DHCP サーバおよびクライアントとしての PIX/ASA の設定例

ダウンロード オプション

  • PDF     (728.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (506.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (731.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 10 月 13 日
Document ID:70391

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

PIX 500 シリーズのセキュリティ アプライアンスと Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)は、Dynamic Host Configuration Protocol(DHCP)サーバと DHCP クライアントのいずれとしても動作できます。DHCP とは、サブネット マスク付きの IP アドレス、デフォルト ゲートウェイ、DNS サーバ、WINS サーバの IP アドレスなどの設定パラメータを自動的にホストに付与するためのプロトコルです。

セキュリティ アプライアンスは DHCP サーバまたは DHCP クライアントとして動作できます。セキュリティ アプライアンスがサーバとして動作する場合には、ネットワークの設定パラメータはセキュリティ アプライアンスにより直接 DHCP クライアントに付与されます。セキュリティ アプライアンスが DHCP クライアントとして動作する場合には、これらのパラメータはセキュリティ アプライアンスから DHCP サーバに要求されます。

このドキュメントでは、セキュリティ アプライアンスの Cisco Adaptive Security Device Manager(ASDM)を使用して、DHCP サーバと DHCP クライアントを設定する方法に重点を置いて説明しています。

前提条件

要件

このドキュメントでは、PIX セキュリティ アプライアンスまたは ASA が完全に動作していて、Cisco ASDM で設定を変更できるように設定されていることを想定しています。

注:デバイスをASDMで設定できるようにする方法については、『ASDMのHTTPSアクセスの許可』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • PIX 500 シリーズ セキュリティ アプライアンス 7.x

    注:バージョン7.xで使用されているPIX CLIの設定は、PIX 6.xにも適用できます。唯一の違いは、PIX 6.3 より前のバージョンでは DHCP サーバを内側のインターフェイスでしかイネーブルにできないことです。PIX 6.3 以降では、DHCP サーバは使用可能なすべてのインタフェイスでイネーブルにできます。この設定では、DHCP サーバの機能を外部インターフェイスで使用します。

  • ASDM 5.x

    注:ASDMでサポートされるのはPIX 7.0以降だけです。PIX Device Manager(PDM)は、PIX バージョン 6.x の設定に使用できます。詳細については、『Cisco ASA 5500 シリーズ/PIX 500 シリーズ セキュリティ アプライアンスのハードウェアおよびソフトウェアの互換性』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco ASA 7.x にも使用できます。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この設定では、バージョン 7.x が稼働している 2 台の PIX セキュリティ アプライアンスを使用しています。片方が DHCP サーバとして動作して、もう一方の DHCP クライアントとして動作する PIX セキュリティ アプライアンス 7.x に設定パラメータを与えます。DHCP サーバとして機能する場合、PIX は指定されている IP アドレスのプールから IP アドレスを DHCP クライアントに動的に割り当てます。

セキュリティ アプライアンスの各インターフェイスで DHCP サーバを設定できます。各インターフェイスにはアドレスを引き出すための独自のアドレス プールを置くことができます。ただし、DNS サーバ、ドメイン名、オプション、ping タイムアウト、WINS サーバなどの他の DHCP 設定は、すべてのインターフェイスについて DHCP サーバでグローバルに設定して使用します。

サーバがイネーブルになっているインターフェイスでは、DHCP クライアントや DHCP リレー サービスを設定できません。さらに、DHCP クライアントはサーバがイネーブルになっているインターフェイスに、直接に接続されている必要があります。

そして、あるインターフェイスで DHCP サーバがイネーブルになっているときには、そのインターフェイスの IP アドレスは変更できません。

注:基本的に、DHCPサーバ(PIX/ASA)から送信されるDHCP応答にデフォルトゲートウェイアドレスを設定する設定オプションはありません。DHCPサーバは常に、自身のアドレスをDHCPクライアントのゲートウェイとして送信します。ただし、インターネットルータをポイントするデフォルトルートを定義すると、ユーザはインターネットに到達できます。

注:割り当てることができるDHCPプールアドレスの数は、セキュリティアプライアンス(PIX/ASA)で使用されているライセンスによって異なります。Base/Security Plusライセンスを使用する場合、これらの制限がDHCPプールに適用されます。ホストの制限が10台のホストの場合、DHCPプールは32アドレスに制限されます。ホストの制限が50のホストの場合、DHCPプールは128アドレスに制限されます。ホストの制限が無制限の場合は、DHCPプールを256アドレスに制限します。したがって、アドレスプールはホストの数に基づいて制限されます。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

このドキュメントでは、次のコンフィギュレーションを使用します。

ASDM を使用した DHCP サーバの設定

ASDM を使用して PIX セキュリティ アプライアンスまたは ASA を DHCP サーバとして設定するには、次の手順を実行します。

  1. HomeウィンドウからConfiguration > Properties > DHCP Services > DHCP Serverの順に選択します。インターフェイスを選択し、Edit をクリックして、DHCP サーバをイネーブルにし、DHCP アドレス プールを作成します。

    アドレス プールはセキュリティ アプライアンスのインターフェイスと同じサブネット上にある必要があります。この例では、DHCP サーバは PIX セキュリティ アプライアンスの外部インターフェイスに設定されています。

    pix-asa-dhcp-svr-client-1.gif

  2. DHCP クライアントの要求を受信する外部インターフェイスに対して、Enable DHCP server にチェック マークを入れます。DHCP クライアントに割り当てるアドレスのプールを指定して、OK をクリックし、メイン ウィンドウに戻ります。

    pix-asa-dhcp-svr-client-2.gif

  3. Enable auto-configuration on the interface にチェック マーク入れ、DHCP サーバで DHCP クライアントに対して DNS、WINS、デフォルトのドメイン名を自動的に設定するようにします。Apply をクリックして、セキュリティ アプライアンスの実行コンフィギュレーションをアップデートします。

    pix-asa-dhcp-svr-client-3.gif

ASDM を使用した DHCP クライアントの設定

ASDM を使用して PIX セキュリティ アプライアンスを DHCP クライアントとして設定するには、次の手順を実行します。

  1. Configuration > Interfacesの順に選択してEditをクリックし、Ethernet0インターフェイスが、サブネットマスク付きのIPアドレス、デフォルトゲートウェイ、DNSサーバ、WINSサーバのIPアドレスなどの設定パラメータをDHCPサーバから取得できるようにします。

    pix-asa-dhcp-svr-client-4.gif

  2. Enable Interface にチェック マークを入れ、インターフェイスの名前とセキュリティ レベルを入力します。IP アドレスについては Obtain address via DHCP を、デフォルト ゲートウェイについては Obtain default route using DHCP を選択し、OK をクリックしてメイン ウィンドウに戻ります。

    pix-asa-dhcp-svr-client-5.gif

  3. Apply をクリックし、DHCP サーバから取得した Ethernet0 の IP アドレスを確認します。

    pix-asa-dhcp-svr-client-6.gif

DHCP サーバの設定

この設定は ASDM で作成されたものです。

DHCP サーバ 
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.0.0.0
!

!--- Output is suppressed.



logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Specifies a DHCP address pool and the interface for the client to connect. 

dhcpd address 192.168.1.5-192.168.1.7 outside


!--- Specifies the IP address(es) of the DNS and WINS server !--- that the client uses.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1


!--- Specifies the lease length to be granted to the client. !--- This lease equals the amount of time (in seconds) the client !--- can use its allocated IP address before the lease expires. !--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside


!--- Enables the DHCP daemon within the Security Appliance to listen for !--- DHCP client requests on the enabled interface.


dhcpd enable outside
dhcprelay timeout 60
!

!--- Output is suppressed.



service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

DHCP クライアントの設定

この設定は ASDM で作成されたものです。

DHCP Client 
pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- Configures the Security Appliance interface as a DHCP client. !--- The setroute keyword causes the Security Appliance to set the default !--- route using the default gateway the DHCP server returns. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- Output is suppressed.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- Output is suppressed.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

確認

次の手順に従って、ASDM を使用して DHCP 統計情報と DHCP サーバと DHCP クライアントのバインディング情報を確認します。

  1. DHCPサーバからMonitoring > Interfaces > DHCP > DHCP Statisticsの順に選択して、DHCPDISCOVER、DHCPREQUEST、DHCPOFFER、DHCPACKなどのDHCP統計情報を確認します。

    CLI で show dhcpd statistics コマンドを入力して、DHCP の統計情報を表示します。

    pix-asa-dhcp-svr-client-7.gif

  2. DHCPクライアントからMonitoring > Interfaces > DHCP > DHCP Client Lease Informationの順に選択して、DHCPバインディング情報を表示します。

    CLI で show dhcpd binding コマンドを入力して、DHCP のバインディング情報を表示します。

    pix-asa-dhcp-svr-client-8.gif

  3. Real-time Logメッセージを表示するには、Monitoring > Logging > Real-time Log Viewerの順に選択し、Logging LevelとBuffer limitを選択します。

    pix-asa-dhcp-svr-client-9.gif

  4. DHCP クライアントからリアルタイムのログ イベントを表示します。DHCP クライアントの外部インターフェイスに IP アドレスが割り当てられています。

    pix-asa-dhcp-svr-client-10.gif

トラブルシュート

トラブルシューティングのためのコマンド

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug dhcpd event:DHCPサーバに関連付けられているイベント情報を表示します。

  • debug dhcpd packet:DHCPサーバに関連付けられているパケット情報を表示します。

エラー メッセージ 

CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside
Warning, DHCP pool range is limited to 256 addresses, set address range as:
10.1.1.10-10.3.1.150

説明:アドレスプールのサイズは、セキュリティアプライアンス上のプールあたり256アドレスに制限されています。これは変更できず、ソフトウェアの制限です。合計は256までです。アドレスプールの範囲が253アドレス(たとえば、254、255、256)よりも大きい場合、セキュリティアプライアンスインターフェイスのネットマスクをクラスCアドレス(たとえば、255.255.255.0)にすることはできません。たとえば、255.255.254.0のように、より大きな値にする必要があります。

DHCPサーバ機能をセキュリティアプライアンスに実装する方法については、『Ciscoセキュリティアプライアンスコマンドラインコンフィギュレーションガイド』を参照してください。

FAQ:アドレスの割り当て

質問:DHCPサーバとしてASAを使用しているコンピュータに、固定/固定IPアドレスを割り当てることは可能ですか。

正解:PIX/ASAを使用することはできません。

質問:DHCPアドレスをASAの特定のMACアドレスに結び付けることはできますか。

回答:いいえ、できません(受け入れることができません)。

関連情報

更新履歴

改定 発行日 コメント
1.0
01-Jun-2006
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています