Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

ASA DHCP пример конфигурации реле

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает реле DHCP на Адаптивном приборе безопасности (ASA) Cisco с помощью захватов пакета и отладок, и обеспечивает пример конфигурации.

Внесенный Сурэвом Кэккэром и Динкэром Шармой, Cisco инженеры TAC.

Предпосылки

Агент реле DHCP позволяет прибору безопасности отправлять запросы DHCP от клиентов к маршрутизатору или другому серверу DHCP, связанному с различным интерфейсом.

Эти ограничения применяются только к использованию агента реле DHCP:

  • Если опция сервера DHCP также активирована, агенту реле нельзя позволить.
  • Вы должны быть непосредственно связаны с прибором безопасности и не можете отправить запросы через другого агента реле или маршрутизатор.
  • Для многократного способа контекста вы не можете позволить реле DHCP или формировать сервер реле DHCP в интерфейсе, который используется больше чем одним контекстом.

Услуги реле DHCP не доступны в прозрачном способе брандмауэра. Прибор безопасности в прозрачном способе брандмауэра только позволяет движение Протокола резолюции адреса (ARP) через. Все другое движение требует Списка контроля доступа (ACL). Для разрешения запросов DHCP и ответы через прибор безопасности в прозрачном способе, необходимо формировать два ACLs:

  • Один ACL, который позволяет запросы DHCP от внутреннего интерфейса до внешней стороны
  • Один ACL, который позволяет ответы от сервера в другом направлении

Требования

Cisco рекомендует иметь основное понимание ASA CLI и Cisco IOS® CLI.

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • ASA 5500-x Последовательный Выпуск 9.x Прибора безопасности или позже
  • Серийные маршрутизаторы Cisco 1800

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Справочная информация

Протокол DHCP поставляет автоматические параметры конфигурации, такие как IP-адрес с маской подсети, воротами по умолчанию, адресом сервера DNS, и Беспроводной интегрированный сетевой датчик (WINS) адресует к хозяевам. Первоначально, у клиентов DHCP нет ни одного из этих параметров конфигурации. Для получения этой информации они отправляют запрос вещания для нее. Когда сервер DHCP видит этот запрос, сервер DHCP предоставляет необходимую информацию. Из-за природы этих запросов вещания, клиент-сервер DHCP должен быть на той же самой подсети. Слой 3 устройства, такие как маршрутизаторы и брандмауэры, как правило, не отправляет эти запросы вещания по умолчанию.

Попытка определить местонахождение клиентов DHCP и сервера DHCP на той же самой подсети не могла бы всегда быть удобной. В такой ситуации можно использовать реле DHCP. Когда агент реле DHCP на приборе безопасности получает запрос DHCP от хозяина во внутреннем интерфейсе, это вперед запрос к одному из указанных серверов DHCP во внешнем интерфейсе. Когда сервер DHCP отвечает клиенту, прибор безопасности вперед тот ответ назад. Таким образом агент реле DHCP действует как полномочие для клиента DHCP в его разговоре с сервером DHCP. 

Поток пакета

Когда агент реле DHCP не используется, это изображение иллюстрирует поток пакета DHCP:

ASA перехватывает эти пакеты и обертывает их в формат реле DHCP: 

Реле DHCP с захватами пакета на ASA внутри и снаружи интерфейса

Обратите внимание на содержание highligted в RED, потому что, именно так ASA изменяет различные области.

  1. Для старта процесса DHCP загрузите систему и пошлите широковещательное сообщение (DHCPDISCOVER) в адрес получателя 255.255.255.255 - порт UDP 67.



    Примечание: Если клиент VPN просит IP-адрес, IP-адресом агента реле является первый применимый IP-адрес, который определен командой dhcp-network-scope под политикой группы.



  2. Обычно, ASA пропустил бы передачу, но потому что это формируется для действия как реле DHCP, это вперед сообщение DHCPDISCOVER как unicast пакет к сорсингу IP сервера DHCP от интерфейса IP, который стоит перед сервером. В этом случае это - внешний интерфейсный IP-адрес. Заметьте изменение в заголовке IP и области агента реле:



    Примечание: из-за фиксации, включенной в ошибку ID CSCuo89924 Cisco, ASA в Версиях 9.1 (5.7), 9.3 (1), и позже, отправит unicast пакеты сорсингу IP sever DHCP от интерфейсного IP-адреса, который стоит перед клиентом (giaddr), где позволен dhcprelay. В этом случае это будет внутренний интерфейсный IP-адрес.



