Este documento descreve um problema de configuração específico que pode fazer com que os hosts não consigam obter um endereço IP do Cisco Adaptive Security Appliance (ASA) com DHCP.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no software ASA versão 8.2.5.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Com o ASA configurado como um servidor DHCP, os hosts não conseguem adquirir um endereço IP.
O ASA é configurado como um servidor DHCP em duas interfaces: VLAN 6 (interface interna) e VLAN 10 (interface DMZ2). Os PCs nessas VLANs não podem obter com êxito um endereço IP do ASA via DHCP.
Os pacotes são descartados pelo caminho de segurança acelerada (ASP), e uma captura aplicada ao ASP indica que os pacotes DHCP DISCOVER são descartados devido a "falha nas verificações de segurança do Slowpath:"
ASA# capture asp type asp-drop all
ASA# show capture asp
3 packets captured
1: 14:57:05.627241 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
2: 14:57:08.627286 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
3: 14:57:16.626966 802.1Q VLAN#10 P0 0.0.0.0.68 > 255.255.255.255.67:
udp 300 Drop-reason: (sp-security-failed) Slowpath security checks failed
A configuração contém uma instrução de Conversão de Endereço de Rede (NAT - Network Address Translation) estática ampla que abrange todo o tráfego IP nessa sub-rede. Os pacotes DHCP DISCOVER de broadcast (destinados a 255.255.255.255) correspondem a esta instrução NAT que causa a falha:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
Se você remover a instrução NAT configurada incorretamente, o problema será resolvido.
Se você usar o utilitário packet-tracer no ASA para simular o pacote DHCP DISCOVER que entra na interface DMZ2, o problema pode ser identificado como causado pela configuração do NAT:
tutera-firewall#packet-tracer input DMZ2 udp 0.0.0.0 68 255.255.255.255 67 detail
.....
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Configuration:
static (DMZ1,DMZ2) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
match ip DMZ1 any DMZ2 any
static translation to 0.0.0.0
translate_hits = 0, untranslate_hits = 641
Additional Information:
NAT divert to egress interface DMZ1
Untranslate 0.0.0.0/0 to 0.0.0.0/0 using netmask 0.0.0.0
Result:
input-interface: DMZ2
input-status: up
input-line-status: up
output-interface: DMZ1
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed