Voz : Dispositivos de segurança Cisco PIX 500 Series

Exemplo de Configuração do PIX/ASA como Servidor e Cliente DHCP

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (13 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Configuração
      Configuração do Servidor DHCP Usando o ASDM
      Configuração do Cliente DHCP Usando o ASDM
      Configuração do Servidor DHCP
      Configuração do Cliente DHCP
Verificação
Troubleshooting
      Comandos de Troubleshooting
      Mensagens de Erro
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O PIX 500 Series Security Appliance e o Cisco Adaptive Security Appliance (ASA) oferecem suporte à operação de servidores e clientes Dynamic Host Configuration Protocol (DHCP). O DHCP é um protocolo que fornece aos hosts configuração automática de parâmetros como endereço IP com máscara de sub-rede, gateway padrão, servidor DNS e endereço IP do servidor WINS.

O Security Appliance pode atuar como servidor DHCP ou cliente DHCP. Ao funcionar como servidor, o Security Appliance fornece parâmetros de configuração de rede diretamente aos clientes DHCP. Ao operar como cliente DHCP, o Security Appliance solicita esses parâmetros de configuração a um servidor DHCP.

Este documento explica como configurar o servidor DHCP e o cliente DHCP utilizando o Cisco Adaptive Security Device Manager (ASDM) no Security Appliance.

Pré-requisitos

Requisitos

Este documento pressupõe que o PIX Security Appliance ou o ASA esteja completamente operacional e configurado de forma a permitir que o ASDM efetue alterações de configuração.

Nota: Consulte Permitindo o Acesso HTTPS para o ASDM para permitir que o dispositivo seja configurado pelo ASDM.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 500 Series Security Appliance 7.x

    Nota: A configuração via CLI do PIX utilizada na versão 7.x também se aplica ao PIX 6.x. A única diferença é que nas versões anteriores à PIX 6.3, o servidor DHCP só pode ser ativado na interface interna. Nas versões PIX 6.3 e posteriores, o servidor DHCP pode ser ativado em qualquer interface disponível. Nesta configuração, a interface externa é utilizada para o recurso do servidor DHCP.

  • ASDM 5.x

    Nota: O ASDM oferece suporte somente ao PIX 7.0 e posteriores. O PIX Device Manager (PDM) está disponível para a configuração do PIX versão 6.x. Consulte Compatibilidade de Hardware e Software entre o Cisco ASA 5500 Series e PIX 500 Series Security Appliance para obter mais informações.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco ASA 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta configuração, há dois PIX Security Appliances que executam a versão 7.x. Um funciona como servidor DHCP, fornecendo parâmetros de configuração para outro PIX Security Appliance 7.x, o qual funciona como cliente DHCP. Quando ele funciona como servidor DHCP, o PIX atribui dinamicamente endereços IP a clientes DHCP a partir de um pool de endereços IP designados.

Você pode configurar um servidor DHCP em cada interface do Security Appliance. Cada interface pode possuir seu próprio pool de endereços para utilização. Entretanto, as outras configurações do DHCP, tais como servidores DNS, nome de domínio, opções, timeout de ping e servidores WINS, são configuradas globalmente e utilizadas pelo servidor DHCP em todas as interfaces.

Você não pode configurar um cliente DHCP ou serviços de retransmissão de DHCP em uma interface onde o servidor esteja ativado. Além disso, os clientes DHCP devem estar diretamente conectados à interface onde o servidor está habilitado.

Finalmente, enquanto o servidor DHCP estiver ativo em uma interface, você não será capaz de alterar o endereço IP dessa interface.

Nota: Basicamente, não há opção de configuração para definir o endereço do gateway padrão na resposta de DHCP enviada a partir do servidor DHCP (PIX/ASA). O servidor DHCP sempre envia seu próprio endereço como gateway para o cliente DHCP. Entretanto, a definição de uma rota padrão que aponte para o roteador da Internet permite que o usuário alcance a Internet.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Este documento utiliza estas configurações:

Configuração do Servidor DHCP Usando o ASDM

Execute estes passos para configurar o PIX Security Appliance ou o ASA como servidor DHCP utilizando o ASDM.

  1. Selecione Configuration > Properties > DHCP Services > DHCP Server na janela Home. Selecione uma interface e clique em Edit para ativar o servidor DHCP e criar um pool de endereços para o DHCP.

    O pool de endereços deve ser da mesma sub-rede da interface do Security Appliance. Neste exemplo, o servidor DHCP é configurado na interface externa do PIX Security Appliance.

    pix-asa-dhcp-svr-client-1.gif

  2. Marque Enable DHCP server na interface externa para ouvir as solicitações dos clientes DHCP. Forneça o pool de endereços a serem emitidos para os clientes DHCP e clique em OK para retornar à janela Main.

    pix-asa-dhcp-svr-client-2.gif

  3. Marque Enable auto-configuration on the interface para que o servidor DHCP configure automaticamente o DNS, o WINS e o nome de domínio padrão do cliente DHCP. Clique em Apply para atualizar a configuração em execução do Security Appliance.

    pix-asa-dhcp-svr-client-3.gif

Configuração do Cliente DHCP Usando o ASDM

Execute estes passos para configurar o PIX Security Appliance como cliente DHCP utilizando o ASDM.

