Soporte PIX 500 Series Security Appliance y Cisco Adaptive Security Appliance (ASA) que opera como servidores de Dynamic Host Configuration Protocol (DHCP) y clientes DHCP. El DHCP es un protocolo que suministra los parámetros de la configuración automática tales como una dirección IP una máscara de subred, un gateway predeterminado, servidor DNS, y dirección IP del servidor a los hosts.
El Dispositivo de Seguridad puede actuar como un servidor DHCP o DHCP cliente. Cuando actúa como servidor, el Dispositivo de Seguridad proporciona los parámetros de la configuración de red directamente a clientes DHCP. Cuando actúa como cliente DHCP , el Dispositivo de Seguridad solicita los parámetros de la configuración de un servidor DHCP.
Este documento se centra en cómo configurar el servidor DHCP y el cliente DHCP cliente con el Cisco Adaptive Security Device Manager (ASDM) en el Dispositivo de Seguridad.
Este documento asume que el Dispositivo de Seguridad PIX o ASA funciona correctamente y está bien configurado para permitir que el ASDM de Cisco haga los cambios en las configuraciones.
Nota: Consulte Cómo Permitir el Acceso HTTPS para ASDM para permitir que el dispositivo sea configurado por ASDM.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
PIX 500 Series Security Appliance 7.x
Nota: La configuración de PIX CLI utilizada en la versión 7.x también es aplicable a PIX 6.x. La única diferencia es que en las versiones anteriores a PIX 6.3, el servidor DHCP se puede habilitar solamente en la interfaz interior. En PIX 6.3 y posterior el servidor DHCP se puede habilitar en cualquiera de las interfaces disponibles. En esta configuración la interfaz exterior se utiliza para la función del servidor DHCP.
ASDM 5.x
Nota: ASDM sólo soporta PIX 7.0 y versiones posteriores. El PIX Device Manager (PDM) está disponible para configurar PIX versión 6.x .Consulte Compatibilidad de Hardware y Software de Cisco ASA 5500 Series y PIX 500 Series Security Appliance para obtener más información.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con Cisco ASA 7.x.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta configuración, hay dos Dispositivos de Seguridad PIX que funcionan con la versión 7.x. Uno funciona como un servidor DHCP que proporciona los parámetros de la configuración a otro Dispositivo de Seguridad 7.x PIX que funciona como un cliente DHCP. Cuando funciona como un servidor DHCP, el PIX asigna dinámicamente las direcciones IP a los clientes DHCP de un conjunto de direcciones IP señalados.
Puede configurar un servidor DHCP en cada interfaz del Dispositivo de Seguridad. Cada interfaz puede tener su propia agrupación de direcciones para extraer. Sin embargo, las otras configuraciones del DHCP, tales como servidores DNS, nombre de dominio, opciones, tiempo de espera del ping, y servidores WINS se configuran de forma global y son utilizadas por el servidor DHCP en todas las interfaces.
No puede configurar los servicios de un cliente DHCP o relé DHCP en una interfaz en la cual se habilita el servidor. Además, los clientes DHCP se deben conectar directamente con la interfaz en la cual se habilita el servidor.
Finalmente, mientras que el servidor DHCP se habilita en una interfaz, no puede cambiar la dirección IP de esa interfaz.
Nota: Básicamente, no hay ninguna opción de configuración para establecer la dirección de gateway predeterminada en la respuesta DHCP enviada desde el servidor DHCP (PIX/ASA). El servidor DHCP envía siempre su propia dirección como el gateway para el cliente DHCP. Sin embargo, la definición de una ruta predeterminada que señale al router de Internet permite que el usuario acceda a Internet.
Nota: El número de direcciones del conjunto DHCP que se pueden asignar depende de la licencia utilizada en el dispositivo de seguridad (PIX/ASA). Si utiliza la licencia Base/Security Plus, los límites se aplican al conjunto DHCP. Si el límite del Host es 10 hosts, limita al conjunto DHCP a 32 direcciones. Si el límite del Host es 50 hosts, limita el conjunto DHCP a 128 direcciones. Si el límite del Host es ilimitado, limita el conjunto DHCP a 256 direcciones. Así la agrupación de direcciones se limita en función del número de hosts.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
En este documento, se utilizan estas configuraciones:
Siga estos pasos para configurar el Dispositivo de Seguridad PIX o ASA como servidor DHCP con ASDM.
Elija Configuration > Properties > DHCP Services > DHCP Server de la ventana Home. Seleccione una interfaz y haga clic en Edit para habilitar el servidor DHCP y para crear a conjunto de direcciones DHCP.
El conjunto de direcciones debe estar en la misma subred que la interfaz del Dispositivo de Seguridad. En este ejemplo, el servidor DHCP se configura en la interfaz exterior del Dispositivo de Seguridad PIX.
Verifique Enable servidor DHCP en la interfaz exterior para escuchar las solicitudes de los clientes DHCP. Proporcione el conjunto de direcciones que se ejecutará al cliente DHCP y haga clic la OK para volver a la ventana principal.
