Routing

使用 Cisco ASA 5505 轉發 PXE (WDS) 請求

  • August 20, 2013

我有一個 Cisco ASA 5505,它為不同的網路使用大約 5 個 NICS。目前我正在使用我的 ASA 來路由流量,因為它是我唯一能夠支持我的網路所需的少量路由的 Cisco 設備。

將事物分開 我將 5 個 NICS 用於不同的網路,例如外部公司列印機工作站伺服器公共網路。每個都有一個不同的子網,我將其分開以通過 ASA 防火牆控制所有 ACL。除了 WDS 伺服器之外,所有東西(例如帶有 SuperScope 的 DHCP)都執行良好。

我的問題是,目前我有一台插入工作站NIC LAN 的新 PC,它正在尋找位於伺服器LAN 上的 WDS 伺服器。如何從所有不同的 NIC 獲取請求以流向伺服器NIC LAN?

啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪啪!感謝湯姆給了我一些好主意。我開始考慮將 DHCP 選項 66 添加到我的範圍選項中,並想我應該將它添加到“伺服器”子網範圍選項還是“工作站”子網範圍選項中……意識到試圖從 DHCP 伺服器獲取 IP 的(無法辨識的)PC 正在從我為它創建的“未知”子網獲取 IP。未知的 PC .. :)

我的子網分解方式如下…

10.71.3.0/27 (servers)
10.71.3.32/28 (printers)
10.71.3.48/29 (management)
10.71.3.128/25 (workstations)
10.80.1.0/24 (unknown)

我將每個子網中的所有地址池都鎖定,不分發任何 ip。唯一具有可用 IP 的子網/範圍是“未知”子網。這樣,如果我在其他子網之一中有一個保留的 IP,機器就會得到那個。如果我不這樣做,它會在死/隔離/包含網路上獲得 IP(未知)。好吧,碰巧我的所有 ACL 都做得很好,除了 DHCP 伺服器,未知網路無法訪問任何東西,並且未知網路沒有路由/nat。所以PC獲得了IP,但這就是它停止的地方。

完全有道理,在湯姆讓我嘗試其他方法之前,我永遠不會想到它。所以謝謝湯姆!!!

至於這個問題的答案,答案應該是在你的 asa 配置中使用類似下面的東西就可以了……

dhcprelay server 10.71.3.2 servers
dhcprelay enable workstations
dhcprelay setroute workstations
dhcprelay timeout 60

在這種情況下,10.71.3.2 將是我的 DC/WDS 伺服器。設置“dhcprelay server 10.71.3.2 servers”允許該伺服器接收請求。應該為需要訪問 DHCP 伺服器的每個子網/介面/範圍定義“dhcprelay 啟用工作站”。“dhcprelay setroute工作站”也應該為每個定義(就像啟用行一樣)。超時是我的偏好。

我從來沒有對 ASA 5505 平台有太多的熱愛。對於我來說,在我的任何網路中都找不到它的用途,這似乎總是有點過於“一個六個,另一個六個”。

我剛剛花了最後半個小時閱讀了一堆關於“將其引入路由”可能性資料

因此,它基本上歸結為這一點。

  • 使用基本許可證,您只能使用兩個 VLAN(這可能相當重要)。
  • 路由表的優先級低於轉換錶(這對路由性能很不利)。
  • 如果沒有微妙的命令,ASA 不會將數據包轉發回來自它來自 (same-security-traffic permit intra-interfacefixup protocol icmp) 的同一介面。

最後兩個命令可以追溯到 ASA 範圍是 PIX 範圍的那一天。

如果我在你的位置,我會得到一個單獨的路由器,並保留 ASA,或者用一個功能更強大的防火牆替換整個路由器,它實際上能夠路由流量。

正如Cisco 論壇上的人已經向您提到的那樣,dhcp-relay 應該為 WDS 的 DHCP 部分等修復所有問題。

問題仍然是關於 PXE 的其餘部分。PXE 基本上只是 DHCP 和 TFTP,它本身是一個基於 UDP 的服務,在 69 埠上執行。

在那之後..您是否嘗試在相關介面上為 WDS 伺服器設置靜態 NAT 映射,然後將 PXE 指向該next-server屬性?

可能可行,但為了設置足夠的 NAT 區域,您可能需要將它們作為 VLAN 進行,因此需要 Security Plus 許可證(25 個 VLAN!),然後理論上可以只做普通的互動-VLAN 路由,但我懷疑你的性能可能很糟糕。

如果不進行實驗(有點痛苦,因為 ASA 是一頭要模仿的豬,而且我沒有 5505),很難找到更準確的答案。

更多資訊:

next-server是 DHCP 選項 66 的 ISC DHCPd 名稱,如此處所述https://www.rfc-editor.org/rfc/rfc2132#page-25 as TFTP server name。它是用於 PXE 引導的 TFTP 伺服器所在伺服器的 IP。

靜態 NAT 是允許您配置位於不同網路上的兩個 IP 地址之間的轉換的過程,如此處所述

引用自:https://serverfault.com/questions/532140

相關問答

Windows-Server-2008

使用 Windows Server 2008 和 Linux PXE 伺服器建構 PXE/WDS 基礎架構

  • January 4, 2012
檢視問答
Windows

從 WDS 切換到 MDT

  • March 25, 2022
檢視問答
Pxe-Boot

MDT 在 PXE 啟動時弄亂了 BCD 文件設置/位置,錯誤 0xc000000f

  • February 15, 2022
檢視問答
Pxe-Boot

使用 UEFI 從 iPXE 鍊式載入到 WDS

  • July 30, 2021
檢視問答
Pxe-Boot

如何通過 PXE 進行完整的伺服器恢復?

  • June 15, 2021
檢視問答
Virtual-Machines

Hyper-V 2016 Gen2 VM PXE DHCP 超時(Wireshark DHCP 發現 -> 提供 -> ???)

  • February 6, 2021
檢視問答