Seguridad : Software Cisco Adaptive Security Appliance (ASA)

Ejemplo de configuración del relé DHCP ASA

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe el relé DHCP en el dispositivo de seguridad adaptante de Cisco (ASA) con la ayuda de las capturas de paquetes y de los debugs, y proporciona un ejemplo de configuración.

Contribuido por Sourav Kakkar y Dinkar Sharma, ingenieros de Cisco TAC.

Prerrequisitos

Un agente de relé DHCP permite que el dispositivo de seguridad remita los pedidos de DHCP de los clientes al router o al otro servidor DHCP conectado con una diversa interfaz.

Estas restricciones se aplican solamente al uso del agente de relé DHCP:

  • El Agente Relay no puede ser habilitado si la característica del servidor DHCP también se habilita.
  • Usted debe ser conectado directamente con el dispositivo de seguridad y no puede enviar las peticiones a través de otro Agente Relay o de un router.
  • Para el modo de contexto múltiple, usted no puede habilitar el relé DHCP, o configure un servidor del relé DHCP en una interfaz que sea utilizada por más de un contexto.

Los servicios del relé DHCP no están disponibles en el modo firewall transparente. Un dispositivo de seguridad en el modo firewall transparente permite solamente el tráfico del Address Resolution Protocol (ARP) a través. El resto del tráfico requiere una lista de control de acceso (ACL). Para permitir los pedidos de DHCP y las contestaciones a través del dispositivo de seguridad en el modo transparente, usted debe configurar dos ACL:

  • Un ACL que permite los pedidos de DHCP de la interfaz interior al exterior
  • Un ACL que permite las contestaciones del servidor en la otra dirección

Requisitos

Cisco recomienda que usted tiene una comprensión básica de ASA CLI y del ® CLI del Cisco IOS.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El protocolo DHCP suministra los parámetros de la configuración automática, tales como una dirección IP una máscara de subred, un default gateway, un DNS Server Address, y un direccionamiento inalámbrico del sensor de la red integrada (TRIUNFOS) a los hosts. Inicialmente, los DHCP cliente no tienen ningunos de estos parámetros de la configuración. Para obtener esta información, envían un pedido de broadcast para él. Cuando un servidor DHCP ve esta solicitud, el servidor DHCP suministra la información necesaria. Debido a la naturaleza de estos pedidos de broadcast, al Cliente de DHCP y al servidor debe estar en la misma subred. Acode 3 dispositivos tales como Routers y los Firewall no remiten típicamente estos pedidos de broadcast por abandono.

Una tentativa de localizar los DHCP cliente y un servidor DHCP en la misma subred no pudo siempre ser conveniente. En una situación semejante, usted puede utilizar el relé DHCP. Cuando el agente de relé DHCP en el dispositivo de seguridad recibe un pedido de DHCP de un host en una interfaz interior, él adelante la solicitud a uno de los servidores DHCP especificados en una interfaz exterior. Cuando el servidor DHCP contesta al cliente, el dispositivo de seguridad adelante que contesta detrás. Así, el agente de relé DHCP actúa como proxy para el Cliente de DHCP en su conversación con el servidor DHCP. 

Flujo de paquetes

Esta imagen ilustra el flujo del paquete DHCP cuando no utilizan a un agente de relé DHCP:

El ASA intercepta estos paquetes y los envuelve en el formato del relé DHCP: 

Relé DHCP con las capturas de paquetes en las interfaces interiores y exteriores ASA

Anote el contenido highligted en el ROJO, porque ése es cómo el ASA modifica los diversos campos.

  1. Para comenzar el proceso DHCP, inicie el sistema y envíe un mensaje de broadcast (DHCPDISCOVER) a la dirección destino 255.255.255.255 - el puerto 67 UDP.



    Nota: Si un cliente VPN pide una dirección IP, la dirección IP del Agente Relay es la primera dirección IP usable que es definida por el comando del DHCP-red-alcance, bajo grupo-directiva.



