DHCP-client voor server met ZBF-routerconfiguratie

Downloadopties

PDF (156.8 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (85.9 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (70.7 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:4 september 2014

Document-id:116117

Over de vertaling

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Functieinformatie

Gegevensanalyse

Zone-gebaseerde firewall als DHCP-client met pass actie voor UDP-verkeer

Configureren

Verifiëren

Zone-gebaseerde firewall met Pass Action voor DHCP-verkeer

Configureren

Verifiëren

Scenario voor onjuiste configuraties

router als DHCP-server

Problemen oplossen

Inleiding

Dit document beschrijft hoe u een router kunt configureren die fungeert als een DHCP-server (Dynamic Host Control Protocol) of DHCP-client met de ZBF-functie (Zone-Based Firewallondersteuning). Omdat het vrij gebruikelijk is om DHCP en ZBF gelijktijdig aan te zetten, helpen deze configuratietips deze eigenschappen correct in werking te stellen.

Voorwaarden

Vereisten

Cisco raadt u aan om kennis te hebben van de Cisco IOS^® software zone-gebaseerde firewall. Raadpleeg de Zone-Based Policy Firewall Design and Application Guide voor meer informatie.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Functieinformatie

Wanneer ZBF op een IOS-router is ingeschakeld, wordt al het verkeer naar de eigen zone (dat wil zeggen, het verkeer dat bestemd is voor het beheervliegtuig van de router) standaard toegestaan in de IOS 15.x-trein van code.

Als je een beleid hebt ontwikkeld voor een zone (zoals "binnen" of "buiten") naar de eigen zone (buiten-zelfbeleid) of omgekeerd (een beleid van "zichzelf-uit"), dan moet je het toelaatbare verkeer expliciet definiëren in het beleid dat aan deze zones is gekoppeld. Gebruik de inspectie- of doorvoeractie om het toegestane verkeer te definiëren.

Gegevensanalyse

DHCP gebruikt broadcast User Datagram Protocol (UDP)-pakketten om het DHCP-proces te voltooien. Op zone-gebaseerde firewallconfiguraties die de inspectie actie voor deze uitzending UDP-pakketten specificeren kunnen door de router worden gedropt, en het DHCP-proces kan mislukken. Mogelijk ook dit logbericht te zien:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Raadpleeg de kwestie die in Cisco bug-ID CSCso5376 is beschreven, "ZBF-inspectie werkt niet voor uitzendverkeer."

Om dit probleem te vermijden, wijzigt u de op zone gebaseerde firewallconfiguratie zodat de pass actie in plaats van de inspectie actie op het DHCP-verkeer wordt toegepast.

Opmerking: Dit is alleen nodig als er een beleid wordt toegepast op de zelfzone op de router.

Zone-gebaseerde firewall als DHCP-client met pass actie voor UDP-verkeer

Configureren

Deze voorbeeldconfiguratie gebruikt de pass actie die is ingesteld in plaats van de inspect actie in de beleidskaart voor al UDP-verkeer naar of van de router.

zone security outside
zone security inside

interface Ethernet0/1
 zone-member security outside
interface Ethernet0/2
 zone-member security inside

class-map type inspect match-all dhcp
 match protocol udp

policy-map type inspect out-to-self
 class type inspect dhcp
  pass
 class class-default
 drop
policy-map type inspect self-to-out
 class type inspect dhcp
  pass
 class class-default
  drop

zone-pair security out-to-self source outside destination self
  service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
  service-policy type inspect self-to-out

Verifiëren

Controleer de syslogs om te verifiëren dat de router met succes een DHCP-adres heeft verkregen.

Wanneer zowel het uit-aan-zelf als zelfbeleid worden geconfigureerd om UDP-verkeer door te geven, kan de router een IP-adres verkrijgen van DHCP zoals in dit menu:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.5,
mask 255.255.255.0

Wanneer slechts het uit-aan-zelf-zone beleid wordt geconfigureerd om UDP-verkeer door te geven, kan de router ook een IP-adres verkrijgen vanuit DHCP en wordt dit syslogan gecreëerd:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.6,
mask 255.255.255.0

Wanneer slechts het zelf-aan-uit zonebeleid wordt gevormd om UDP-verkeer door te geven, kan de router een IP-adres van DHCP verkrijgen en dit syslogan wordt gecreëerd:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.7,
mask 255.255.25

Zone-gebaseerde firewall met Pass Action voor DHCP-verkeer

Configureren

Deze voorbeeldconfiguratie toont hoe u al UDP-verkeer van een zone in de zelfzone van uw router behalve de pakketten van DHCP kunt voorkomen. Gebruik een toegangslijst met specifieke poorten om alleen DHCP-verkeer toe te staan; In dit voorbeeld worden UDP-poort 67 en UDP-poort 68 gespecificeerd om te worden aangepast. Een class-map die verwijst naar de access-list heeft de pass actie toegepast.

access-list extended 111
 10 permit udp any any eq 67

access-list extended 112
 10 permit udp any any eq 68

class-map type inspect match-any self-to-out
 match access-group 111
class-map type inspect match-any out-to-self
 match access-group 112

zone security outside
zone security inside

interface Ethernet0/1
 zone-member security outside
interface Ethernet0/2
 zone-member security inside

policy-map type inspect out-to-self
 class type inspect out-to-self
  pass
 class class-default
  drop
policy-map type inspect self-to-out
 class type inspect self-to-out
  pass
 class class-default
  drop

zone-pair security out-to-self source outside destination self
  service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
  service-policy type inspect self-to-out

Verifiëren

Bekijk de uitvoer van het show beleid-map type inspecteer zone-paar sessieopdracht om te bevestigen dat de router DHCP-verkeer door de zone-firewall toelaat. In deze voorbeelduitvoer geven de gemarkeerde tellers aan dat de pakketten door de zone firewall worden doorgegeven. Als deze tellers nul zijn, is er een probleem met de configuratie, of de pakketten komen niet aan de router voor verwerking aan.

router#show policy-map type inspect zone-pair sessions

policy exists on zp out-to-self
Zone-pair: out-to-self
Service-policy inspect : out-to-self
Class-map: out-to-self (match-any)
Match: access-group 112
3 packets, 924 bytes
30 second rate 0 bps
Pass
6 packets, 1848 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

policy exists on zp self-to-out
Zone-pair: self-to-out
Service-policy inspect : self-to-out
Class-map: self-to-out (match-any)
Match: access-group 111
6 packets, 3504 bytes
30 second rate 0 bps
Pass
6 packets, 3504 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

Scenario voor onjuiste configuraties

Dit voorbeeldscenario toont wat gebeurt wanneer de router onjuist is ingesteld om de inspectie actie voor DHCP-verkeer te specificeren. In dit scenario, wordt de router gevormd als een client van DHCP. De router stuurt een DHCP ontleent bericht om te proberen en een IP adres te verkrijgen. De op zone gebaseerde firewall is ingesteld om dit DHCP-verkeer te inspecteren. Dit is een voorbeeld van de ZBF-configuratie:

zone security outside
zone security inside

interface Ethernet0/1
 zone-member security outside

interface Ethernet0/2
 zone-member security inside

class-map type inspect match-all dhcp
 match protocol udp

policy-map type inspect out-to-self
 class type inspect dhcp
 inspect
 class class-default
 drop
policy-map type inspect self-to-out
 class type inspect dhcp
  inspect
 class class-default
  drop

zone-pair securiy out-to-self source outside destination self
  service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
  service-policy type inspect self-to-out

Wanneer het zelf-to-out beleid is geconfigureerd met de geïnspecteerde actie voor UDP-verkeer, wordt het DHCP-ontdekkingspakket ingetrokken en wordt dit symbool gemaakt:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Wanneer zowel het zelf-aan-uit- als het-aan-zelf beleid met de inspectie actie voor UDP-verkeer worden geconfigureerd, wordt het DHCP-zoekpakket gedropt en wordt dit systeem gemaakt:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Wanneer het uit-aan-zelf-beleid de geïnspecteerde actie heeft ingeschakeld en het zelf-aan-uit-beleid de pass actie voor UDP-verkeer heeft ingeschakeld, wordt het DHCP-offer pakje verbroken nadat het DHCP-zoekpakket is verzonden en deze syslog wordt gemaakt:

%FW-6-DROP_PKT: Dropping udp session 192.168.1.1:67 255.255.255.255:68 on zone-pair
out-self class dhcp with ip ident 0

router als DHCP-server

Als de interface van de routers als een DHCP-server fungeert en als de clients die verbinding maken met de interne interface de DHCP-client zijn, is dit DHCP-verkeer standaard toegestaan als er geen interne of zelfvoorzienend zone beleid is.

Als een van deze beleidslijnen echter bestaat, moet u een pass-actie voor het verkeer van belangen (UDP-poort 67 of UDP-poort 68) in het service-beleid voor zoneparen configureren.