Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA como um exemplo do servidor DHCP e da configuração de cliente

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A ferramenta de segurança da série PIX 500 e a ferramenta de segurança adaptável de Cisco (ASA) apoiam o funcionamento como server e clientes DHCP do protocolo de configuração dinâmica host (DHCP). O DHCP é um protocolo que forneça parâmetros da configuração automática tais como um endereço IP de Um ou Mais Servidores Cisco ICM NT com uma máscara de sub-rede, gateway padrão, servidor DNS, e GANHE o endereço IP do servidor aos anfitriões.

A ferramenta de segurança pode atuar como um servidor DHCP ou um DHCP Client. Quando se opera como um server, a ferramenta de segurança fornece parâmetros da configuração de rede diretamente aos clientes DHCP. Quando se opera como um DHCP Client, a ferramenta de segurança pede tais parâmetros de configuração de um servidor DHCP.

Este documento focaliza em como configurar o servidor DHCP e o DHCP Client usando o Cisco Adaptive Security Device Manager (ASDM) na ferramenta de segurança.

Pré-requisitos

Requisitos

Este documento supõe que a ferramenta de segurança PIX ou o ASA são plenamente operacional e configurada para permitir que Cisco ASDM faça alterações de configuração.

Nota: Refira permitir o acesso HTTPS para que o ASDM permita que o dispositivo seja configurado pelo ASDM.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramenta de segurança 7.x da série PIX 500

    Nota: A configuração de CLI PIX usada na versão 7.x é igualmente aplicável a PIX 6.x. A única diferença é aquela nas versões mais cedo do que o PIX 6.3, o servidor DHCP pode somente ser permitido na interface interna. Em PIX 6.3 e mais atrasado o servidor DHCP pode ser permitido em algumas das relações disponíveis. Nesta configuração a interface externa é usada para a característica do servidor DHCP.

  • ASDM 5.x

    Nota: O ASDM apoia somente PIX 7.0 e mais atrasado. O gerenciador de dispositivo pix (PDM) está disponível para configurar a versão de PIX 6.x. Refira a compatibilidade de hardware e de software da ferramenta de segurança do 5500 Series e da série PIX 500 de Cisco ASA para mais informação.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com Cisco ASA 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta configuração, há duas ferramentas de segurança PIX que executam a versão 7.x. Um funciona como um servidor DHCP que forneça parâmetros de configuração a uma outra ferramenta de segurança 7.x PIX que funcione como um DHCP Client. Quando funciona como um servidor DHCP, o PIX atribui dinamicamente endereços IP de Um ou Mais Servidores Cisco ICM NT aos clientes DHCP de um pool de endereços IP de Um ou Mais Servidores Cisco ICM NT designados.

Você pode configurar um servidor DHCP em cada relação da ferramenta de segurança. Cada relação pode ter seu próprio conjunto de endereço a selecionar de. Contudo os outros ajustes DHCP, tais como servidores DNS, Domain Name, opções, timeout de ping, e server das VITÓRIAS são configurados globalmente e usados pelo servidor DHCP em todas as relações.

Você não pode configurar serviços DHCP Client ou da transmissão de DHCP em uma relação em que o server é permitido. Adicionalmente, os clientes DHCP devem diretamente ser conectados à relação em que o server é permitido.

Finalmente, quando o servidor DHCP for permitido em uma relação, você é incapaz de mudar o endereço IP de Um ou Mais Servidores Cisco ICM NT dessa relação.

Nota: Basicamente, não há nenhuma opção de configuração ajustar o endereço de gateway padrão na resposta DHCP enviada do servidor DHCP (PIX/ASA). O servidor DHCP envia sempre seu próprio endereço como o gateway para o DHCP Client. Contudo, definir uma rota padrão que aponte ao roteador de Internet permite que o usuário alcance o Internet.

Nota: O número de endereços do conjunto de DHCP que podem ser atribuídos depende em cima da licença usada na ferramenta de segurança (PIX/ASA). Se você usa o baixo/Segurança mais a licença então estes limites aplicam-se ao conjunto de DHCP. Se o limite do host é os anfitriões 10, você limita o conjunto de DHCP a 32 endereços. Se o limite do host é anfitriões dos 50 pés, você limita o conjunto de DHCP aos endereços 128. Se o limite do host é ilimitado, você limita o conjunto de DHCP aos endereços 256. Assim o conjunto de endereços é limitado baseado no número de anfitriões.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Este documento utiliza as seguintes configurações:

Configuração do servidor de DHCP usando o ASDM

Termine estas etapas para configurar a ferramenta de segurança PIX ou o ASA como um servidor DHCP usando o ASDM.

  1. Escolha a configuração > as propriedades > o DHCP presta serviços de manutenção > servidor DHCP do indicador home. Selecione uma relação e o clique edita para permitir o servidor DHCP e para criar um pool de endereço DHCP.