  2. Normalmente, el ASA caería el broadcast, pero porque se configura para actuar como relé DHCP, lo adelante el mensaje DHCPDISCOVER como paquete de unidifusión a la compra de componentes IP del servidor DHCP del IP de la interfaz que hace frente al servidor. En este caso, es la dirección IP de la interfaz exterior. Note el cambio en el encabezado IP y el campo del Agente Relay:



    Nota: Debido al arreglo incorporado en el Id. de bug Cisco CSCuo89924, el ASA en las versiones 9.1(5.7), 9.3(1), y posterior remitirá los paquetes de unidifusión a la compra de componentes IP de los sever del DHCP de la dirección IP de la interfaz que hace frente al cliente (giaddr) donde se habilita el dhcprelay. En este caso, será la dirección IP de la interfaz interior.



  3. El servidor devuelve un mensaje dhcpoffer como paquete de unidifusión al ASA, destinado al IP del Agente Relay configurado en el puerto 67 DHCPDISCOVER- UDP. En este caso, está la dirección IP de la interfaz interior (giaddr), donde dhcprelay se habilita. Note el IP de destino en la encabezado de la capa 3:



  4. El ASA envía esta interfaz interior de los del paquete - Puerto 68 UDP. Note el cambio en el encabezado IP mientras que el paquete sale de la interfaz interior:



  5. Una vez que usted recibe el mensaje dhcpoffer, envíe un mensaje dhcprequest para indicar que usted valida la oferta.



  6. El ASA pasa el DHCPREQUEST al servidor DHCP.



  7. Una vez que el servidor consigue el DHCPREQUEST, devuelve el DHCPACK para confirmar el IP ofrecido.



  8. El ASA le pasa el DHCPACK del servidor DHCP, y ése completa la transacción.

Debugs y Syslog para las transacciones del relé DHCP

Esto es un pedido de DHCP remitido a la interfaz 198.51.100.2 del servidor DHCP:

DHCPRA: relay binding created for client 0050.5684.396a.DHCPD: 
setting giaddr to 192.0.2.1.


dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: Adding rule to allow client to respond using offered address 192.0.2.4

Después de que la contestación se reciba del servidor DHCP, el dispositivo de seguridad adelante al Cliente de DHCP con la dirección MAC 0050.5684.396a, y cambia a la dirección del gateway a su propia interfaz interior.

DHCPRA: forwarding reply to client 0050.5684.396a.
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPD: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: exchange complete - relay binding deleted for client 0050.5684.396a.
DHCPD: returned relay binding 192.0.2.1/0050.5684.396a to address pool.
dhcpd_destroy_binding() removing NP rule for client 192.0.2.1
DHCPRA: forwarding reply to client 0050.5684.396a.

La misma transacción aparece en los Syslog también:

%ASA-7-609001: Built local-host inside:0.0.0.0
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 13 for inside:
 0.0.0.0/68 (0.0.0.0/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-609001: Built local-host identity:198.51.100.1
%ASA-7-609001: Built local-host outside:198.51.100.2
%ASA-6-302015: Built outbound UDP connection 14 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:198.51.100.1/67 (198.51.100.1/67)

%ASA-7-609001: Built local-host inside:192.0.2.4
%ASA-6-302020: Built outbound ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1
%ASA-7-609001: Built local-host identity:192.0.2.1
%ASA-6-302015: Built inbound UDP connection 16 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302015: Built outbound UDP connection 17 for inside:
 192.0.2.4/68 (192.0.2.4/68) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302021: Teardown ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1

Configurar

En esta sección, le presentan con la información usada para configurar las características descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración del relé DHCP con el uso del CLI

dhcprelay server 198.51.100.2 outside
dhcprelay enable inside
dhcprelay setroute inside
dhcprelay timeout 60

Configuración final del relé DHCP

show run
: Saved
:
ASA Version 9.1(5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 0
 ip address 192.0.2.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 100
 ip address 198.51.100.1 255.255.255.0
!
interface Ethernet0/2
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
boot system disk0:/asa825-k8.bin
ftp mode passive
no pager
logging enable
logging buffer-size 40960
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 0:30:00
timeout pat-xlate 0:00:30
timeout conn 3:00:00 half-closed 0:30:00 udp 0:15:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 0:30:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

dhcprelay server 198.51.100.2 Outside
dhcprelay enable inside
dhcprelay setroute inside


//Defining DHCP server IP and interface//
//Enables DHCP relay on inside/client facing interface//
//Sets ASA inside as DG for clients in DHCP reply packets//
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7ae5f655ffe399c8a88b61cb13425972
: end

Configuración del Servidor DHCP

show run
Building configuration...

Current configuration : 1911 bytes
!
! Last configuration change at 18:36:05 UTC Tue May 28 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 4096
!
no aaa new-model
!
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip source-route
!
ip dhcp excluded-address 192.0.2.1 192.0.2.2
ip dhcp excluded-address 192.0.2.10 192.0.2.254

//IP addresses exluded from DHCP scope//
!
ip dhcp pool pool1
 import all  network 192.0.2.0 255.255.255.0
dns-server 192.0.2.10 192.0.2.11
 domain-name cisco.com

//DHCP pool configuration and various parameters//
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1811W-AG-A/K9 sn FCTxxxx
!
!
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Dot11Radio1
 no ip address
 shutdown
 speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
 station-role root
!
interface FastEthernet0
 ip address 198.51.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 no ip address
!
interface FastEthernet9
 no ip address
!
interface Vlan1
 no ip address
!
interface Async1
 no ip address
 encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 192.0.2.0 255.255.255.0 198.51.100.1

//Static route to ensure replies are routed to relay agent IP//
!
!
!
control-plane
!
!
line con 0
line 1
 modem InOut
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 login
 transport input all
!
end

Relé DHCP con los servidores DHCP múltiples

Usted puede definir hasta diez servidores DHCP. Cuando un cliente envía un DHCP descubra el paquete, él se remite a todos los servidores DHCP.

Aquí tiene un ejemplo:

dhcprelay server 198.51.100.2 outside
dhcprelay server 198.51.100.3 outside
dhcprelay server 198.51.100.4 outside
dhcprelay enable inside
dhcprelay setroute inside

Debugs con los servidores DHCP múltiples

Aquí están algunos debugs del ejemplo cuando se utilizan los servidores DHCP múltiples:

DHCP: Received a BOOTREQUEST from interface 2 (size = 300)
DHCPRA: relay binding found for client 000c.291c.34b5.
DHCPRA: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.2.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.3.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.4.

Capturas con los servidores DHCP múltiples

Aquí está una captura de paquetes del ejemplo cuando se utilizan los servidores DHCP múltiples:

ASA# show cap out

3 packets captured

1: 18:48:41.211628 192.0.2.1.67 > 198.51.100.2.67: udp 300
2: 18:48:41.211689 192.0.2.1.67 > 198.51.100.3.67: udp 300
3: 18:48:41.211704 192.0.2.1.67 > 198.51.100.4.67: udp 300

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para ver la información estadística sobre los servicios del relé DHCP, ingrese el comando statistics dhcprelay de la demostración en el ASA CLI:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1
DHCP Other UDP Errors: 0

Packets Relayed
BOOTREQUEST          0
DHCPDISCOVER         1
DHCPREQUEST          1
DHCPDECLINE          0
DHCPRELEASE          0
DHCPINFORM           0

BOOTREPLY            0
DHCPOFFER            1
DHCPACK              1
DHCPNAK              0


Esta salida proporciona la información sobre varios tipos de mensaje DHCP, tales como DHCPDISCOVER, PEDIDO DE DHCP, DHCP OFER, VERSIÓN del DHCP, y DHCP ACK.

  • muestre el estado dhcprelay en ASA CLI
  • muestre las estadísticas del ip dhcp server sobre el router CLI

Nota: La herramienta del Output Interpreter (clientes registrados solamente) soporta los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Router#show ip dhcp server statistics
Memory usage         56637
Address pools        1
Database agents      0
Automatic bindings   1
Manual bindings      0
Expired bindings     0
Malformed messages   0
Secure arp entries   0

Message              Received
BOOTREQUEST          0
DHCPDISCOVER         1
DHCPREQUEST          1
DHCPDECLINE          0
DHCPRELEASE          0
DHCPINFORM           0

Message              Sent
BOOTREPLY            0
DHCPOFFER            1
DHCPACK              1
DHCPNAK              0

ASA# show dhcprelay state
Context  Configured as DHCP Relay
Interface inside, Configured for DHCP RELAY SERVER
Interface outside, Configured for DHCP RELAY

Nota: La herramienta del Output Interpreter (clientes registrados solamente) soporta los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Usted puede también utilizar estos comandos debug:

  • paquete dhcprelay del debug
  • evento dhcprelay del debug
  • Capturas
  • Registros del sistema

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116265