使用Firepower管理中心(FMC)在FTD上配置DHCP伺服器/中繼
簡介
本檔案介紹透過FMC在Firepower威脅防禦(FTD)中設定DHCP伺服器和DHCP中繼服務。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower技術知識
- 自適應安全裝置(ASA)基礎知識
- 動態主機控制通訊協定(DHCP)伺服器/ DHCP中繼的知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 適用於ASA(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)的ASA Firepower威脅防禦映像,運行軟體版本6.0.1及更高版本。
- 適用於ASA(5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)的ASA Firepower威脅防禦映像,運行軟體版本6.0.1及更高版本。
- FMC 6.0.1版及更高版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
DHCP自動向DHCP客戶端提供網路配置引數,如IP地址、DNS伺服器詳細資訊和其他引數。FTD路由介面可以充當DHCP伺服器,為使用者端提供IP位址。
FTD向內部使用者端提供DHCP中繼服務,其中使用者端連線到FTD的一個介面,而外部DHCP伺服器連線到另一個介面。 中繼服務操作對客戶端是透明的。
配置DHCP伺服器
要配置DHCP伺服器,請登入到FMC GUI並導航到Devices > Device Management。 按一下FTD裝置的edit按鈕。導航到DHCP頁籤,然後按一下DHCP Server頁籤。
要配置DHCP伺服器,請執行三個步驟。
步驟 1.啟用DHCP伺服器/配置DHCP池。
步驟 2.配置高級引數。
步驟 3.配置DNS/WINS伺服器。
啟用DHCP伺服器/配置DHCP池
可以將任何路由介面用作DHCP伺服器,並且介面的IP地址用作終端客戶端的網關。因此,您只需定義IP地址範圍。
要在任何介面上啟用DHCP伺服器,請按一下伺服器頁籤中的新增按鈕。
Interface:從下拉選單中選擇要啟用DHCP伺服器的介面。
地址池:指定IP地址範圍。
啟用DHCP伺服器:啟用覈取方塊以啟用此介面上的DHCP伺服器。
按一下OK儲存DHCP配置。
配置DNS/WINS伺服器
DHCP伺服器會將DNS/WINS/網域名稱引數以及IP位址詳細資訊提供給終端使用者端。這些引數有助於名稱解析。因此,正確配置這些引數非常重要。
有兩種選項可配置此功能:
首先,如果任何FTD介面設定為DHCP使用者端,則可以選擇Auto-Configuration選項。 此方法從DHCP伺服器獲取DNS/WINS/域名資訊的配置,並將相同資訊提供給DHCP客戶端。
其次,您可以設定您自己的DNS/WINS域名引數,這些引數提供給終端客戶端。
要配置此功能,請導航到DHCP頁籤。
- Ping逾時:為了避免位址衝突,FTD在將某位址指定給DHCP使用者端之前,會向該位址傳送兩個ICMP ping封包。此命令指定這些資料包的超時值
- 租用長度:此租用等於租期到期前客戶端可以使用其分配的IP地址的時間(以秒為單位)
- 自動配置:啟用此覈取方塊可配置DNS/WINS/域名的自動配置
- Interface:指定充當DHCP客戶端的介面
覆蓋自動配置設定:如果要將您自己的DNS/WINS/域名分配給終端客戶端,請配置此選項。
域名:指定域名。
主DNS伺服器:指定主DNS伺服器。您可以從下拉選單中選擇網路對象,或者按一下加號(+)圖示並為主DNS伺服器建立網路對象。
輔助DNS伺服器:指定輔助DNS伺服器。您可以從下拉選單中選擇網路對象,或者按一下加號(+)圖示為輔助DNS伺服器建立網路對象。
主WINS伺服器:指定輔助DNS伺服器。您可以從下拉選單中選擇網路對象,或者按一下加號(+)圖示為輔助DNS伺服器建立網路對象。
輔助WINS伺服器:指定輔助DNS伺服器。您可以從下拉選單中選擇網路對象,或者按一下加號(+)圖示為輔助DNS伺服器建立網路對象。
配置高級引數
FTD介面的DHCP伺服器能夠包括DHCP代碼和選項。例如,Cisco IP電話可以將帶有選項(150/66)的請求傳送到DHCP伺服器,以獲取TFTP伺服器的IP地址,以便電話可以從TFTP伺服器下載韌體。
要配置此選項,請導航到DHCP> Advanced選項,然後按一下Add。
- 選項代碼:按照RFC 2132、RFC 2562和RFC 5510中列出的規定指定選項代碼
- Type:從下拉選單中選擇型別
- IP Address 1:如果您選擇type option as IP,則指定第一個TFTP伺服器的IP地址
- IP Address 2:如果您選擇type option as IP,則指定第一個TFTP伺服器的IP地址
- ASCII:如果選擇型別選項為ASCII,則指定ASCII值
- HEX:如果選擇文字選項為HEX,則指定HEX值
按一下「OK」以儲存組態。
按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇要應用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。
按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇要應用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。
配置DHCP中繼
FTD介面在使用者端和外部DHCP伺服器之間作為DHCP中繼代理運作。介面偵聽客戶端請求並新增重要配置資料,例如DHCP伺服器為客戶端分配地址所需的客戶端連結資訊。當DHCP伺服器響應時,介面將應答資料包轉發回DHCP客戶端。
DHCP中繼的配置主要有兩個配置步驟。
步驟 1.配置DHCP中繼代理。
步驟 2.配置外部DHCP伺服器。
配置DHCP中繼代理
導覽至Devices > Device Management。按一下FTD裝置的edit按鈕。導覽至DHCP > DHCP Relay選項。 按一下「Add」按鈕。
Interface:從介面偵聽客戶端請求的下拉選單中選擇介面。DHCP客戶端可以直接連線到此介面以請求IP地址。
啟用DHCP中繼:啟用覈取方塊以啟用DHCP中繼服務。
Set Route:啟用覈取方塊以將介面IP地址設定為預設網關。
按一下OK按鈕儲存DHCP中繼代理配置。
配置外部DHCP伺服器
您需要指定轉發客戶端請求的外部DHCP伺服器的IP地址。
要指定DHCP伺服器,請導航到DHCP Server,然後按一下Add。
伺服器:指定DHCP伺服器的IP地址。 您可以從下拉選單中選擇網路對象,或者按一下加號(+)圖示並為DHCP伺服器建立一個網路對象。
Interface:指定DHCP伺服器連線的介面。
按一下「OK」以儲存組態。
按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇要應用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。
監控和故障排除
- 開始設定DHCP伺服器/中繼之前,請確認FTD已註冊到FMC。
- 在DHCP中繼配置中檢驗與DHCP伺服器的連線。
> system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ><Press Enter> firepower# ping <DHCP_SERVER_IP>
- 在FTD CLI中驗證DHCP相關組態。您可以登入FTD CLI以進入管理介面,並執行命令
firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!
- 確保已順利套用原則部署。
- 確保通過自動配置或手動配置來配置正確的DNS/WINS伺服器條目。
- IP地址池可以位於介面IP地址的同一子網中。
- 確保在接口上可以配置IP地址和邏輯名稱。
- 您可以對FTD路由介面上的封包擷取進行疑難排解,因為使用者端未取得IP位址。在資料包捕獲中,您可以驗證DHCP伺服器的DORA進程。您可以使用ASA資料包捕獲與CLI和ASDM配置示例來捕獲資料包。
- 從命令列驗證DHCP statistics。
firepower# show dhcpd statistics
- 從CLI檢驗DHCP繫結資訊。
firepower# show dhcpd binding
- 在Devices > Platform Settings > FTD Policy > System logging 啟用適當的日誌記錄,並將平台設定部署到FTD。登入FTD CLI並執行命令以檢查系統日誌訊息。
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show logging
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
03-May-2023 |
已新增Alt文本。
更新的TOC、簡介、SEO、樣式要求、機器翻譯、德語、拼寫和格式。 |
1.0 |
06-May-2016 |
初始版本 |
意見