Le relais DHCP ne fonctionne pas avec le serveur DHCP Windows et la source NAT configuré

Le relais DHCP ne fonctionne pas avec le serveur DHCP Windows et la source NAT configuré

54804
Created On 09/25/18 19:30 PM - Last Modified 06/06/23 19:50 PM


Resolution


Vue d’ensemble

Lorsque le relais DHCP est configuré sur un périphérique L3, les requêtes DHCP sont envoyées depuis ce périphérique L3 vers un serveur DHCP Windows sous forme de paquets monodiffusion. Ce trafic monodiffusion passe par un appareil de Palo Alto Networks avec source NAT. Les clients finaux ne reçoivent pas d'adresses IP via le protocole DHCP.

Détails

Dans cette configuration, le périphérique L3 fonctionne comme un relais DHCP pour le sous-réseau 172.30.14.0/24 où se trouvent les hôtes finaux. L'adresse IP configurée sur un périphérique L3 est 172.30.14.1 et cet appareil L3 envoie des messages de monodiffusion DHCP au serveur DHCP Windows sur 10.145.0.200. Ces messages sont en cours par le dispositif de Palo Alto Networks, qui a deux interfaces L3 dans deux zones différentes. Une interface se trouve dans le segment 172.30.14.0/24 de la zone d'approbation, qui est le même hôte de fin de zone et le périphérique L3 sont situés. L'autre est avec l'adresse IP 10.145.0.106 dans la zone de non-confiance, qui est la même zone où le serveur DHCP est situé. Le pare-feu autorise tout le trafic de n'importe quelle zone, de toute communication, et dispose d'un NAT source statique avec trafic bidirectionnel activé pour l'adresse IP sur le périphérique L3 172.30.14.1. Cette adresse est traduite en 10.145.0.101.

Les hôtes finaux ne peuvent pas recevoir d'adresse DHCP à partir du serveur DHCP.

La capture de paquets a été prise depuis le serveur DHCP de Windows:

Screen Shot 2014-08-04 à 4.24.13 PM. png

Le message de découverte DHCP, paquet 13, est reçu sur le serveur avec l'adresse source nated 10.145.0.101 comme prévu. Toutefois, l'Offre DHCP est envoyée du serveur à l'adresse de destination 172.30.14.1, au lieu de 10.145.0.101. 172.30.14.1 est l'adresse IP de la passerelle commutée par relais (GIADDR). Ce flux incorrect a été supprimé par le pare-feu, ce qui a amené les hôtes finaux à ne pas recevoir l'adresse IP parce que l'Offre DHCP n'a jamais atteint le périphérique de relais DHCP.

Résolution

Pour contourner ce problème de serveur DHCP Windows, NAT ne doit pas être utilisé pour l'adresse IP d'un périphérique L3 qui fonctionne comme relais DHCP, ce qui est 172.30.14.1 dans cet exemple. Il s'agit de paquets capturés sur le serveur DHCP Windows lorsque la source NAT n'est pas configurée pour l'adresse 172.30.14.1 sur le périphérique Palo Alto Networks:

Screen Shot 2014-08-04 à 4.22.29 PM. png

Tous les messages ci-dessus sont échangés directement entre le périphérique L3 (périphérique de relais DHCP-172.30.14.1) et le serveur DHCP Windows (10.145.0.200).

propriétaire: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZUCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language