PIX/ASA كخادم DHCP ومثال تكوين العميل
المحتويات
المقدمة
يدعم جهاز الأمان من السلسلة PIX 500 وأجهزة الأمان المعدلة (ASA) من Cisco التشغيل كخوادم بروتوكول التكوين الديناميكي للمضيف (DHCP) وعملاء DHCP. DHCP هو بروتوكول يوفر معلمات التكوين التلقائي مثل عنوان IP بقناع شبكة فرعية، والمعبر الافتراضي، وخادم DNS، وعنوان IP لخادم WINS للمضيفين.
يمكن أن يعمل جهاز الأمان كخادم DHCP أو عميل DHCP. عندما يعمل كخادم، يوفر جهاز الأمان معلمات تكوين الشبكة مباشرة لعملاء DHCP. عندما يعمل كعميل DHCP، يطلب جهاز الأمان معلمات التكوين هذه من خادم DHCP.
يركز هذا المستند على كيفية تكوين خادم DHCP وعميل DHCP باستخدام مدير أجهزة الأمان المعدلة (ASDM) من Cisco على جهاز الأمان.
المتطلبات الأساسية
المتطلبات
يفترض هذا المستند أن جهاز أمان PIX أو ASA قيد التشغيل الكامل وتم تكوينه للسماح ل Cisco ASDM بإجراء تغييرات التكوين.
ملاحظة: راجع السماح بوصول HTTPS ل ASDM للسماح بتكوين الجهاز بواسطة ASDM.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
جهاز الأمان PIX 500 Series Security Appliance 7.x
ملاحظة: ينطبق تكوين واجهة سطر الأوامر (CLI) الخاص ب PIX المستخدم في الإصدار 7.x أيضا على PIX 6.x. الفرق الوحيد هو أنه في الإصدارات الأقدم من PIX 6.3، يمكن تمكين خادم DHCP فقط على الواجهة الداخلية. في PIX 6.3 والإصدارات الأحدث، يمكن تمكين خادم DHCP على أي من الواجهات المتاحة. في هذا التكوين، يتم إستخدام الواجهة الخارجية لميزة خادم DHCP.
-
ASDM 5.x
ملاحظة: يدعم ASDM PIX 7.0 والإصدارات الأحدث فقط. يتوفر مدير أجهزة PIX (PDM) لتكوين الإصدار 6.x. ارجع إلى توافق أجهزة وبرامج جهاز أمان PIX الإصدار 6.x من Cisco ASA 5500 Series و PIX 500 Series للحصول على مزيد من المعلومات.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المنتجات ذات الصلة
كما يمكن إستخدام هذا التكوين مع Cisco ASA 7.x.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
التكوين
في هذا التكوين، هناك جهازان لأمان PIX يعملان على تشغيل الإصدار 7.x. يعمل أحدها كخادم DHCP الذي يوفر معلمات التكوين إلى جهاز أمان PIX 7.x آخر والذي يعمل كعميل DHCP. عندما يعمل كخادم DHCP، يقوم PIX بتعيين عناوين IP بشكل ديناميكي لعملاء DHCP من مجموعة من عناوين IP المخصصة.
يمكنك تكوين خادم DHCP على كل واجهة في جهاز الأمان. يمكن أن يكون لكل واجهة مجموعة عناوين خاصة بها ليتم السحب منها. ومع ذلك، يتم تكوين إعدادات DHCP الأخرى، مثل خوادم DNS واسم المجال والخيارات وانتهاء مهلة إختبار الاتصال وخوادم WINS بشكل عام ويتم إستخدامها بواسطة خادم DHCP على جميع الواجهات.
لا يمكنك تكوين عميل DHCP أو خدمات ترحيل DHCP على واجهة يتم تمكين الخادم عليها. وبالإضافة إلى ذلك، يجب أن يكون عملاء DHCP متصلا مباشرة بالواجهة التي يتم تمكين الخادم عليها.
أخيرا، بينما يتم تمكين خادم DHCP على واجهة، لا يمكنك تغيير عنوان IP الخاص بتلك الواجهة.
