تكوين خادم DHCP وترحيله على FTD باستخدام FMC

  

المقدمة

يصف هذا المستند تكوين خادم DHCP وخدمات الترحيل في "الدفاع عن تهديد FirePOWER (FTD)" من خلال مركز إدارة FirePOWER.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• معرفة تقنية FirePOWER
  
• المعرفة الأساسية بأجهزة الأمان المعدلة (ASA)
• معرفة ترحيل خادم بروتوكول التحكم في المضيف الديناميكي (DHCP)/ DHCP

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• صورة الدفاع عن تهديد ASA Firepower ل ASA (5506X/5506H-X/5506W-X، ASA 5508-X، ASA 5516-X) التي تشغل الإصدار 6.0.1 وأعلى من البرنامج.
• صورة الدفاع عن تهديد ASA Firepower ل ASA (5515-X، ASA 5525-X، ASA 5545-X، ASA 5555-X، ASA 5585-X) التي تشغل الإصدار 6.0.1 وأعلى.
• مركز إدارة Firepower (FMC)، الإصدار 6. 0.1 والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

ملاحظة: يمكن تسجيل جهاز FTD في FMC. انقر فوق تسجيل جهاز باستخدام FireSIGHT Management Center لتسجيل FTD إلى FMC.                 

معلومات أساسية

يوفر DHCP معلمات تكوين الشبكة تلقائيا مثل عناوين IP وتفاصيل خادم DNS والمعلمات الأخرى لعملاء DHCP. يمكن أن تعمل واجهة FTD الموجهة كخادم DHCP لتوفير عناوين IP للعملاء. 

يوفر FTD خدمات ترحيل DHCP إلى العميل الداخلي، حيث يتم توصيل العملاء بإحدى واجهات FTD، ويتم توصيل خادم DHCP الخارجي بالآخر. عملية خدمة الترحيل شفافة للعملاء. 

تكوين خادم DHCP

من أجل تكوين خادم DHCP، سجل الدخول إلى واجهة المستخدم الرسومية (GUI) ل FMC وانتقل إلى الأجهزة > إدارة الأجهزة. طقطقة يحرر مفتاح من ال FTD أداة. انتقل إلى علامة التبويب DHCP وانقر فوق علامة التبويب DHCP Server. 

أنجزت in order to شكلت DHCP نادل، ثلاثة steps.

الخطوة 1. قم بتمكين خادم DHCP/ تكوين تجمع DHCP.

الخطوة 2. قم بتكوين المعلمات المتقدمة.

الخطوة 3. قم بتكوين خادم DNS/ WINS.

ملاحظة: تأكد من أنه يجب تكوين عنوان IP والاسم المنطقي على الواجهات قبل بدء تكوين DHCP.

مكنت DHCP نادل/شكلت ال DHCP بركة

يمكنك إستخدام أي واجهة موجهة كخادم DHCP، ويعمل عنوان IP الخاص بالواجهة كبوابة للعميل الطرفي. لذلك، تحتاج فقط إلى تعريف نطاق عنوان IP.

طقطقت in order to مكنت ال DHCP نادل على أي قارن، يضيف زر في نادل لسان.

الواجهة: حدد الواجهة من القائمة المنسدلة حيث تريد تمكين خادم DHCP.

تجمع العناوين: حدد نطاق عناوين IP. 

مكنت DHCP نادل: مكنت ال checkbox أن يمكن ال DHCP نادل على هذا قارن.

طقطقة ok أن ينقذ ال DHCP تشكيل. 

تكوين خادم DNS/WINS

يوفر خادم DHCP معلمات اسم المجال/DNS/WINS مع تفاصيل عنوان IP إلى العميل النهائي. تساعد هذه المعلمات في تحليل الاسم. لذلك، من المهم تكوين هذه المعلمات بشكل صحيح. 

هناك خياران لتكوين هذا:

أولا، إن شكلت أي من ال FTD قارن ك DHCP زبون، بعد ذلك أنت يستطيع أخترت خيار تشكيل تلقائي. تأخذ هذه الطريقة تكوين معلومات DNS/ WINS/ اسم المجال من خادم DHCP وتوفر المعلومات نفسها إلى عميل DHCP. 

