DHCP 서버 및 클라이언트 컨피그레이션으로서의 PIX/ASA 예

다운로드 옵션

PDF (674.3 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (506.2 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (730.5 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2008년 10월 13일

문서 ID:70391

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

PIX 500 Series Security Appliance 및 Cisco ASA(Adaptive Security Appliance)는 DHCP(Dynamic Host Configuration Protocol) 서버 및 DHCP 클라이언트로 작동하도록 지원합니다. DHCP는 IP 주소와 서브넷 마스크, 기본 게이트웨이, DNS 서버, WINS 서버 IP 주소 등의 자동 구성 매개 변수를 호스트에 제공하는 프로토콜입니다.

보안 어플라이언스는 DHCP 서버 또는 DHCP 클라이언트 역할을 할 수 있습니다. 보안 어플라이언스가 서버로 작동하는 경우 DHCP 클라이언트에 네트워크 컨피그레이션 매개변수를 직접 제공합니다. DHCP 클라이언트로 작동하는 경우 보안 어플라이언스는 DHCP 서버에서 이러한 컨피그레이션 매개변수를 요청합니다.

이 문서에서는 보안 어플라이언스에서 Cisco ASDM(Adaptive Security Device Manager)을 사용하여 DHCP 서버 및 DHCP 클라이언트를 구성하는 방법을 중점적으로 살펴봅니다.

사전 요구 사항

요구 사항

이 문서에서는 PIX Security Appliance 또는 ASA가 완전히 작동하며 Cisco ASDM에서 컨피그레이션을 변경할 수 있도록 구성되었다고 가정합니다.

참고: 디바이스가 ASDM에 의해 구성되도록 허용하려면 ASDM에 대한 HTTPS 액세스 허용을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

PIX 500 Series Security Appliance 7.x

참고: 버전 7.x에서 사용된 PIX CLI 컨피그레이션은 PIX 6.x에도 적용됩니다. 유일한 차이점은 PIX 6.3 이전 버전에서는 DHCP 서버를 내부 인터페이스에서만 활성화할 수 있다는 것입니다. PIX 6.3 이상에서는 사용 가능한 모든 인터페이스에서 DHCP 서버를 활성화할 수 있습니다. 이 컨피그레이션에서는 외부 인터페이스가 DHCP 서버 기능에 사용됩니다.
ASDM 5.x

참고: ASDM은 PIX 7.0 이상만 지원합니다. PIX PDM(Device Manager)을 사용하여 PIX 버전 6.x를 구성할 수 있습니다. 자세한 내용은 Cisco ASA 5500 Series 및 PIX 500 Series Security Appliance 하드웨어 및 소프트웨어 호환성을 참조하십시오.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 컨피그레이션에는 버전 7.x를 실행하는 PIX Security Appliance가 두 개 있습니다. 하나는 DHCP 클라이언트로 작동하는 다른 PIX Security Appliance 7.x에 컨피그레이션 매개변수를 제공하는 DHCP 서버로 작동합니다. PIX는 DHCP 서버로 작동할 때 지정된 IP 주소 풀에서 DHCP 클라이언트에 IP 주소를 동적으로 할당합니다.

보안 어플라이언스의 각 인터페이스에서 DHCP 서버를 구성할 수 있습니다. 각 인터페이스에는 가져올 자체 주소 풀이 있을 수 있습니다. 그러나 DNS 서버, 도메인 이름, 옵션, ping 시간 초과, WINS 서버와 같은 다른 DHCP 설정은 전역적으로 구성되며 모든 인터페이스에서 DHCP 서버에 의해 사용됩니다.

서버가 활성화된 인터페이스에서는 DHCP 클라이언트 또는 DHCP 릴레이 서비스를 구성할 수 없습니다. 또한 DHCP 클라이언트는 서버가 활성화된 인터페이스에 직접 연결되어야 합니다.

마지막으로, DHCP 서버가 인터페이스에서 활성화되어 있는 동안에는 해당 인터페이스의 IP 주소를 변경할 수 없습니다.

참고: 기본적으로 DHCP 서버(PIX/ASA)에서 보낸 DHCP 회신에서 기본 게이트웨이 주소를 설정하는 컨피그레이션 옵션은 없습니다. DHCP 서버는 항상 DHCP 클라이언트의 게이트웨이로 자체 주소를 보냅니다. 그러나 인터넷 라우터를 가리키는 기본 경로를 정의하면 사용자가 인터넷에 연결할 수 있습니다.

