FMCを使用したFTDでのDHCPサーバとリレーの設定
はじめに
このドキュメントでは、Firepower Management Center(FMC)を介したFirepower Threat Defense(FTD)でのDHCPサーバとリレーサービスの設定について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- FirePOWER の知識
- 適応型セキュリティ アプライアンス(ASA)の基礎知識
- Dynamic Host Control Protocol(DHCP)サーバ/DHCPリレーに関する知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアバージョン6.0.1以降を実行しているASA(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)用のASA Firepower Threat Defenseイメージ。
- ソフトウェアバージョン6.0.1以降を実行しているASA(5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)用のASA Firepower Threat Defenseイメージ。
- Firepower Management Center(FMC)バージョン6.0.1以降。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
DHCPは、IPアドレス、DNSサーバの詳細、その他のパラメータなどのネットワーク設定パラメータをDHCPクライアントに自動的に提供します。FTDルーテッドインターフェイスは、DHCPサーバとして動作し、クライアントにIPアドレスを提供できます。
FTDは内部クライアントにDHCPリレーサービスを提供します。クライアントはFTDのインターフェイスの1つに接続され、外部DHCPサーバはもう一方に接続されます。 リレーサービスの動作は、クライアントに対して透過的です。
DHCPサーバの設定
DHCPサーバを設定するには、FMC GUIにログインし、Devices > Device Managementの順に選択します。 FTDアプライアンスのeditボタンをクリックします。DHCPタブに移動し、DHCP Serverタブをクリックします。
DHCPサーバを設定するには、次の3つの手順を実行します。
ステップ 1:DHCPサーバを有効にし、DHCPプールを設定します。
ステップ 2:高度なパラメータを設定します。
ステップ 3:DNS/WINSサーバを設定します。
DHCPサーバの有効化/DHCPプールの設定
DHCPサーバとして任意のルーテッドインターフェイスを使用でき、インターフェイスのIPアドレスがエンドクライアントのゲートウェイとして機能します。したがって、IPアドレス範囲を定義するだけで済みます。
任意のインターフェイスでDHCPサーバを有効にするには、ServerタブにあるAddボタンをクリックします。
Interface:ドロップダウンリストから、DHCPサーバを有効にするインターフェイスを指定します。
アドレスプール:IPアドレス範囲を指定します。
DHCPサーバを有効にする:このチェックボックスをオンにすると、このインターフェイスでDHCPサーバが有効になります。
OKをクリックして、DHCP設定を保存します。
DNS/WINSサーバの設定
DHCPサーバは、DNS/WINS/ドメイン名パラメータとIPアドレスの詳細をエンドクライアントに提供します。これらのパラメータは、名前解決に役立ちます。したがって、これらのパラメータを正しく設定することが重要です。
これを設定するには、次の2つのオプションがあります。
まず、FTDのインターフェイスのいずれかがDHCPクライアントとして設定されている場合は、オプションの自動設定を選択できます。 この方法では、DHCPサーバからDNS/WINS/ドメイン名情報の設定を取得し、同じ情報をDHCPクライアントに提供します。
2つ目は、独自のDNS/WINSドメイン名パラメータを設定する方法です。このパラメータはエンドクライアントに提供されます。
これを設定するには、DHCPタブに移動します。
- pingタイムアウト:アドレスの競合を回避するために、FTDはアドレスに2つのICMP pingパケットを送信してから、そのアドレスをDHCPクライアントに割り当てます。このコマンドでは、これらのパケットのタイムアウト値を指定します。
- Lease Length:このリースは、クライアントが割り当てられたIPアドレスをリースの期限が切れるまでに使用できる時間(秒単位)と同じです。
- 自動構成:DNS/WINS/ドメイン名の自動構成を構成するには、このチェックボックスをオンにします。
- Interface:DHCPクライアントとして機能するインターフェイスを指定します。
Override Auto Configured Setting:独自のDNS/WINS/ドメイン名をエンドクライアントに割り当てる場合は、このオプションを設定します。
ドメイン名:ドメイン名を指定します。
プライマリDNSサーバ:プライマリDNSサーバを指定します。ドロップダウンリストからネットワークオブジェクトを選択するか、プラス(+)アイコンをクリックして、プライマリDNSサーバのネットワークオブジェクトを作成します。
セカンダリDNSサーバ:セカンダリDNSサーバを指定します。ドロップダウンリストからネットワークオブジェクトを選択するか、プラス(+)アイコンをクリックして、セカンダリDNSサーバのネットワークオブジェクトを作成します。
[プライマリWINSサーバー]:セカンダリDNSサーバーを指定します。ドロップダウンリストからネットワークオブジェクトを選択するか、プラス(+)アイコンをクリックして、セカンダリDNSサーバのネットワークオブジェクトを作成します。
セカンダリWINSサーバー:セカンダリDNSサーバーを指定します。ドロップダウンリストからネットワークオブジェクトを選択するか、プラス(+)アイコンをクリックして、セカンダリDNSサーバのネットワークオブジェクトを作成します。
高度なパラメータの設定
FTDインターフェイスのDHCPサーバには、DHCPコードとオプションを組み込む機能があります。たとえば、Cisco IP Phoneは、DHCPサーバにオプション(150/66)を指定して要求を送信し、TFTPサーバのIPアドレスを取得して、電話機がTFTPサーバからファームウェアをダウンロードできるようにします。
