dhcp 中继不适用于 Windows DHCP 服务器和配置的源 NAT

概述

在 L3 设备上配置 dhcp 中继时, dhcp 请求将从该 L3 设备发送到 Windows DHCP 服务器作为单播数据包。此单播通信通过带有源 NAT 的帕洛阿尔托网络设备进行。最终客户端不会通过 DHCP 协议接收 IP 地址。

详细

在此安装程序中, L3 设备可以作为 DHCP 中继, 用于 172.30.14.0/24 子网, 其中终端主机位于其中。在 L3 设备上配置的 IP 地址为 172.30.14.1, 此 L3 设备将 DHCP 单播消息发送到10.145.0.200 上的 Windows dhcp 服务器。这些消息正在通过帕洛阿尔托网络设备, 在两个不同的区域有两个 L3 接口。一个接口位于信任区域的 172.30.14.0/24 段中, 这是相同的区域端主机, L3 设备位于。另一个是与不信任区域中的 IP 地址 10.145.0.106, 它与 DHCP 服务器所在的区域相同。防火墙允许来自任何区域的所有通信, 任何对任何通信, 并在 L3 设备172.30.14.1 上为 IP 地址启用双向通信的静态源 NAT。那个地址被翻译成了10.145.0.101。

最终主机无法从 dhcp 服务器接收 dhcp 地址。

已从 windows DHCP 服务器获取数据包捕获:

DHCP 发现消息 (数据包 13) 在服务器上以 NATed 源地址10.145.0.101 的要求接收。但是, DHCP 提供从服务器发送到目标地址 172.30.14.1, 而不是10.145.0.101。172.30.14.1 是通过中继 (GIADDR) 交换的网关 IP 地址。防火墙丢弃了此错误的流, 导致最终主机无法接收 IP 地址, 因为 dhcp 提供的服务从未到达 dhcp 中继设备。

解决办法

为了解决此 windows DHCP 服务器问题, 不应将 NAT 用于作为 DHCP 中继的 L3 设备的 IP 地址, 这在本例中是172.30.14.1 的。当未为帕洛阿尔托网络设备上的172.30.14.1 地址配置源 NAT 时, 这些是在 windows DHCP 服务器上捕获的数据包:

以上所有消息都在 L3 设备 (dhcp 中继设备-172.30.14.1) 和 windows DHCP 服务器 (10.145.0.200) 之间直接交换。

所有者: gbogojevic