참고: 할당할 수 있는 DHCP 풀 주소의 수는 보안 어플라이언스(PIX/ASA)에서 사용되는 라이센스에 따라 달라집니다. Base/Security Plus 라이센스를 사용하는 경우 이러한 제한이 DHCP 풀에 적용됩니다. 호스트 제한이 10개이면 DHCP 풀을 32개 주소로 제한합니다. 호스트 제한이 50개이면 DHCP 풀을 128개 주소로 제한합니다. 호스트 제한이 무제한인 경우 DHCP 풀을 256개 주소로 제한합니다. 따라서 주소 풀은 호스트 수에 따라 제한됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

이 문서에서는 다음 설정을 사용합니다.

ASDM을 사용하는 DHCP 서버 컨피그레이션
ASDM을 사용하는 DHCP 클라이언트 컨피그레이션
DHCP 서버 컨피그레이션
DHCP 클라이언트 컨피그레이션

ASDM을 사용하는 DHCP 서버 컨피그레이션

ASDM을 사용하여 PIX Security Appliance 또는 ASA를 DHCP 서버로 구성하려면 다음 단계를 완료합니다.

홈 창에서 Configuration > Properties > DHCP Services > DHCP Server를 선택합니다. 인터페이스를 선택하고 Edit를 클릭하여 DHCP 서버를 활성화하고 DHCP 주소 풀을 생성합니다.

주소 풀은 보안 어플라이언스 인터페이스와 동일한 서브넷에 있어야 합니다. 이 예에서 DHCP 서버는 PIX Security Appliance의 외부 인터페이스에 구성됩니다.
Enable DHCP server on the outside interface(외부 인터페이스에서 DHCP 서버 활성화)를 선택하여 DHCP 클라이언트의 요청을 수신합니다. DHCP 클라이언트에 발급할 주소 풀을 제공하고 OK(확인)를 클릭하여 Main(기본) 창으로 돌아갑니다.
Enable auto-configuration on the interface(인터페이스에서 자동 컨피그레이션 활성화)를 선택하여 DHCP 서버가 DHCP 클라이언트의 DNS, WINS 및 기본 Domain Name(도메인 이름)을 자동으로 구성합니다. Apply(적용)를 클릭하여 보안 어플라이언스의 실행 중인 컨피그레이션을 업데이트합니다.

ASDM을 사용하는 DHCP 클라이언트 컨피그레이션

ASDM을 사용하여 PIX Security Appliance를 DHCP 클라이언트로 구성하려면 다음 단계를 완료하십시오.

Configuration(컨피그레이션) > Interfaces(인터페이스)를 선택하고 Edit(편집)를 클릭하여 Ethernet0 인터페이스가 DHCP 서버에서 서브넷 마스크가 있는 IP 주소, 기본 게이트웨이, DNS 서버 및 WINS 서버 IP 주소와 같은 컨피그레이션 매개변수를 가져올 수 있게 합니다.
Enable Interface(인터페이스 활성화)를 선택하고 인터페이스의 Interface Name(인터페이스 이름) 및 Security Level(보안 레벨)을 입력합니다. Obtain address via DHCP for the IP address(IP 주소에 대해 DHCP를 통해 주소 가져오기)와 Obtain default route using DHCP for the default gateway(기본 게이트웨이에 대해 DHCP를 사용하여 기본 경로 가져오기)를 선택한 다음 OK(확인)를 클릭하여 Main(기본) 창으로 이동합니다.
Apply(적용)를 클릭하여 DHCP 서버에서 Ethernet0 인터페이스에 대해 얻은 IP 주소를 확인합니다.

DHCP 서버 컨피그레이션

이 컨피그레이션은 ASDM에서 생성합니다.

DHCP 서버
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 ! !--- Output is suppressed. logging enable logging asdm informational mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm-511.bin http server enable http 10.0.0.0 255.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 !--- Specifies a DHCP address pool and the interface for the client to connect. dhcpd address 192.168.1.5-192.168.1.7 outside !--- Specifies the IP address(es) of the DNS and WINS server !--- that the client uses. dhcpd dns 192.168.0.1 dhcpd wins 172.0.0.1 !--- Specifies the lease length to be granted to the client. !--- This lease equals the amount of time (in seconds) the client !--- can use its allocated IP address before the lease expires. !--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds. dhcpd lease 3600 dhcpd ping_timeout 50 dhcpd auto_config outside !--- Enables the DHCP daemon within the Security Appliance to listen for !--- DHCP client requests on the enabled interface. dhcpd enable outside dhcprelay timeout 60 ! !--- Output is suppressed. service-policy global_policy global Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab : end

DHCP 서버

pixfirewall#show running-config
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!

!--- Output is suppressed.

logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

http server enable
http 10.0.0.0 255.0.0.0 inside

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0

!--- Specifies a DHCP address pool and the interface for the client to connect.

dhcpd address 192.168.1.5-192.168.1.7 outside

!--- Specifies the IP address(es) of the DNS and WINS server !--- that the client uses.

dhcpd dns 192.168.0.1
dhcpd wins 172.0.0.1

!--- Specifies the lease length to be granted to the client. !--- This lease equals the amount of time (in seconds) the client !--- can use its allocated IP address before the lease expires. !--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds.

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd auto_config outside

!--- Enables the DHCP daemon within the Security Appliance to listen for !--- DHCP client requests on the enabled interface.

dhcpd enable outside
dhcprelay timeout 60
!

!--- Output is suppressed.

service-policy global_policy global
Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab
: end

DHCP 클라이언트 컨피그레이션

이 컨피그레이션은 ASDM에서 생성합니다.

DHCP 클라이언트
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 !--- Configures the Security Appliance interface as a DHCP client. !--- The setroute keyword causes the Security Appliance to set the default !--- route using the default gateway the DHCP server returns. ip address dhcp setroute ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.14 255.0.0.0 !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging console debugging logging asdm informational mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-511.bin no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.0.0.0 255.0.0.0 inside !--- Output is suppressed. ! service-policy global_policy global Cryptochecksum:86dd1153e8f14214524359a5148a4989 : end

DHCP 클라이언트

pixfirewall#show running-config 
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0


!--- Configures the Security Appliance interface as a DHCP client. !--- The setroute keyword causes the Security Appliance to set the default !--- route using the default gateway the DHCP server returns. 


 ip address dhcp setroute

!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.14 255.0.0.0


!--- Output is suppressed.



!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24

logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover

asdm image flash:/asdm-511.bin

no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.0.0.0 255.0.0.0 inside


!--- Output is suppressed.


!
service-policy global_policy global
Cryptochecksum:86dd1153e8f14214524359a5148a4989
: end

다음을 확인합니다.

ASDM을 사용하여 DHCP 서버 및 DHCP 클라이언트에서 DHCP 통계 및 바인딩 정보를 확인하려면 다음 단계를 완료하십시오.

DHCP 서버에서 Monitoring > Interfaces > DHCP > DHCP Statistics를 선택하여 DHCPDISCOVER, DHCPREQUEST, DHCPOFFER, DHCPACK과 같은 DHCP 통계를 확인합니다.

DHCP 통계를 보려면 CLI에서 show dhcpd statistics 명령을 입력합니다.
DHCP 클라이언트에서 Monitoring > Interfaces > DHCP > DHCP Client Lease Information을 선택하여 DHCP 바인딩 정보를 확인합니다.

CLI에서 DHCP 바인딩 정보를 보려면 show dhcpd binding 명령을 입력합니다.
Monitoring(모니터링) > Logging(로깅) > Real-time Log Viewer(실시간 로그 뷰어)를 선택하여 로깅 레벨 및 버퍼 제한을 선택하여 실시간 로그 메시지를 확인합니다.
DHCP 클라이언트에서 실시간 로그 이벤트를 확인합니다. IP 주소는 DHCP 클라이언트의 외부 인터페이스에 할당됩니다.

문제 해결

트러블슈팅 명령

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

참고: debug 명령을 사용하기 전에 Debug 명령에 대한 중요 정보를 참조하십시오.

debug dhcpd event - DHCP 서버와 연결된 이벤트 정보를 표시합니다.
debug dhcpd packet - DHCP 서버와 연결된 패킷 정보를 표시합니다.

오류 메시지

CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside
Warning, DHCP pool range is limited to 256 addresses, set address range as:
10.1.1.10-10.3.1.150

설명: 주소 풀의 크기는 보안 어플라이언스의 풀당 256개의 주소로 제한됩니다. 이는 변경할 수 없으며 소프트웨어 제한 사항입니다. 총계는 256이 될 수 있습니다. 주소 풀 범위가 253개 주소(예: 254, 255, 256)보다 크면 보안 어플라이언스 인터페이스의 넷마스크는 클래스 C 주소(예: 255.255.255.0)가 될 수 없습니다. 예를 들어 255.255.254.0과 같이 더 큰 것이어야 합니다.

보안 어플라이언스에 DHCP 서버 기능을 구현하는 방법에 대한 자세한 내용은 Cisco Security Appliance Command Line Configuration Guide를 참조하십시오.

FAQ: 주소 할당

질문 - ASA를 DHCP 서버로 사용하는 컴퓨터에 고정/영구 IP 주소를 할당할 수 있습니까?

Answer(대답) - PIX/ASA를 사용할 수 없습니다.

Question(질문) - DHCP 주소를 ASA의 특정 MAC 주소에 연결할 수 있습니까?

Answer(답변) - 아니요, 불가능합니다.