セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

DHCP サーバおよびクライアントとしての PIX/ASA の設定例

2008 年 2 月 27 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 10 月 13 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ASDM を使用した DHCP サーバの設定
      ASDM を使用した DHCP クライアントの設定
      DHCP サーバの設定
      DHCP クライアントの設定
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

PIX 500 シリーズのセキュリティ アプライアンスと Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)は、Dynamic Host Configuration Protocol(DHCP)サーバと DHCP クライアントのいずれとしても動作できます。DHCP とは、サブネット マスク付きの IP アドレス、デフォルト ゲートウェイ、DNS サーバ、WINS サーバの IP アドレスなどの設定パラメータを自動的にホストに付与するためのプロトコルです。

セキュリティ アプライアンスは DHCP サーバまたは DHCP クライアントとして動作できます。セキュリティ アプライアンスがサーバとして動作する場合には、ネットワークの設定パラメータはセキュリティ アプライアンスにより直接 DHCP クライアントに付与されます。セキュリティ アプライアンスが DHCP クライアントとして動作する場合には、これらのパラメータはセキュリティ アプライアンスから DHCP サーバに要求されます。

このドキュメントでは、セキュリティ アプライアンスの Cisco Adaptive Security Device Manager(ASDM)を使用して、DHCP サーバと DHCP クライアントを設定する方法に重点を置いて説明しています。

前提条件

要件

このドキュメントでは、PIX セキュリティ アプライアンスまたは ASA が完全に動作していて、Cisco ASDM で設定を変更できるように設定されていることを想定しています。

注:デバイスを ASDM で設定できるようにする方法については、『ASDM の HTTPS アクセスの許可』を参照してください。 

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX 500 シリーズ セキュリティ アプライアンス 7.x

    注:バージョン 7.x で使用する PIX CLI の設定は、PIX 6.x にも適用できます。  唯一の違いは、PIX 6.3 より前のバージョンでは DHCP サーバを内側のインターフェイスでしかイネーブルにできないことです。PIX 6.3 以降では、DHCP サーバは使用可能なすべてのインタフェイスでイネーブルにできます。この設定では、DHCP サーバの機能を外部インターフェイスで使用します。

  • ASDM 5.x

    注:ASDM では、PIX 7.0 以降だけをサポートしています。PIX Device Manager(PDM)は、PIX バージョン 6.x の設定に使用できます。詳細については、『Cisco ASA 5500 シリーズ/PIX 500 シリーズ セキュリティ アプライアンスのハードウェアおよびソフトウェアの互換性』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco ASA 7.x にも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この設定では、バージョン 7.x が稼働している 2 台の PIX セキュリティ アプライアンスを使用しています。片方が DHCP サーバとして動作して、もう一方の DHCP クライアントとして動作する PIX セキュリティ アプライアンス 7.x に設定パラメータを与えます。DHCP サーバとして機能する場合、PIX は指定されている IP アドレスのプールから IP アドレスを DHCP クライアントに動的に割り当てます。

セキュリティ アプライアンスの各インターフェイスで DHCP サーバを設定できます。各インターフェイスにはアドレスを引き出すための独自のアドレス プールを置くことができます。ただし、DNS サーバ、ドメイン名、オプション、ping タイムアウト、WINS サーバなどの他の DHCP 設定は、すべてのインターフェイスについて DHCP サーバでグローバルに設定して使用します。

サーバがイネーブルになっているインターフェイスでは、DHCP クライアントや DHCP リレー サービスを設定できません。さらに、DHCP クライアントはサーバがイネーブルになっているインターフェイスに、直接に接続されている必要があります。

そして、あるインターフェイスで DHCP サーバがイネーブルになっているときには、そのインターフェイスの IP アドレスは変更できません。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

このドキュメントでは、次の設定を使用します。

ASDM を使用した DHCP サーバの設定

ASDM を使用して PIX セキュリティ アプライアンスまたは ASA を DHCP サーバとして設定するには、次の手順を実行します。

  1. Home ウィンドウから、Configuration > Properties > DHCP Services > DHCP Server の順に選択します。インターフェイスを選択し、Edit をクリックして、DHCP サーバをイネーブルにし、DHCP アドレス プールを作成します。

    アドレス プールはセキュリティ アプライアンスのインターフェイスと同じサブネット上にある必要があります。この例では、DHCP サーバは PIX セキュリティ アプライアンスの外部インターフェイスに設定されています。

    pix-asa-dhcp-svr-client-1.gif

    Configuration > Properties > DHCP Services > DHCP Server 画面
    ※ 画像をクリックすると、大きく表示されます。

  2. DHCP クライアントの要求を受信する外部インターフェイスに対して、Enable DHCP server にチェック マークを入れます。DHCP クライアントに割り当てるアドレスのプールを指定して、OK をクリックし、メイン ウィンドウに戻ります。

    pix-asa-dhcp-svr-client-2.gif

    Enable DHCP server 画面
    ※ 画像をクリックすると、大きく表示されます。

  3. Enable auto-configuration on the interface にチェック マーク入れ、DHCP サーバで DHCP クライアントに対して DNS、WINS、デフォルトのドメイン名を自動的に設定するようにします。Apply をクリックして、セキュリティ アプライアンスの実行コンフィギュレーションをアップデートします。

    pix-asa-dhcp-svr-client-3.gif

    Configuration > Properties > DHCP Services > DHCP Server 画面
    ※ 画像をクリックすると、大きく表示されます。

ASDM を使用した DHCP クライアントの設定

ASDM を使用して PIX セキュリティ アプライアンスを DHCP クライアントとして設定するには、次の手順を実行します。

  1. Configuration > Interfaces の順に選択し、Edit をクリックして、Ethernet0 インターフェイスをイネーブルにし、サブネット マスク付きの IP アドレス、デフォルト ゲートウェイ、DNS サーバ、WINS サーバの IP アドレスなどの設定パラメータを DHCP サーバから取得するようにします。

    pix-asa-dhcp-svr-client-4.gif

    Configuration > Interfaces 画面
    ※ 画像をクリックすると、大きく表示されます。

  2. Enable Interface にチェック マークを入れ、インターフェイスの名前とセキュリティ レベルを入力します。IP アドレスについては Obtain address via DHCP を、デフォルト ゲートウェイについては Obtain default route using DHCP を選択し、OK をクリックしてメイン ウィンドウに戻ります。

    pix-asa-dhcp-svr-client-5.gif

    Edit Interface 画面
    ※ 画像をクリックすると、大きく表示されます。

  3. Apply をクリックし、DHCP サーバから取得した Ethernet0 の IP アドレスを確認します。

    pix-asa-dhcp-svr-client-6.gif

    Configuration > Interfaces 画面
    ※ 画像をクリックすると、大きく表示されます。

DHCP サーバの設定

この設定は ASDM で作成されたものです。

DHCP サーバ
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!

!--- 出力を省略。



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- DHCP プールとクライアントが接続するインターフェイスを指定します。


dhcpd address 192.168.1.5-192.168.1.7 outside


!--- クライアントが使用する DNS サーバと WINS サーバの IP アドレスを
!--- 指定します。

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1


!--- クライアントに付与するリース期間を指定します。
!--- この lease の値は、クライアントが使用できる割り当てられた IP アドレスが
!--- 期限切れになるまでの時間を秒で表したものになります。
!--- 0 から 1,048,575 までの値を入力します。デフォルト値は 3600 秒です。

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside


!--- セキュリティ アプライアンスの DHCP デーモンをイネーブルにして、
!--- DHCP クライアントの要求を対象のインターフェイスで受信するようにします。


dhcpd enable outside
dhcprelay timeout 60
!

!--- 出力を省略。



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

DHCP クライアントの設定

この設定は ASDM で作成されたものです。


DHCP クライアント
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- セキュリティ アプライアンスのインターフェイスを DHCP クライアントとして設定します。
!--- キーワード setroute によって、DHCP が返すデフォルト ゲートウェイを使用する 
!--- デフォルト ルートがセキュリティ アプライアンスに設定されます。


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- 出力を省略。



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- 出力を省略。


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

確認

次の手順に従って、ASDM を使用して DHCP 統計情報と DHCP サーバと DHCP クライアントのバインディング情報を確認します。

  1. DHCP サーバから、Monitoring > Interfaces > DHCP > DHCP Statistics の順に選択して、DHCPDISCOVER、DHCPREQUEST、DHCPOFFER、DHCPACK などの DHCP の統計情報を確認します。

    CLI で show dhcpd statistics コマンドを入力して、DHCP の統計情報を表示します。

    pix-asa-dhcp-svr-client-7.gif

    Monitoring > Interfaces > DHCP > DHCP Statistics 画面
    ※ 画像をクリックすると、大きく表示されます。

  2. DHCP クライアントから、Monitoring > Interfaces > DHCP > DHCP Client Lease Information の順に選択して、DHCP のバインディング情報を表示します。

    CLI で show dhcpd binding コマンドを入力して、DHCP のバインディング情報を表示します。

    pix-asa-dhcp-svr-client-8.gif

    Monitoring > Interfaces > DHCP > DHCP Client Lease Information 画面
    ※ 画像をクリックすると、大きく表示されます。

  3. Monitoring > Logging > Real-time Log Viewer の順に選択し、Logging Level と Buffer Limit を選択して、リアルタイムのログ メッセージを表示します。

    pix-asa-dhcp-svr-client-9.gif

    Monitoring > Logging > Real-time Log Viewer 画面
    ※ 画像をクリックすると、大きく表示されます。

  4. DHCP クライアントからリアルタイムのログ イベントを表示します。DHCP クライアントの外部インターフェイスに IP アドレスが割り当てられています。

    pix-asa-dhcp-svr-client-10.gif

    Real-time Log Viewer 画面
    ※ 画像をクリックすると、大きく表示されます。

トラブルシューティング

トラブルシューティングのためのコマンド

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug dhcpd event:DHCP サーバに関連するイベント情報を表示します。

  • debug dhcpd packet:DHCP サーバに関連するパケット情報を表示します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 70391