本文档描述了在配置为DHCP服务器的思科自适应安全设备(ASA)上,主机无法获取IP地址的问题。问题源于ASA上的一个广泛静态NAT语句,该语句匹配并阻止了DHCPDISCOVER数据包。解决方案是删除该错误的NAT配置。packet-tracer工具用于确认问题是由NAT配置引起,并显示了数据包因安全检查失败而被丢弃。
简介
本文档介绍可能导致主机无法从带DHCP的思科自适应安全设备(ASA)获取IP地址的特定配置问题。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于ASA软件版本8.2.5。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
问题
将ASA配置为DHCP服务器后,主机无法获取IP地址。
ASA在两个接口上配置为DHCP服务器:VLAN 6(内部接口)和VLAN 10(DMZ2接口)。这些VLAN中的PC无法通过DHCP从ASA成功获取IP地址。
DHCP配置正确。
ASA不生成指示问题原因的系统日志。
在ASA上捕获的数据包仅显示DHCP DISCOVER数据包到达。ASA不回复OFFER数据包。
数据包被加速安全路径(ASP)丢弃,应用到ASP的捕获表明DHCP DISCOVER数据包由于“慢路径安全检查失败:”而被丢弃:
ASA# capture asp type asp-drop all
ASA# show capture asp
3 packets captured
1: 14:57:05.627241 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
2: 14:57:08.627286 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
3: 14:57:16.626966 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
解决方案
该配置包含包含该子网上所有IP流量的广泛静态网络地址转换(NAT)语句。广播DHCP DISCOVER数据包(发往255.255.255.255)与此NAT语句匹配,导致故障:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
如果删除配置错误的NAT语句,它将解决问题。
其他信息
如果在ASA上使用packet-tracer实用程序模拟进入DMZ2接口的DHCP DISCOVER数据包,则问题可以确定为由NAT配置引起的:
tutera-firewall#packet-tracer input DMZ2 udp 0.0.0.0 68 255.255.255.255 67 detail
.....
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Configuration:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
match ip DMZ1 any DMZ2 any
static translation to 0.0.0.0
translate_hits = 0, untranslate_hits = 641
Additional Information:
NAT divert to egress interface DMZ1
Untranslate 0.0.0.0/0 to 0.0.0.0/0 using netmask 0.0.0.0
Result:
input-interface: DMZ2
input-status: up
input-line-status: up
output-interface: DMZ1
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
