PIX/ASA 7.x - Configuration Relais DHCP ccnp_cch
Sommaire • Configuration • Vérification • Résolution de problèmes • Introduction - Prérequis - Composants utilisés - Produits liés • Configuration - Schéma du réseau - Configuration du relais DHCP en utilisant l'ASDM - Configuration finale du relais DHCP - Configuration du serveur DHCP • Vérification • Résolution de problèmes - Commandes pour résolution de problèmes - Sorties de debug pour le relais DHCP - Sorties de debug pour le serveur DHCP ccnp_cch
Introduction ccnp_cch Ce document fournit un guide sur comment configurer une appliance de sécurité PIX 500 ou Cisco Adaptive Security Appliance (ASA) pour être relais DHCP (Dynamic Host Configuration Protocol). Référez-vous à "Configuration PIX/ASA comme serveur et client DHCP" pour savoir comment configurer une appliance de sécurité comme ser- veur ou client DHCP. DHCP est un protocole qui fournit automatiquement des paramètres de configuration tels qu'une adresse IP et un masque de sous-réseau, la passerelle par défaut, les adresses IP des serveurs DNS et WINS. Initialement les clients DHCP ne possèdent aucun de ces paramètres de configuration. Ils obtiennent cette information en trans- mettant une requête de type broadcast. Quand un serveur DHCP voit cette requête, il fournit les informations nécessaires. A cause de la nature broadcast des requêtes, le serveur DHCP et le client DHCP doivent être situés sur le même sous-réseau. Les équi- pements de couche 3 tels que les routeurs et les pare-feu par défaut n'acheminent pas les requêtes de type broadcast. Tenter de situer les clients DHCP et le serveur DHCP sur le même sous-réseau n'est pas toujours possible. Dans de telles situations, vous pouvez utiliser le relais DHCP. Quand l'agent relais DHCP sur l'appliance de sécurité reçoit une requête DHCP d'un host sur l'interface interne, il achemine cette requête vers un des serveurs DHCP spé- cifiés sur l'interface externe. Quand le serveur DHCP répond au client, l'appliance de sécurité achemine la requête en arrière. Ainsi l'agent relais DHCP agit comme un proxy dans l'échange avec le serveur DHCP. Ce document est centré sur comment configurer le PIX/ASA comme relais DHCP en utilisant l'ASDM (Adaptive Security Device Manager). Prérequis Un agent relais DHCP autorise l'appliance de sécurité à acheminer les requêtes DHCP des clients vers un routeur ou un autre serveur DHCP connecté à une autre interface. Ces restrictions s'appliquent à l'utilisation d'un agent relais DHCP: ● L'agent relais DHCP ne peut pas être validé si la fonctionnalité serveur DHCP est également validée. ● Les clients doivent être directement connectés à l'appliance de sécurité et ne peuvent pas transmettre de requêtes au travers d'un autre agent relais ou routeur. ● Pour le mode contextes multiples, vous ne pouvez pas valider le relais DHCP sur une interface qui est utilisée par plusieurs contextes. ccnp_cch
Note: Les services DHCP ne sont pas disponibles en mode pare-feu transparent. Une appliance de sécurité en mode pare-feu transparent autorise uniquement le passage du trafic ARP. Tout autre trafic requiert une liste de contrôle d'accès (ACL). Pour au- toriser les requêtes DHCP et les réponses à traverser une appliance de sécurité en mode pare-feu transparent vous devez configurer deux ACLs: ● Un ACL autorise les requêtes DHCP de l'int"rieur (inside) vers l'extérieur (outside). ● Une ACL autorise les réponses du serveur dans l'autre direction (de l'extérieur vers l'intérieur). Ce document suppose que l'appliance de sécurité ou l'ASA est totalement opérationnel- le et configurée pour permettre à l'ASDM Cisco de modifier la configuration. Note: Référez-vous au document "Allowing HTTPS Access for ASDM" pour permettre à l'équipement d'être configuré avec l'ASDM. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX 500 Series Security Appliance 7.x ● ASDM 5.x ● Routeur Cisco 3640 Produits liés Cette configuration peut être également utilisée avec Cisco Adaptive Security Applian- ce 7.x Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau 10.1.1.0/24 10.2.1.0/24 .11 .1 .2 Relais DHCP Serveur DHCP ccnp_cch
