客户组网如下:
DHCP客户端----------FW(二层透传)----------DHCP服务器
用户反馈在FW上只放通dhcp client到dhcp server的域间策略时,客户端获取地址很慢或者获取不到地址。
无
1、在FW上只放通dhcp client到dhcp server的域间策略时,服务器回应的dhcp offer报文为广播报文,因没有正向会话而被域间策略丢弃,故客户端无法获取到IP地址。
报文信息如下:
Debug信息如下:(debugging aspf packet acl 3999)
*Aug 12 15:13:58:061 2017 H3C ASPF/7/PACKET: -COntext=1; The first packet was dropped by packet filter or object-policy. Src-ZOne=server, Dst-ZOne=client;If-In=GigabitEthernet1/0/11(12), If-Out=GigabitEthernet1/0/10(11), VLAN-In=200, VLAN-Out=200; Packet Info:Src-IP=172.16.0.1, Dst-IP=172.16.0.2, VPN-Instance=none,Src-Port=0, Dst-Port=2048. Protocol=ICMP(1).
*Aug 12 15:13:58:627 2017 H3C ASPF/7/PACKET: -COntext=1; The packet that matches no session was dropped by packet filter or object-policy. Src-ZOne=server, Dst-ZOne=client;If-In=GigabitEthernet1/0/11(12), If-Out=GigabitEthernet1/0/10(11), VLAN-In=200, VLAN-Out=200; Packet Info:Src-IP=172.16.0.1, Dst-IP=255.255.255.255,VPN-Instance=none, Src-Port=67, Dst-Port=68. Protocol=UDP(17).
当客户端长时间无法获取地址时,接口上会有一个169.254.x.x的地址,表示客户端无法得到DHCP的响应:
2、在防火墙上同时放通dhcp client到dhcp server、dhcp server到dhcp client的域间策略时,客户端可以正常获取IP地址,DHCP交互过程如下:
客户端可以正常获取到ip:
该情况下,需要在防火墙上面同时dhcp client到dhcp server和dhcp server到dchp client的域间策略,为了网络的安全,建议配置明细的域间策略。
F1000-AK125 怎么配置策略 放通 DHCP 服务器 和DHCP 客户机 啊??
防火墙上 GE1/0/4(IP192.168.0.1),启用DHCP服务,然后连接了一堆主机,
现在策略做了一条,允许从192.168.0.0/24网段到公网,DHCP客户机没法获取IP地址,手动设置IP地址,可以上网。还需要添加什么样的策略才能让DHCP客户机获取到IP地址?
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作