Verifique Enable auto-configuration on the interface para que el servidor DHCP configure automáticamente el DNS, WINS y el Nombre de dominio predeterminado para el cliente DHCP. Haga clic en Apply para poner la configuración actual del Dispositivo de Seguridad.
Siga estos pasos para configurar el Dispositivo de Seguridad PIX como Cliente DHCP cliente con ASDM.
Elija Configuration > Interfaces y haga clic en Edit para habilitar la interfaz Ethernet0 y obtener los parámetros de configuración como la dirección IP con una máscara de subred, gateway predeterminado, servidor DNS y dirección IP de servidor WINS desde el servidor DHCP.
Verifique Enable Interface e ingrese el Nombre de la Interfaz y el Nivel de Seguridad para la interfaz. Elija Obtain address via DHCP para la dirección IP y Obtain default route using DHCP para el gateway predeterminado y luego haga clic en OK para ir a la ventana Principal.
Haga clic en Apply para ver la dirección IP obtenida para la Interfaz Ethernet0 desde el servidor DHCP.
Esta configuración es creada por el ASDM:
Servidor DHCP |
---|
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 ! !--- Output is suppressed. logging enable logging asdm informational mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm-511.bin http server enable http 10.0.0.0 255.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 !--- Specifies a DHCP address pool and the interface for the client to connect. dhcpd address 192.168.1.5-192.168.1.7 outside !--- Specifies the IP address(es) of the DNS and WINS server !--- that the client uses. dhcpd dns 192.168.0.1 dhcpd wins 172.0.0.1 !--- Specifies the lease length to be granted to the client. !--- This lease equals the amount of time (in seconds) the client !--- can use its allocated IP address before the lease expires. !--- Enter a value between 0 to 1,048,575. The default value is 3600 seconds. dhcpd lease 3600 dhcpd ping_timeout 50 dhcpd auto_config outside !--- Enables the DHCP daemon within the Security Appliance to listen for !--- DHCP client requests on the enabled interface. dhcpd enable outside dhcprelay timeout 60 ! !--- Output is suppressed. service-policy global_policy global Cryptochecksum:7a8cd028ee1c56083b64237c832fb5ab : end |
Esta configuración es creada por el ASDM:
DHCP Client |
---|
pixfirewall#show running-config PIX Version 7.1(1) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif outside security-level 0 !--- Configures the Security Appliance interface as a DHCP client. !--- The setroute keyword causes the Security Appliance to set the default !--- route using the default gateway the DHCP server returns. ip address dhcp setroute ! interface Ethernet1 nameif inside security-level 100 ip address 10.0.0.14 255.0.0.0 !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging console debugging logging asdm informational mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-511.bin no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.0.0.0 255.0.0.0 inside !--- Output is suppressed. ! service-policy global_policy global Cryptochecksum:86dd1153e8f14214524359a5148a4989 : end |
Siga estos pasos para verificar las estadísticas del DHCP y la información obligatoria del servidor DHCP y el DHCP cliente con ASDM.
Elija Monitoring > Interfaces > DHCP > DHCP Statistics del servidor DHCP para verificar las estadísticas DHCP, como DHCPDISCOVER, DHCPREQUEST, DHCPOFFER, y DHCPACK.
Ingrese el comando show dhcpd statistics del CLI para ver las estadísticas DHCP.
Elija Monitoring > Interfaces > DHCP > DHCP Client Lease Information del cliente DHCP para ver información sobre la conexión del DHCP.
Ingrese el comando show dhcpd binding para ver información de conexión del DHCP desde el CLI.
Elija Monitoring > Logging > Real-time Log Viewer para seleccionar el Nivel de Registro y el buffer limit para ver los mensajes Log en Tiempo Real.
Vea los eventos en tiempo real del registro del cliente DHCP. La dirección IP se asigna a la interfaz exterior del cliente DHCP.
Use esta sección para confirmar que su configuración funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug dhcpd event: muestra información del evento asociada al servidor DHCP.
debug dhcpd packet: muestra información del paquete asociada al servidor DHCP.
CiscoASA(config)#dhcpd address 10.1.1.10-10.3.1.150 inside Warning, DHCP pool range is limited to 256 addresses, set address range as: 10.1.1.10-10.3.1.150
Explicación: El tamaño del conjunto de direcciones está limitado a 256 direcciones por conjunto en el dispositivo de seguridad. Esto no se puede cambiar y es una limitación del software. El total sólo puede llegar a 256. Si el rango del conjunto de direcciones es superior a 253 direcciones (por ejemplo 254, 255, 256), la máscara de red de la interfaz del dispositivo de seguridad no puede ser una dirección de clase C (por ejemplo, 255.255.255.0). Necesita ser algo más grande, por ejemplo, 255.255.254.0.
Pregunta - ¿Es posible asignar una dirección IP estática/permanente al equipo que utiliza el ASA como el servidor DHCP?
Respuesta - No es posible si se usa el PIX/ASA.
Pregunta - ¿Es posible unir direcciones DHCP a direcciones MAC específicas en el ASA?
Respuesta - No, no es posible.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
01-Jun-2006 |
Versión inicial |