Меню

Cisco asa настройка dhcp relay



Настройка cisco dhcp в локальной сети

Настройка cisco dhcp в локальной сети

Всем привет ранее мы закончили настраивать сеть для филиалов, и разобрались со статической маршрутизацией, но все это время настраивали компьютерам ip адреса в ручную. Для решения это задачи есть служба DHCP. Можно конечно использовать Windows DHCP, при наличии лицензии на Windows Server, но Cisco тоже умеет это делать на ура. Настроим давайте DHCP службу на Cisco, рассмотрим несколько вариантов.

Принцип работы DHCP

Как работает dhcp сервер, ответ на этот вопрос очень простой. Когда компьютер появляется в локальной сети, первым делом он отсылает в сеть широковещательный запрос, по всем кто в сети. Данный пакет называется DHCPDISCOVER, в котором он спрашивает ребята есть у вас тут DHCP, если да то дай как мне ip адрес. Если HDCP сервер в локальной сети есть, то он отвечает ему пакетом DHCPOFFER, в котором говорит вот я есть, вот тебе ip адрес, будешь брать? Компьютер получив пакет DHCPOFFER, отсылаем ему ответ в виде пакета DHCPREQUEST в котором говорит, отлично я беру это ip адрес запиши его за мной, на что DHCP получив этот пакет, отвечает пакетом DHCPACK в котором говорит что записал, что это ip адрес теперь твой. Вот весь принцип.

В своей практике я встречал еще вот такие пакеты от dhcp сервера:

  • DHCPDECLINE — это пакет в котором клиент определил, что ip адрес, от DHCP сервера в момент предложения, уже используется кем то, и тогда будет сгенерирован новый запрос на другой ip адрес
  • DHCPRELEASE — данный пакет появляется когда клиент освобождает IP адрес
  • DHCPRENEW — Это пакет содержит в себе запрос на обновление и продление аренды ip адреса
  • DHCPINFORM — пакет, направленный клиентом к серверу DHCP, чтобы получить от него детальную информацию, пример, где находится запасной DHCP сервер в сети

Настройка dhcp cisco

Настройка для маленького офиса

У нас есть филиал, 3 компьютера, один коммутатор второго уровня Cisco 2960 и роутер Cisco 1841. Все компьютеры находятся в нативном vlan (vlan по умолчанию). Вот схема сети.

Приступаем к настройке Cisco 1841. Поднимем у него порт fa0/0 и назначим ему ip 192.168.1.1/24

Видим, что порт загорелся зеленым.

Далее создаем pool ip адресов на cisco dhcp server, для этого вводим команду: DHCP_192.168.1.0 это имя

Посмотрим теперь доступные команды

Router(dhcp-config)#?
default-router Default routers
dns-server Set name server
exit Exit from DHCP pool configuration mode
network Network number and mask
no Negate a command or set its defaults
option Raw DHCP options

Задаем в начале сеть которую будем раздавать, естественно она должна быть в том же диапазоне что и ip адрес устройства Cisco. Создаю сеть 192.168.1.0

Теперь давайте исключим из созданного пула первые 50 ip адресов, которые отдадим для серверов и про запас.

Проверка получения ip адреса

Берем первый компьютер, вводи на нем команду ipconfig чтобы посмотреть текущие настройки. Как видим, ip адрес не назначен. Так как это у меня симулятор Cisco packet tracer 6.2, то у него по умолчанию стоит статический ip в настройках, поставлю получение автоматически с DHCP.

Делаем снова ipconfig и видим, что получили ip адрес 192.168.1.51

Делаем на двух других компьютерах такие же настройки, и пробуем пропинговать друг друга, видим, все ок пинги доходят.

В малом офисе мы настроили dhcp сервер cisco.

Настройка DHCP для среднего офиса

С маленьким офисом мы разобрались, теперь рассмотрим схему среднего офиса. У нас тут уже есть сигментирование в виде vlan (2,3,4). У нас в схеме есть роутер Cisco 2911, на котором будет маршрутизация локального трафика между vlan, коммутатор второго уровня Cisco 2960 на уровне доступа конечных устройств, сервер DHCP в vlan 4, с которого мы и будем получать ip адреса.

Читайте также:  Настройки 705 под наушники

Настроим Cisco 2960

Первым делом на коммутаторе нужно создать vlan 2,3,4 и зададим им имена.

Теперь настроим порты коммутатора и добавим их в нужный vlan.

int range fa0/1-2
switchport mode access
switchport access vlan 2
exit

VLAN3 у меня порты fa0/3 и fa0/4

int range fa0/3-4
witchport mode access
switchport access vlan 3
exit

VLAN4 у меня порт fa0/5

int fa 0/5
switchport mode access
switchport access vlan 4
exit

Теперь настроим порт gi0/1 который подключается к роутеру Cisco 2911, и режим работы у него будет trunk. разрешим через trunk все 4 vlan.

Настроим Cisco 2911

Теперь приступим к настройке Cisco 2911, на нем будет маршрутизация трафика между vlan, значит для этого мы должны создать их на нем, задать им ip адреса, которые будут выступать в роли шлюзов.Вот общая схема.

первым делом мы поднимаем порт, так как на всех роутерах Cisco они в выключенном состоянии.

Проверим теперь с компьютера где ip адрес 192.168.2.1 пропинговать шлюз и соседей по vlan 3,4. Видим, что все отлично работает, связь проверена. Осталось теперь настроить DHCP сервер.

DHCP настройка

Напомню, что службой DHCP, может быть компьютер с роль на Windows Server (тут это компьютер или виртуальная машина, где есть много сетевых интерфейсов, каждый из которых подключен к нужному vlan, в который DHCP и отдает свои ip адреса), само устройство cisco, либо сторонний продукт на базе linux, вариантов много, в своей тестовой среде у меня это будет сервер в cisco packet tracer, у него есть статический ip адрес 192.168.4.1. Я создаю новый пул для VLAN2, раздавать я буду с 192.168.2.50 до 192.168.2.250, задаю шлюз по умолчанию и dns сервер.

жмем Add и добавляем наш пул. Так же создаем пул для 3 VLAN.

Теперь вспомним, что у нас DHCP сервер в другом vlan, а это значит что широковещательные запросы DHCPDISCOVER из других vlan он не видит, решить эту проблему нам поможет dhcp relay.

dhcp relay настройка

cisco dhcp relay в двух словах это ретранслятор, который отлавливает пакеты DHCPDISCOVER и перенаправляет их DHCP серверу, за счет этого можно уменьшить количество DHCP серверов. Приступим и настроим наш dhcp relay.

Теперь у нас в каждом vlan появился ретранслятор на наш dhcp сервер. Так же в целях безопасности вы можете настроить, чтобы у вас доверенным был только определенный dhcp сервер с определенного порта, а все остальные будут игнорироваться. Возьмем за тест компьютер со статическим ip 192.168.2.1, посмотрим текущие настройки сети командой ipconfig, ставим автоматическое получение, и видим что получили 192.168.2.50. DHCP в vlan2 работает.

Полезные команды cisco dhcp

Смотрим статистику по пакетам и привязкам

Смотрим кому какой ip адрес присвоен

Вот так вот работает и настраивается DHCP и DHCP Relay в сети. Надеюсь было позновательно.

Источник

Пример конфигурации DHCP-ретрансляции ASA

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Читайте также:  Шаблон helix 3 настройка меню

Содержание

Введение

Этот документ описывает ретрансляцию DHCP на платформе Cisco Adaptive Security Appliance (ASA) с использованием перехвата и отладки пакетов. В нем также приведен пример конфигурации.

Предварительные условия

Агент ретрансляции DHCP позволяет устройству безопасности переадресовывать запросы DHCP с клиентов на маршрутизатор или на другой сервер DHCP, подключенный к другому интерфейсу.

Эти ограничения применимы только при использовании агента ретрансляции DHCP:

  • Если уже включена функция DHCP-сервера, нельзя включить агент ретрансляции.
  • Необходимо подключиться напрямую к устройству безопасности. При этом нельзя отправлять запросы через другой агент ретрансляции или маршрутизатор.
  • В многоконтекстном режиме нельзя включить ретрансляцию DHCP или настроить сервер ретрансляции DHCP в интерфейсе, если он используется несколькими контекстами.

Сервисы ретрансляции DHCP недоступны в прозрачном режиме межсетевого экрана. Устройство безопасности в прозрачном режиме межсетевого экрана разрешает прохождение только трафика ARP. Для всего остального трафика требуется список контроля доступа. Чтобы разрешить отправку запросов и отклика DHCP через устройство безопасности в прозрачном режиме, необходимо настроить два списка контроля доступа:

  • Один список контроля доступа, который разрешает отправку запросов DHCP из внутреннего интерфейса во внешний
  • Второй список контроля доступа разрешает отправку отклика с сервера в другом направлении

Требования

Cisco рекомендует ознакомиться с основными принципами работы интерфейсов командной строки (CLI) ASA и Cisco IOS®.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5500-x Series Security Appliance 9.x или более поздней версии
  • Маршрутизаторы Cisco серии 1800

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Протокол DHCP предоставляет хостам параметры автоматической конфигурации (например, IP-адрес с маской подсети, шлюз по умолчанию, адрес DNS-сервера и адрес WINS (Windows Internet Name Service)). Изначально у клиентов DHCP нет этих параметров конфигурации. Для получения этой информации они отправляют соответствующий широковещательный запрос. Когда сервер DHCP видит этот запрос, он предоставляет нужную информацию. Учитывая природу таких широковещательных запросов, DHCP-клиент и сервер должны находиться в пределах одной подсети. Устройства уровня 3 (маршрутизаторы и межсетевые экраны), как правило, не выполняют переадресацию этих широковещательных запросов по умолчанию.

