dhcp リレーは、Windows dhcp サーバーとソース NAT の構成では動作しません。

概要

l3 デバイスで dhcp リレーが構成されている場合、dhcp 要求はこの l3 デバイスからユニキャストパケットとして Windows dhcp サーバーに送信されます。このユニキャストトラフィックは、ソース NAT を使用してパロアルトネットワークデバイスを通過します。エンドクライアントは、DHCP プロトコル経由で IP アドレスを受信しません。

詳細

このセットアップでは、L3 デバイスは、エンドホストが配置されている 172.30.14.0/24 サブネットの DHCP リレーとして機能します。l3 デバイスで構成されている IP アドレスは172.30.14.1 であり、この l3 デバイスは10.145.0.200 上の Windows dhcp サーバーに dhcp ユニキャストメッセージを送信します。これらのメッセージは、2つの異なるゾーンに2つの L3 インターフェイスを持つパロアルトネットワークデバイスを通過している。1つのインターフェイスは、同じゾーンエンドホストと L3 デバイスが配置されている、信頼ゾーンの 172.30.14.0/24 セグメントにあります。もう一方は、DHCP サーバーが配置されているのと同じゾーンである Untrust ゾーンの IP アドレス10.145.0.106 です。ファイアウォールは、任意のゾーンから任意の通信に至るすべてのトラフィックを許可し、L3 デバイス172.30.14.1 の IP アドレスに対して双方向トラフィックを有効にした静的ソース NAT を備えています。そのアドレスは10.145.0.101 に変換されます。

エンドホストは dhcp サーバーから dhcp アドレスを受信できません。

windows DHCP サーバーからパケットキャプチャが実行されました:

DHCP 検出メッセージ (パケット 13) は、NATed ソースアドレス10.145.0.101 が期待どおりにサーバー上で受信されます。ただし、DHCP オファーは10.145.0.101 ではなく、サーバから宛先アドレス172.30.14.1 に送信されます。172.30.14.1 は、リレー (GIADDR) によってスイッチされたゲートウェイ IP アドレスです。この不適切なフローがファイアウォールによって削除されたため、dhcp の提供が dhcp リレーデバイスに到達していないため、エンドホストは IP アドレスを受信しませんでした。

解決方法

この windows dhcp サーバーの問題を回避するには、この例では172.30.14.1 である dhcp リレーとして動作する L3 デバイスの IP アドレスに NAT を使用しないでください。これらは、ソース NAT がパロアルトネットワークデバイス上の172.30.14.1 アドレスに対して構成されていない場合に、windows DHCP サーバー上でキャプチャされたパケットです。

上記のすべてのメッセージは、L3 デバイス (dhcp リレーデバイス-172.30.14.1) と windows dhcp サーバー (10.145.0.200) の間で直接交換されます。

所有者: gbogojevic