使用Firepower管理中心(FMC)在FTD上配置DHCP服务器/中继
简介
本文档介绍通过FMC在Firepower威胁防御(FTD)中配置DHCP服务器和DHCP中继服务。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower技术知识
- 自适应安全设备(ASA)基础知识
- 动态主机控制协议(DHCP)服务器/DHCP中继知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 适用于ASA(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)的ASA Firepower威胁防御映像,运行软件版本6.0.1及更高版本。
- 适用于ASA(5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)的ASA Firepower威胁防御映像,运行软件版本6.0.1及更高版本。
- FMC版本6.0.1及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
DHCP自动向DHCP客户端提供网络配置参数,例如IP地址、DNS服务器详细信息和其他参数。FTD路由接口可以充当DHCP服务器,为客户端提供IP地址。
FTD向内部客户端提供DHCP中继服务,其中客户端连接到FTD的一个接口,外部DHCP服务器连接到另一个接口。 中继服务操作对客户端是透明的。
配置DHCP服务器
要配置DHCP服务器,请登录到FMC GUI并导航到设备>设备管理。 点击FTD设备的edit按钮。导航到DHCP选项卡,然后单击DHCP服务器选项卡。
要配置DHCP服务器,请执行三个步骤。
步骤1:启用DHCP服务器/配置DHCP池。
第二步:配置高级参数。
第三步:配置DNS/WINS服务器。
启用DHCP服务器/配置DHCP池
您可以将任何路由接口用作DHCP服务器,并且接口的IP地址用作终端客户端的网关。因此,您只需定义IP地址范围。
要在任何接口上启用DHCP服务器,请单击服务器选项卡中的添加按钮。
Interface:从下拉列表中选择要启用DHCP服务器的接口。
Address Pool:指定IP地址范围。
启用DHCP服务器:启用该复选框以启用此接口上的DHCP服务器。
单击OK保存DHCP配置。
配置DNS/WINS服务器
DHCP服务器向终端客户端提供DNS/WINS/域名参数以及IP地址详细信息。这些参数有助于名称解析。因此,正确配置这些参数非常重要。
有两种配置方式:
首先,如果任何FTD接口配置为DHCP客户端,则可以选择Auto-Configuration选项。 此方法从DHCP服务器获取DNS/WINS/域名信息的配置,并将相同信息提供给DHCP客户端。
其次,您可以设置您自己的DNS/WINS域名参数,这些参数提供给最终客户端。
要配置此设置,请导航到DHCP选项卡。
- Ping超时:为避免地址冲突,FTD在将地址分配给DHCP客户端之前,向地址发送两个ICMP ping数据包。此命令指定这些数据包的超时值
- 租用长度:此租用等于租期到期前客户端可以使用其分配的IP地址的时间(以秒为单位)
- 自动配置:启用此复选框可配置DNS/WINS/域名的自动配置
- Interface:指定充当DHCP客户端的接口
覆盖自动配置的设置:如果要将您自己的DNS/WINS/域名分配给终端客户端,请配置此选项。
Domain Name:指定域名。
主DNS服务器:指定主DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标为主要DNS服务器创建网络对象。
辅助DNS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标为辅助DNS服务器创建网络对象。
主WINS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标为辅助DNS服务器创建网络对象。
辅助WINS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标为辅助DNS服务器创建网络对象。
配置高级参数
FTD接口的DHCP服务器能够包含DHCP代码和选项。例如,Cisco IP电话可以向DHCP服务器发送带有选项(150/ 66)的请求,以获取TFTP服务器的IP地址,以便电话可以从TFTP服务器下载固件。
要配置此功能,请导航到DHCP> Advanced选项,然后单击Add。
- 选项代码:根据RFC 2132、RFC 2562和RFC 5510中列出的选项代码指定
- Type:从下拉列表中选择类型
- IP地址1:如果您选择type option as IP,则指定第一个TFTP服务器的IP地址
- IP Address 2:如果您选择type option as IP,则指定第一个TFTP服务器的IP地址
- ASCII:如果选择类型选项为ASCII,则指定ASCII值
- HEX:如果选择类型选项为HEX,则指定十六进制值
单击 OK 保存配置。
单击Save按钮以保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮开始部署平台设置。
单击Save按钮以保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮开始部署平台设置。
配置DHCP中继
FTD接口在客户端和外部DHCP服务器之间作为DHCP中继代理运行。接口侦听客户端请求并添加重要配置数据,例如DHCP服务器为客户端分配地址所需的客户端链路信息。当DHCP服务器响应时,接口将应答数据包转发回DHCP客户端。
DHCP中继的配置主要有两个配置步骤。
步骤1:配置DHCP中继代理。
第二步:配置外部DHCP服务器。
配置DHCP中继代理
导航到Devices > Device Management。点击FTD设备的编辑按钮。导航到DHCP > DHCP Relay选项。 单击Add按钮。
Interface:从接口侦听客户端请求的下拉列表中指定接口。DHCP客户端可以直接连接到此接口以请求IP地址。
Enable DHCP Relay:启用复选框以启用DHCP中继服务。
Set Route:启用此复选框以将接口IP地址设置为默认网关。
单击OK按钮保存DHCP中继代理配置。
配置外部DHCP服务器
您需要指定转发客户端请求的外部DHCP服务器的IP地址。
要指定DHCP服务器,请导航到DHCP Server,然后单击Add。
Server:指定DHCP服务器的IP地址。 您可以从下拉列表中选择网络对象,或者点击加号(+)图标并为DHCP服务器创建网络对象。
Interface:指定DHCP服务器连接的接口。
单击 OK 保存配置。
单击Save按钮以保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮开始部署平台设置。
监控和故障排除
- 在开始配置DHCP服务器/中继之前,确保FTD已注册到FMC。
- 在DHCP中继配置中验证与DHCP服务器的连接。
> system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ><Press Enter> firepower# ping <DHCP_SERVER_IP>
- 在FTD CLI中验证DHCP相关配置。您可以登录到管理界面的FTD CLI并运行命令
firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!
- 确保策略部署已成功应用。
- 确保通过自动配置或手动配置配置了正确的DNS/WINS服务器条目。
- IP地址池可以位于接口IP地址的同一子网中。
- 确保在接口上可以配置IP地址和逻辑名称。
- 您可以对FTD路由接口上的数据包捕获进行故障排除,其中客户端不会获取IP地址。在数据包捕获中,您可以验证DHCP服务器的DORA进程。您可以使用ASA数据包捕获与CLI和ASDM配置示例进行数据包捕获。
- 从命令行检验DHCP statistics。
firepower# show dhcpd statistics
- 从CLI检验DHCP绑定信息。
firepower# show dhcpd binding
- 在Devices > Platform Settings > FTD Policy > System logging中启用相应的日志记录,并将平台设置部署到FTD。登录到FTD CLI并运行命令以检查系统日志消息。
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show logging
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
03-May-2023 |
添加了Alt文本。
更新了TOC、简介、SEO、样式要求、机器翻译、德语、拼写和格式。 |
1.0 |
06-May-2016 |
初始版本 |
反馈