ثانيا، يمكنك تعيين معلمات اسم مجال DNS/ WINS الخاصة بك، والتي يتم توفيرها للعميل النهائي. 

لتكوين هذا، انتقل إلى علامة تبويب DHCP. 

• مهلة إختبار الاتصال: لتجنب تعارضات العناوين، يرسل FTD حزمتين من حزم إختبار اتصال ICMP إلى عنوان قبل أن يقوم بتعيين هذا العنوان إلى عميل DHCP. يحدد هذا الأمر قيمة المهلة لتلك الحزم.

• مدة الإيجار: يساوي هذا الإيجار مقدار الوقت (بالثواني) الذي يمكن للعميل إستخدام عنوان IP المخصص له قبل انتهاء مدة الإيجار.
• التكوين التلقائي: قم بتمكين خانة الاختيار هذه لتكوين التكوين التلقائي لاسم DNS/WINS/المجال.
• الواجهة: حدد الواجهة التي تعمل كعميل DHCP.

تجاوز الإعداد المكون تلقائيا: قم بتكوين هذا الخيار، إذا كنت ترغب في تعيين اسم DNS/WINS/المجال الخاص بك إلى العميل النهائي. 

اسم المجال: حدد اسم المجال. 

خادم DNS الأساسي: حدد خادم DNS الأساسي. يمكنك إما تحديد كائن الشبكة من القائمة المنسدلة أو النقر على أيقونة زائد (+) وإنشاء كائن شبكة لخادم DNS الأساسي. 

خادم DNS الثانوي: حدد خادم DNS الثانوي. يمكنك إما تحديد كائن الشبكة من القائمة المنسدلة أو النقر على أيقونة زائد (+) وإنشاء كائن شبكة لخادم DNS الثانوي. 

خادم WINS الأساسي: حدد خادم DNS الثانوي. يمكنك إما تحديد كائن الشبكة من القائمة المنسدلة أو النقر على أيقونة زائد (+) وإنشاء كائن شبكة لخادم DNS الثانوي. 

خادم WINS الثانوي: حدد خادم DNS الثانوي. يمكنك إما تحديد كائن الشبكة من القائمة المنسدلة أو النقر على أيقونة زائد (+) وإنشاء كائن شبكة لخادم DNS الثانوي. 

تكوين المعلمات المتقدمة

  

يتلقى خادم DHCP الخاص بواجهة FTD القدرة على تضمين رموز DHCP وخياراتها. على سبيل المثال، يمكن لهواتف Cisco IP إرسال طلب مع خيار (150/66) إلى خادم DHCP للحصول على عنوان IP الخاص بخادم TFTP حتى يمكن للهواتف تنزيل البرامج الثابتة من خادم TFTP. 

 انتقل إلى DHCP>خيار متقدم لتكوين هذا الخيار وانقر فوق إضافة. 

• رمز الخيار: حدد رمز الخيار كما هو موضح في RFC 2132، RFC 2562، RFC 5510.
• النوع: حدد النوع من القائمة المنسدلة.
• عنوان IP 1: إذا أخترت خيار النوع كIP، فحدد عنوان IP الخاص أول خادم TFTP.
• عنوان IP 2: إذا أخترت خيار النوع كIP، فحدد عنوان IP الخاص أول خادم TFTP. 
• ASCII: إذا أخترت خيار الكتابة ك ASCII، فحدد قيمة ASCII.
• hex: إذا أخترت خيار كتابة على هيئة hex، فحدد قيمة hex. 

انقر فوق موافق لحفظ التكوين. 

انقر على زر حفظ لحفظ إعداد النظام الأساسي. انتقل إلى خيار النشر ، واختر جهاز FTD حيث تريد تطبيق التغييرات، ثم انقر فوق زر نشر لبدء نشر إعداد النظام الأساسي.  

انقر على زر حفظ لحفظ إعداد النظام الأساسي. انتقل إلى خيار النشر ، واختر جهاز FTD حيث تريد تطبيق التغييرات، ثم انقر فوق الزر نشر لبدء نشر إعداد النظام الأساسي. 

تكوين ترحيل DHCP 

تعمل واجهة FTD كوكيل ترحيل DHCP بين العميل وخادم DHCP الخارجي. تستمع الواجهة إلى طلب العميل وتضيف بيانات تكوين حيوية، مثل معلومات إرتباطات العميل التي يحتاج إليها خادم DHCP لتخصيص العنوان للعميل. عندما يستجيب خادم DHCP، تقوم الواجهة بإعادة توجيه حزمة الرد مرة أخرى إلى عميل DHCP. 

  

يحتوي تكوين ترحيل DHCP بشكل رئيسي على خطوتين للتكوين.

الخطوة 1. قم بتكوين وكيل ترحيل DHCP.

الخطوة 2. قم بتكوين خادم DHCP الخارجي.

تكوين وكيل ترحيل DHCP

انتقل إلى الأجهزة > إدارة الأجهزة. طقطقة يحرر زر من ال FTD أداة. انتقل إلىDHCP>خيار ترحيل DHCP. طقطقة يضيف زر. 

الواجهة: حدد الواجهة من القائمة المنسدلة حيث تستمع الواجهة إلى طلب العميل. يمكن لعميل DHCP الاتصال مباشرة بهذه الواجهة لطلب عنوان IP. 

قم بتمكين ترحيل DHCP: قم بتمكين خانة الاختيار لتمكين خدمة ترحيل DHCP. 

تعيين المسار: قم بتمكين خانة الاختيار لتعيين عنوان IP للواجهة كبوابة افتراضية. 

انقر فوق الزر موافق لحفظ تكوين وكيل ترحيل DHCP. 

  

تكوين خادم DHCP الخارجي

أنت تحتاج أن يعين العنوان من خارجي DHCP نادل حيث زبون أرسلت طلب. 

لتحديد خادم DHCP، انتقل إلى خادم DHCP وانقر فوق إضافة . 

الخادم: حدد عنوان IP لخادم DHCP. يمكنك إما تحديد كائن الشبكة من القائمة المنسدلة أو النقر على أيقونة زائد (+) وإنشاء كائن شبكة لخادم DHCP. 

الواجهة: حدد الواجهة التي يتصل فيها خادم DHCP. 

انقر فوق موافق لحفظ التكوين. 

انقر على زر حفظ لحفظ إعداد النظام الأساسي. انتقل إلى خيار النشر ، واختر جهاز FTD حيث تريد تطبيق التغييرات، ثم انقر فوق الزر نشر لبدء نشر إعداد النظام الأساسي.  

المراقبة واستكشاف الأخطاء وإصلاحها

  

• تأكد من تسجيل FTD في FMC قبل البدء في تكوين خادم/ترحيل DHCP.

• تحقق من الاتصال بخادم DHCP في تكوين ترحيل DHCP.

> system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# ping <DHCP_SERVER_IP>

• تحقق من التكوين المرتبط ب DHCP في FTD CLI. يمكنك تسجيل الدخول إلى واجهة سطر الأوامر (CLI) في FTD إلى واجهة الإدارة وتشغيل الأمر

firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!

•  تأكد من تطبيق نشر النهج بنجاح.
•  تأكد من تكوين إدخال خادم DNS/WINS الصحيح إما عن طريق التكوين التلقائي أو عن طريق التكوين اليدوي.
•  يمكن أن يكون تجمع عناوين IP في الشبكة الفرعية نفسها لعنوان IP للواجهة.
•  تأكد من إمكانية تكوين عنوان IP والاسم المنطقي على الواجهات.
•  يمكنك أخذ التقاط الحزمة على واجهة FTD الموجهة لاستكشاف أخطاء المشكلة وإصلاحها، حيث لا يحصل العميل على عنوان IP. في حزم الالتقاط، يمكنك التحقق من عملية DORA لخادم DHCP. يمكنك إستخدام التقاط حزمة ASA باستخدام CLI ومثال تكوين ASDM لالتقاط الحزمة.
• تحقق من إحصائيات DHCP من سطر الأوامر.

firepower# show dhcpd statistics 

• تحقق من معلومات ربط DHCP من واجهة سطر الأوامر.

 firepower# show dhcpd binding

• قم بتمكين تسجيل الدخول المناسب إلى الأجهزة > إعدادات النظام الأساسي > سياسة FTD > تسجيل النظام ونشر إعدادات النظام الأساسي إلى FTD. سجل الدخول إلى FTD CLI وقم بتشغيل الأمر للتحقق من رسائل syslog.

 Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower# show logging

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems