Segurança : Cisco Adaptive Security Appliance (ASA) Software

Exemplo de configuração da transmissão de DHCP ASA

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve a transmissão de DHCP na ferramenta de segurança adaptável de Cisco (ASA) com a ajuda das capturas de pacote de informação e debuga, e fornece um exemplo de configuração.

Contribuído por Sourav Kakkar e por Dinkar Sharma, engenheiros de TAC da Cisco.

Pré-requisitos

Um agente de transmissão de DHCP permite que a ferramenta de segurança envie requisições DHCP dos clientes a um roteador ou ao outro servidor DHCP conectado a uma relação diferente.

Estas limitações aplicam-se somente ao uso do agente de transmissão de DHCP:

  • O agente de transmissão não pode ser permitido se a característica do servidor DHCP é permitida igualmente.
  • Você deve diretamente ser conectado à ferramenta de segurança e não pode enviar pedidos através de um outro agente de transmissão ou de um roteador.
  • Para o modo de contexto múltiplo, você não pode permitir a transmissão de DHCP, ou configurar um server da transmissão de DHCP em uma relação que seja usada por mais de um contexto.

Os serviços da transmissão de DHCP não estão disponíveis no modo de firewall transparente. Uma ferramenta de segurança no modo de firewall transparente permite somente o tráfego do Address Resolution Protocol (ARP) completamente. Todo tráfego restante exige um Access Control List (ACL). A fim permitir requisições DHCP e respostas através da ferramenta de segurança no modo transparente, você deve configurar dois ACL:

  • Um ACL que permite requisições DHCP da interface interna à parte externa
  • Um ACL que permite as respostas do server no outro sentido

Requisitos

Cisco recomenda que você tem uma compreensão básica de ASA CLI e de ® CLI do Cisco IOS.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O protocolo DHCP fornece parâmetros da configuração automática, tais como um endereço IP de Um ou Mais Servidores Cisco ICM NT com uma máscara de sub-rede, um gateway padrão, um endereço de servidor de DNS, e um endereço wireless do sensor da rede integrada (VITÓRIAS) aos anfitriões. Inicialmente, os clientes DHCP não têm nenhuns destes parâmetros de configuração. A fim obter esta informação, enviam uma requisição de transmissão para ela. Quando um servidor DHCP vê este pedido, o servidor DHCP fornece a informação necessária. Devido à natureza destas requisições de transmissão, ao DHCP Client e ao server deve estar na mesma sub-rede. Mergulhe 3 dispositivos tais como o Roteadores e os Firewall não enviam tipicamente estas requisições de transmissão à revelia.

Uma tentativa de encontrar clientes DHCP e um servidor DHCP na mesma sub-rede não pôde sempre ser conveniente. Em tal situação, você pode usar a transmissão de DHCP. Quando o agente de transmissão de DHCP na ferramenta de segurança receber uma requisição DHCP de um host em uma interface interna, ele para a frente o pedido a um dos servidores DHCP especificados em uma interface externa. Quando o servidor DHCP responder ao cliente, a ferramenta de segurança para a frente que responde para trás. Assim, o agente de transmissão de DHCP atua como um proxy para o DHCP Client em sua conversação com o servidor DHCP. 

Fluxo de pacote

Esta imagem ilustra o fluxo do pacote DHCP quando um agente de transmissão de DHCP não é usado:

O ASA intercepta estes pacotes e envolve-os no formato da transmissão de DHCP: 

Transmissão de DHCP com capturas de pacote de informação na interface interna e externa ASA

Faça uma anotação do índice highligted no VERMELHO, porque isso é como o ASA altera vários campos.

  1. A fim começar o processo DHCP, carreg o sistema e envie um mensagem de transmissão (DHCPDISCOVER) ao endereço de destino 255.255.255.255 - a porta 67 UDP.



    Nota: Se um cliente VPN pede um endereço IP de Um ou Mais Servidores Cisco ICM NT, o endereço IP de Um ou Mais Servidores Cisco ICM NT do agente de transmissão é o primeiro endereço IP de Um ou Mais Servidores Cisco ICM NT útil que é definido pelo comando do DHCP-rede-espaço, sob a grupo-política.



  2. Normalmente, o ASA deixaria cair a transmissão, mas porque é configurado para atuar como uma transmissão de DHCP, encaminha o mensagem DHCPDISCOVER como um pacote do unicast à fonte IP do servidor DHCP do IP da relação que enfrenta o server. Neste caso, é o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa. Observe a mudança no campo do cabeçalho IP e do agente de transmissão:



    Nota: Devido ao reparo incorporado na identificação de bug Cisco CSCuo89924, o ASA nas versões 9.1(5.7), 9.3(1), e mais tarde enviará os pacotes do unicast à fonte IP dos sever DHCP do endereço IP de Um ou Mais Servidores Cisco ICM NT da relação que enfrenta o cliente (giaddr) onde o dhcprelay é permitido. Neste caso, será o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface interna.



  3. O server envia para trás um mensagem dhcpoffer como um pacote do unicast ao ASA, destinado ao IP do agente de transmissão estabelecido na porta 67 DHCPDISCOVER- UDP. Neste caso, é o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface interna (giaddr), onde dhcprelay é permitido. Observe o IP de destino no encabeçamento da camada 3:



  4. O ASA envia este pacote fora da interface interna - a porta 68 UDP. Observe a mudança no cabeçalho IP quando o pacote sair da interface interna:



  5. Uma vez que você recebe o mensagem dhcpoffer, envie um mensagem dhcprequest a fim indicar que você aceita a oferta.



  6. O ASA passa o DHCPREQUEST ao servidor DHCP.



  7. Uma vez que o server obtém o DHCPREQUEST, envia o DHCPACK para trás a fim confirmar o IP oferecido.



  8. O ASA passa-lhe o DHCPACK do servidor DHCP, e aquele termina a transação.

Debuga e Syslog para transações da transmissão de DHCP

Esta é uma requisição DHCP enviada à relação 198.51.100.2 do servidor DHCP:

DHCPRA: relay binding created for client 0050.5684.396a.DHCPD: 
setting giaddr to 192.0.2.1.


dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: Adding rule to allow client to respond using offered address 192.0.2.4

Depois que a resposta é recebida do servidor DHCP, a ferramenta de segurança para a frente ao DHCP Client com MAC address 0050.5684.396a, e muda o endereço de gateway a sua própria interface interna.

DHCPRA: forwarding reply to client 0050.5684.396a.
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPD: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: exchange complete - relay binding deleted for client 0050.5684.396a.
DHCPD: returned relay binding 192.0.2.1/0050.5684.396a to address pool.
dhcpd_destroy_binding() removing NP rule for client 192.0.2.1
DHCPRA: forwarding reply to client 0050.5684.396a.

A mesma transação aparece nos Syslog também:

%ASA-7-609001: Built local-host inside:0.0.0.0
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 13 for inside:
 0.0.0.0/68 (0.0.0.0/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-609001: Built local-host identity:198.51.100.1
%ASA-7-609001: Built local-host outside:198.51.100.2
%ASA-6-302015: Built outbound UDP connection 14 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:198.51.100.1/67 (198.51.100.1/67)

%ASA-7-609001: Built local-host inside:192.0.2.4
%ASA-6-302020: Built outbound ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1
%ASA-7-609001: Built local-host identity:192.0.2.1
%ASA-6-302015: Built inbound UDP connection 16 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302015: Built outbound UDP connection 17 for inside:
 192.0.2.4/68 (192.0.2.4/68) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302021: Teardown ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1

Configurar

Nesta seção, você é presentado com a informação usada para configurar as características descritas neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza as seguintes configurações:

  • Configuração da transmissão de DHCP com uso do CLI
  • Configuração final da transmissão de DHCP
  • Configuração do servidor de DHCP

Configuração da transmissão de DHCP com uso do CLI

dhcprelay server 198.51.100.2 outside
dhcprelay enable inside
dhcprelay setroute inside
dhcprelay timeout 60

Configuração final da transmissão de DHCP

show run
: Saved
:
ASA Version 9.1(5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 0
 ip address 192.0.2.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 100
 ip address 198.51.100.1 255.255.255.0
!
interface Ethernet0/2
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
boot system disk0:/asa825-k8.bin
ftp mode passive
no pager
logging enable
logging buffer-size 40960
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 0:30:00
timeout pat-xlate 0:00:30
timeout conn 3:00:00 half-closed 0:30:00 udp 0:15:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 0:30:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

dhcprelay server 198.51.100.2 Outside
dhcprelay enable inside
dhcprelay setroute inside


//Defining DHCP server IP and interface//
//Enables DHCP relay on inside/client facing interface//
//Sets ASA inside as DG for clients in DHCP reply packets//
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7ae5f655ffe399c8a88b61cb13425972
: end

Configuração do servidor de DHCP

show run
Building configuration...

