DHCP サーバとして設定された ASA ではホストが IP アドレスを取得できない

ダウンロード オプション

  • PDF     (191.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (66.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2013 年 7 月 25 日
Document ID:116354

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、ホストが DHCP を使用して Cisco 適応型セキュリティ アプライアンス(ASA)から IP アドレスを取得できなくなる可能性がある特定の設定の問題について説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、ASA ソフトウェア バージョン 8.2.5 に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

問題

DHCP サーバとして設定された ASA で、ホストが IP アドレスを取得できません。

ASA は、VLAN 6(内部インターフェイス)および VLAN 10(DMZ2 インターフェイス)の 2 つのインターフェイスで DHCP サーバとして設定されています。これらの VLAN 上の PC は、ASA から DHCP 経由で正常に IP アドレスを取得できません。

  • DHCP 設定は適切です。
  • ASA で、問題の原因を示す syslog は生成されていません。
  • ASA で取得されたパケット キャプチャのみが、DHCP DISCOVER パケットの到着を示しています。ASA は、OFFER パケットで応答しません。

パケットは高速セキュリティパス(ASP)によってドロップされ、ASPに適用されたキャプチャは、DHCP DISCOVERパケットが「Slowpath security checks failed:

ASA# capture asp type asp-drop all
ASA# show capture asp

3 packets captured
1: 14:57:05.627241 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
2: 14:57:08.627286 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
3: 14:57:16.626966 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed

解決方法

設定には、そのサブネット上のすべての IP トラフィックを含む広範な静的ネットワーク アドレス変換(NAT)ステートメントが含まれています。ブロードキャスト DHCP DISCOVER パケット(255.255.255.255 宛て)はこの NAT ステートメントに一致し、これによって障害が発生しています。

static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0

不適切に設定された NAT ステートメントを削除すると、問題が解決します。

追加情報

ASA でパケット トレーサ ユーティリティを使用して、DMZ2 インターフェイスを入力する DHCP DISCOVER パケットをシミュレートすると、問題の原因が NAT 設定であると特定できます。

tutera-firewall#packet-tracer input DMZ2 udp 0.0.0.0 68 255.255.255.255 67 detail
.....
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Configuration:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
match ip DMZ1 any DMZ2 any
static translation to 0.0.0.0
translate_hits = 0, untranslate_hits = 641
Additional Information:
NAT divert to egress interface DMZ1
Untranslate 0.0.0.0/0 to 0.0.0.0/0 using netmask 0.0.0.0
Result:
input-interface: DMZ2
input-status: up
input-line-status: up
output-interface: DMZ1
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed
TAC Authored

シスコ エンジニア提供

  • Akash Chaudhary, Mohammad Alhyari, and Jay Johnston
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています