我有一个 Cisco ASA 5505,它为不同的网络使用大约 5 个 NICS。目前我正在使用我的 ASA 来路由流量,因为它是我唯一能够支持我的网络所需的少量路由的 Cisco 设备。
将事物分开 我将 5 个 NICS 用于不同的网络,例如外部、公司、打印机、工作站、服务器和公共网络。每个都有一个不同的子网,我将其分开以通过 ASA 防火墙控制所有 ACL。除了 WDS 服务器之外,所有东西(例如带有 SuperScope 的 DHCP)都运行良好。
我的问题是,目前我有一台插入工作站NIC LAN 的新 PC,它正在寻找位于服务器LAN 上的 WDS 服务器。如何从所有不同的 NIC 获取请求以流向服务器NIC LAN?
我从来没有对 ASA 5505 平台有太多的热爱。对于我来说,在我的任何网络中都找不到它的用途,这似乎总是有点过于“一个六个,另一个六个”。
我刚刚花了最后半个小时阅读了一堆关于“将其引入路由”的可能性的资料 。
因此,它基本上归结为这一点。
same-security-traffic permit intra-interface和fixup protocol icmp) 的同一接口。最后两个命令可以追溯到 ASA 范围是 PIX 范围的那一天。
如果我在你的位置,我会得到一个单独的路由器,并保留 ASA,或者用一个功能更强大的防火墙替换整个路由器,它实际上能够路由流量。
正如Cisco 论坛上的人已经向您提到的那样,dhcp-relay 应该为 WDS 的 DHCP 部分等修复所有问题。
问题仍然是关于 PXE 的其余部分。PXE 基本上只是 DHCP 和 TFTP,它本身是一个基于 UDP 的服务,在 69 端口上运行。
在那之后..您是否尝试在相关接口上为 WDS 服务器设置静态 NAT 映射,然后将 PXE 指向该
next-server属性?可能可行,但为了设置足够的 NAT 区域,您可能需要将它们作为 VLAN 进行,因此需要 Security Plus 许可证(25 个 VLAN!),然后理论上可以只做普通的交互-VLAN 路由,但我怀疑你的性能可能很糟糕。
如果不进行实验(有点痛苦,因为 ASA 是一头要模仿的猪,而且我没有 5505),很难找到更准确的答案。
更多信息:
next-server是 DHCP 选项 66 的 ISC DHCPd 名称,如此处所述https://www.rfc-editor.org/rfc/rfc2132#page-25 as TFTP server name。它是用于 PXE 引导的 TFTP 服务器所在服务器的 IP。静态 NAT 是允许您配置位于不同网络上的两个 IP 地址之间的转换的过程,如此处所述。
啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪!感谢汤姆给了我一些好主意。我开始考虑将 DHCP 选项 66 添加到我的范围选项中,并想我应该将它添加到“服务器”子网范围选项还是“工作站”子网范围选项中......意识到试图从 DHCP 服务器获取 IP 的(无法识别的)PC 正在从我为它创建的“未知”子网获取 IP。未知的 PC .. :)
我的子网分解方式如下...
我将每个子网中的所有地址池都锁定,不分发任何 ip。唯一具有可用 IP 的子网/范围是“未知”子网。这样,如果我在其他子网之一中有一个保留的 IP,机器就会得到那个。如果我不这样做,它会在死/隔离/包含网络上获得 IP(未知)。好吧,碰巧我的所有 ACL 都做得很好,除了 DHCP 服务器,未知网络无法访问任何东西,并且未知网络没有路由/nat。所以PC获得了IP,但这就是它停止的地方。
完全有道理,在汤姆让我尝试其他方法之前,我永远不会想到它。所以谢谢汤姆!!!
至于这个问题的答案,答案应该是在你的 asa 配置中使用类似下面的东西就可以了......
在这种情况下,10.71.3.2 将是我的 DC/WDS 服务器。设置“dhcprelay server 10.71.3.2 servers”允许该服务器接收请求。应该为需要访问 DHCP 服务器的每个子网/接口/范围定义“dhcprelay 启用工作站”。“dhcprelay setroute工作站”也应该为每个定义(就像启用行一样)。超时是我的偏好。