Размещать DHCP-клиенты и DHCP-сервер в одной подсети не всегда удобно. В этом случае можно использовать ретрансляцию DHCP. Когда агент ретрансляции DHCP на устройстве безопасности получает DHCP-запрос от хоста во внутреннем интерфейсе, он переадресует его на один из указанных DHCP-серверов во внешнем интерфейсе. Когда DHCP-сервер отправляет клиенту отклик, устройство безопасности переадресует его обратно. То есть, агент ретрансляции DHCP в этом диалоге с DHCP-сервером выступает в качестве прокси-сервера для клиента DHCP.

Движение пакетов

На этой иллюстрации демонстрируется поток пакета DHCP, если агент ретрансляции DHCP не используется:

ASA перехватывает эти пакеты и преобразовывает их в формат ретрансляции DHCP:

Ретрансляция DHCP с перехватом пакета на внутренних и внешних интерфейсах ASA

Обратите внимание на содержимое, выделенное КРАСНЫМ, — именно так ASA изменяет поля.

    Чтобы запустить процесс DHCP, загрузите систему и отправьте широковещательное сообщение (DHCPDISCOVER) на адрес назначения 255.255.255.255 — UDP-порт 67.

Примечание. Если VPN-клиент запрашивает IP-адрес, IP-адрес агента ретрансляции будет первым используемым IP-адресом, который определяется командой dhcp-network-scopeв рамках групповой политики.

Как правило, ASA отбрасывает широковещательное сообщение, но, поскольку эта платформа настроена как DHCP-ретранслятор, она переадресует сообщение DHCPDISCOVER в формате одноадресного пакета на IP-адрес DHCP-сервера из IP-интерфейса, который ориентирован на этот сервер. В данном случае это будет IP-адрес внешнего интерфейса. Обратите внимание на изменение IP-заголовка и поля агента ретрансляции:

Читайте также:  Настройка противокражных ворот своими руками

Примечание. Благодаря исправлению для ошибки Cisco с идентификатором CSCuo89924, ASA 9.1(5.7), 9.3(1) и более поздних версий переадресует одноадресные пакеты на IP-адрес DHCP-сервера с IP-адреса, который ориентирован на клиент (giaddr), где активирован параметр dhcprelay. В данном случае это будет IP-адрес внутреннего интерфейса.

Сервер отправляет сообщение DHCPOFFER в формате одноадресного пакета обратно в ASA, на IP-адрес агента ретрансляции, настроенный в поле DHCPDISCOVER- UDP port 67.В данном случае это будет IP-адрес внутреннего интерфейса (giaddr), где активирован параметр dhcprelay. Обратите внимание на IP-адрес назначения в заголовке уровня 3:

ASA передает этот пакет из внутреннего интерфейса — UDP-порт 68. Обратите внимание на изменение заголовка IP-адреса в процессе отправки пакета из внутреннего интерфейса:

После вывода сообщения DHCPOFFER отправьте сообщение DHCPREQUEST, чтобы сообщить о принятии предложения.

ASA передает сообщение DHCPREQUEST на сервер DHCP.

После того как сервер получит DHCPREQUEST, он отправляет DHCPACK обратно, чтобы подтвердить предложенный IP.

ASA передает вам сообщение DHCPACK с DHCP-сервера, и транзакция завершается.

Отладка и системные журналы для транзакций ретрансляции DHCP

Это запрос DHCP, переадресованный на интерфейс DHCP-сервера 198.51.100.2:

После получения отклика от DHCP-сервера устройство безопасности переадресует его на DHCP-клиент с MAC-адресом 0050.5684.396a и изменяет адрес шлюза на адрес в собственном внутреннем интерфейсе.

Эта же транзакция отображается также и в системных журналах:

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

В этом документе используются следующие конфигурации:

  • Настройка ретрансляции DHCP с использованием CLI
  • Окончательная настройка ретрансляции DHCP
  • Конфигурация сервера DHCP

Настройка ретрансляции DHCP с использованием CLI

Окончательная настройка ретрансляции DHCP

Конфигурация сервера DHCP

Ретрансляция DHCP с несколькими серверами DHCP

Можно определить не более десяти DHCP-серверов. Когда клиент передает пакет DHCPDiscover, он переадресуется на все DHCP-серверы.

Отладка с использованием нескольких серверов DHCP

Далее приведено несколько примеров отладки при использовании нескольких DHCP-серверов:

Перехват с использованием нескольких серверов DHCP

Далее приведен пример перехвата пакетов при использовании нескольких DHCP-серверов:

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Чтобы просмотреть статистическую информацию о службах ретрансляции DHCP, выполните команду show dhcprelay statistics в CLI ASA:

Эти выходные данные содержат информацию о нескольких типах сообщений DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

  • команда show dhcprelay state в CLI ASA
  • команда show ip dhcp server statistics в CLI маршрутизатора

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Кроме того, можно использовать следующие команды отладки:

  • debug dhcprelay packet
  • debug dhcprelay event
  • Перехват
  • Системные журналы

Примечание.Перед использованием команд debug обратитесь к документу Важные сведения о командах отладки.

Источник

Adblock
detector