購入する または契約更新する
購入する または契約更新する
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1256
閲覧回数
0
いいね!
0
コメント

DHCPリレーおよびパケットフローとしてのASA-PIX

mbrunett
Level 1
Level 1

‎2017-12-05 04:51 PM - 最終編集日: ‎2017-12-19 04:19 PM 、編集者: Level 7

 

 

イントロダクション

ASA/PIXにおけるDHCPリレーとパケットフロー

 

 

トポロジー

 pic1.jpg

 

コンフィギュレーション

 最小構成:

 

dhcprelay server 192.168.17.49 outside

dhcprelay enable inside

 

本機能とコンフィギュレーションの詳細については、下記のリンクを参照してください。

 

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008075fcfb.shtml

 

 上記の文書に従って:

 

DHCPプロトコルは、サブネットマスク、デフォルトゲートウェイ、DNSサーバアドレス、およびホストへのWINSアドレスを含むIPアドレスなどのネットワークパラメータを自動的に提供します。最初DHCPクライアントには、これらのネットワークパラメータがありません。これらの情報はDHCPのブロードキャストリクエストを送信することによって取得します。 DHCPサーバがこのリクエストを受け取ると、DHCPサーバは必要な情報を提供します。これらのブロードキャストリクエストの性質上、DHCPクライアントとサーバは同じサブネット上になければなりません。ルータやファイアウォールなどのレイヤ3デバイスは、通常これらのブロードキャストリクエストをデフォルトで転送しません。


DHCPクライアントとDHCPサーバを同じサブネット上に配置しようとすると、不便が生じる場合があります。このような時は、DHCPリレーを使う事ができます。ASA/PIXのDHCPリレーエージェントは、内部イインタフェース上のホストからDHCPリクエストを受信すると、そのリクエストを外部インタフェース上の指定されたDHCPサーバの1つに転送します。 DHCPサーバがクライアントに応答すると、ASA/PIXはその応答をクライアントに転送します。したがって、DHCPリレーエージェントは、DHCPサーバとの通信でDHCPクライアントのプロキシとしての役割を果たします。


DHCPリレーエージェントを使用すると、ASA/PIXはクライアントからのDHCPリクエストをルータまたは別のインタフェースに接続された他のDHCPサーバに転送する事ができます。

 

DHCPリレーエージェント利用の際の制約事項について

 

  • DHCPサーバ機能が有効な場合は、リレーエージェントを有効にすることはできません。
  • クライアントはASA/PIXに直接接続される必要があり、別のリレーエージェントまたはルータ経由でリクエストを送信することはできません。
  • マルチコンテキストモードの場合、DHCPリレーを有効にすることはできません。また、複数のコンテキストで使用されるインタフェース上でDHCPリレーサーバを設定することもできません。


注:DHCPリレーサービスはトランスペアレントファイアウォールモードでは使用できません。トランスペアレントファイアウォールモードのASA/PIXでは、ARPトラフィックのみが許可されます。他のすべてのトラフィックにはアクセスコントロールリスト(ACL)が必要です。 DHCPリクエストを許可し、トランスペアレントモードでセASA/PIXを介して応答するには、以下の2つのACLを設定する必要があります:

 

-内部インタフェースから外部へのDHCPリクエストを許可するACL
-反対方向のDHCPサーバからの応答を許可するACL

 

次に、ASA/PIXの内部及び外部インタフェースのパケットキャプチャを使用して、DHCPリレーの動作を簡単に説明します。

 

ASA/PIXが変更する様々なフィールドを赤枠で記しました:

 

1. クライアントが起動し、ブロードキャストDHCP discoveryメッセージを255.255.255.255(UDP 67 ポート)宛に送信する事でDHCPプロセスを開始します。

 Pic2.jpg

 


2. 通常、ASA/PIXはこのブロードキャストをドロップしますが、DHCPリレーとして機能するように設定されているため、ユニキャストパケットとしてDHCP discoveryメッセージをDHCPサーバのIPアドレス宛に送信します。この時の送信元アドレスは外部インタフェースのIPアドレスになります。 IPヘッダーとリレーエージェントフィールドの変更に注目ください。

 

Pic3.jpg

 

3. DHCPサーバは、ユニキャストパケットとしてDHCP offerメッセージを、UDPポート67でASA/PIXが設定するDHCPリレーエージェントIPアドレス宛に返します。この場合、宛先IPアドレスは内部インタフェースでDHCPリレーを有効にしたものです。レイヤ3ヘッダーの宛先IPアドレスにも注目してください。

 

Pic4.jpg

 


4. ASA/PIXはこのパケットを内部インタフェース(UDPポート68)から送信します。パケットがインタフェース内から出ていく際の、IPヘッダーの変化に注目してください。

 Pic5.jpg

 


5.クライアントは、offerを受け入れると示されたDHCP offerメッセージを受信すると、DHCP requestメッセージをサーバに送信します。

 

Pic6.jpg


6. ASA/PIXはこのDHCP requestをDHCPサーバに送ります。

 

Pic7.jpg


7.サーバはDHCP requestを取得すると、DHCP ACKをクライアントに送り返します。

 

Pic8.jpg


8. ASA/PIXはこのDHCP ACKをDHCPサーバからクライアントに送ります。

 

Pic9.jpg


 クライアントはDHCP ACKを受信すると、ネットワーク上での通信を開始します。

*Thanks to the original author, Sourav Kakkar.  This document is translated from the below article.
https://supportforums.cisco.com/t5/security-documents/asa-pix-as-dhcp-relay-and-packet-flow/ta-p/3144277#toc-hId--765039721

 

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents