Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA como ejemplo del servidor DHCP y de la configuración del cliente

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (26 Septiembre 2014) | Comentarios


Contenido


Introducción

Soporte PIX 500 Series Security Appliance y Cisco Adaptive Security Appliance (ASA) que opera como servidores de Dynamic Host Configuration Protocol (DHCP) y clientes DHCP. El DHCP es un protocolo que suministra los parámetros de la configuración automática tales como una dirección IP una máscara de subred, un gateway predeterminado, servidor DNS, y dirección IP del servidor a los hosts.

El Dispositivo de Seguridad puede actuar como un servidor DHCP o DHCP cliente. Cuando actúa como servidor, el Dispositivo de Seguridad proporciona los parámetros de la configuración de red directamente a clientes DHCP. Cuando actúa como cliente DHCP , el Dispositivo de Seguridad solicita los parámetros de la configuración de un servidor DHCP.

Este documento se centra en cómo configurar el servidor DHCP y el cliente DHCP cliente con el Cisco Adaptive Security Device Manager (ASDM) en el Dispositivo de Seguridad.

prerrequisitos

Requisitos

Este documento asume que el Dispositivo de Seguridad PIX o ASA funciona correctamente y está bien configurado para permitir que el ASDM de Cisco haga los cambios en las configuraciones.

Nota: Consulte Cómo Permitir el Acceso HTTPS para que el ASDM le permite al dispositivo ser configurado por ASDM.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • PIX 500 Series Security Appliance 7.x

    Nota: La configuración CLI PIX utilizada en la versión 7.x es también aplicable a PIX 6.x. La única diferencia es que en las versiones anteriores a PIX 6.3, el servidor DHCP se puede habilitar solamente en la interfaz interior. En PIX 6.3 y posterior el servidor DHCP se puede habilitar en cualquiera de las interfaces disponibles. En esta configuración la interfaz exterior se utiliza para la función del servidor DHCP.

  • ASDM 5.x

    Nota: ASDM sólo soporta PIX 7.0 y posterior. El PIX Device Manager (PDM) está disponible configurar la versión de PIX 6.x. Consulte Compatibilidad de Hardware y Software Cisco ASA 5500 Series y PIX 500 Series Security Appliance para más información.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración también se puede utilizar con Cisco ASA 7.x.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta configuración, hay dos Dispositivos de Seguridad PIX que funcionan con la versión 7.x. Uno funciona como un servidor DHCP que proporciona los parámetros de la configuración a otro Dispositivo de Seguridad 7.x PIX que funciona como un cliente DHCP. Cuando funciona como un servidor DHCP, el PIX asigna dinámicamente las direcciones IP a los clientes DHCP de un conjunto de direcciones IP señalados.

Puede configurar un servidor DHCP en cada interfaz del Dispositivo de Seguridad. Cada interfaz puede tener su propia agrupación de direcciones para extraer. Sin embargo, las otras configuraciones del DHCP, tales como servidores DNS, nombre de dominio, opciones, tiempo de espera del ping, y servidores WINS se configuran de forma global y son utilizadas por el servidor DHCP en todas las interfaces.

No puede configurar los servicios de un cliente DHCP o relé DHCP en una interfaz en la cual se habilita el servidor. Además, los clientes DHCP se deben conectar directamente con la interfaz en la cual se habilita el servidor.

Finalmente, mientras que el servidor DHCP se habilita en una interfaz, no puede cambiar la dirección IP de esa interfaz.

Nota: Básicamente, no hay opción de configuración para establecer una dirección de gateway predeterminado en la respuesta DHCP enviada desde el servidor DHCP (PIX/ASA). El servidor DHCP envía siempre su propia dirección como el gateway para el cliente DHCP. Sin embargo, la definición de una ruta predeterminada que señale al router de Internet permite que el usuario acceda a Internet.

Nota: El número de direcciones del conjunto DHCP que puedan ser asignadas depende de la licencia utilizada en el Dispositivo de Seguridad (PIX/ASA). Si utiliza la licencia Base/Security Plus, los límites se aplican al conjunto DHCP. Si el límite del Host es 10 hosts, limita al conjunto DHCP a 32 direcciones. Si el límite del Host es 50 hosts, limita el conjunto DHCP a 128 direcciones. Si el límite del Host es ilimitado, limita el conjunto DHCP a 256 direcciones. Así la agrupación de direcciones se limita en función del número de hosts.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

En este documento, se utilizan estas configuraciones:

Configuración del Servidor DHCP con el ASDM

Siga estos pasos para configurar el Dispositivo de Seguridad PIX o ASA como servidor DHCP con ASDM.

  1. Elija Configuration > Properties > DHCP Services > DHCP Server de la ventana Home. Seleccione una interfaz y haga clic en Edit para habilitar el servidor DHCP y para crear a conjunto de direcciones DHCP.

    El conjunto de direcciones debe estar en la misma subred que la interfaz del Dispositivo de Seguridad. En este ejemplo, el servidor DHCP se configura en la interfaz exterior del Dispositivo de Seguridad PIX.

    pix-asa-dhcp-svr-client-1.gif

  2. Verifique Enable servidor DHCP en la interfaz exterior para escuchar las solicitudes de los clientes DHCP. Proporcione el conjunto de direcciones que se ejecutará al cliente DHCP y haga clic la OK para volver a la ventana principal.

    pix-asa-dhcp-svr-client-2.gif

  3. Verifique Enable auto-configuration on the interface para que el servidor DHCP configure automáticamente el DNS, WINS y el Nombre de dominio predeterminado para el cliente DHCP. Haga clic en Apply para poner la configuración actual del Dispositivo de Seguridad.

    pix-asa-dhcp-svr-client-3.gif

Configuración del Cliente DHCP con ASDM

Siga estos pasos para configurar el Dispositivo de Seguridad PIX como Cliente DHCP cliente con ASDM.

  1. Elija Configuration > Interfaces y haga clic en Edit para habilitar la interfaz Ethernet0 y obtener los parámetros de configuración como la dirección IP con una máscara de subred, gateway predeterminado, servidor DNS y dirección IP de servidor WINS desde el servidor DHCP.

    /image/gif/paws/70391/pix-asa-dhcp-svr-client-4.gif

  2. Verifique Enable Interface e ingrese el Nombre de la Interfaz y el Nivel de Seguridad para la interfaz. Elija Obtain address via DHCP para la dirección IP y Obtain default route using DHCP para el gateway predeterminado y luego haga clic en OK para ir a la ventana Principal.

    pix-asa-dhcp-svr-client-5.gif

  3. Haga clic en Apply para ver la dirección IP obtenida para la Interfaz Ethernet0 desde el servidor DHCP.

    pix-asa-dhcp-svr-client-6.gif

Configuración del Servidor DHCP

Esta configuración es creada por el ASDM:

Servidor DHCP
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!

!--- Output is suppressed.



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Specifies a DHCP address pool and the interface for the client to connect.


dhcpd address 192.168.1.5-192.168.1.7 outside


!--- Specifies the IP address(es) of the DNS and WINS server 
!--- that the client uses.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1


!--- Specifies the lease length to be granted to the client.
!--- This lease equals the amount of time (in seconds) the client 
!--- can use its allocated IP address before the lease expires. 
!--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside


!--- Enables the DHCP daemon within the Security Appliance to listen for 
!--- DHCP client requests on the enabled interface.


dhcpd enable outside
dhcprelay timeout 60
!

!--- Output is suppressed.



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

Configuración de DHCP Client

Esta configuración es creada por el ASDM:

DHCP Client
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- Configures the Security Appliance interface as a DHCP client.
!--- The setroute keyword causes the Security Appliance to set the default 
!--- route using the default gateway the DHCP server returns. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- Output is suppressed.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- Output is suppressed.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

Verificación

Siga estos pasos para verificar las estadísticas del DHCP y la información obligatoria del servidor DHCP y el DHCP cliente con ASDM.

  1. Elija Monitoring > Interfaces > DHCP > DHCP Statistics del servidor DHCP para verificar las estadísticas DHCP, como DHCPDISCOVER, DHCPREQUEST, DHCPOFFER, y DHCPACK.

    Ingrese el comando show dhcpd statistics del CLI para ver las estadísticas DHCP.

    pix-asa-dhcp-svr-client-7.gif

  2. Elija Monitoring > Interfaces > DHCP > DHCP Client Lease Information del cliente DHCP para ver información sobre la conexión del DHCP.

    Ingrese el comando show dhcpd binding para ver información de conexión del DHCP desde el CLI.

    pix-asa-dhcp-svr-client-8.gif

  3. Elija Monitoring > Logging > Real-time Log Viewer para seleccionar el Nivel de Registro y el buffer limit para ver los mensajes Log en Tiempo Real.

    pix-asa-dhcp-svr-client-9.gif

  4. Vea los eventos en tiempo real del registro del cliente DHCP. La dirección IP se asigna a la interfaz exterior del cliente DHCP.

    /image/gif/paws/70391/pix-asa-dhcp-svr-client-10.gif

Troubleshooting

Comandos para resolución de problemas

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • debug dhcpd event: muestra información del evento asociada al servidor DHCP.

  • debug dhcpd packet: muestra información del paquete asociada al servidor DHCP.

Mensajes de error

CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside
Warning, DHCP pool range is limited to 256 addresses, set address range as:
10.1.1.10-10.3.1.150

Explicación: Los tamaños del conjunto de direcciones se limitan a 256 direcciones por conjunto en el dispositivo de seguridad. Esto no se puede cambiar y es una limitación del software. El total sólo puede llegar a 256. Si el rango del conjunto de direcciones es superior a 253 direcciones (por ejemplo 254, 255, 256), la máscara de red de la interfaz del dispositivo de seguridad no puede ser una dirección de clase C (por ejemplo, 255.255.255.0). Necesita ser algo más grande, por ejemplo, 255.255.254.0.

Consulte Guía de Configuración de la Línea de Comando de Cisco Security Appliance para obtener la información sobre cómo implementar la función del servidor DHCP en el dispositivo de seguridad.

FAQ: Asignación de Dirección

Pregunta - ¿Es posible asignar una dirección IP estática/permanente al equipo que utiliza el ASA como el servidor DHCP?

Respuesta - No es posible si se usa el PIX/ASA.

Pregunta - ¿Es posible unir direcciones DHCP a direcciones MAC específicas en el ASA?

Respuesta - No, no es posible.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 70391