FMC를 사용하여 FTD에서 DHCP 서버 및 릴레이 구성

  

소개

이 문서에서는 Firepower Management Center를 통한 FTD(Firepower Threat Defense)의 DHCP 서버 및 릴레이 서비스 구성에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• firepower 기술에 대한 지식
  
• ASA(Adaptive Security Appliance)에 대한 기본 지식
• DHCP(Dynamic Host Control Protocol) 서버/DHCP 릴레이 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA(5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X)용 ASA Firepower 위협 방어 이미지
• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA(5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X)용 ASA Firepower Threat Defense 이미지
• FMC(firepower 관리 센터) 버전 6.0.1 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

참고: FTD 어플라이언스는 FMC에 등록할 수 있습니다. FTD를 FMC에 등록하려면 Register a Device with a FireSIGHT Management Center(FireSIGHT Management Center에 디바이스 등록)를 클릭합니다.                 

배경 정보

DHCP는 IP 주소, DNS 서버 세부사항 및 기타 매개변수와 같은 네트워크 구성 매개변수를 DHCP 클라이언트에 자동으로 제공합니다. FTD 라우팅 인터페이스는 클라이언트에 IP 주소를 제공하기 위해 DHCP 서버 역할을 할 수 있습니다. 

FTD는 내부 클라이언트에 DHCP 릴레이 서비스를 제공합니다. 여기서 클라이언트는 FTD의 인터페이스 중 하나에 연결되고 외부 DHCP 서버는 다른 인터페이스에 연결됩니다. 릴레이 서비스 작업은 클라이언트에 영향을 미치지 않습니다. 

DHCP 서버 구성

DHCP 서버를 구성하려면 FMC GUI에 로그인하고 Devices(디바이스) > Device Management(디바이스 관리)로 이동합니다. FTD 어플라이언스의 edit 버튼을 클릭합니다. DHCP 탭으로 이동하고 DHCP Server(DHCP 서버) 탭을 클릭합니다. 

DHCP 서버를 구성하려면 3단계를 수행합니다.

1단계. DHCP 서버를 활성화하고 DHCP 풀을 구성합니다.

2단계. 고급 매개변수를 구성합니다.

3단계. DNS/WINS 서버를 구성합니다.

참고: DHCP 컨피그레이션을 시작하기 전에 인터페이스에서 IP 주소 및 논리적 이름을 구성해야 합니다.

DHCP 서버 활성화/DHCP 풀 구성

라우티드 인터페이스를 DHCP 서버로 사용할 수 있으며, 인터페이스의 IP 주소는 최종 클라이언트의 게이트웨이 역할을 합니다. 따라서 IP 주소 범위만 정의하면 됩니다.

인터페이스에서 DHCP 서버를 활성화하려면 Server(서버) 탭에서 Add(추가) 버튼을 클릭합니다.

Interface(인터페이스): DHCP 서버를 활성화할 드롭다운 목록에서 인터페이스를 지정합니다.

Address Pool(주소 풀): IP 주소 범위를 지정합니다. 

Enable DHCP Server(DHCP 서버 활성화): 이 인터페이스에서 DHCP 서버를 활성화하려면 이 확인란을 활성화합니다.

DHCP 컨피그레이션을 저장하려면 OK를 클릭합니다. 

DNS/WINS 서버 구성

DHCP 서버는 DNS/WINS/도메인 이름 매개변수와 IP 주소 세부 정보를 최종 클라이언트에 제공합니다. 이러한 매개변수는 이름 확인에 도움이 됩니다. 따라서 이러한 매개변수를 올바르게 구성하는 것이 중요합니다. 

이를 구성하는 두 가지 옵션이 있습니다.

먼저, FTD의 인터페이스 중 하나가 DHCP 클라이언트로 구성된 경우 Auto-Configuration 옵션을 선택할 수 있습니다. 이 방법은 DHCP 서버에서 DNS/WINS/도메인 이름 정보의 구성을 가져와 DHCP 클라이언트에 동일한 정보를 제공합니다. 

둘째, 최종 클라이언트에 제공되는 고유한 DNS/WINS 도메인 이름 매개변수를 설정할 수 있습니다. 

이를 구성하려면 DHCP 탭으로 이동합니다. 

• Ping Timeout: 주소 충돌을 방지하기 위해 FTD는 DHCP 클라이언트에 주소를 할당하기 전에 주소에 두 개의 ICMP ping 패킷을 보냅니다. 이 명령은 해당 패킷의 시간 초과 값을 지정합니다.

• 임대 길이: 이 임대는 임대 만료 전에 클라이언트가 할당된 IP 주소를 사용할 수 있는 시간(초)과 같습니다.
• Auto Configuration(자동 컨피그레이션): DNS/WINS/Domain Name(DNS/WINS/도메인 이름)에 대한 자동 컨피그레이션을 구성하려면 이 확인란을 활성화합니다.
• Interface(인터페이스): DHCP 클라이언트 역할을 하는 인터페이스를 지정합니다.

자동 구성 설정 재정의: 최종 클라이언트에 고유한 DNS/WINS/도메인 이름을 할당하려면 이 옵션을 구성합니다. 

Domain Name(도메인 이름): 도메인 이름을 지정합니다. 

주 DNS 서버: 주 DNS 서버를 지정합니다. 드롭다운 목록에서 네트워크 객체를 선택하거나 더하기(+) 아이콘을 클릭하여 기본 DNS 서버용 네트워크 객체를 생성할 수 있습니다. 

보조 DNS 서버: 보조 DNS 서버를 지정합니다. 드롭다운 목록에서 네트워크 객체를 선택하거나 더하기(+) 아이콘을 클릭하여 보조 DNS 서버에 대한 네트워크 객체를 생성할 수 있습니다. 

주 WINS 서버: 보조 DNS 서버를 지정합니다. 드롭다운 목록에서 네트워크 객체를 선택하거나 더하기(+) 아이콘을 클릭하여 보조 DNS 서버에 대한 네트워크 객체를 생성할 수 있습니다. 

보조 WINS 서버: 보조 DNS 서버를 지정합니다. 드롭다운 목록에서 네트워크 객체를 선택하거나 더하기(+) 아이콘을 클릭하여 보조 DNS 서버에 대한 네트워크 객체를 생성할 수 있습니다. 

고급 매개변수 구성

  

FTD 인터페이스의 DHCP 서버는 DHCP 코드 및 옵션을 포함할 수 있습니다. 예를 들어 Cisco IP Phone은 DHCP 서버에 옵션(150/ 66)이 포함된 요청을 보내 TFTP 서버의 IP 주소를 가져올 수 있으므로 전화기에서 TFTP 서버로부터 펌웨어를 다운로드할 수 있습니다. 

 이를 구성하려면 DHCP> Advanced(고급) 옵션으로 이동하고 Add(추가)를 클릭합니다. 

• 옵션 코드: RFC 2132, RFC 2562, RFC 5510에 나열된 대로 옵션 코드를 지정합니다.
• 유형: 드롭다운에서 유형을 지정합니다.
• IP Address 1(IP 주소 1): type(유형) 옵션을 IP로 선택한 경우 첫 번째 TFTP 서버의 IP 주소를 지정합니다.
• IP Address 2(IP 주소 2): type(유형) 옵션을 IP로 선택한 경우 첫 번째 TFTP 서버의 IP 주소를 지정합니다. 
• ASCII: type 옵션을 ASCII로 선택하는 경우 ASCII 값을 지정합니다.
• HEX: Type 옵션을 HEX로 선택하는 경우 HEX 값을 지정합니다. 

OK(확인)를 클릭하여 컨피그레이션을 저장합니다. 

플랫폼 설정을 저장하려면 Save(저장) 버튼을 클릭합니다. Deploy(구축) 옵션으로 이동하고 변경 사항을 적용할 FTD 어플라이언스를 선택한 다음 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.  

플랫폼 설정을 저장하려면 Save(저장) 버튼을 클릭합니다. Deploy(구축) 옵션으로 이동하고 변경 사항을 적용하려는 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다. 

DHCP 릴레이 구성 

FTD 인터페이스는 클라이언트와 외부 DHCP 서버 간의 DHCP 릴레이 에이전트로 작동합니다. 인터페이스는 클라이언트 요청을 수신하고 DHCP 서버가 클라이언트의 주소를 할당하는 데 필요한 클라이언트 링크 정보와 같은 중요한 컨피그레이션 데이터를 추가합니다. DHCP 서버가 응답하면 인터페이스는 응답 패킷을 DHCP 클라이언트로 다시 전달합니다. 

  

DHCP 릴레이 컨피그레이션에는 주로 두 가지 컨피그레이션 단계가 있습니다.

1단계. DHCP 릴레이 에이전트를 구성합니다.

2단계. 외부 DHCP 서버를 구성합니다.

DHCP 릴레이 에이전트 구성

Devices(디바이스) > Device Management(디바이스 관리)로 이동합니다. FTD 어플라이언스의 edit 버튼을 클릭합니다. DHCP > DHCP Relay 옵션으로 이동합니다. Add(추가) 버튼을 클릭합니다. 

Interface(인터페이스): 인터페이스가 클라이언트 요청을 수신 대기하는 드롭다운 목록에서 인터페이스를 지정합니다. DHCP 클라이언트는 IP 주소 요청을 위해 이 인터페이스에 직접 연결할 수 있습니다. 

Enable DHCP Relay(DHCP 릴레이 활성화): DHCP 릴레이 서비스를 활성화하려면 확인란을 활성화합니다. 

Set Route(경로 설정): 인터페이스 IP 주소를 기본 게이트웨이로 설정하려면 확인란을 활성화합니다. 

DHCP 릴레이 에이전트 컨피그레이션을 저장하려면 OK(확인) 버튼을 클릭합니다. 

  

외부 DHCP 서버 구성

클라이언트 요청이 전달되는 외부 DHCP 서버의 IP 주소를 지정해야 합니다. 

DHCP 서버를 지정하려면 DHCP Server(DHCP 서버)로 이동하고 Add(추가)를 클릭합니다. 

서버: DHCP 서버의 IP 주소를 지정합니다. 드롭다운 목록에서 네트워크 객체를 선택하거나 더하기(+) 아이콘을 클릭하여 DHCP 서버용 네트워크 객체를 생성할 수 있습니다. 

Interface(인터페이스): DHCP 서버가 연결되는 인터페이스를 지정합니다. 

OK(확인)를 클릭하여 컨피그레이션을 저장합니다. 

플랫폼 설정을 저장하려면 Save(저장) 버튼을 클릭합니다. Deploy(구축) 옵션으로 이동하고 변경 사항을 적용하려는 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.  

모니터링 및 문제 해결

  

• DHCP 서버/릴레이 구성을 시작하기 전에 FTD가 FMC에 등록되어 있는지 확인합니다.

• DHCP 릴레이 컨피그레이션에서 DHCP 서버에 대한 연결을 확인합니다.

> system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# ping <DHCP_SERVER_IP>

• FTD CLI에서 DHCP 관련 컨피그레이션을 확인합니다. 관리 인터페이스에 FTD CLI에 로그인하고 명령을 실행할 수 있습니다

firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!

•  정책 배포가 성공적으로 적용되었는지 확인합니다.
•  자동 컨피그레이션 또는 수동 컨피그레이션을 통해 올바른 DNS/WINS 서버 항목을 구성해야 합니다.
•  IP 주소 풀은 인터페이스 IP 주소의 동일한 서브넷에 있을 수 있습니다.
•  인터페이스에 IP 주소 및 논리 이름을 구성할 수 있는지 확인합니다.
•  FTD 라우팅 인터페이스에서 패킷 캡처를 수행하여 문제를 해결할 수 있습니다. 여기서 클라이언트는 IP 주소를 가져오지 않습니다. 패킷 캡처에서 DHCP 서버의 DORA 프로세스를 확인할 수 있습니다. CLI 및 ASDM 컨피그레이션 예와 함께 ASA 패킷 캡처를 사용하여 패킷 캡처를 수행할 수 있습니다.
• 명령행에서 DHCP 통계를 확인합니다.

firepower# show dhcpd statistics 

• CLI에서 DHCP 바인딩 정보를 확인합니다.

 firepower# show dhcpd binding

• Devices(디바이스) > Platform Settings(플랫폼 설정) > FTD Policy(FTD 정책) > System logging(시스템 로깅)에서 적절한 로깅을 활성화하고 플랫폼 설정을 FTD에 구축합니다. FTD CLI에 로그인하고 명령을 실행하여 Syslog 메시지를 확인합니다.

 Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower# show logging

관련 정보

• 기술 지원 및 문서 − Cisco Systems