使用FMC在FTD上設定DHCP伺服器和中繼

下載選項

  • PDF     (781.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (403.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (378.2 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 6 月 3 日
文件 ID:200475

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

      

    簡介

    本檔案介紹透過Firepower管理中心在Firepower威脅防禦(FTD)中設定DHCP伺服器和中繼服務。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • Firepower技術知識
    • 自適應安全裝置(ASA)的基本知識
    • 動態主機控制協定(DHCP)伺服器/DHCP中繼的知識

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 適用於運行軟體版本6.0.1及更高版本的ASA (5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)的ASA Firepower威脅防禦映像。
    • 適用於運行軟體版本6.0.1及更高版本的ASA (5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)的ASA Firepower威脅防禦映像。
    • Firepower管理中心(FMC) 6.0.1版及更高版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    注意:FTD裝置可以註冊到FMC。按一下向FireSIGHT管理中心註冊裝置以向FMC註冊FTD。                 

    背景資訊

    DHCP自動向DHCP客戶端提供網路配置引數,如IP地址、DNS伺服器詳細資訊和其他引數。FTD路由介面可以充當DHCP伺服器,為使用者端提供IP位址。 

    FTD向內部使用者端提供DHCP中繼服務,其中使用者端連線到FTD的其中一個介面,而外部DHCP伺服器連線到另一個介面。 中繼服務操作對客戶端是透明的。 

    配置DHCP伺服器

    要配置DHCP伺服器,請登入到FMC GUI並導航到Devices > Device Management。 按一下FTD裝置的edit按鈕。導航到DHCP頁籤,然後按一下DHCP Server頁籤。 

    配置DHCP伺服器

    要配置DHCP伺服器,請執行三個步驟。

    步驟 1.啟用DHCP伺服器/配置DHCP池。

    步驟 2.配置高級引數。

    步驟 3.配置DNS/ WINS伺服器。

    注意:在啟動DHCP配置之前,請確保必須在介面上配置IP地址和邏輯名稱。

    執行以下3個步驟配置DHCP

    啟用DHCP伺服器/配置DHCP池

    您可以使用任何路由介面作為DHCP伺服器,介面的IP地址作為終端客戶端的網關。因此,您只需定義IP地址範圍。

    要在任何介面上啟用DHCP伺服器,請按一下Server頁籤中的Add按鈕。

    介面:從下拉選單中選擇要啟用DHCP伺服器的介面。

    地址池:指定IP地址範圍。 

    啟用DHCP伺服器:啟用該覈取方塊,以在此介面上啟用DHCP伺服器。

    啟用DHCP伺服器

    按一下OK 以儲存DHCP配置。 

    配置DNS/WINS伺服器

    DHCP伺服器向終端客戶端提供DNS/WINS/域名引數以及IP地址詳細資訊。這些引數有助於名稱解析。因此,正確配置這些引數非常重要。 

    配置此選項有兩個選項:

    首先,如果任何FTD介面設定為DHCP使用者端,則可以選擇Auto-Configuration選項。 此方法從DHCP伺服器獲取DNS/ WINS/域名資訊的配置,並將相同資訊提供給DHCP客戶端。 

    第二,您可以設定您自己的DNS/WINS網域名稱引數,這些引數會提供給終端使用者端。 

    要對此進行配置,請導航到DHCP頁籤。 

    • Ping逾時:為了避免位址衝突,FTD會在將位址指定給DHCP使用者端之前,將兩個ICMP Ping封包傳送到位址。此命令為這些資料包指定超時值。
    • 租用長度:此租用等於租期到期前客戶端可以使用其分配的IP地址的時間(以秒為單位)。
    • 自動配置:啟用此覈取方塊可配置DNS/WINS/域名的自動配置。
    • 介面:指定充當DHCP客戶端的介面。

    覆蓋自動配置的設定:如果要將自己的DNS/WINS/域名分配給終端客戶端,請配置此選項。 

    域名:指定域名。 

    主要DNS伺服器:指定主要DNS伺服器。您可以從下拉式清單中選取網路物件,或按一下加號(+)圖示,然後為主要DNS伺服器建立網路物件。 

    輔助DNS伺服器:指定輔助DNS伺服器。您可以從下拉式清單中選取網路物件,或按一下加號(+)圖示,為次要DNS伺服器建立網路物件。 

    主WINS伺服器:指定輔助DNS伺服器。您可以從下拉式清單中選取網路物件,或按一下加號(+)圖示,為次要DNS伺服器建立網路物件。 

    輔助WINS伺服器:指定輔助DNS伺服器。您可以從下拉式清單中選取網路物件,或按一下加號(+)圖示,為次要DNS伺服器建立網路物件。 

    設定DNS/WINS伺服器

    設定進階引數

      

    FTD介面的DHCP伺服器能夠包含DHCP代碼和選項。例如,Cisco IP電話可以向DHCP伺服器傳送帶有選項(150/66)的請求,以獲取TFTP伺服器的IP地址,以便電話可以從TFTP伺服器下載韌體。 

     要對此進行配置,請導航到DHCP > Advanced選項,然後按一下Add。 

    • 選項代碼:按照RFC 2132、RFC 2562、RFC 5510中列出的說明指定選項代碼。
    • 型別:從下拉式清單中指定型別。
    • IP地址1:如果您選擇type option as IP,請指定第一個TFTP伺服器的IP地址。
    • IP地址2:如果您選擇type option as IP,請指定第一個TFTP伺服器的IP地址。 
    • ASCII:如果您選擇「型別」選項為ASCII,請指定ASCII值。
    • 十六進位:如果您選擇文字選項作為十六進位,請指定十六進位值。 

    設定進階引數

    按一下OK 儲存配置。 

    按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇您要套用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。  

    按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇您要套用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。 

    配置DHCP中繼 

    FTD介面在使用者端與外部DHCP伺服器之間作為DHCP中繼代理運作。介面偵聽客戶端請求並增加重要的配置資料,例如DHCP伺服器為客戶端分配地址所需的客戶端鏈路資訊。當DHCP伺服器響應時,介面將應答資料包轉發回DHCP客戶端。 

      

    DHCP中繼的配置主要有兩個配置步驟。

    步驟 1.配置DHCP中繼代理。

    步驟 2.配置外部DHCP伺服器。

    配置DHCP中繼代理

    導航到裝置>裝置管理。按一下FTD裝置的edit按鈕。導航到DHCP > DHCP中繼選項。 按一下Add按鈕。 

    介面:從下拉式清單中指定介面,介面會在其中監聽從屬端要求。DHCP客戶端可以直接連線到此介面以請求IP地址。 

    啟用DHCP中繼:啟用該覈取方塊以啟用DHCP中繼服務。 

    Set Route:啟用此覈取方塊可將介面IP地址設定為預設網關。 

    配置DHCP中繼代理

    按一下OK 按鈕以儲存DHCP中繼代理配置。 

      

    配置外部DHCP伺服器

    您需要指定轉發客戶端請求的外部DHCP伺服器的IP地址。 

    要指定DHCP伺服器,請導航到DHCP Server,然後按一下Add。 

    伺服器:指定DHCP伺服器的IP地址。 您可以從下拉式清單中選取網路物件,或按一下加號(+)圖示,然後為DHCP伺服器建立網路物件。 

    介面:指定DHCP伺服器連線的介面。 

    配置外部DHCP伺服器

    按一下OK儲存配置。 

    按一下Save按鈕以儲存平台設定。 導覽至Deploy選項,選擇您要套用變更的FTD裝置,然後按一下Deploy按鈕以開始部署平台設定。  

    監控和故障排除

      

    • 開始設定DHCP伺服器/中繼之前,請確定FTD已註冊到FMC。
    • 在DHCP中繼配置中驗證與DHCP伺服器的連線。
    > system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# ping <DHCP_SERVER_IP>
    • 在FTD CLI中驗證DHCP相關組態。您可以登入FTD CLI至管理介面並執行命令
    firepower# show running-config dhcpd.
    dhcpd auto_config Inside-2
    !
    dhcpd address 192.168.10.3-192.168.10.7 Inside
    !
    •  確保已順利套用原則部署。
    •  確保透過自動配置或手動配置來配置正確的DNS/WINS伺服器條目。
    •  IP地址池可以位於介面IP地址的同一子網中。
    •  確保可以在介面上配置IP地址和邏輯名稱。
    •  您可以在FTD路由介面上擷取封包,以排解疑難問題,其中使用者端未取得IP位址。在資料包捕獲中,您可以驗證DHCP伺服器的DORA進程。您可以使用ASA資料包捕獲與CLI和ASDM配置示例來進行資料包捕獲。
    • 從命令列驗證DHCP 統計資訊
    firepower# show dhcpd statistics 
    • CLI驗證DHCP繫結資訊。
     firepower# show dhcpd binding
    • Devices > Platform Settings > FTD Policy > System logging 啟用相應的日誌記錄,並將平台設定部署到FTD。登入FTD CLI並執行命令以檢查Syslog訊息。
     Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.

    firepower# show logging

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    3.0
    03-Jun-2024
    已更新標題、簡介和格式。
    2.0
    03-May-2023
    增加了Alt文本。 更新後的目錄、簡介、SEO、樣式需求、機器翻譯、德語、拼字和格式設定。
    1.0
    06-May-2016
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Prashant Joshi
      Solutions Engineer
    • Sunil Kumar
      Software Engineer
    • Avinash Nepaliya
      Customer Delivery Architect

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品