Configurazione del server DHCP e dell'inoltro su FTD con FMC

Opzioni per il download

  • PDF     (592.4 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (406.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (382.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:3 giugno 2024
ID documento:200475

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

      

    Introduzione

    In questo documento viene descritta la configurazione del server DHCP e dei servizi di inoltro in Firepower Threat Defense (FTD) tramite Firepower Management Center.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenza della tecnologia Firepower
    • Conoscenze base di ASA (Adaptive Security Appliance)
    • Conoscenza di server/inoltro DHCP (Dynamic Host Control Protocol)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • ASA Firepower Threat Defense Image per ASA (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) con software versione 6.0.1 e successive.
    • ASA Firepower Threat Defense Image per ASA (5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) con software versione 6.0.1 e successive.
    • Firepower Management Center (FMC) versione 6.0.1 e successive.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Nota: l'accessorio FTD può essere registrato nel CCP. Fare clic su Register a Device with a FireSIGHT Management Center (Registra un dispositivo con un centro di gestione FireSIGHT) per registrare l'FTD nel FMC.                 

    Premesse

    DHCP fornisce automaticamente ai client DHCP parametri di configurazione della rete, ad esempio indirizzi IP, dettagli del server DNS e altri parametri. L'interfaccia con routing FTD può fungere da server DHCP per fornire gli indirizzi IP ai client. 

    FTD fornisce i servizi di inoltro DHCP al client interno, in cui i client sono connessi a una delle interfacce dell'FTD e il server DHCP esterno è connesso all'altro. L'operazione del servizio di inoltro è trasparente per i client. 

    Configura server DHCP

    Per configurare il server DHCP, accedere alla GUI di FMC e selezionare Devices > Device Management (Dispositivi > Gestione dispositivi). Fare clic sul pulsante Modifica dell'accessorio FTD. Passare alla scheda DHCP (DHCP) e fare clic sulla scheda DHCP Server (Server DHCP). 

    Configura server DHCP

    Per configurare il server DHCP, eseguire tre passaggi.

    Passaggio 1. Abilitare il server DHCP/configurare il pool DHCP.

    Passaggio 2. Configurare i parametri avanzati.

    Passaggio 3. Configurare il server DNS/WINS.

    Nota: prima di avviare la configurazione DHCP, verificare che l'indirizzo IP e il nome logico siano configurati sulle interfacce.

    Eseguire i tre passaggi seguenti per configurare DHCP

    Abilita server DHCP/Configura pool DHCP

    Come server DHCP è possibile utilizzare qualsiasi interfaccia instradata e l'indirizzo IP dell'interfaccia funge da gateway per il client finale. È quindi sufficiente definire l'intervallo di indirizzi IP.

    Per abilitare il server DHCP su qualsiasi interfaccia, fare clic sul pulsante Add (Aggiungi) nella scheda Server.

    Interfaccia: specificare dall'elenco a discesa l'interfaccia in cui si desidera abilitare il server DHCP.

    Pool di indirizzi: specificare l'intervallo di indirizzi IP. 

    Abilita server DHCP: selezionare la casella di controllo per abilitare il server DHCP su questa interfaccia.

    Abilita server DHCP

    Fare clic su OK per salvare la configurazione DHCP. 

    Configurare il server DNS/WINS

    Il server DHCP fornisce i parametri DNS/ WINS/Domain name e i dettagli dell'indirizzo IP al client finale. Questi parametri facilitano la risoluzione dei nomi. È quindi importante configurare correttamente questi parametri. 

    Sono disponibili due opzioni per la configurazione:

    Innanzitutto, se un'interfaccia dell'FTD è configurata come client DHCP, è possibile scegliere l'opzione Auto-Configuration. Questo metodo accetta la configurazione delle informazioni sul nome di dominio DNS/ WINS dal server DHCP e fornisce le stesse informazioni al client DHCP. 

    In secondo luogo, è possibile impostare parametri personalizzati per il nome di dominio DNS/WINS, che vengono forniti al client finale. 

    Per configurare questa impostazione, passare alla scheda DHCP

    • Timeout ping: per evitare conflitti di indirizzi, l'FTD invia due pacchetti ping ICMP a un indirizzo prima di assegnarlo a un client DHCP. Questo comando specifica il valore di timeout per questi pacchetti.
    • Durata lease: questo lease è uguale al tempo (in secondi) durante il quale il client può utilizzare il proprio indirizzo IP allocato prima della scadenza del lease.
    • Configurazione automatica: selezionare questa casella di controllo per configurare la configurazione automatica per DNS/WINS/Nome dominio.
    • Interfaccia: specificare l'interfaccia che funge da client DHCP.

    Ignora impostazione configurata automaticamente: configurare questa opzione se si desidera assegnare il proprio nome DNS/WINS/dominio al client finale. 

    Nome dominio: specificare il nome del dominio. 

    Server DNS primario: specificare il server DNS primario. È possibile selezionare l'oggetto di rete dall'elenco a discesa oppure fare clic sull'icona più (+) e creare un oggetto di rete per il server DNS primario. 

    Server DNS secondario: specificare il server DNS secondario. È possibile selezionare l'oggetto di rete dall'elenco a discesa oppure fare clic sull'icona più (+) e creare un oggetto di rete per il server DNS secondario. 

    Server WINS primario: specificare il server DNS secondario. È possibile selezionare l'oggetto di rete dall'elenco a discesa oppure fare clic sull'icona più (+) e creare un oggetto di rete per il server DNS secondario. 

    Server WINS secondario: specificare il server DNS secondario. È possibile selezionare l'oggetto di rete dall'elenco a discesa oppure fare clic sull'icona più (+) e creare un oggetto di rete per il server DNS secondario. 

    Configura server DNS/WINS

    Configurazione dei parametri avanzati

      

    Il server DHCP dell'interfaccia FTD può includere codici e opzioni DHCP. Ad esempio, i telefoni IP Cisco possono inviare una richiesta con l'opzione (150/ 66) al server DHCP per ottenere l'indirizzo IP del server TFTP in modo che i telefoni possano scaricare il firmware dal server TFTP. 

     Per configurare questa impostazione, selezionare l'opzione DHCP> Advanced (Avanzate) e fare clic su Add (Aggiungi)

    • Codice opzione: specificare il codice dell'opzione come indicato nelle RFC 2132, RFC 2562 e RFC 5510.
    • Tipo: specificare il tipo dall'elenco a discesa.
    • Indirizzo IP 1: se si sceglie l'opzione IP, specificare l'indirizzo IP del primo server TFTP.
    • Indirizzo IP 2: se si sceglie l'opzione IP, specificare l'indirizzo IP del primo server TFTP. 
    • ASCII: se si sceglie l'opzione type come ASCII, specificare il valore ASCII.
    • HEX: se si sceglie l'opzione tipo come HEX, specificare il valore HEX. 

    Configurazione dei parametri avanzati

    Fare clic su OK per salvare la configurazione. 

    Fare clic sul pulsante Save (Salva) per salvare l'impostazione della piattaforma. Passare all'opzione Distribuisci, scegliere l'accessorio FTD a cui si desidera applicare le modifiche e fare clic sul pulsante Distribuisci per avviare la distribuzione dell'impostazione della piattaforma.  

    Fare clic sul pulsante Save (Salva) per salvare l'impostazione della piattaforma. Passare all'opzione Distribuisci, scegliere l'accessorio FTD a cui si desidera applicare le modifiche e fare clic sul pulsante Distribuisci per avviare la distribuzione dell'impostazione della piattaforma. 

    Configura inoltro DHCP 

    L'interfaccia FTD funziona come agente di inoltro DHCP tra il client e il server DHCP esterno. L'interfaccia resta in ascolto della richiesta del client e aggiunge i dati di configurazione fondamentali, ad esempio le informazioni sui collegamenti del client, necessarie al server DHCP per allocare l'indirizzo del client. Quando il server DHCP risponde, l'interfaccia inoltra il pacchetto di risposta al client DHCP. 

      

    La configurazione dell'inoltro DHCP prevede principalmente due passaggi.

    Passaggio 1. Configurare l'agente di inoltro DHCP.

    Passaggio 2. Configurare il server DHCP esterno.

    Configurare l'agente di inoltro DHCP

    Selezionare Dispositivi > Gestione dispositivi. Fare clic sul pulsante Modifica dell'accessorio FTD. Selezionare l'opzione DHCP > DHCP Relay. Fare clic sul pulsante Aggiungi

    Interfaccia: specificare l'interfaccia dall'elenco a discesa in cui l'interfaccia resta in ascolto della richiesta client. Il client DHCP può connettersi direttamente a questa interfaccia per la richiesta dell'indirizzo IP. 

    Abilita inoltro DHCP: selezionare la casella di controllo per abilitare il servizio di inoltro DHCP. 

    Imposta route: selezionare la casella di controllo per impostare l'indirizzo IP dell'interfaccia come gateway predefinito. 

    Configura agente di inoltro DHCP

    Fare clic sul pulsante OK per salvare la configurazione dell'agente di inoltro DHCP. 

      

    Configura server DHCP esterno

    È necessario specificare l'indirizzo IP del server DHCP esterno a cui inoltrare la richiesta del client. 

    Per specificare il server DHCP, passare a Server DHCP e fare clic su Add (Aggiungi). 

    Server: specificare l'indirizzo IP del server DHCP. È possibile selezionare l'oggetto di rete dall'elenco a discesa oppure fare clic sul pulsante più (+) e creare un oggetto di rete per il server DHCP. 

    Interfaccia: specificare l'interfaccia a cui si connette il server DHCP. 

    Configura server DHCP esterno

    Fare clic su OK per salvare la configurazione. 

    Fare clic sul pulsante Save (Salva) per salvare l'impostazione della piattaforma. Passare all'opzione Distribuisci, scegliere l'accessorio FTD a cui si desidera applicare le modifiche e fare clic sul pulsante Distribuisci per avviare la distribuzione dell'impostazione della piattaforma.  

    Controllo e risoluzione dei problemi

      

    • Verificare che l'FTD sia registrato nel FMC prima di iniziare a configurare il server/inoltro DHCP.
    • Verificare la connettività al server DHCP nella configurazione dell'inoltro DHCP.
    > system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# ping <DHCP_SERVER_IP>
    • Verificare la configurazione DHCP nella CLI di FTD. È possibile accedere alla CLI FTD all'interfaccia di gestione ed eseguire il comando
    firepower# show running-config dhcpd.
    dhcpd auto_config Inside-2
    !
    dhcpd address 192.168.10.3-192.168.10.7 Inside
    !
    •  Verificare che la distribuzione dei criteri sia stata applicata correttamente.
    •  Assicurarsi di configurare la voce server DNS/WINS corretta tramite la configurazione automatica o manuale.
    •  Il pool di indirizzi IP può trovarsi nella stessa subnet dell'indirizzo IP dell'interfaccia.
    •  Verificare che l'indirizzo IP e il nome logico possano essere configurati sulle interfacce.
    •  È possibile acquisire il pacchetto sull'interfaccia di routing FTD per risolvere il problema, in cui il client non ottiene un indirizzo IP. Nelle acquisizioni dei pacchetti, è possibile verificare il processo DORA del server DHCP. Per acquisire il pacchetto, è possibile usare ASA Packet Capture con CLI e ASDM Configuration Example.
    • Verificare le statistiche DHCP dalla riga di comando.
    firepower# show dhcpd statistics 
    • Verificare le informazioni sul binding DHCP dalla CLI.
     firepower# show dhcpd binding
    • Abilitare la registrazione appropriata in Dispositivi > Impostazioni piattaforma > Criteri FTD > Registrazione sistema e distribuire le impostazioni della piattaforma in FTD. Accedere alla CLI FTD ed eseguire il comando per controllare i messaggi Syslog.
     Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.

    firepower# show logging

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    03-Jun-2024
    Titolo, introduzione e formattazione aggiornati.
    2.0
    03-May-2023
    Testo alternativo aggiunto. Sommario aggiornato, Introduzione, SEO, Requisiti di stile, Traduzione automatica, Gerund, Controllo ortografia e formattazione.
    1.0
    06-May-2016
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Prashant Joshi
      Tecnico delle soluzioni
    • Sunil Kumar
      Tecnico del software
    • Avinash Nepaliya
      Architetto consegna cliente

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti