Voor partners
Bent u al partner?
InloggenHebt u een account?
Dit document beschrijft hoe u een router kunt configureren die fungeert als een DHCP-server (Dynamic Host Control Protocol) of DHCP-client met de ZBF-functie (Zone-Based Firewallondersteuning). Omdat het vrij gebruikelijk is om DHCP en ZBF gelijktijdig aan te zetten, helpen deze configuratietips deze eigenschappen correct in werking te stellen.
Cisco raadt u aan om kennis te hebben van de Cisco IOS® software zone-gebaseerde firewall. Raadpleeg de Zone-Based Policy Firewall Design and Application Guide voor meer informatie.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Wanneer ZBF op een IOS-router is ingeschakeld, wordt al het verkeer naar de eigen zone (dat wil zeggen, het verkeer dat bestemd is voor het beheervliegtuig van de router) standaard toegestaan in de IOS 15.x-trein van code.
Als je een beleid hebt ontwikkeld voor een zone (zoals "binnen" of "buiten") naar de eigen zone (buiten-zelfbeleid) of omgekeerd (een beleid van "zichzelf-uit"), dan moet je het toelaatbare verkeer expliciet definiëren in het beleid dat aan deze zones is gekoppeld. Gebruik de inspectie- of doorvoeractie om het toegestane verkeer te definiëren.
DHCP gebruikt broadcast User Datagram Protocol (UDP)-pakketten om het DHCP-proces te voltooien. Op zone-gebaseerde firewallconfiguraties die de inspectie actie voor deze uitzending UDP-pakketten specificeren kunnen door de router worden gedropt, en het DHCP-proces kan mislukken. Mogelijk ook dit logbericht te zien:
%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0
Raadpleeg de kwestie die in Cisco bug-ID CSCso5376 is beschreven, "ZBF-inspectie werkt niet voor uitzendverkeer."
Om dit probleem te vermijden, wijzigt u de op zone gebaseerde firewallconfiguratie zodat de pass actie in plaats van de inspectie actie op het DHCP-verkeer wordt toegepast.
Deze voorbeeldconfiguratie gebruikt de pass actie die is ingesteld in plaats van de inspect actie in de beleidskaart voor al UDP-verkeer naar of van de router.
zone security outside
zone security inside
interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside
class-map type inspect match-all dhcp
match protocol udp
policy-map type inspect out-to-self
class type inspect dhcp
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
pass
class class-default
drop
zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out
Controleer de syslogs om te verifiëren dat de router met succes een DHCP-adres heeft verkregen.
Wanneer zowel het uit-aan-zelf als zelfbeleid worden geconfigureerd om UDP-verkeer door te geven, kan de router een IP-adres verkrijgen van DHCP zoals in dit menu:
%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.5,
mask 255.255.255.0
Wanneer slechts het uit-aan-zelf-zone beleid wordt geconfigureerd om UDP-verkeer door te geven, kan de router ook een IP-adres verkrijgen vanuit DHCP en wordt dit syslogan gecreëerd:
%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.6,
mask 255.255.255.0
Wanneer slechts het zelf-aan-uit zonebeleid wordt gevormd om UDP-verkeer door te geven, kan de router een IP-adres van DHCP verkrijgen en dit syslogan wordt gecreëerd:
%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.7,
mask 255.255.25
Deze voorbeeldconfiguratie toont hoe u al UDP-verkeer van een zone in de zelfzone van uw router behalve de pakketten van DHCP kunt voorkomen. Gebruik een toegangslijst met specifieke poorten om alleen DHCP-verkeer toe te staan; In dit voorbeeld worden UDP-poort 67 en UDP-poort 68 gespecificeerd om te worden aangepast. Een class-map die verwijst naar de access-list heeft de pass actie toegepast.
access-list extended 111
10 permit udp any any eq 67
access-list extended 112
10 permit udp any any eq 68
class-map type inspect match-any self-to-out
match access-group 111
class-map type inspect match-any out-to-self
match access-group 112
zone security outside
zone security inside
interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside
policy-map type inspect out-to-self
class type inspect out-to-self
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect self-to-out
pass
class class-default
drop
zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out
Bekijk de uitvoer van het show beleid-map type inspecteer zone-paar sessieopdracht om te bevestigen dat de router DHCP-verkeer door de zone-firewall toelaat. In deze voorbeelduitvoer geven de gemarkeerde tellers aan dat de pakketten door de zone firewall worden doorgegeven. Als deze tellers nul zijn, is er een probleem met de configuratie, of de pakketten komen niet aan de router voor verwerking aan.
router#show policy-map type inspect zone-pair sessions
policy exists on zp out-to-self
Zone-pair: out-to-self
Service-policy inspect : out-to-self
Class-map: out-to-self (match-any)
Match: access-group 112
3 packets, 924 bytes
30 second rate 0 bps
Pass
6 packets, 1848 bytes
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
policy exists on zp self-to-out
Zone-pair: self-to-out
Service-policy inspect : self-to-out
Class-map: self-to-out (match-any)
Match: access-group 111
6 packets, 3504 bytes
30 second rate 0 bps
Pass
6 packets, 3504 bytes
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
Dit voorbeeldscenario toont wat gebeurt wanneer de router onjuist is ingesteld om de inspectie actie voor DHCP-verkeer te specificeren. In dit scenario, wordt de router gevormd als een client van DHCP. De router stuurt een DHCP ontleent bericht om te proberen en een IP adres te verkrijgen. De op zone gebaseerde firewall is ingesteld om dit DHCP-verkeer te inspecteren. Dit is een voorbeeld van de ZBF-configuratie:
zone security outside
zone security inside
interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside
class-map type inspect match-all dhcp
match protocol udp
policy-map type inspect out-to-self
class type inspect dhcp
inspect
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
inspect
class class-default
drop
zone-pair securiy out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out
Wanneer het zelf-to-out beleid is geconfigureerd met de geïnspecteerde actie voor UDP-verkeer, wordt het DHCP-ontdekkingspakket ingetrokken en wordt dit symbool gemaakt:
%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0
Wanneer zowel het zelf-aan-uit- als het-aan-zelf beleid met de inspectie actie voor UDP-verkeer worden geconfigureerd, wordt het DHCP-zoekpakket gedropt en wordt dit systeem gemaakt:
%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0
Wanneer het uit-aan-zelf-beleid de geïnspecteerde actie heeft ingeschakeld en het zelf-aan-uit-beleid de pass actie voor UDP-verkeer heeft ingeschakeld, wordt het DHCP-offer pakje verbroken nadat het DHCP-zoekpakket is verzonden en deze syslog wordt gemaakt:
%FW-6-DROP_PKT: Dropping udp session 192.168.1.1:67 255.255.255.255:68 on zone-pair
out-self class dhcp with ip ident 0
Als de interface van de routers als een DHCP-server fungeert en als de clients die verbinding maken met de interne interface de DHCP-client zijn, is dit DHCP-verkeer standaard toegestaan als er geen interne of zelfvoorzienend zone beleid is.
Als een van deze beleidslijnen echter bestaat, moet u een pass-actie voor het verkeer van belangen (UDP-poort 67 of UDP-poort 68) in het service-beleid voor zoneparen configureren.
Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuraties.