在FTD上配置Anyconnect VPN客户端:用于地址分配的DHCP服务器
目录
简介
本文档提供版本6.4上Firepower威胁防御(FTD)的配置示例,该示例允许远程访问VPN会话获取由第三方动态主机配置协议(DHCP)服务器分配的IP地址。
先决条件
要求
Cisco 建议您了解以下主题:
- FTD
- Firepower管理中心(FMC)。
- DHCP
使用的组件
本文档中的信息基于以下软件版本:
- FMC 6.5
- FTD 6.5
- Windows Server 2016
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
本文档将不描述整个远程访问配置,而只是FTD中从本地地址池更改为DHCP地址分配所需的配置。
如果您正在查找AnyConnect配置示例文档,请参阅“在FTD上配置AnyConnect VPN客户端:Hairping and NAT Exemption”文档。
配置
步骤1.在DHCP服务器中配置DHCP范围
在此场景中,DHCP服务器位于FTD的内部接口后面。
1.在Windows Server中打开Server Manager,然后选择“工具”,如图所示。
2.选择DHCP:
3.选择IPv4,右键单击它,然后选择“新建范围”,如图所示。
4.按照图像所示执行向导。
5.为范围指定名称,如图所示。
6.配置地址范围,如图所示。
7.(可选)配置如图所示的排除项。
8.如图所示配置租用持续时间。
9.(可选)配置DHCP范围选项:
10:选择“完成”,如图所示。
11:在刚创建的范围中右键单击,然后选择激活(如图所示)。
步骤2.配置AnyConnect
配置并激活DHCP范围后,FMC中将执行下一个步骤。
步骤2.1.配置连接配置文件
1.在“DHCP服务器”部分,选择 
符号,并使用DHCP服务器的IP地址创建对象。
2.选择对象作为DHCP服务器,以便从请求IP地址,如图所示。
步骤2.2.配置组策略
1.在“组策略”菜单中,导航到“常规”>“DNS/WINS”,其中有DHCP网络范围部分,如图所示。
2.创建新对象,此对象必须具有与DHCP服务器相同的网络范围。
3.选择DHCP范围对象,然后选择“保存”,如图所示。
步骤2.3.配置地址分配策略
1.导航至Advanced > Address Assignment Policy,并确保Use DHCP 选项已切换,如图所示。
2.保存更改并部署配置。
IP帮助程序场景
当DHCP服务器位于局域网(LAN)中的另一台路由器后面时,需要“IP助手”才能将请求转发到DHCP服务器。
如图所示,拓扑说明了场景和网络中的必要更改。
验证
使用本部分可确认配置能否正常运行。
本节介绍FTD和DHCP服务器之间交换的DHCP数据包。
- 发现:这是从FTD的内部接口发送到DHCP服务器的单播数据包。
- 在负载中,中继代理IP地址指定DHCP服务器的范围,如图所示。
- 优惠:此数据包是来自DHCP服务器的响应,它随DHCP服务器源和FTD中DHCP范围的目的地一起提供。
- 请求:这是从FTD的内部接口发送到DHCP服务器的单播数据包。
- 确认:此数据包是来自DHCP服务器的响应,它随DHCP服务器源和FTD中DHCP范围的目的地一起提供。
故障排除
本部分提供的信息可用于对配置进行故障排除。
步骤1.在DHCP服务器中下载并启用wireshark。
步骤2.应用DHCP作为捕获过滤器,如图所示。
步骤3.登录Anyconnect时,DHCP协商应如图所示。
相关信息
- 此视频提供了FTD的配置示例,该示例允许远程访问VPN会话获取由第三方DHCP服务器分配的IP地址。
反馈