المقدمة
يوضح هذا المستند كيفية تمكين الخيارات على خادم DHCP باستخدام FTD الذي تتم إدارته بواسطة FMC.
المتطلبات الأساسية
المتطلبات
- معرفة تقنية FirePOWER
- معرفة ترحيل خادم بروتوكول التحكم في المضيف الديناميكي (DHCP)/ DHCP.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يمكن لجهاز الدفاع عن التهديد إرسال المعلومات باستخدام خيارات DHCP كما هو محدد في RFC 2132، و RFC 2562، و RFC 5510.
يدعم جميع خيارات DHCP المرقمة من 1 إلى 255، باستثناء الخيارات 1 و 12 و 50-54 و 58-59 و 61 و 67 و 82.
يحدد RFC 2132 خيارين من DHCP ذوي صلة بالتكوينات الخاصة بالمورد: الخيار 60 والخيار 43.
يقدم المستند نموذجا لتكوينات ويوضح كيفية عمل الخيار DHCP رقم 43(معلومات خاصة بالمورد) على Windows Server 2019، مع عمل بروتوكول FTD كوكيل ترحيل DHCP.
يمكن الخيار 43 خوادم DHCP من نقل المعلومات الخاصة بالمورد إلى العملاء، مما يسهل الأجهزة مثل نقاط الوصول في تحديد موقع وحدات التحكم الخاصة بها والاتصال بها، حتى عندما تكون على شبكات VLAN أو الشبكات الفرعية المختلفة.
التكوين
الرسم التخطيطي للشبكة
network_diagram
تكوين ترحيل DHCP
تعمل واجهة FTD كعميل ترحيل DHCP، مما يسهل الاتصال بين العميل وخادم DHCP الخارجي.
هو يستمع لطلبات العميل ويلحق بيانات التكوين الأساسية، مثل معلومات إرتباط العميل، التي يحتاج إليها خادم DHCP لتخصيص عنوان للعميل.
عند تلقي إستجابة من خادم DHCP، تقوم الواجهة بإعادة توجيه حزمة الرد مرة أخرى إلى عميل DHCP.
يتضمن تكوين ترحيل DHCP خطوتين أساسيتين:
1. قم بإعداد وكيل ترحيل DHCP.
2. قم بإعداد خادم DHCP الخارجي.
تكوين وكيل ترحيل DHCP
لتكوين ترحيل DHCP، تحقق مما يلي من الخطوات:
1. انتقل إلى الأجهزة > إدارة الأجهزة.
2. انقر فوق الزر "تحرير" الخاص بجهاز FTD.
3. انتقل إلى خيار ترحيل DHCP > DHCP.
4. انقر فوق إضافة.
الواجهة: حدد الواجهة المناسبة من القائمة المنسدلة. هذا حيث تستمع الواجهة إلى طلبات العميل، ويمكن لعملاء DHCP الاتصال مباشرة بهذه الواجهة لطلبات عناوين IP.
تمكين ترحيل DHCP: حدد هذا المربع لتنشيط خدمة ترحيل DHCP.
dhcp_relay_agent_config
5.انقر فوق موافق لحفظ إعدادات التكوين لعامل ترحيل DHCP.
تكوين خادم DHCP الخارجي
لتكوين عنوان IP الخاص بخادم DHCP الخارجي الذي تتم إعادة توجيه طلبات العميل إليه، تحقق من الخطوات التالية:
انتقل إلى قسم خادم DHCP وانقر على إضافة"
1.في حقل الخادم، أدخل عنوان IP الخاص بخادم DHCP. يمكنك إما إختيار كائن شبكة موجود من القائمة المنسدلة أو إنشاء كائن جديد عن طريق النقر فوق أيقونة زائد (+).
2.في حقل الواجهة، حدد الواجهة التي تتصل بخادم DHCP.
3.لحفظ التكوين، انقر فوق موافق. ثم انقر على حفظ لتخزين إعدادات النظام الأساسي.
dhcp_server_config
4.بعد ذلك، انتقل إلى خيار النشر، وحدد جهاز FTD حيث ترغب في تطبيق التغييرات، وانقر فوق نشر لبدء نشر إعدادات النظام الأساسي.
مكنت خيار 43 على خارجي DHCP نادل
ملاحظة: وفقا لمعيار RFC 2132، يكون الحد الأدنى لطول الخيار 43 هو 1.
انتقل إلى إعدادات خادم DHCP وانتقل إلى IPv4، ثم حدد النطاق وخيارات النطاق >المزيد من الإجراءات >خيارات التكوين وتمكين الخيار 43
enable_option_43_on _external_dhcp_server
في البداية، يترك الإعداد الافتراضي القيمة فارغة، مما يؤدي FTD إلى إسقاط الحزمة وتصنيفها كمشكلة بشكل غير صحيح.
default_config_of_option_43
من جانب الخادم باستخدام Wireshark، نلاحظ أن في حزمة OFFER، لا توجد قيمة للخيار 43 عندما يكون الطول 0.
non_working_server_side_pcap
يتم إسقاط الحزم من قبل Cisco Firepower Threat Defense (FTD) لأنها تحتوي على طول 0 وتعتبر مشوهة، مما يخالف RFC 2132.
firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPD/RA: Binding successfully added to hash table
DHCPRA: relay binding created for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: option 43 is malformed.