Configuration ccnp_cch Note: Le système d'adressage IP de cette configuration n'est pas routable sur Internet. Ce sont des adresses du RFC 1918 qui été utilisées dans cet environnement de labo- ratoire. Configuration Ce document contient les configurations suivantes: ● Configuration relais DHCP en utilisant l'ASDM ● Configuration finale du relais DHCP ● Configuration du serveur DHCP Configuration relais DHCP en utilisant l'ASDM Exécutez ces étapes pour configurer l'appliance de sécurité PIX ou ASA comme relais DHCP en utilisant l'ASDM. 1. Choisissez Configuration > Properties > DHCP Services > DHCP Relay et cliquez sur Add dans la section DHCP Relay Servers. ccnp_cch
2. Dans la fenêtre qui apparaît, entrez l'adresse IP du serveur DHCP et l'interface sur laquelle le serveur DHCP (routeur) communique avec l'agent relais DHCP (PIX). 3. Sélectionnez l'interface sur laquelle résident les clients DHCP et cliquez sur Edit afin de valider l'agent relais DHCP (interface inside dans cet exemple). ccnp_cch
4. Cochez les options Enable DHCP Relay Agent on the inside interface et Set Route dans la fenêtre qui apparaît et cliquez sur OK. Si vous choisissez l'option Set Route, cela entraine la substitution de l'adresse IP par défaut de la réponse DHCP par l'adresse de l'interface de l'appliance de sécurité. 5. Après avoir spécifié l'adresse IP du serveur DHCP et validé le relais DHCP sur l'in- terface voulue, cliquez sur Apply pour mettre à jour l'appliance de sécurité. Pour valider l'option Command Preview comme le montre cette fenêtre, choisissez Edit> Preferences. ccnp_cch
ccnp_cch Configuration finale du relais DHCP Relais DHCP pix2#show running−config : Saved : PIX Version 7.2(1) ! hostname pix2 enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif inside security−level 100 ip address 10.1.1.11 255.255.255.0 interface Ethernet1 nameif outside security−level 0 ip address 10.2.1.1 255.255.255.0 interface Ethernet2 shutdown no nameif no security−level no ip address interface Ethernet3 interface Ethernet4 interface Ethernet5 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive pager lines 24 logging enable mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 timeout xlate 3:00:00 ccnp_cch
timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 dhcprelay server 10.2.1.2 outside !−−− Entrez cette commande pour fixer l'adresse IP du serveur DHCP !−−− sur une interface différente de celle du client DHCP. dhcprelay enable inside !−−− Entrez cette commande pour valider le relais DHCP sur l'interface !−−− connectée avec les clients. dhcprelay setroute inside !−−− Entrez cette commande pour que l'adresse IP par défaut de la !−−− soit substituée par l'adresse de l'interface interne de !--- de l'appliance de sécurité. dhcprelay timeout 60 ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global prompt hostname context Cryptochecksum:5622a28fdcd8b8ac8f1365354a62166e : end pix2# ccnp_cch
ccnp_cch Configuration du serveur DHCP Serveur DHCP Router#show running−config run Building configuration... Current configuration : 1053 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname Router boot−start−marker boot−end−marker enable secret 5 $1$8nFh$FRPKRgtLUwcCxuG3r.Mzl/ no aaa new−model resource policy ip cef no ip dhcp use vrf connected !−−− Cette commande spécifie les adresse IP que le serveur DHCP de !−−− ne doit pas affecter aux clients DHCP. ip dhcp excluded−address 10.1.1.11 10.1.1.254 !−−− Cette commande configure un pool adresses DHCP sur un serveur !−−− DHCP IOS® Cisco entre en mode de configuration DHCP pool. ip dhcp pool pool1 import all network 10.1.1.0 255.255.255.0 interface Ethernet0/0 ip address 10.2.1.2 255.255.255.0 full−duplex interface Serial2/0 ip address 172.16.1.1 255.255.255.0 ccnp_cch