    O conjunto de endereços deve estar na mesma sub-rede como a relação da ferramenta de segurança. Neste exemplo, o servidor DHCP é configurado na interface externa da ferramenta de segurança PIX.

    pix-asa-dhcp-svr-client-1.gif

  2. A verificação permite o servidor DHCP na interface externa de escutar os pedidos dos clientes DHCP. Forneça o conjunto de endereço a ser emitido ao DHCP Client e clique a APROVAÇÃO para retornar à janela principal.

    pix-asa-dhcp-svr-client-2.gif

  3. A verificação permite a configuração automática na relação de fazer com que o servidor DHCP configure automaticamente o DNS, as VITÓRIAS e o Domain Name do padrão para o DHCP Client. O clique aplica-se para atualizar a configuração running da ferramenta de segurança.

    pix-asa-dhcp-svr-client-3.gif

Configuração DHCP Client usando o ASDM

Termine estas etapas para configurar a ferramenta de segurança PIX como um DHCP Client usando o ASDM.

  1. Escolha o configuração > interfaces e o clique edita para permitir a relação do ethernet0 de obter os parâmetros de configuração tais como um endereço IP de Um ou Mais Servidores Cisco ICM NT com uma máscara de sub-rede, gateway padrão, servidor DNS e GANHA o endereço IP do servidor do servidor DHCP.

    /image/gif/paws/70391/pix-asa-dhcp-svr-client-4.gif

  2. A verificação permite a relação e incorpora o nome e o nível de segurança da relação para a relação. Escolha obtêm o endereço através do DHCP para o endereço IP de Um ou Mais Servidores Cisco ICM NT e obtêm a rota padrão usando o DHCP para o gateway padrão e clicam então a APROVAÇÃO para ir à janela principal.

    pix-asa-dhcp-svr-client-5.gif

  3. O clique aplica-se para considerar o endereço IP de Um ou Mais Servidores Cisco ICM NT obtido para a relação do ethernet0 do servidor DHCP.

    pix-asa-dhcp-svr-client-6.gif

Configuração do servidor de DHCP

Esta configuração é criada pelo ASDM:

Servidor de DHCP
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!

!--- Output is suppressed.



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Specifies a DHCP address pool and the interface for the client to connect.


dhcpd address 192.168.1.5-192.168.1.7 outside


!--- Specifies the IP address(es) of the DNS and WINS server 
!--- that the client uses.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1


!--- Specifies the lease length to be granted to the client.
!--- This lease equals the amount of time (in seconds) the client 
!--- can use its allocated IP address before the lease expires. 
!--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside


!--- Enables the DHCP daemon within the Security Appliance to listen for 
!--- DHCP client requests on the enabled interface.


dhcpd enable outside
dhcprelay timeout 60
!

!--- Output is suppressed.



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

Configuração DHCP Client

Esta configuração é criada pelo ASDM:

DHCP Client
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- Configures the Security Appliance interface as a DHCP client.
!--- The setroute keyword causes the Security Appliance to set the default 
!--- route using the default gateway the DHCP server returns. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- Output is suppressed.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- Output is suppressed.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

Verificar

Termine estas etapas para verificar as estatísticas DHCP e a informação obrigatória do servidor DHCP e do DHCP Client usando o ASDM.

  1. Escolha a monitoração > as relações > as estatísticas DHCP > DHCP do servidor DHCP para verificar as estatísticas DHCP, tais como DHCPDISCOVER, DHCPREQUEST, DHCPOFFER, e DHCPACK.

    Inscreva o comando statistics do dhcpd da mostra do CLI ver as estatísticas DHCP.

    pix-asa-dhcp-svr-client-7.gif

  2. Escolha a monitoração > as relações > a informação de lease DHCP > DHCP Client do DHCP Client para ver a informação obrigatória DHCP.

    Incorpore o comando obrigatório do dhcpd da mostra ver a informação obrigatória DHCP do CLI.

    pix-asa-dhcp-svr-client-8.gif

  3. Escolha a monitoração > registrando > Log Viewer do tempo real para selecionar o nível de registro e o limite de buffer para ver os mensagens de registro do tempo real.

    pix-asa-dhcp-svr-client-9.gif

  4. Veja os eventos do log do tempo real do DHCP Client. O endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído para a interface externa do DHCP Client.

    /image/gif/paws/70391/pix-asa-dhcp-svr-client-10.gif

Troubleshooting

Comandos para Troubleshooting

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar o evento do dhcpd — Indica a informação de evento que é associada com o servidor DHCP.

  • debugar o pacote do dhcpd — Indica a informação do pacote que é associada com o servidor DHCP.

Mensagens de erro

CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside
Warning, DHCP pool range is limited to 256 addresses, set address range as:
10.1.1.10-10.3.1.150

Explicação: O tamanho do conjunto de endereços é limitado aos endereços 256 pelo pool na ferramenta de segurança. Isto não pode ser mudado e é uma limitação do software. O total pode somente ser 256. Se a escala do conjunto de endereços é maior de 253 endereços (por exemplo 254, 255, 256), o netmask da relação da ferramenta de segurança não pode ser um endereço do C da classe (por exemplo, 255.255.255.0). Precisa de ser algo maior, por exemplo, 255.255.254.0.

Refira o guia do comando line configuration do dispositivo do Cisco Security para obter informações sobre de como executar a característica do servidor DHCP na ferramenta de segurança.

FAQ: Atribuição de endereço

Pergunta — É possível atribuir endereço IP de Um ou Mais Servidores Cisco ICM NT estático/permanente ao computador que usa o ASA como o servidor DHCP?

Resposta — Não é PIX/ASA de utilização possível.

Pergunta — É possível amarrar endereços de DHCP aos endereços específicos MAC no ASA?

Resposta — Não, não é possível.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 70391