  1. Selecione Configuration > Interfaces e clique em Edit para permitir que a interface Ethernet0 obtenha os parâmetros de configuração, como um endereço IP com máscara de sub-rede, o gateway padrão, o servidor DNS e o endereço IP do servidor WINS a partir do servidor DHCP.

    pix-asa-dhcp-svr-client-4.gif

  2. Marque Enable Interface e insira o Interface Name e o Security Level da interface. Selecione Obtain address via DHCP para o endereço IP e Obtain default route using DHCP para o gateway padrão e, em seguida, clique em OK para ir para a janela Main.

    pix-asa-dhcp-svr-client-5.gif

  3. Clique em Apply para ver o endereço IP obtido para a interface Ethernet0 por meio do servidor DHCP.

    pix-asa-dhcp-svr-client-6.gif

Configuração do Servidor DHCP

Esta configuração é criada pelo ASDM:

Servidor DHCP

pixfirewall#show running-config
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!

!--- Saída suprimida.



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Especifica um pool de endereços DHCP e a interface para o cliente se conectar.


dhcpd address 192.168.1.5-192.168.1.7 outside


!--- Especifica o(s) endereço(s) IP do servidor DNS e WINS
!--- usado pelos clientes.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1


!--- Especifica a duração da concessão para o cliente.
!--- A concessão é igual à quantidade de tempo (em segundos) durante o qual o cliente
!--- pode usar seu endereço IP alocado antes da expiração da concessão.
!--- Insira um valor entre 0 e 1.048.575. O valor padrão é 3600 segundos.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside


!--- Habilita o daemon de DHCP no Security Appliance para escutar as
!--- solicitações dos clientes DHCP na interface habilitada.


dhcpd enable outside
dhcprelay timeout 60
!

!--- Saída suprimida.



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

Configuração do Cliente DHCP

Esta configuração é criada pelo ASDM:

Cliente DHCP

pixfirewall#show running-config
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- Configura a interface do Security Appliance como um cliente DHCP.
!--- A palavra-chave setroute faz com que o Security Appliance defina a rota padrão
!--- usando o gateway padrão retornado pelo servidor DHCP. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- Saída suprimida.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- Saída suprimida.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

Verificação

Execute estes passos para verificar as estatísticas de DHCP e as informações de ligação do servidor e do cliente DHCP utilizando o ASDM.

  1. Selecione Monitoring > Interfaces > DHCP > DHCP Statistics no servidor DHCP para verificar as estatísticas do DHCP, tais como DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK.

    Digite o comando show dhcpd statistics na CLI para exibir as estatísticas de DHCP.

    pix-asa-dhcp-svr-client-7.gif

  2. Selecione Monitoring > Interfaces > DHCP > DHCP Client Lease Information no cliente DHCP para exibir as informações de ligação do DHCP.

    Digite o comando show dhcpd binding para exibir as informações de ligação do DHCP a partir da CLI.

    pix-asa-dhcp-svr-client-8.gif

  3. Selecione Monitoring > Logging > Real-time Log Viewer para selecionar o Logging Level e o limite do buffer para exibir as mensagens do Real Time Log.

    pix-asa-dhcp-svr-client-9.gif

  4. Exiba os eventos de log de tempo real do cliente DHCP. O endereço IP é alocado para a interface externa do cliente DHCP.

    pix-asa-dhcp-svr-client-10.gif

Troubleshooting

Comandos de Troubleshooting

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug dhcpd event — Exibe informações sobre o evento associado ao servidor DHCP.

  • debug dhcpd packet — Exibe informações sobre os pacotes associados ao servidor DHCP.

Mensagens de Erro

CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside
Warning, DHCP pool range is limited to 256 addresses, set address range as:
10.1.1.10-10.3.1.150

Explicação: O tamanho do pool de endereços é limitado a 256 endereços por pool no Security Appliance. Isso não pode ser alterado e é uma limitação de software. O total só pode ser de 256. Se o intervalo do pool de endereços for maior do que 253 endereços (por exemplo 254, 255, 256), a máscara de rede da interface do Security Appliance não poderá ser de um endereço de Classe C (por exemplo, 255.255.255.0). Ela precisa ser algo maior, como, por exemplo, 255.255.254.0.

Consulte o Guia de Configuração via Linha de Comando do Cisco Security Appliance para obter informações sobre como implementar o recurso do servidor DHCP no Security Appliance.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70391