Manualsbrain.com
  1. 份说明书
  2. 个品牌
  3. Cisco
  4. Cisco ASA 5555-X Adaptive Security Appliance
  5. 产品宣传页

Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

下载
页码 904
 
17-4
Cisco ASA Series 
일반적인 작업 CLI 구성 가이드
 
17 
장     DHCP 및 DDNS 서비스
  DHCP 
및 DDNS 서비스에 대한 지침
풀 정보와 함께 제안 메시지를 보냅니다. 주소의 갱신이 필요한 경우 임대 서버(확보한 주소
의 출처인 서버)와 주소 갱신을 시도합니다. DHCP 갱신이 지정된 재시도 횟수(4회)만큼 실패
한 경우 ASA는 미리 지정된 기간이 지나면 DHCP 리바인드 단계로 진행합니다. 리바인드 단
계에서는 ASA가 그룹의 모든 서버에 동시에 요청을 보냅니다. 고가용성 환경에서는 임대 정
보가 공유됩니다. 즉 다른 모든 서버가 임대를 확인할 수 있으며, ASA는 바운드 상태로 돌아
갑니다. 리바인드 단계에서 (3회 재시도 후) 서버 목록의 어떤 서버로부터도 응답이 없을 경우 
ASA
는 항목을 삭제합니다.
예를 들어, 서버에 범위가 209.165.200.225~209.165.200.254, 마스크가 255.255.255.0인 풀
이 있고 dhcp-network-scope 명령에 의해 지정된 IP 주소가 209.165.200.1이라면, 서버는 
ASA
에 보내는 제안 메시지를 통해 그 풀을 전송합니다.
dhcp-network-scope 
명령 설정은 VPN 사용자에게만 적용됩니다.
DHCP 
릴레이
단일 모드 및 각 상황에서 전역 서버와 인터페이스 특정 서버를 포함하여 최대 10개의 
DHCPv4 
릴레이 서버를 구성할 수 있으며, 각 인터페이스에는 최대 4개의 서버가 가능합니다.
단일 모드 및 각 상황에서 최대 10개의 DHCPv6 릴레이 서버를 구성할 수 있습니다. IPv6 인
터페이스 특정 서버는 지원되지 않습니다.
DHCP 
서버 기능이 활성화되지 않으면 릴레이 에이전트도 활성화될 수 없습니다.
DHCP 
릴레이 서비스가 활성화되었고 둘 이상의 DHCP 릴레이 서버가 정의되었으면, ASA는 
정의된 DHCP 릴레이 서버 각각에 클라이언트 요청을 전달합니다. 클라이언트 DHCP 릴레이 
바인딩이 제거될 때까지는 서버의 회신도 클라이언트에 전달됩니다. 이 바인딩은 ASA에서 
DHCP 
메시지 ACK, NACK, ICMP unreachable 또는 decline 중 하나를 받으면 제거됩니다.
DHCP 
프록시 서비스로 실행 중인 인터페이스에서 DHCP 릴레이 서비스를 활성화할 수 없습
니다. 먼저 VPN DHCP 구성을 삭제해야 합니다. 그러지 않으면 오류 메시지가 나타납니다. 
이 오류는 DHCP 릴레이 및 DHCP 프록시 서비스 모두 활성화된 경우 발생합니다. DHCP 릴
레이 또는 DHCP 프록시 서비스 중 하나만 활성화되어야 합니다.
DHCP 
릴레이 서비스는 투명 방화벽 모드에서 사용할 수 없습니다. 그러나 액세스 목록을 사
용하는 방법으로 DHCP 트래픽을 허용할 수 있습니다. 투명 모드에서 DHCP 요청과 회신이 
ASA
를 지날 수 있게 하려면 2개의 액세스 목록을 구성해야 합니다. 하나는 내부 인터페이스
에서 외부로 보내는 DHCP 요청을 허용하는 것이고 다른 하나는 반대 방향으로 서버의 회신
을 허용하는 것입니다.
IPv4
에서는 클라이언트가 ASA에 직접 연결되어야 하며, 다른 릴레이 에이전트 또는 라우터
를 통해 요청을 보낼 수 없습니다. IPv6에서는 ASA가 다른 릴레이 서버에서 보낸 패킷을 지
원합니다.
다중 상황 모드에서는 둘 이상의 상황이 사용하는 인터페이스에서 DHCP 릴레이를 활성화할 
수 없습니다.
DHCP 
클라이언트는 ASA에서 요청을 릴레이하는 DHCP 서버와 다른 인터페이스에 있어야 
합니다.
ASA
가 DHCP 서버에 DHCP를 릴레이하는 경우, DHCP 클라이언트(GIADDR)를 향하는 주
소 대신 DHCP 서버를 향하는 인터페이스의 주소를 사용하여 패킷을 소싱합니다. 이 주소는 
고유하지 않을 수 있으며 DHCP 트래픽이 VPN 터널을 통해 라우팅되어야 하므로 EasyVPN 
구축과 결합되는 경우 문제가 될 수 있습니다. ASA EasyVPN 서버는 동일한 주소가 있는 여
러 피어를 지원하지 않습니다. 이 문제를 해결하기 위해 ASA는 DHCP 서버가 해당 응답
(GIADDR)
을 전송할 주소를 사용하여 패킷을 소싱해야 합니다. 이 주소는 DHCP 릴레이를 구
축하는 경우 이미 고유해야 합니다.