正如标题所述,我无法使用基本许可证在 Cisco ASA5505 版本 7.2 上使用 ADSM 5.2 运行 DHCPd。我知道这是一个较旧的版本,每次我都会忘记这台机器是如何工作的。
无论如何,我有 3 个 VLAN,分别为外部/内部/dmz。从内部到外部以及从内部到外部的转换都运行正常,而且我在 6 个月前就设置了所有必要的 NAT 和 ACL 条目,一切运行正常。但是,出于某种原因,我无法让 DMZ 正常工作。我使用打包跟踪器来确定我是否可以从 DMZ 网络访问外部的任何内容,这似乎可以正常工作。但是 DHCP 广播数据包被丢弃了!
我在 ASA 上使用 DHCP 服务器,但我不明白的是,当我启用此服务器时,它不会立即工作,而是需要打开 ACL 条目(我认为)以允许 DMZ 接口接收 bootpc 和 bootps 数据包。问题是如何做到的?
问题是广播本身没有目的地,当然除了广播所在的子网;比如说 192.168.50.0/24。但这样做不会改变任何事情,数据包仍然会被丢弃……
答案1
几个(不相关的)要点:
- 仔细查看许可证 - 使用最基本的许可证,您将在 show ver 的输出中看到“DMZ 接口”,这意味着 DMZ 接口将只能与“外部”目的地通信,而不能与其他内部网络通信
- 您查看过检查吗?这在很大程度上取决于 ASA OS 版本,但在所有“检查”语句所在的默认类映射下,尝试输入“inspect bootp”或“inspect dhcp”之类的内容...
HTH
答案2
我不清楚您的 DMZ DHCP 客户端是否从 DHCP 服务器获取地址。如果没有,您是否已使用数据包捕获向导(不确定 ASDM 5.2 中是否有该向导)确认 DHCP 发现已到达 ASA?它看起来类似于 0.0.0.0.68 -> 255.255.255.255.67。我相信您至少需要在运行 DHCP 服务器的每个 ASA 接口上打开 UDP 端口 67(BOOTPS)。如果服务器正在运行,它应该会收发提供、请求和确认。
这里是关联到 Cisco 的 DHCP 配置。
如果您的 DHCP 客户端可以工作,但您无法访问外部,则应检查 NAT / PAT 规则。尝试以下操作关联请参阅如何完成此操作的示例。