ملاحظة: بشكل أساسي، لا يوجد خيار تكوين لتعيين عنوان العبارة الافتراضية في رد DHCP الذي تم إرساله من خادم DHCP (PIX/ASA). يرسل خادم DHCP دائما عنوانه الخاص كبوابة لعميل DHCP. ومع ذلك، يتيح تحديد مسار افتراضي يشير إلى موجه الإنترنت للمستخدم الوصول إلى الإنترنت.
ملاحظة: يعتمد عدد عناوين تجمع DHCP التي يمكن تعيينها على الترخيص المستخدم في جهاز الأمان (PIX/ASA). إذا كنت تستخدم ترخيص Base/Security Plus، فسيتم تطبيق هذه الحدود على تجمع DHCP. إذا كان حد المضيف هو 10 مضيفين، فعليك تقييد تجمع DHCP إلى 32 عنوانا. إذا كان حد المضيف هو 50 جهازا مضيفا، فعليك تقييد تجمع DHCP إلى 128 عنوانا. إذا كان حد المضيف غير محدود، فعليك تقييد تجمع DHCP إلى 256 عنوانا. لذلك يكون تجمع العناوين محدودا بناء على عدد الأجهزة المضيفة.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
يستخدم هذا المستند التكوينات التالية:
تكوين خادم DHCP باستخدام ASDM
أكمل هذه الخطوات لتكوين جهاز أمان PIX أو ASA كخادم DHCP باستخدام ASDM.
-
أخترت تشكيل>خصائص>DHCP خدمة>DHCP نادل من النافذة منزل. حدد واجهة وانقر فوق تحرير لتمكين خادم DHCP ولإنشاء تجمع عناوين DHCP.
يجب أن يكون تجمع العناوين على الشبكة الفرعية نفسها الخاصة بواجهة جهاز الأمان. في هذا المثال، تم تكوين خادم DHCP على الواجهة الخارجية لجهاز أمان PIX.
-
تحقق من تمكين خادم DHCP على الواجهة الخارجية للاستماع إلى طلبات عملاء DHCP. أدخل تجمع العناوين الذي سيتم إصداره إلى عميل DHCP وانقر فوق موافق للعودة إلى الإطار الرئيسي.
-
تحقق من تمكين التكوين التلقائي على الواجهة لجعل خادم DHCP يقوم تلقائيا بتكوين DNS و WINS واسم المجال الافتراضي لعميل DHCP. انقر فوق تطبيق لتحديث التكوين الجاري تشغيله لجهاز الأمان.
تكوين عميل DHCP باستخدام ASDM
أكمل هذه الخطوات لتكوين جهاز أمان PIX كعميل DHCP باستخدام ASDM.
-
أخترت تشكيل>قارن وطقطقة حررت أن يمكن ال إثرنيت0 قارن أن ينال التشكيل معلم مثل عنوان مع subnet mask، تقصير مدخل، DNS نادل و WINS نادل عنوان من ال DHCP نادل.
-
فحصت يمكن قارن وأدخلت القارن إسم وأمان مستوى للقارن. أخترت يحصل عنوان عبر DHCP للعنوان ويحصل تقصير طريق يستعمل DHCP للتقصير مدخل وبعد ذلك طقطقت ok أن يذهب إلى النافذة رئيسي.
-
انقر فوق تطبيق للاطلاع على عنوان IP الذي تم الحصول عليه لواجهة Ethernet0 من خادم DHCP.