これを設定するには、DHCP> Advancedオプションに移動して、Addをクリックします。
- オプションコード: RFC 2132、RFC 2562、RFC 5510に記載されているオプションコードを指定します。
- タイプ:ドロップダウンからタイプを指定します。
- IPアドレス1:IPとしてタイプオプションを選択する場合は、最初のTFTPサーバのIPアドレスを指定します。
- IPアドレス2:IPとしてタイプオプションを選択する場合は、最初のTFTPサーバのIPアドレスを指定します。
- ASCII:タイプ・オプションとしてASCIIを選択した場合は、ASCII値を指定します。
- HEX: HEXとしてタイプ・オプションを選択した場合は、HEX値を指定します。
[OK] をクリックして、設定を保存します。
Saveボタンをクリックして、プラットフォーム設定を保存します。 Deployオプションに移動し、変更を適用するFTDアプライアンスを選択し、Deployボタンをクリックして、プラットフォーム設定の導入を開始します。
Saveボタンをクリックして、プラットフォーム設定を保存します。 Deployオプションに移動し、変更を適用するFTDアプライアンスを選択し、Deployボタンをクリックして、プラットフォーム設定の導入を開始します。
DHCPリレーの設定
FTDインターフェイスは、クライアントと外部DHCPサーバ間のDHCPリレーエージェントとして動作します。インターフェイスはクライアント要求をリッスンし、クライアントのアドレスを割り当てるためにDHCPサーバが必要とするクライアントのリンク情報などの重要な設定データを追加します。DHCPサーバが応答すると、インターフェイスは応答パケットをDHCPクライアントに転送します。
DHCPリレーの設定には、主に2つの設定手順があります。
ステップ 1:DHCPリレーエージェントを設定します。
ステップ 2:外部DHCPサーバを設定します。
DHCPリレーエージェントの設定
[Device] > [Device Management]に移動します。FTDアプライアンスのeditボタンをクリックします。DHCP > DHCP Relayオプションの順に移動します。 Addボタンをクリックします。
インターフェイス:インターフェイスがクライアント要求をリッスンするインターフェイスをドロップダウンリストから指定します。DHCPクライアントは、IPアドレス要求のためにこのインターフェイスに直接接続できます。
DHCPリレーの有効化:チェックボックスをオンにして、DHCPリレーサービスを有効にします。
Set Route:インターフェイスのIPアドレスをデフォルトゲートウェイとして設定するには、このチェックボックスをオンにします。
OKボタンをクリックして、DHCPリレーエージェントの設定を保存します。
外部DHCPサーバの設定
クライアント要求が転送される外部DHCPサーバのIPアドレスを指定する必要があります。
DHCPサーバを指定するには、DHCP Serverに移動して、Addをクリックします。
サーバ:DHCPサーバのIPアドレスを指定します。 ドロップダウンリストからネットワークオブジェクトを選択するか、プラス(+)アイコンをクリックしてDHCPサーバのネットワークオブジェクトを作成します。
Interface:DHCPサーバが接続するインターフェイスを指定します。
[OK] をクリックして、設定を保存します。
Saveボタンをクリックして、プラットフォーム設定を保存します。 Deployオプションに移動し、変更を適用するFTDアプライアンスを選択し、Deployボタンをクリックして、プラットフォーム設定の導入を開始します。
監視とトラブルシューティング
- DHCPサーバ/リレーの設定を開始する前に、FTDがFMCに登録されていることを確認します。
- DHCPリレー設定でDHCPサーバへの接続を確認します。
> system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ><Press Enter> firepower# ping <DHCP_SERVER_IP>
- FTD CLIでDHCP関連の設定を確認します。FTD CLIに管理インターフェイスにログインして、次のコマンドを実行できます。
firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!
- ポリシー展開が正常に適用されていることを確認します。
- 自動設定または手動設定のいずれかで、正しいDNS/WINSサーバエントリを設定していることを確認します。
- IPアドレスプールは、インターフェイスIPアドレスと同じサブネットに含めることができます。
- インターフェイスにIPアドレスと論理名を設定できることを確認します。
- クライアントがIPアドレスを取得しないという問題のトラブルシューティングを行うには、FTDルーテッドインターフェイスでパケットキャプチャを取得します。パケットキャプチャでは、DHCPサーバのDORAプロセスを確認できます。CLIおよびASDM設定例を使用したASAパケットキャプチャを使用して、パケットキャプチャを取得できます。
- コマンドラインからDHCPの統計情報を確認します。
firepower# show dhcpd statistics
- CLIでDHCPバインディング情報を確認します。
firepower# show dhcpd binding
- Devices > Platform Settings > FTD Policy > System logging で適切なロギングを有効にし、プラットフォーム設定をFTDに展開します。FTD CLIにログインし、コマンドを実行してSyslogメッセージを確認します。
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show logging
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
03-Jun-2024 |
タイトル、概要、およびフォーマットを更新。 |
2.0 |
03-May-2023 |
代替テキストが追加されました。
目次、イントロダクション、SEO、スタイル要件、機械翻訳、ドイツ語、スペルチェック、フォーマットが更新されました。 |
1.0 |
06-May-2016 |
初版 |
フィードバック