打印

透明模式下 DHCP的穿透问题？

g127

注册会员

Rank: 2

1^# 大中小发表于 2008-6-28 17:02 只看该作者

透明模式下 DHCP的穿透问题？

透明模式下 DHCP的穿透问题？网络环境是这样的：
            外网：124.237.103.X
                              |
CNC------------AR1863--------------N25-------------switch------------PC
                              |                         |
            内网：  192.168.1.1    192.168.1.2

路由器：固定ip，地址转译，DHCP，映射端口80，21，3389至内网192.168.1.5主机
防火墙：透明模式，V1-Trust至V1-Untrust为any  any any  Permit enabled，V1-Untrust至V1-Trust为any  any any  Permit enabled

现象就是：在以上模式下，pc机无法获取到ip地址；如switch直接连到路由器AR1863上则可准确获取到ip地址。

实在搞不明白是为什么了，不过有点思路，可能是广播的问题？
希望大家帮忙。

N25 配置如下：

ns25-> get sys
Product Name: NetScreen-25
Serial Number: 0096052008000257, Control Number: 00000000
Hardware Version: 4010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (192.168.1.2)
Software Version: 5.4.0r6.0, Type: Firewall+VPN
Compiled by build_master at: Fri Jul 20 18:25:51 PDT 2007
Base Mac: 001f.1217.3b50
File Name: ns50ns25.5.4.0r6.0, Checksum: 255dc864

Date 06/25/2008 19:58:55, Daylight Saving Time enabled
The Network Time Protocol is Disabled
Up 129 hours 5 minutes 37 seconds Since 20June2008:10:53:18
Total Device Resets: 3, Last Device Reset at: 06/16/2008 16:21:52
System in transparent mode.
Use interface IP, Config Port: 80
User Name: admin
Interface ethernet1:
  description ethernet1
  number 0, if_info 0, if_index 0, mode xparent, port vlan 1
  link up, phy-link up/full-duplex
  vsys Root, zone V1-Trust, vr trust-vr
  *ip 0.0.0.0/0 mac 001f.1217.3b50
  bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
         configured ingress mbw 0kbps, current bw 0kbps
         total allocated gbw 0kbps
Interface ethernet2:
  description ethernet2
  number 5, if_info 1040, if_index 0, mode xparent, port vlan 1
  link up, phy-link up/full-duplex
  vsys Root, zone V1-DMZ, vr trust-vr
  *ip 0.0.0.0/0 mac 001f.1217.3b55
  bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
         configured ingress mbw 0kbps, current bw 0kbps
         total allocated gbw 0kbps
Interface ethernet3:
  description ethernet3
  number 6, if_info 1248, if_index 0, mode xparent, port vlan 1
  link down, phy-link down
  vsys Root, zone V1-Untrust, vr trust-vr
  *ip 0.0.0.0/0 mac 001f.1217.3b56
  bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
         configured ingress mbw 0kbps, current bw 0kbps
         total allocated gbw 0kbps
Interface ethernet4:
  description ethernet4
  number 7, if_info 1456, if_index 0
  link down, phy-link down
  vsys Root, zone Null, vr untrust-vr
  admin mtu 0, operating mtu 1500, default mtu 1500
  *ip 0.0.0.0/0 mac 001f.1217.3b57
  bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
         configured ingress mbw 0kbps, current bw 0kbps
         total allocated gbw 0kbps
ns25-> get policy
Total regular policies 2, Default deny.
ID From    To    Src-address  Dst-address  Service             Action S
tate ASTLCB
   2 V1-Trust V1-Untr~ Any       Any       ANY                Permit e
nabled -----X
   4 V1-Untr~ V1-Trust Any       Any       ANY                Permit e
nabled -----X

DHCP Relay Agent

未命名.jpg (18.39 KB)
2008-6-26 09:46

配置了。地址指向路由器内网地址 192.168.1.1

就是不行。。。。很郁闷。

TOP

竞争对手

新手上路

Rank: 1

2^# 大中小发表于 2008-6-29 08:36 只看该作者

如果是二层设备，dhcp的在一个广播域内实现，vlan天生就隔离开来了。如果是三层设备，具体看是如何进行dhcp的了，一般可以限制dhcp的vlan，或者类似上面那位说的，加上acl也可以。

TOP

g127

注册会员

Rank: 2

3^# 大中小发表于 2008-6-29 10:33 只看该作者

2楼的同志说的是什么？我没有划vlan n25透明模式确实是2层可是为什么获取不到ip捏？

TOP

新龙

新手上路

Rank: 1

4^# 大中小发表于 2008-7-1 13:31 只看该作者

看了好久才看明白，支持

TOP

月满拦江

注册会员

Rank: 2

5^# 大中小发表于 2008-7-2 09:55 只看该作者

先学习。。。

TOP

见死不救

新手上路

Rank: 1

6^# 大中小发表于 2008-7-2 11:38 只看该作者

一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn 功能时才启用透明模式，否者强烈建议使用网桥模式。如需要用vpn 的情况下，建议使用路由模式。

TOP

defg230

禁止发言

7^# 大中小发表于 2008-7-3 12:24 只看该作者

这篇文章不错！！我也顶下~~~~~~

提示: 作者被禁止或删除内容自动屏蔽

TOP

三不五时

新手上路

Rank: 1

8^# 大中小发表于 2008-7-4 10:47 只看该作者

可能是网关问题。单臂路由,在每子端口配置IP作为不同VLAN的网关,再在交换机端口上分配VLAN,可以防止DHCP透传

TOP