Cisco防火墙ASADHCP配置实验目标
1、网络初始化(防火墙IP地址配置和接口nameif ) ) )。
2、外联网接口通过DHCP获取地址和DNS信息(由于PT模拟器不支持PPPOE,因此通过DHCP进行模拟) ) ) ) )。
3、布置DHCP功能和特性,允许内部网获得地址
4、验证
5、DHCP的其他参数
6、子接口的形式配置方法
7、ASA上的DHCP继电器配置方法
8、NAT配置,允许内部网用户访问互联网
拓扑介绍
说明: ASA支持子接口格式(即单臂路由方法),但模拟器支持5505。 此外,basic版本仅支持两个接口。 此外,由于不支持VLAN,因此此处的仿真只能是同一个网段。 通常,5505也被soho和小型办公室使用。 它们都是后台直连网段,所以支持的功能也有限。 当然,接下来,在此,ASA通过DHCP取得运营商地址(实际上大部分是PPPOE,由于模拟器不支持,所以在此由DHCP代替),构成NAT,将连接到因特网的小型网络环境
配置步骤1,网络初始化(防火墙IP地址配置和接口nameif ) ) ) ) ) ) ) ) ) ) ) ) ) ) )。
2、外联网接口通过DHCP获取地址和DNS信息(由于PT模拟器不支持PPPOE,因此通过DHCP进行模拟) ) ) ) )。
3、布置DHCP功能和特性,允许内部网获得地址
说明中,ASA 5505已配置(如果默认初始化)。 与家用路由器一样,缺省情况下它具有IP地址,并且已经配置了DHCP。
在默认配置中,E0/0加入了VLAN 2,VLAN 1的SVI地址默认为192.168.1.1,nameif为inside,VLAN 2为outside,地址通过DHCP获取。 它还在inside界面上启用了DHCP功能。 DHCP的范围为192.168.1.5到35。 这里需要修改的是这里的拓扑。 E0/0与内部网络连接,应该嵌入VLAN 1中,E0/1需要嵌入外部网络、VLAN2中。
Dhcpd address是构成地址池的范围。 例如,此处的缺省值为192.168.1.5到35。 以下inside是接口,用于指定与此网段相关联的接口,即在接口下配置的Nameif。 此外,dhcpd enable inside在inside界面下打开dhd。auto _ config的功能将在后面介绍。
Ciscoasa(config ) #interface e0/0
Ciscoasa(config-if ) #switchport access vlan 1
Ciscoasa(config ) #int e0/1
Ciscoasa(config-if ) #switchport access vlan 2
在这里可以看到VLAN 2获得了公共地址,但是在模拟器里有这个问题。 如果要在实际设备上通过dhcp获取地址,则必须在后面添加参数,即setroute。 这意味着将从dhcp服务器推送的默认路由作为网关获取,但此处不支持此参数,因此您必须手动设置默认路由以方便访问内部网。
Ciscoasa(config ) route outside0.0.0.0.0.0) 202.100.1.1【除非是固定公共IP,否则自动通过DHCP或PPPOE获取】
4、验证
成功获取地址,但此处没有默认网关。 这是模拟器的错误。 如果是实际设备,则将自己的接口地址作为网关推送至客户端。 所以在这里不能取得。 模拟器的问题,在做实验的时候要注意。 另外,可以看出DNS的获取是8.8.8.8。 这是如何进行的呢? 在ASA中,实际上没有配置这个命令。
您可以看到ASA上面默认有这样的命令。 如果外部接口是通过ADLS或DHCP获取的信息,则当将其作为服务器分配给内部用户信息时,它会将外部获取的信息一起分配给内部用户。 此处外部分配的DNS为8.8.8.8,因此此处将自动为内部网分配此属性。 这非常适合这种小型网站,一般内部没有DNS服务器。
可以显示从这个地址获取的信息。
也可以通过clear dhcpd绑定清除地址信息
5、DHCP的其他参数
这是一个受实际设备(address、enable和auto-config )支持的DHCP参数
1、dns,这里主要是为内部用户指定特定的dns,只要有内部dns服务器,就可以使用此参数
2、指定域名的域
3、指定租赁期限
4、选项,DHCP的选项参数
5、Ping_timeout以检测所分配的地址是否已经在使用
6、Update,结合DDNS使用,动态更新DNS参数
7 .定义Wins、Wins服务器
6、在子接口格式配置方法的说明下,5505以外的设备支持子接口方式,但5505的配置特殊,与开关相似,需要加入接口对应的VL
AN,然后在起SVI接口作为地址。这里假设以之前的拓扑为例,2个用户分别在VLAN 2与VLAN 3里面,需要对VLAN 2与VLAN 3的用户分配不同的地址,这里只给出防火墙的配置,注意的是,交换机需要配置为trunk,创建对应的VLAN,把接口加入到对应的VLAN中。ciscoasa(config)# int e0
ciscoasa(config-if)# no shutdown
ciscoasa(config)# interface e0.1
ciscoasa(config-subif)# vlan 2
ciscoasa(config-subif)# nameif inside1
INFO: Security level for “inside1” set to 0 by default.
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-subif)# int e0.2
ciscoasa(config-subif)# vlan 3
ciscoasa(config-subif)# nameif inside2
INFO: Security level for “inside2” set to 0 by default.
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.2.1 255.255.255.0
说明:这里把物理接口打开,然后配置了2个子接口,首先需要划分到对应的VLAN中,然后配置nameif,最后配置安全等级,与接口IP地址即可。这里跟5505的配置方式不一样,5505比较跟交换机类似,而其他型号则跟路由器的方式类似。
ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.150 inside1
ciscoasa(config)# dhcpd address 192.168.2.2-192.168.2.250 inside2
ciscoasa(config)# dhcpd auto_config outside
ciscoasa(config)# dhcpd enable inside1
ciscoasa(config)# dhcpd enable inside2
这里配置了2个地址段,分别为对应的地址段分配地址,另外开启了auto-config功能,这个适合在PPPOE这些环境下,如果是固定IP,则可以通过dhcpd dns来指定,最后开启DHCP功能。
7、ASA上面的DHCP中继配置方法
假设,在ASA这里有一台DHCP服务器,用来专门给下面用户分配地址的,该服务器在DMZ区域,服务器的地址假设为192.168.2.254,那么这里只讲解下DHCP中继怎么配置,PT模拟器是不支持这个功能的,而且在工作中这种方式也用的很少。
ciscoasa(config)# dhcprelay server 192.168.2.254 dmZ
ciscoasa(config)# dhcprelay enable dMZ
这个的意思是告诉DHCP服务器在哪,并且在DMZ上面开启中继功能。
由于PT模拟器的ASA版本是8.4的,所以这里NAT配置方法与平时不太一样。
ciscoasa(config)#object network inside
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
这里的意思是允许192.168.1.0/24这个网段,通过outside的出接口地址转换出去,做PAT访问internet。
ciscoasa(config)#access-list 100 permit icmp any any
ciscoasa(config)#access-group 100 in interface outside
放行ICMP的流量返回通过,否则测试IMCP不能通过
可以看到模拟器虽然网关显示为0.0.0.0,但是流量访问还是没任何问题的。
ASA上面有转换槽位
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。