Encaminhamento DHCP por trás da lista de acesso em um Cisco Catalyst

Navegue suas respostas
1

Estou tendo problemas para encaminhar o DHCP de uma sub-rede por trás de uma lista de acesso em um switch Cisco Catalyst 4500. Espero que alguém possa ver o erro que estou cometendo.

A sub-rede é definida assim: (os primeiros três octetos de endereços IP e o nome vrf são anônimos) 

interface Vlan40
  ip vrf forwarding vrf_name
  ip address 10.10.10.126 255.255.255.0 secondary
  ip address 10.10.10.254 255.255.255.0
  ip access-group 100 out
  ip helper-address 10.10.20.36
  no ip redirects

Eu tentei ligar uma máquina VMWare nesta sub-rede que foi configurada para usar o DHCP, mas nunca recebi uma resposta DHCP e o servidor DHCP não recebeu uma solicitação. Eu tentei colocar o seguinte na lista de acesso: 

access-list 100 permit udp host 10.10.10.254 host 10.10.20.36 eq bootps
access-list 100 permit udp host 10.10.10.254 host 10.10.20.36 eq bootpc
access-list 100 permit udp host 10.10.20.36 host 10.10.10.254 eq bootps
access-list 100 permit udp host 10.10.20.36 host 10.10.10.254 eq bootpc

Isso não ajudou. Alguém pode ver qual é o problema?

  • Eu sei que o servidor DHCP funciona; toda a nossa rede está correndo deste servidor DHCP
  • Eu também sei que a sub-rede funciona porque temos servidores ativos em execução na rede
  • O escopo DHCP já está definido no servidor DHCP
  • A sub-rede está definida corretamente no servidor VMWare (já servidores em execução na sub-rede no VMWare)

Editar 2012-10-19: Isso foi resolvido! A sub-rede já havia sido definida como uma rede / 25, mas foi expandida para uma rede / 24. Quando o escopo DHCP foi alterado após essa alteração, foi feito incorretamente; o gateway foi movido para 0,254, o intervalo de IP disponível ficou na metade inferior da sub-rede / 24, mas esquecemos de alterar o prefixo do CIDR de / 25 para / 24. Isso aconteceu há 2 anos e não precisávamos usar o DHCP nesta rede de servidores novamente até esta semana.

Obrigado MDMarra e Jason Seemann por olharem para a questão e tentarem solucionar problemas.

Agora, estou pensando se devo marcar a resposta de Jason como a resposta aceita (sou novo na rede do Stack Exchange, por isso não sei a etiqueta do que fazer se apresentei a questão como neste caso) .

    
por Ásgeir Bjarnason 15.10.2012 / 12:18

1 resposta

2

Observação 1: as ACLs de saída geralmente não devem afetar o tráfego originado pelo roteador de saída, portanto, no seu caso, não tenho certeza se a ACL está impedindo diretamente o DHCP de funcionar.

Nota 2: fiz um simples laboratório para confirmar o que precede. Essencialmente, eu apenas coloco um IP de permissão em qualquer ACL de registro para confirmar se o tráfego do roteador não atinge a ACL - isso não aconteceu no meu caso.

Nota 3: Então eu liguei um sniffer para entender o formato do pacote da resposta do DHCP na VLAN40. A resposta do DHCP seria originada da interface do roteador (10.10.10.254 no seu caso) e destinada ao IP de transmissão 255.255.255.255. Porta de origem BOOTPS, porta de destino BOOTPC. Se você quiser, pode esculpir a ACL para este formato de pacote (permitir host de inicialização do udp 10.10.10.254 eq bootps host 255.255.255.255 eq bootpc), mas novamente eu não acho que você verá nenhum acesso devido à Nota # 1.

Uma observação, minha ACL fez um teste de ping vindo do servidor DHCP para a sub-rede para validar se o endereço IP que ele queria atribuir estava disponível. Mesmo se você negar este DHCP ainda deve funcionar, mas principalmente apenas FYI.

Observe mais de perto seu servidor, seu cliente e outros parâmetros - você diz que o DHCP funciona nessa sub-rede. Ou apenas uma confirmação básica, remova totalmente a ACL e veja se funciona.

    
por 16.10.2012 / 03:31

Tags

Com o kernel compilado por mim, quando instalar módulos VMware, ele solicita cabeçalhos de Kernel não encontrados O uso do x86_64 em um desempenho de impacto do servidor low-end?