Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации PIX/ASA в качестве сервера и клиента DHCP

29 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (13 октября 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Соответствующие продукты
     Условные обозначения
Конфигурация
     Конфигурация сервера DHCP с помощью ASDM
     Конфигурация клиента DHCP с помощью ASDM
     Конфигурация сервера DHCP
     Конфигурация клиента DHCP
Проверка
Поиск и устранение неполадок
     Команды для поиска и устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Устройство обеспечения безопасности PIX серии 500 и адаптивное устройство обеспечения безопасности Cisco (ASA) поддерживают работу серверов и клиентов протокола динамической конфигурации хоста (DHCP). DHCP – это протокол, который предоставляет параметры автоматической конфигурации, например IP-адрес с маской подсети, шлюз по умолчанию, сервер DNS и IP-адрес сервера WINS для хостов.

Устройство обеспечения безопасности может служить сервером или клиентом DHCP. В качестве сервера устройство обеспечения безопасности предоставляет параметры конфигурации сети непосредственно для клиентов DHCP. В качестве клиента DHCP устройство обеспечения безопасности запрашивает данные параметры конфигурации у сервера DHCP.

В данном документе описана конфигурация сервера и клиента DHCP с помощью диспетчера адаптивных устройств обеспечения безопасности Cisco (ASDM) на устройстве обеспечения безопасности.

Предварительные условия

Требования

В данном документе предполагается, что устройство обеспечения безопасности PIX или ASA находится в рабочем состоянии и настроено, чтобы разрешить Cisco ASDM выполнить изменения конфигурации.

Примечание. Чтобы позволить ASDM настроить устройство, см. раздел Разрешение доступа HTTPS для ASDM.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство обеспечения безопасности PIX серии 500 версии 7.x

    Примечание. Конфигурация PIX CLI, которая используется в версии 7.x, также применяется к PIX 6.x. Разница состоит в том, что в версии более ранней, чем PIX 6.3, сервер DHCP можно было включать только на внутреннем интерфейсе. В PIX 6.3 и более поздних версиях сервер DHCP можно включать на любых доступных интерфейсах. В следующей конфигурации внешний интерфейс используется для функции сервера DHCP.

  • ASDM 5.x

    Примечание. ASDM поддерживает только PIX 7.0 и более поздние версии. Диспетчер устройств PIX (PDM) доступен для конфигурации PIX версии 6.x . Дополнительные сведения см. в разделе Совместимость аппаратного и программного обеспечения Cisco ASA серии 5500 и устройства обеспечения безопасности PIX серии 500.

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Соответствующие продукты

Данную конфигурацию также можно использовать с Cisco ASA 7.x.

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Настройка

В следующей конфигурации существует два устройства обеспечения безопасности PIX с версией 7.x. Одно устройство функционирует в качестве сервера DHCP и предоставляет параметры конфигурации другому устройству обеспечения безопасности PIX 7.x, которое функционирует в качестве клиента DHCP. В качестве сервера DHCP PIX назначает IP-адреса клиентам DHCP в пуле назначенных IP-адресов.

Можно настраивать сервер DHCP на каждом интерфейсе устройства обеспечения безопасности. В каждом интерфейсе есть собственный пул адресов для извлечения. Однако другие параметры DHCP, например серверы DNS, имя домена, параметры, время ожидания ICMP-эхо и серверы WINS, настроены глобально и используются сервером DHCP на всех интерфейсах.

Невозможно настроить клиента DHCP или службы ретрансляции DHCP на интерфейсе, на котором подключен сервер. Кроме того, клиенты DHCP должны быть напрямую подключены к интерфейсу, на котором включен сервер.

Наконец, пока сервер подключен на интерфейсе DHCP, невозможно изменить IP-адрес данного интерфейса.

Примечание. Для получения дополнительных сведений о командах, используемых в данном разделе, см. Средство поиска команд (только для зарегистрированных клиентов).

В данном документе используются следующие конфигурации:

Конфигурация сервера DHCP с помощью ASDM

Чтобы настроить устройство обеспечения безопасности PIX или ASA в качестве сервера DHCP с помощью ASDM, выполните следующие действия.

  1. В окне Home выберите Configuration > Properties > DHCP Services > DHCP Server. Выберите интерфейс и нажмите Edit, чтобы включить сервер DHCP и создать пул адресов DHCP.