DHCPD/RA: Unable to load workspace.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
لضبط القيمة الثنائية لتكون أكبر من 0 وفقا ل RFC 2132، انقر نقرا مزدوجا على حقل معلومات مورد 043 المحددة وحدد القيمة على 00، كما هو موضح في الصورة.
يضمن هذا التغيير بنجاح تأجير عنوان IP إلى العميل.
تم تغيير_binary_value_to_1
عملية DORA في جانب الخادم عندما يتم تعيين القيمة على 1 في الخيار 43
server_side_working_pcap
عملية DORA الخاصة بجانب العميل عندما يتم تعيين القيمة على 1 في الخيار 43 ويمكننا أن نرى أن العميل يؤجر مع IP.
client_side_working_pcap
firepower# debug dhcprelay packet
debug dhcprelay packet enabled at level 1
ftd# DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 302)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: setting giaddr to 192.168.7.2.
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on Lan_network interface
DHCP: Received a BOOTREQUEST from interface 3 (size = 328)
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: Server requested by client 192.168.2.6
DHCPRA: setting giaddr to 192.168.7.2.
DHCPRA: Server request counter 1
dhcpd_forward_request: request from 0050.56a0.2c59 forwarded to 192.168.2.6.
DHCPD/RA: Relay msg received, fip=ANY, fport=0 on dhcp_server interface
DHCP: Received a BOOTREPLY from relay interface 2 (size = 300, xid = 0x81f5dddc) at 06:55:25 UTC Tue Mar 18 2025
DHCPRA: relay binding found for client 0050.56a0.2c59.
DHCPRA: exchange complete - relay binding deleted for client 0050.56a0.2c59.
DHCPD/RA: Binding successfully deactivated
dhcpd_destroy_binding() removing NP rule for client 192.168.7.2
DHCPD/RA: free ddns info and binding
DHCPD/RA: creating ARP entry (192.168.7.10, 0050.56a0.2c59).
DHCPRA: forwarding reply to client 0050.56a0.2c59.
DHCPRA: Client Ip Address :192.168.7.10
DHCPRA: subnet mask in dhcp options :255.255.255.0
التحقق من الصحة
قبل إعداد خادم DHCP أو الترحيل، تأكد من تسجيل FTD مع FMC. وبالإضافة إلى ذلك، تحقق من وجود اتصال بخادم DHCP في تكوين ترحيل DHCP.
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
><Press Enter>
firepower# ping
للتحقق من تكوين وكيل ترحيل DHCP من واجهة سطر الأوامر (CLI) الخاصة ب FTD.
firepower# show running-config dhcprelay
dhcprelay server 192.168.2.6 dhcp_server
dhcprelay enable Lan_network
dhcprelay timeout 60
dhcprelay information trust-all
استكشاف الأخطاء وإصلاحها
لاستكشاف المشكلة وإصلاحها، ضع في الاعتبار النقاط التالية:
1.تحقق من التوجيه بين خادم FTD و DHCP لضمان إمكانية الوصول إليه من خادم DHCP.
2.تأكد من أن خادم DHCP لديه مسار للوصول إلى واجهة وكيل ترحيل DHCP.
3.لاستكشاف أخطاء العميل التي لا تتلقى عنوان IP وإصلاحها، يمكنك إجراء التقاط حزمة على واجهة FTD الموجهة.
هذا سيسمح أنت أن يفحص ال DORA عملية من ال DHCP نادل ضمن الربط التقاط.
يمكنك إستخدام التقاط الدفاع عن تهديد FirePOWER و Packet Tracer لإدارة التقاط الحزمة بفعالية.
لإيقاف جلسة عمل التقاط حزمة معينة قد بدأتها مسبقا وحذفها، قم بتنفيذ الأمر أدناه.
لا يوجد التقاط <capture_name>
4. لمراجعة الحالة وتجميع تصحيح أخطاء DHCPprelay، قم بتنفيذ الأوامر التالية
للقيام بذلك، يمكنك تسجيل الدخول إلى واجهة سطر الأوامر (CLI) ببرنامج FTD .
system support diagnostic-cli
enable
اضغط على المفتاح Enter.
show dhcprelay statistic
show dhcprelay state
للتحقق من تمكين تصحيح الأخطاء بالفعل، قم بتنفيذ الأمر أدناه.
show debug
To capture debug excute below commands
debug dhcprelay packet
debug dhcprelay event
To disable debug
undebug all
معلومات ذات صلة
تكوين خادم DHCP وترحيله على FTD باستخدام FMC
DHCP و DDNS
الدعم التقني والمستندات - Cisco Systems