  3. Сервер передает сообщение DHCPOFFER обратно как unicast пакет к ASA, предназначенному агенту реле IP, настроенный в DHCPDISCOVER-UDP порт 67. В этом случае это - IP-адрес внутреннего интерфейса (giaddr), где позволен dhcprelay. Заметьте место назначения IP в слое 3 заголовка:



  4. ASA посылает этот пакет из внутреннего интерфейса - порт UDP 68. Заметьте изменение в заголовке IP, в то время как пакет оставляет внутренний интерфейс:



  5. Как только вы получаете сообщение DHCPOFFER, пошлите сообщение DHCPREQUEST, чтобы указать на принятие предложения.



  6. ASA передает DHCPREQUEST к серверу DHCP.



  7. Как только сервер получает DHCPREQUEST, он передает DHCPACK обратно для подтверждения предлагаемого IP.



  8. ASA передает DHCPACK от сервера DHCP до вас, и это заканчивает сделку.

Debugs и Syslogs для сделок реле DHCP

Это - запрос DHCP, отправленный интерфейсу сервера DHCP 198.51.100.2:

DHCPRA: relay binding created for client 0050.5684.396a.DHCPD: 
setting giaddr to 192.0.2.1.


dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: Adding rule to allow client to respond using offered address 192.0.2.4

После того, как ответ получен от сервера DHCP, прибор безопасности вперед это клиенту DHCP с Мак адресом 0050.5684.396a, и изменяет обращение ворот к своему собственному внутреннему интерфейсу.

DHCPRA: forwarding reply to client 0050.5684.396a.
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPD: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: exchange complete - relay binding deleted for client 0050.5684.396a.
DHCPD: returned relay binding 192.0.2.1/0050.5684.396a to address pool.
dhcpd_destroy_binding() removing NP rule for client 192.0.2.1
DHCPRA: forwarding reply to client 0050.5684.396a.

Та же самая сделка обнаруживается в syslogs также:

%ASA-7-609001: Built local-host inside:0.0.0.0
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 13 for inside:
 0.0.0.0/68 (0.0.0.0/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-609001: Built local-host identity:198.51.100.1
%ASA-7-609001: Built local-host outside:198.51.100.2
%ASA-6-302015: Built outbound UDP connection 14 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:198.51.100.1/67 (198.51.100.1/67)

%ASA-7-609001: Built local-host inside:192.0.2.4
%ASA-6-302020: Built outbound ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1
%ASA-7-609001: Built local-host identity:192.0.2.1
%ASA-6-302015: Built inbound UDP connection 16 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302015: Built outbound UDP connection 17 for inside:
 192.0.2.4/68 (192.0.2.4/68) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302021: Teardown ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1

Формировать

В этой секции вам дарят информацию, используемую для формирования особенностей, описанных в этом документе.

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевая диаграмма

Этот документ использует эту сетевую установку:

Конфигурации

Этот документ использует эти конфигурации:

  • Конфигурация реле DHCP с использованием CLI
  • Конфигурация финала реле DHCP
  • Конфигурация сервера DHCP

Конфигурация реле DHCP с использованием CLI

dhcprelay server 198.51.100.2 outside
dhcprelay enable inside
dhcprelay setroute inside
dhcprelay timeout 60

Конфигурация финала реле DHCP

show run
: Saved
:
ASA Version 9.1(5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 0
 ip address 192.0.2.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 100
 ip address 198.51.100.1 255.255.255.0
!
interface Ethernet0/2
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
boot system disk0:/asa825-k8.bin
ftp mode passive
no pager
logging enable
logging buffer-size 40960
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 0:30:00
timeout pat-xlate 0:00:30
timeout conn 3:00:00 half-closed 0:30:00 udp 0:15:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 0:30:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

dhcprelay server 198.51.100.2 Outside
dhcprelay enable inside
dhcprelay setroute inside


//Defining DHCP server IP and interface//
//Enables DHCP relay on inside/client facing interface//
//Sets ASA inside as DG for clients in DHCP reply packets//
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
 no active
 destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
 destination address email callhome@cisco.com
 destination transport-method http
 subscribe-to-alert-group diagnostic
 subscribe-to-alert-group environment
 subscribe-to-alert-group inventory periodic monthly
 subscribe-to-alert-group configuration periodic monthly
 subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7ae5f655ffe399c8a88b61cb13425972
: end

Конфигурация сервера DHCP

show run
Building configuration...

Current configuration : 1911 bytes
!
! Last configuration change at 18:36:05 UTC Tue May 28 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 4096
!
no aaa new-model
!
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip source-route
!
ip dhcp excluded-address 192.0.2.1 192.0.2.2
ip dhcp excluded-address 192.0.2.10 192.0.2.254

//IP addresses exluded from DHCP scope//
!
ip dhcp pool pool1
 import all  network 192.0.2.0 255.255.255.0
dns-server 192.0.2.10 192.0.2.11
 domain-name cisco.com

//DHCP pool configuration and various parameters//
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1811W-AG-A/K9 sn FCTxxxx
!
!
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Dot11Radio1
 no ip address
 shutdown
 speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
 station-role root
!
interface FastEthernet0
 ip address 198.51.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 no ip address
!
interface FastEthernet9
 no ip address
!
interface Vlan1
 no ip address
!
interface Async1
 no ip address
 encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 192.0.2.0 255.255.255.0 198.51.100.1

//Static route to ensure replies are routed to relay agent IP//
!
!
!
control-plane
!
!
line con 0
line 1
 modem InOut
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 login
 transport input all
!
end

Реле DHCP с многократными серверами DHCP

Можно определить до десяти серверов DHCP. Когда клиент посылает DHCP, Обнаруживают пакет, это отправлено всем серверам DHCP.

Вот пример:

dhcprelay server 198.51.100.2 outside
dhcprelay server 198.51.100.3 outside
dhcprelay server 198.51.100.4 outside
dhcprelay enable inside
dhcprelay setroute inside

Отладки с многократными серверами DHCP

Вот некоторые отладки в качестве примера, когда многократный, серверы DHCP используются:

DHCP: Received a BOOTREQUEST from interface 2 (size = 300)
DHCPRA: relay binding found for client 000c.291c.34b5.
DHCPRA: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.2.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.3.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.4.

Захваты с многократными серверами DHCP

Вот захват пакета в качестве примера, когда многократный, серверы DHCP используются:

ASA# show cap out

3 packets captured

1: 18:48:41.211628 192.0.2.1.67 > 198.51.100.2.67: udp 300
2: 18:48:41.211689 192.0.2.1.67 > 198.51.100.3.67: udp 300
3: 18:48:41.211704 192.0.2.1.67 > 198.51.100.4.67: udp 300

Проверить

Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.

Для просмотра статистической информации об услугах реле DHCP войдите в шоу dhcprelay команда статистики на ASA CLI:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1
DHCP Other UDP Errors: 0

Packets Relayed
BOOTREQUEST         0
DHCPDISCOVER        1
DHCPREQUEST         1
DHCPDECLINE         0
DHCPRELEASE         0
DHCPINFORM          0

BOOTREPLY           0
DHCPOFFER           1
DHCPACK             1
DHCPNAK             0


Эта продукция предоставляет информацию о нескольких типах сообщения DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

  • покажите государство dhcprelay на ASA CLI
  • покажите IP dhcp статистика сервера по маршрутизатору CLI

Примечание: переводчик Продукции Тул (только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.

Расследовать

Эта секция предоставляет информацию, которую можно использовать для поиска неисправностей конфигурации.

Router#show ip dhcp server statistics
Memory usage        56637
Address pools       1
Database agents     0
Automatic bindings  1
Manual bindings     0
Expired bindings    0
Malformed messages  0
Secure arp entries  0

Message             Received
BOOTREQUEST         0
DHCPDISCOVER        1
DHCPREQUEST         1
DHCPDECLINE         0
DHCPRELEASE         0
DHCPINFORM          0

Message             Sent
BOOTREPLY           0
DHCPOFFER           1
DHCPACK             1
DHCPNAK             0

ASA# show dhcprelay state
Context Configured as DHCP Relay
Interface inside, Configured for DHCP RELAY SERVER
Interface outside, Configured for DHCP RELAY

Примечание: переводчик Продукции Тул (только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.

Можно также использовать эти команды отладки:

  • отладьте dhcprelay пакет
  • отладьте dhcprelay событие
  • Захваты
  • Syslogs

Примечание: Обратитесь к Важной информации о Командах Отладки перед использованием команд отладки.

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116265