تكوين خادم DHCP
يتم إنشاء هذا التكوين بواسطة ASDM:
| خادم DHCP |
|---|
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 ! !--- Output is suppressed. logging enable logging asdm informational mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm-511.bin http server enable http 10.0.0.0 255.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 !--- Specifies a DHCP address pool and the interface for the client to connect. dhcpd address 192.168.1.5-192.168.1.7 outside !--- Specifies the IP address(es) of the DNS and WINS server !--- that the client uses. dhcpd dns 192.168.0.1 dhcpd wins 172.0.0.1 !--- Specifies the lease length to be granted to the client. !--- This lease equals the amount of time (in seconds) the client !--- can use its allocated IP address before the lease expires. !--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds. dhcpd lease 3600 dhcpd ping_timeout 50 dhcpd auto_config outside !--- Enables the DHCP daemon within the Security Appliance to listen for !--- DHCP client requests on the enabled interface. dhcpd enable outside dhcprelay timeout 60 ! !--- Output is suppressed. service-policy global_policy global Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab : end |
تكوين عميل DHCP
يتم إنشاء هذا التكوين بواسطة ASDM:
| عميل DHCP |
|---|
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 !--- Configures the Security Appliance interface as a DHCP client. !--- The setroute keyword causes the Security Appliance to set the default !--- route using the default gateway the DHCP server returns. ip address dhcp setroute ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.14 255.0.0.0 !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging console debugging logging asdm informational mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-511.bin no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.0.0.0 255.0.0.0 inside !--- Output is suppressed. ! service-policy global_policy global Cryptochecksum:86dd1153e8f14214524359a5148a4989 : end |
التحقق من الصحة
أكمل هذه الخطوات للتحقق من إحصائيات DHCP ومعلومات الربط من خادم DHCP وعميل DHCP باستخدام ASDM.
-
أخترت monitore>قارن>DHCP>إحصاء DHCP من ال DHCP نادل أن يدقق ال DHCP إحصاء، مثل DHCPdiscover، DHCPprequest، DHCPpoffer، و DHCPACK.
أدخل الأمر show dhcpd statistics من واجهة سطر الأوامر لعرض إحصائيات DHCP.
-
أخترت monitore>قارن>DHCP>DHCP زبون تأجير معلومة من ال DHCP زبون أن يشاهد ال DHCP ملزم معلومة.
أدخل الأمر show dhcp binding لعرض معلومات ربط DHCP من واجهة سطر الأوامر.
-
أختر مراقبة > تسجيل الدخول > عارض السجل في الوقت الفعلي لتحديد مستوى التسجيل وحد المخزن المؤقت لعرض رسائل سجل الوقت الفعلي.
-
عرض أحداث سجل الوقت الفعلي من عميل DHCP. يتم تخصيص عنوان IP للواجهة الخارجية لعميل DHCP.
استكشاف الأخطاء وإصلاحها
أوامر استكشاف الأخطاء وإصلاحها
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.
-
debug dhcp حدث—يعرض معلومات الحدث المقترنة بخادم DHCP.
-
debug dhcp ربط—يعرض معلومات الحزمة المرتبطة بخادم DHCP.
رسائل الخطأ
CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside Warning, DHCP pool range is limited to 256 addresses, set address range as: 10.1.1.10-10.3.1.150
الشرح: يقتصر حجم تجمع العناوين على 256 عنوانا لكل تجمع على جهاز الأمان. لا يمكن تغيير هذا، وهو حد للبرامج. ويمكن أن يكون الإجمالي 256 فقط. إذا كان نطاق تجمع العناوين أكبر من 253 عنوانا (على سبيل المثال 254 و 255 و 256)، فلا يمكن أن يكون قناع الشبكة الخاص بواجهة جهاز الأمان عنوان من الفئة C (على سبيل المثال، 255.255.255.0). يجب أن تكون شيئا أكبر، على سبيل المثال، 255.255.254.0.
ارجع إلى دليل تكوين سطر أوامر Cisco Security Appliance للحصول على معلومات حول كيفية تنفيذ ميزة خادم DHCP في جهاز الأمان.
الأسئلة المتداولة: تعيين العنوان
السؤال—هل من الممكن تعيين عنوان IP ثابت/دائم للكمبيوتر الذي يستخدم ASA كخادم DHCP؟
الجواب — لا يمكن إستعمال PIX/ASA.
سؤال — هل من الممكن ربط عناوين DHCP بعناوين MAC معينة على ASA؟
الجواب — كلا، ليس ممكنا .
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
01-Jun-2006 |
الإصدار الأولي |
التعليقات