Usando um Cisco ASA 5505 para encaminhar solicitações PXE (WDS)

Navegue suas respostas
1

Eu tenho um Cisco ASA 5505 que usa cerca de 5 NICS para redes diferentes. Atualmente, estou usando meu ASA para rotear o tráfego, pois é o único dispositivo Cisco que eu possuo com a pequena quantidade de roteamento exigida pela minha rede.

Mantendo as coisas separadas Eu uso 5 NICS para redes diferentes, como fora , corp , impressoras , estações de trabalho , servidores e público . Cada um tem uma sub-rede diferente que eu mantenho separada para controlar todas as ACLs através do firewall ASA. Tudo (como o DHCP com um SuperScope) funciona muito bem com a exceção do servidor WDS.

A minha pergunta é que, atualmente, tenho um novo PC conectado à LAN da NIC estações de trabalho que está procurando pelo meu servidor WDS, localizado na LAN servers . Como posso fazer com que as solicitações de todas as diferentes NICs fluam para a LAN da NIC servers ?

    
por Arvo Bowen 19.08.2013 / 22:56

2 respostas

1

Snap, Crackle e Pop! Descobri o que era tudo graças a Tom por me dar algumas boas ideias. Eu fui olhar para adicionar a opção de DHCP 66 para minhas opções de escopo e pensei para mim mesmo devo adicioná-lo às opções de escopo de sub-rede "servidores" ou as opções de escopo de sub-rede "estações de trabalho" ... Eu então me bater na testa quando eu percebi que o PC (não reconhecido) tentando obter um IP do servidor DHCP estava recebendo um IP da sub-rede "desconhecida" que eu criei para o bem .. PCs desconhecidos ..:)

A maneira como minhas sub-redes se separam é a seguinte ... 

10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)

Eu tenho todos os pools de endereços de cada sub-rede bloqueados para NÃO distribuir nenhum ips. A única sub-rede / escopo que possui IPs disponíveis é a sub-rede "desconhecida". Dessa forma, se eu tiver um IP reservado em uma das outras sub-redes, a máquina obtém esse. Se eu não conseguir um IP na rede morta / isolada / contida (desconhecido). Bem, acontece que eu fiz um bom trabalho com todas as minhas ACLs e o desconhecido não pode acessar nada além do servidor DHCP e não há roteamento / nats para a rede desconhecida. Então o PC estava recebendo um IP, mas foi onde parou.

Faz todo o sentido e eu nunca teria pensado nisso até que Tom me tivesse tentado outra coisa. Então, obrigado, Tom!

Quanto à resposta a esta pergunta, a resposta deve estar usando algo como o seguinte na sua configuração asa funcionaria muito bem ... 

dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60

10.71.3.2 Nesse caso, seria meu servidor DC / WDS. A configuração de "servidores dhcprelay server 10.71.3.2" permite que o servidor receba as solicitações. "dhcprelay enable workstations" deve ser definido para CADA sub-rede / interface / escopo que precisa de acesso ao servidor DHCP. "dhcprelay setroute workstations" também devem ser definidas para cada uma (assim como as linhas de habilitação são). Tempo limite foi minha preferência.

    
por 20.08.2013 / 21:43
2

Eu nunca tive muito amor pela plataforma ASA 5505. Sempre me pareceu um pouco "seis de um, e meia dúzia do outro" para eu encontrar um uso para ele em qualquer uma das minhas redes .

Acabei de passar a última meia hora lendo um grupo de stuff sobre o possibilidade de "tricking-lo em roteamento ".

Então, basicamente, isso se resume a isso.

  • Com a licença básica, você só pode usar duas VLANs (o que provavelmente é razoavelmente importante).
  • A tabela de roteamento tem prioridade mais baixa que a tabela de conversão (Isso é ruim para o desempenho de roteamento).
  • Sem comandos sutis, o ASA não encaminhará um pacote de volta da mesma interface da qual ele saiu ( same-security-traffic permit intra-interface e fixup protocol icmp ).

Esses dois últimos comandos remontam ao dia em que o intervalo ASA era o intervalo PIX.

Se eu estivesse na sua posição, obteria um roteador separado e manteria o ASA ou substituiria o lote inteiro por um firewall significativamente mais capaz, que na verdade é capaz de rotear o tráfego.

Como os caras do fórum da Cisco já mencionaram , o dhcp-relay deve corrigir tudo para o Porção DHCP do WDS e assim por diante.

A questão permanece sobre o resto do PXE. PXE é basicamente apenas DHCP e TFTP, que em si é um serviço baseado em UDP que é executado na porta 69.

Off the back of this .. você tentou configurar um mapeamento NAT estático para o servidor WDS na interface em questão e, em seguida, apontar o PXE com o atributo next-server ?

Pode funcionar, mas para configurar zonas NAT suficientes, você provavelmente precisará fazê-las como VLANs e, portanto, precisará da licença Security Plus (25 VLANS!) e, teoricamente, será capaz de realizar ol 'entre o roteamento de VLAN, mas eu suspeito que você possa ter um desempenho ruim.

Sem mexer (um pouco de dor, já que os ASAs são um porco para emular, e eu não tenho um 5505), é difícil encontrar uma resposta mais precisa.

Mais informações:

next-server é o nome do DHCPd do ISC para a Opção 66 do DHCP, conforme descrito aqui link como < strong> nome do servidor TFTP . É o IP do servidor onde o servidor TFTP está localizado para a inicialização PXE.

NAT estático é o processo que permite configurar uma tradução entre dois endereços IP que estão em redes diferentes, conforme descrito aqui .

    
por 20.08.2013 / 02:23

Tags

Eu configurei munin como configuro alertas para parâmetros específicos Como reinstalar o Windows no PDC