使用Cisco ASA 5505转发PXE（WDS）请求

我从来没有对ASA 5505平台有太多的喜爱。它总是好像有点太“六个一个，其他六个”，我可以在我的任何一个networking中find它的用处。

我刚刚花了半小时的时间阅读了一些 关于 “欺骗路由”的可能性 。

所以，基本归结到这一点。

• 使用基本许可证，您只能使用两个VLAN（这可能相当重要）。
• 路由表的优先级低于转换表（这对于路由性能是不利的）。
• 如果没有微妙的命令，ASA不会将数据包从它出来的同一个接口（ same-security-traffic permit intra-interface和fixup protocol icmp ）转出。

最后的两个命令可以追溯到ASA范围是PIX范围的那一天。

如果我在你的位置，我会得到一个单独的路由器，并保持ASA，或用一个function更强大的防火墙，实际上能够路由stream量取代整个地段。

正如Cisco论坛上的人已经提到的那样 ，dhcp-relay应该修复WDS的DHCP部分的所有内容等等。

关于PXE的其余部分，问题仍然存在。 PXE基本上只是DHCP和TFTP，它本身是一个基于UDP的服务，在端口69上运行。

closures的背面..你有没有尝试在有问题的接口上为WDS服务器设置一个静态的NAT映射，然后指出与next-server属性的PXE？

可能会工作，但为了build立足够的NAT区域，您可能需要将它们作为VLAN来使用，因此需要使用Security Plus许可证（25个VLAN！），然后理论上只需执行简单的命令-VLAN路由，但我怀疑你可能会有糟糕的performance。

如果没有实验的话（有点痛苦，因为ASA是一头猪，而我没有5505），所以很难提出一个更准确的答案。

更多信息：

next-server是DHCP Option 66的ISC DHCPd名称，如http://tools.ietf.org/html/rfc2132#page-25中所述，作为TFTP服务器名称 。 这是TFTP服务器所在的服务器的IP地址，用于PXE引导。

静态NAT就是这样一个过程，它允许你configuration位于不同networking上的两个IP地址之间的转换，如下所述。

捕捉，爆裂，stream行！ 发现汤姆给我一些好主意是多么的感谢。 我去考虑添加DHCP选项66到我的范围选项，并认为我自己应该将其添加到“服务器”子网范围选项或“工作站”子网范围选项…然后，我打我自己的额头，当我实现了（无法识别的）个人电脑试图从DHCP服务器获取IP是从我创build的“未知”子网获得一个IP ..未知的电脑.. 🙂

我的子网分手的方式如下…

 10.71.3.0/27 (servers) 10.71.3.32/28 (printers) 10.71.3.48/29 (management) 10.71.3.128/25 (workstations) 10.80.1.0/24 (unknown) 

我将每个子网中的所有地址池都locking在不分配任何ips的地方。 具有可用IP的唯一子网/范围是“未知”子网。 这样，如果我在其中一个其他子网中有一个保留的IP，机器就会获得这个IP。 如果我不这样做，它会在死/孤立/包含的networking上获得IP（未知）。 那么恰恰相反，我用我所有的ACL做了很好的工作，除了DHCP服务器之外，未知的任何东西都无法得到，而且对于未知的networking没有路由/ NAT。 所以个人电脑得到了一个知识产权，但这是停止的地方。

具有完美的意义，我会从来没有想过，直到汤姆让我尝试别的东西。 所以感谢汤姆！

至于这个问题的答案答案应该使用类似于你的asaconfiguration下面的东西会工作得很好…

 dhcprelay server 10.71.3.2 servers dhcprelay enable workstations dhcprelay setroute workstations dhcprelay timeout 60 

在这种情况下，10.71.3.2将是我的DC / WDS服务器。 设置“dhcprelay服务器10.71.3.2服务器”允许服务器接收请求。 应为每个需要访问DHCP服务器的子网/接口/范围定义“dhcprelay enable workstations”。 “dhcprelay setroute工作站”也应该为每个（就像使能行）一样定义。 超时是我的首选。