    Пул адресов должен находиться в одной подсети с интерфейсом устройства обеспечения безопасности. В следующем примере сервер DHCP настроен на внешнем интерфейсе устройства обеспечения безопасности PIX.

    pix-asa-dhcp-svr-client-1.gif

  2. Проверьте, поставлен ли флажок Enable DHCP server на внешнем интерфейсе, чтобы сервер получал запросы клиентов DHCP. Предоставьте пул адресов, который необходимо отправить клиенту DHCP и нажмите OK, чтобы вернуться к главному окну.

    pix-asa-dhcp-svr-client-2.gif

  3. Проверьте, поставлен ли флажок Enable auto-configuration, чтобы сервер DHCP автоматически настраивал DNS, WINS и имя домена по умолчанию для клиента DHCP. Нажмите Apply, чтобы обновить текущую конфигурацию устройства обеспечения безопасности.

    pix-asa-dhcp-svr-client-3.gif

Конфигурация клиента DHCP с помощью ASDM

Чтобы настроить устройство обеспечения безопасности PIX в качестве клиента DHCP с помощью ASDM, выполните следующие действия.

  1. Выберите Configuration > Interfaces и нажмите Edit, чтобы включить интерфейс Ethernet для получения параметров конфигурации, например IP-адрес с маской подсети, шлюз по умолчанию, сервер DNS и IP-адрес сервера WINS, с сервера DHCP.

    pix-asa-dhcp-svr-client-4.gif

  2. Выберите Enable Interface и введите имя интерфейса и уровень безопасности для интерфейса. Выберите Obtain address via DHCP для IP-адреса и Obtain default route using DHCP для шлюза по умолчанию, а потом нажмите OK, чтобы перейти к главному окну.

    pix-asa-dhcp-svr-client-5.gif

  3. Нажмите Apply, чтобы просмотреть полученный с сервера DHCP IP-адрес для интерфейса.

    pix-asa-dhcp-svr-client-6.gif

Конфигурация сервера DHCP

Следующая конфигурация создана с помощью ASDM.

Сервер DHCP

pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!
!--- Выходные данные команды подавляются.



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0

!--- Указывает пул адресов DHCP и интерфейс для подключения клиента.


dhcpd address 192.168.1.5-192.168.1.7 outside

!--- Указывает IP-адрес(а) серверов DNS и WINS, 
!--- которые использует клиент.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1

!--- Указывает продолжительность лицензии, предоставляемой клиенту.
!--- Эта лицензия представляет собой промежуток времени (в секундах), в течение которого клиент 
!--- может использовать выделенный ему IP-адрес. 
!--- Введите значение в диапазоне от 0 до 1 048 575. По умолчанию это значение составляет 3600 секунд.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside

!--- Активирует демон DHCP в устройстве обеспечения безопасности для прослушивания 
!--- запросов DHCP-клиента на активном интерфейсе.


dhcpd enable outside
dhcprelay timeout 60
!
!--- Выходные данные команды подавляются.



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

Конфигурация клиента DHCP

Следующая конфигурация создана с помощью ASDM.

Клиент DHCP

pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0

!--- Конфигурирует интерфейс устройства обеспечения безопасности в качестве DHCP-клиента.
!--- Ключевое слово setroute позволяет установить для устройства обеспечения безопасности 
!--- маршрут по умолчанию с помощью шлюза по умолчанию, информацию о котором возвращает сервер DHCP. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0

!--- Выходные данные команды подавляются.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside

!--- Выходные данные команды подавляются.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

Проверка

Чтобы проверить статистику DHCP и информацию связывания в сервере и клиенте DHCP, выполните следующие действия.

  1. Выберите Monitoring > Interfaces > DHCP > DHCP Statistics в сервере DHCP, чтобы проверить статистику DHCP, например DHCPDISCOVER, DHCPREQUEST, DHCPOFFER и DHCPACK.

    Введите команду show dhcpd statistics в CLI, чтобы просмотреть статистику DHCP.

    pix-asa-dhcp-svr-client-7.gif

  2. Выберите Monitoring > Interfaces > DHCP > DHCP Client Lease Information в клиенте DHCP, чтобы просмотреть информацию связывания DHCP.

    Введите команду show dhcpd binding, чтобы просмотреть информацию связывания DHCP в CLI.

    pix-asa-dhcp-svr-client-8.gif

  3. Выберите Monitoring > Logging > Real-time Log Viewer, чтобы выбрать уровень регистрации, и ограничение буфера, чтобы просмотреть сообщения журнала реального времени.

    pix-asa-dhcp-svr-client-9.gif

  4. Просмотрите события журнала реального времени в клиенте DHCP. Данный IP-адрес выделен для внешнего интерфейса клиента DHCP.

    pix-asa-dhcp-svr-client-10.gif

Устранение неполадок

Команды устранения неполадок

Используйте данный раздел для подтверждения правильности конфигурации.

Средство Интерпретатор выходных данных (только для зарегистрированных пользователей) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

Примечание. Перед использованием команд debug ознакомьтесь со статьей Важные сведения о командах debug.

  • debug dhcpd event – отображает сведения о событиях, связанных с сервером DHCP.

  • debug dhcpd packet – отображает сведения о пакетах, связанных с сервером DHCP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70391