使用FMC在FTD上配置DHCP服务器和中继
简介
本文档介绍通过Firepower管理中心在Firepower威胁防御(FTD)中配置DHCP服务器和中继服务。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower技术知识
- 自适应安全设备(ASA)基础知识
- 动态主机控制协议(DHCP)服务器/DHCP中继的知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 用于运行软件版本6.0.1及更高版本的ASA(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)的ASA Firepower威胁防御映像。
- 用于运行软件版本6.0.1及更高版本的ASA(5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)的ASA Firepower威胁防御映像。
- Firepower管理中心(FMC) 6.0.1版及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
DHCP自动向DHCP客户端提供网络配置参数,如IP地址、DNS服务器详细信息和其他参数。FTD路由接口可以充当DHCP服务器,为客户端提供IP地址。
FTD向内部客户端提供DHCP中继服务,其中客户端连接到FTD的一个接口,外部DHCP服务器连接到另一个。 中继服务操作对客户端是透明的。
配置DHCP服务器
要配置DHCP服务器,请登录到FMC GUI并导航到Devices > Device Management。 单击FTD设备的edit按钮。导航到DHCP选项卡,然后单击DHCP Server选项卡。
要配置DHCP服务器,请执行三个步骤。
步骤1:启用DHCP服务器/配置DHCP池。
第二步:配置高级参数。
第三步:配置DNS/WINS服务器。
启用DHCP服务器/配置DHCP池
您可以将任何路由接口用作DHCP服务器,并且接口的IP地址用作终端客户端的网关。因此,您只需定义IP地址范围。
要在任何接口上启用DHCP服务器,请单击Server选项卡中的Add按钮。
Interface:从下拉列表中选择要启用DHCP服务器的接口。
Address Pool:指定IP地址范围。
Enable DHCP Server:启用复选框以启用此接口上的DHCP服务器。
单击OK 以保存DHCP配置。
配置DNS/WINS服务器
DHCP服务器向终端客户端提供DNS/WINS/域名参数以及IP地址详细信息。这些参数有助于名称解析。因此,正确配置这些参数非常重要。
有两种配置方法:
首先,如果任何FTD接口配置为DHCP客户端,则可以选择Auto-Configuration选项。 此方法从DHCP服务器获取DNS/WINS/域名信息的配置,并为DHCP客户端提供相同的信息。
第二,您可以设置您自己的DNS/WINS域名参数,这些参数提供给终端客户端。
要对此进行配置,请导航到DHCP选项卡。
- Ping超时:为避免地址冲突,FTD在将地址分配给DHCP客户端之前会向地址发送两个ICMP ping数据包。此命令为这些数据包指定超时值。
- 租用长度:此租用等于租用到期前客户端可以使用其分配的IP地址的时间(以秒为单位)。
- 自动配置:启用此复选框可配置DNS/WINS/域名的自动配置。
- Interface:指定充当DHCP客户端的接口。
Override Auto Configured Setting:如果要将您自己的DNS/WINS/域名分配给终端客户端,请配置此选项。
Domain Name:指定域名。
主DNS服务器:指定主DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标为主要DNS服务器创建网络对象。
辅助DNS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标并为辅助DNS服务器创建网络对象。
主WINS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标并为辅助DNS服务器创建网络对象。
辅助WINS服务器:指定辅助DNS服务器。您可以从下拉列表中选择网络对象,或者点击加号(+)图标并为辅助DNS服务器创建网络对象。
配置高级参数
FTD接口的DHCP服务器能够包含DHCP代码和选项。例如,Cisco IP电话可以向DHCP服务器发送带有选项(150/ 66)的请求,以获取TFTP服务器的IP地址,这样电话就可以从TFTP服务器下载固件。
要对此进行配置,请导航到DHCP > Advanced选项,然后单击Add。
- 选项代码:按照RFC 2132、RFC 2562和RFC 5510中列出的说明指定选项代码。
- 类型:从下拉列表中指定类型。
- IP地址1:如果选择类型选项为IP,请指定第一个TFTP服务器的IP地址。
- IP地址2:如果选择类型选项为IP,请指定第一个TFTP服务器的IP地址。
- ASCII:如果选择类型选项为ASCII,则指定ASCII值。
- HEX:如果选择类型选项为HEX,则指定HEX值。
单击 OK 保存配置。
单击Save按钮保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮以开始部署平台设置。
单击Save按钮保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮以开始部署平台设置。
配置DHCP中继
FTD接口充当客户端和外部DHCP服务器之间的DHCP中继代理。接口侦听客户端请求并添加重要配置数据,例如DHCP服务器为客户端分配地址所需的客户端链路信息。当DHCP服务器响应时,接口将应答数据包转发回DHCP客户端。
DHCP中继的配置主要有两个配置步骤。
步骤1:配置DHCP中继代理。
第二步:配置外部DHCP服务器。
配置DHCP中继代理
导航到设备>设备管理。单击FTD设备的edit按钮。导航到DHCP > DHCP Relay选项。 单击Add按钮。
Interface:从下拉列表中选择接口用于侦听客户端请求的接口。DHCP客户端可以直接连接到此接口以请求IP地址。
启用DHCP中继:启用复选框以启用DHCP中继服务。
Set Route:启用该复选框以将接口IP地址设置为默认网关。
单击OK 按钮以保存DHCP中继代理配置。
配置外部DHCP服务器
您需要指定转发客户端请求的外部DHCP服务器的IP地址。
要指定DHCP服务器,请导航到DHCP Server,然后单击Add。
Server:指定DHCP服务器的IP地址。 您可以从下拉列表中选择网络对象,或者点击加号(+)图标并为DHCP服务器创建网络对象。
Interface:指定DHCP服务器连接的接口。
单击 OK 保存配置。
单击Save按钮保存平台设置。 导航到部署选项,选择要应用更改的FTD设备,然后点击部署按钮以开始部署平台设置。
监控和故障排除
- 在开始配置DHCP服务器/中继之前,请确保FTD已注册到FMC。
- 在DHCP中继配置中验证与DHCP服务器的连接。
> system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ><Press Enter> firepower# ping <DHCP_SERVER_IP>
- 检验FTD CLI中的DHCP相关配置。您可以登录到FTD CLI到管理界面并运行命令
firepower# show running-config dhcpd.
dhcpd auto_config Inside-2
!
dhcpd address 192.168.10.3-192.168.10.7 Inside
!
- 确保成功应用策略部署。
- 确保通过自动配置或手动配置来配置正确的DNS/WINS服务器条目。
- IP地址池可以位于接口IP地址的同一子网中。
- 确保可以在接口上配置IP地址和逻辑名称。
- 您可以在FTD路由接口上捕获数据包,以便排除故障,其中客户端无法获得IP地址。在数据包捕获中,您可以检验DHCP服务器的DORA进程。您可以使用ASA数据包捕获与CLI和ASDM配置示例来获取数据包捕获。
- 从命令行检验DHCP统计信息。
firepower# show dhcpd statistics
- 从CLI验证DHCP绑定信息。
firepower# show dhcpd binding
- 在Devices > Platform Settings > FTD Policy > System logging 下启用相应的日志记录,并将平台设置部署到FTD。登录到FTD CLI并运行命令以检查系统日志消息。
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show logging
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
03-Jun-2024 |
已更新标题、简介和格式。 |
2.0 |
03-May-2023 |
添加了Alt文本。
更新TOC、简介、SEO、样式要求、机器翻译、古语、拼写和格式。 |
1.0 |
06-May-2016 |
初始版本 |
反馈