ccnp_cch interface Serial2/1 no ip address shutdown ! ip http server no ip http secure−server !−−− Cette commande crée une route statique pour router les paquets !−−− de réponse vers l'interface du relais DHCP. ip route 10.1.1.0 255.255.255.0 10.2.1.1 logging source−interface Ethernet0/0 control−plane line con 0 line aux 0 line vty 0 4 password sdmsdm login end ccnp_cch
Vérification Exécutez ces étapes pour afficher les statistiques DHCP et les informations de bail à partir du serveur et du client DHCP en utilisant l'ASDM. 1. Choisissez Monitoring > Interfaces > DHCP > DHCP Statistics à partir du serveur DHCP pour afficher les statistiques des services relais DHCP. Cette fenêtre apparaît et fournit des informations sur plusieurs types de messages DHCP tels que DHCPDISCOVER, DHCPREQUEST, DHCPOFFER et DHCPACK, etc. ccnp_cch
2. Choisissez Monitoring > Logging > Real−time Log Viewer > Enable Logging pour afficher les logs en temps réel pour les services relais DHCP. Une fenêtre utilisateur de confirmation apparaît. Cliquez sur OK pour continuer. Cette fenêtre montre un échantillon des logs en temps réel. Cet exemple montre l'état des connexions UDP construites entre le serveur et le client DHCP utilisant les ports 67 et 68. ccnp_cch
Résolution de problèmes Commandes pour résolution de problèmes Utilisez cette section pour confirmer que votre configuration fonctionne correctement. ● debug dhcprelay event - Affiche l'information sur l'évènement qui est associé avec le relais DHCP. ● debug dhcprelay packet - Affiche l'information du paquet associé au relais DHCP. Sorties de debug du relais DHCP Relais DHCP (PIX) pix2#debug dhcprelay event debug dhcprelay event enabled at level pix2#debug dhcprelay packet debug dhcprelay packet enabled at level pix2#configure terminal pix2(config)#logging enable DHCPD: setting giaddr to 10.1.1.11. !−−− Requête DHCP acheminée vers l'interface 10.2.1.2 du serveur DHCP. dhcpd_forward_request: request from 0016.3633.339c forwarded to 10.2.1.2. DHCPRA: Received a BOOTREPLY from interface 2 DHCPRA: relay binding found for client 0016.3633.339c. DHCPRA: Adding rule to allow client to respond using offered address 10.1.1.2 !−−− Après réception de la réponse venant du serveur DHCP, l'appliance !−−− de sécurité achemine celle-ci vers le client DHCP avec l'adresse !−−− MAC 0016.3633.339c et change l'adresse de passerelle par sa propre !−−− adresse. DHCPRA: forwarding reply to client 0016.3633.339c. ccnp_cch
Serveur DHCP (Routeur) dhcpd_forward_request: request from 0016.3633.339c forwarded to 10.2.1.2. DHCPRA: Received a BOOTREPLY from interface 2 DHCPRA: relay binding found for client 0016.3633.339c. DHCPRA: forwarding reply to client 0016.3633.339c. DHCPD: setting giaddr to 10.1.1.11. DHCPRA: exchange complete − relay binding deleted for client 0016.3633.339c. DHCPD: returned relay binding 10.1.1.11/0016.3633.339c to address pool. dhcpd_destroy_binding() removing NP rule for client 10.1.1.11 Sorties de debug du serveur DHCP Serveur DHCP (Routeur) Router#debug ip dhcp server events Router#debug ip dhcp server packets Router#configure terminal Router(config)#logging console !−−− Réception de la requête DHCP venant du client *Oct 4 02:59:54.273: DHCPD: DHCPREQUEST received from client 0100.1636.3333.9c. *Oct 4 02:59:54.273: DHCPD: Sending notification of ASSIGNMENT: !−−− Adresse IP 10.1.1.2 allouée au client *Oct 4 02:59:54.273: DHCPD: address 10.1.1.2 mask 255.255.255.0 *Oct 4 02:59:54.273: DHCPD: htype 1 chaddr 0016.3633.339c !−−− Durée du bail pour l'adresse IP *Oct 4 02:59:54.273: DHCPD: lease time remaining (secs) = 86400 *Oct 4 02:59:54.277: DHCPD: No default domain to append − abort update *Oct 4 02:59:54.277: DHCPD: Sending DHCPACK to client 0100.1636.3333.9c (10.1.1.2). *Oct 4 02:59:54.277: DHCPD: unicasting BOOTREPLY for client 0016.3633.339c to relay 10.1.1.11. ccnp_cch