Current configuration : 1911 bytes
!
! Last configuration change at 18:36:05 UTC Tue May 28 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 4096
!
no aaa new-model
!
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip source-route
!
ip dhcp excluded-address 192.0.2.1 192.0.2.2
ip dhcp excluded-address 192.0.2.10 192.0.2.254

//IP addresses exluded from DHCP scope//
!
ip dhcp pool pool1
 import all  network 192.0.2.0 255.255.255.0
dns-server 192.0.2.10 192.0.2.11
 domain-name cisco.com

//DHCP pool configuration and various parameters//
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1811W-AG-A/K9 sn FCTxxxx
!
!
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Dot11Radio1
 no ip address
 shutdown
 speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
 station-role root
!
interface FastEthernet0
 ip address 198.51.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 no ip address
!
interface FastEthernet9
 no ip address
!
interface Vlan1
 no ip address
!
interface Async1
 no ip address
 encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 192.0.2.0 255.255.255.0 198.51.100.1

//Static route to ensure replies are routed to relay agent IP//
!
!
!
control-plane
!
!
line con 0
line 1
 modem InOut
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 login
 transport input all
!
end

Transmissão de DHCP com servidores DHCP múltiplos

Você pode definir até dez servidores DHCP. Quando um cliente envia um DHCP descubra o pacote, ele está enviado a todos os servidores DHCP.

Aqui está um exemplo:

dhcprelay server 198.51.100.2 outside
dhcprelay server 198.51.100.3 outside
dhcprelay server 198.51.100.4 outside
dhcprelay enable inside
dhcprelay setroute inside

Debuga com servidores DHCP múltiplos

Está aqui algum exemplo debuga quando os servidores DHCP múltiplos são usados:

DHCP: Received a BOOTREQUEST from interface 2 (size = 300)
DHCPRA: relay binding found for client 000c.291c.34b5.
DHCPRA: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.2.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.3.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.4.

Captações com servidores DHCP múltiplos

Está aqui uma captura de pacote de informação do exemplo quando os servidores DHCP múltiplos são usados:

ASA# show cap out

3 packets captured

1: 18:48:41.211628 192.0.2.1.67 > 198.51.100.2.67: udp 300
2: 18:48:41.211689 192.0.2.1.67 > 198.51.100.3.67: udp 300
3: 18:48:41.211704 192.0.2.1.67 > 198.51.100.4.67: udp 300

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A fim ver a informação estatística sobre os serviços da transmissão de DHCP, inscreva o comando statistics dhcprelay da mostra no ASA CLI:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1
DHCP Other UDP Errors: 0

Packets Relayed
BOOTREQUEST          0
DHCPDISCOVER         1
DHCPREQUEST          1
DHCPDECLINE          0
DHCPRELEASE          0
DHCPINFORM           0

BOOTREPLY            0
DHCPOFFER            1
DHCPACK              1
DHCPNAK              0


Esta saída fornece a informação em diversos tipos de mensagem DHCP, tais como DHCPDISCOVER, REQUISIÇÃO DHCP, DHCP OFER, LIBERAÇÃO DHCP, e DHCP ACK.

  • mostre o estado dhcprelay em ASA CLI
  • mostre estatísticas do ip dhcp server no roteador CLI

Nota: A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Router#show ip dhcp server statistics
Memory usage         56637
Address pools        1
Database agents      0
Automatic bindings   1
Manual bindings      0
Expired bindings     0
Malformed messages   0
Secure arp entries   0

Message              Received
BOOTREQUEST          0
DHCPDISCOVER         1
DHCPREQUEST          1
DHCPDECLINE          0
DHCPRELEASE          0
DHCPINFORM           0

Message              Sent
BOOTREPLY            0
DHCPOFFER            1
DHCPACK              1
DHCPNAK              0

ASA# show dhcprelay state
Context  Configured as DHCP Relay
Interface inside, Configured for DHCP RELAY SERVER
Interface outside, Configured for DHCP RELAY

Nota: A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Você pode igualmente usar estes comandos debug:

  • debugar o pacote dhcprelay
  • debugar o evento dhcprelay
  • Captações
  • Syslogs

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116265