS) 请求

Question 1

我从来就不太喜欢 ASA 5505 平台。它对我来说似乎有点太“六合一”了，无法在我的任何网络中找到它的用途。

我刚刚花了半个小时读了一篇束的东西关于这可能性的“诱骗其进行路由”。

所以，基本上就是这样。

使用基本许可证，您只能使用两个 VLAN（这可能相当重要）。
路由表的优先级低于转换表（这对于路由性能来说是不好的）。
如果没有精细的命令，ASA 将不会将数据包从其发出的同一接口转发回去（same-security-traffic permit intra-interface，和fixup protocol icmp）。

最后两个命令让人回想起 ASA 范围是 PIX 范围的那一天。

如果我处于你的位置，我会购买一个单独的路由器，并保留 ASA，或者用功能更强大的防火墙替换整个路由器，该防火墙实际上能够路由流量。

就像Cisco 论坛已经提到过你，dhcp-relay 应该可以修复 WDS 的 DHCP 部分等等的所有问题。

关于 PXE 的其余部分，问题仍然存在。PXE 基本上只是 DHCP 和 TFTP，它本身是在端口 69 上运行的基于 UDP 的服务。

在此基础上..您是否尝试过在相关接口上为 WDS 服务器设置静态 NAT 映射，然后使用该next-server属性将 PXE 指向该服务器？

可能会有效，但为了设置足够的 NAT 区域，您可能需要将它们作为 VLAN 来执行，因此需要 Security Plus 许可证（25 个 VLAN！），然后理论上能够进行普通的 VLAN 间路由，但我怀疑您可能会遇到糟糕的性能问题。

如果不进行实验（有点麻烦，因为 ASA 很难模拟，而且我没有 5505），很难得出更准确的答案。

更多信息：

next-server是 ISC DHCPd 的 DHCP 选项 66 名称，如下所述https://www.rfc-editor.org/rfc/rfc2132#page-25作为TFTP 服务器名称. 这是用于 PXE 启动的 TFTP 服务器所在服务器的 IP。

静态 NAT 是一种允许您配置位于不同网络的两个 IP 地址之间的转换的过程，如下所述这里。

Answer

我从来就不太喜欢 ASA 5505 平台。它对我来说似乎有点太“六合一”了，无法在我的任何网络中找到它的用途。

我刚刚花了半个小时读了一篇束的东西关于这可能性的“诱骗其进行路由”。

所以，基本上就是这样。

使用基本许可证，您只能使用两个 VLAN（这可能相当重要）。
路由表的优先级低于转换表（这对于路由性能来说是不好的）。
如果没有精细的命令，ASA 将不会将数据包从其发出的同一接口转发回去（same-security-traffic permit intra-interface，和fixup protocol icmp）。

最后两个命令让人回想起 ASA 范围是 PIX 范围的那一天。

如果我处于你的位置，我会购买一个单独的路由器，并保留 ASA，或者用功能更强大的防火墙替换整个路由器，该防火墙实际上能够路由流量。

就像Cisco 论坛已经提到过你，dhcp-relay 应该可以修复 WDS 的 DHCP 部分等等的所有问题。

关于 PXE 的其余部分，问题仍然存在。PXE 基本上只是 DHCP 和 TFTP，它本身是在端口 69 上运行的基于 UDP 的服务。

在此基础上..您是否尝试过在相关接口上为 WDS 服务器设置静态 NAT 映射，然后使用该next-server属性将 PXE 指向该服务器？

可能会有效，但为了设置足够的 NAT 区域，您可能需要将它们作为 VLAN 来执行，因此需要 Security Plus 许可证（25 个 VLAN！），然后理论上能够进行普通的 VLAN 间路由，但我怀疑您可能会遇到糟糕的性能问题。

如果不进行实验（有点麻烦，因为 ASA 很难模拟，而且我没有 5505），很难得出更准确的答案。

更多信息：

next-server是 ISC DHCPd 的 DHCP 选项 66 名称，如下所述https://www.rfc-editor.org/rfc/rfc2132#page-25作为TFTP 服务器名称. 这是用于 PXE 启动的 TFTP 服务器所在服务器的 IP。

静态 NAT 是一种允许您配置位于不同网络的两个 IP 地址之间的转换的过程，如下所述这里。

Question 2

啪，啪，啪！多亏 Tom 给了我一些好主意，我才知道是怎么回事。我开始研究将 DHCP 选项 66 添加到我的作用域选项中，心里想着我应该将它添加到“服务器”子网作用域选项还是“工作站”子网作用域选项中……然后，当我意识到试图从 DHCP 服务器获取 IP 的（无法识别的）PC 正在从我为未知 PC 创建的“未知”子网获取 IP 时，我狠狠地打了自己一巴掌。:)

我的子网划分方式如下......

10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)

我已锁定每个子网的所有地址池，不分发任何 IP。唯一具有可用 IP 的子网/范围是“未知”子网。这样，如果我在其他子网中有一个保留 IP，机器就会获得该 IP。如果没有，它会在死机/隔离/封闭网络（未知）上获得 IP。好吧，碰巧我很好地完成了所有 ACL 的工作，未知网络除了 DHCP 服务器之外无法访问任何东西，并且未知网络没有路由/NAT。因此，PC 正在获取 IP，但就此停止了。

很有道理，我以前从来没想过这个，直到汤姆让我尝试了别的方法。所以谢谢汤姆！！！

至于这个问题的答案，答案应该是在您的 asa 配置中使用类似下面的内容就可以了......

dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60

在这种情况下，10.71.3.2 将是我的 DC/WDS 服务器。设置“dhcprelay server 10.71.3.2 servers”允许该服务器接收请求。应该为需要访问 DHCP 服务器的每个子网/接口/范围定义“dhcprelay enable stations”。还应该为每个子网/接口/范围定义“dhcprelay setroute stations”（就像启用行一样）。我更喜欢超时。

Answer

啪，啪，啪！多亏 Tom 给了我一些好主意，我才知道是怎么回事。我开始研究将 DHCP 选项 66 添加到我的作用域选项中，心里想着我应该将它添加到“服务器”子网作用域选项还是“工作站”子网作用域选项中……然后，当我意识到试图从 DHCP 服务器获取 IP 的（无法识别的）PC 正在从我为未知 PC 创建的“未知”子网获取 IP 时，我狠狠地打了自己一巴掌。:)

我的子网划分方式如下......

10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)

我已锁定每个子网的所有地址池，不分发任何 IP。唯一具有可用 IP 的子网/范围是“未知”子网。这样，如果我在其他子网中有一个保留 IP，机器就会获得该 IP。如果没有，它会在死机/隔离/封闭网络（未知）上获得 IP。好吧，碰巧我很好地完成了所有 ACL 的工作，未知网络除了 DHCP 服务器之外无法访问任何东西，并且未知网络没有路由/NAT。因此，PC 正在获取 IP，但就此停止了。

很有道理，我以前从来没想过这个，直到汤姆让我尝试了别的方法。所以谢谢汤姆！！！

至于这个问题的答案，答案应该是在您的 asa 配置中使用类似下面的内容就可以了......

dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60

在这种情况下，10.71.3.2 将是我的 DC/WDS 服务器。设置“dhcprelay server 10.71.3.2 servers”允许该服务器接收请求。应该为需要访问 DHCP 服务器的每个子网/接口/范围定义“dhcprelay enable stations”。还应该为每个子网/接口/范围定义“dhcprelay setroute stations”（就像启用行一样）。我更喜欢超时。

使用 Cisco ASA 5505 转发 PXE (WDS) 请求

答案1

答案2

相关内容