DHCP:(3)思科防火墙ASA上部署DHCP服务以及DHCP中继
Cisco 防火墙 ASA DHCP配置
实验目标
1、网络初始化(防火墙IP地址配置,以及接口nameif)
2、外网接口通过DHCP获取地址与DNS信息(由于PT模拟器不支持PPPOE,所以用DHCP模拟)
3、配置DHCP功能以及特性,实现内网能够获取到地址
4、验证
5、DHCP的其他参数
6、子接口的形式配置方法
7、ASA上面的DHCP中继配置方法
8、NAT配置,使得内网用户能够访问internet
拓扑介绍
说明: ASA是支持子接口形式的(也就是单臂路由的方式),但是模拟器支持的是5505,而且是basic版本,只支持2个接口工作,而且不支持VLAN,所以这里模拟只能是一个同一个网段的,通常情况下5505也是用在soho或者小型办公,都是身后直连网段,所以支持的功能也有限,当然后面会给出如果是子接口形式的情况下 如何配置多个DHCP网段。另外这里模拟一个小型网络环境,ASA通过DHCP获取运营商的地址(实际大部分都是PPPOE,由于模拟器不支持,所以这里DHCP代替),然后配置NAT,实现上网。
配置步骤
1、网络初始化(防火墙IP地址配置,以及接口nameif)
2、外网接口通过DHCP获取地址与DNS信息(由于PT模拟器不支持PPPOE,所以用DHCP模拟)
3、配置DHCP功能以及特性,实现内网能够获取到地址
说明下,ASA 5505,默认初始化的情况下是有配置的,跟家用路由器一样,默认有一个IP地址,而且DHCP也已经配置好了。
默认的配置是,E0/0加入了VLAN 2,VLAN 1的SVI地址默认是192.168.1.1,nameif为inside,而vlan2则为outside,地址通过DHCP获取。并且在inside接口上面启用了DHCP功能,DHCP的范围是192.168.1.5~35,这里需要修改下的是,我们这里的拓扑,E0/0是跟内部网络连接的,应该划入到VLAN 1中,而E0/1则是需要划入到外部网络,VLAN2中。
Dhcpd address 是配置一个地址池的范围,比如这里的默认为192.168.1.5~35,后面的inside是跟接口,指定这个网段关联哪个接口,也就是接口下配置的Nameif,而dhcpd enable inside,则是在inside接口下开启DHCP功能。 Auto_config的功能在后面解释。
ciscoasa(config)#interface e0/0
ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config)#int e0/1
ciscoasa(config-if)#switchport access vlan 2
可以看到这里VLAN 2已经获取到公网地址了,但是模拟器这里有一个问题,在真实设备上面通常通过dhcp获取地址的话,后面还需要加一个参数,也就是setroute,它的意思是获取DHCP服务器推送的默认路由作为网关,而这里不支持这个参数,所以这里需要手动设置下默认路由,方便内网访问外网。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 202.100.1.1 【真实设备可以不用写,除非是固定公网IP,通过DHCP或者PPPOE的话 会自动获取】
4、验证
地址是成功获取到了,但是这里默认网关没有,这是模拟器的Bug,真实设备的话,会以自己接口地址作为网关推送给客户端的,所以这里没获取到,模拟器的问题,大家在做实验的时候要注意,另外可以看到DNS获取为8.8.8.8,这个是怎么来的呢,在ASA上面其实并没有配置这条命令。
可以看到在ASA上面默认有这样一条命令,它的作用是当外部接口是ADLS或者DHCP获取的信息,那么当它还作为server分配给内部用户信息的时候,它会把外部获取的信息一起分配给内部用户。这里外部分配的DNS为8.8.8.8,所以这里就自动把这个属性分配给内网网络了,这个非常适合这种小型站点,一般内部没有DNS服务器的。
可以通过该地址来查看获取的信息。
也可以通过 clear dhcpd binding来清空地址信息
5、DHCP的其他参数
这个是从一台真实设备支持的DHCP参数,其中address与enable,还有auto-config这个之前已经用过了
1、dns,这里主要是给内部用户指定特定的DNS,如果有内部DNS服务器的话 可以使用该参数
2、Domain,指定域名
3、Lease指定租期
4、Option,DHCP的option参数
5、Ping_timeout,用来检测分配的地址是否已经被使用了
6、Update,这个配合DDNS使用的,动态更新DNS参数
7、Wins,定义wins服务器
6、子接口的形式配置方法
说明下,子接口的方式是除了5505以外的设备才支持的,5505的话配置比较特殊,跟交换机类似,需要把接口加入对应的VLAN,然后在起SVI接口作为地址。这里假设以之前的拓扑为例,2个用户分别在VLAN 2与VLAN 3里面,需要对VLAN 2与VLAN 3的用户分配不同的地址,这里只给出防火墙的配置,注意的是,交换机需要配置为trunk,创建对应的VLAN,把接口加入到对应的VLAN中。
ciscoasa(config)# int e0
ciscoasa(config-if)# no shutdown
ciscoasa(config)# interface e0.1
ciscoasa(config-subif)# vlan 2
ciscoasa(config-subif)# nameif inside1
INFO: Security level for “inside1” set to 0 by default.
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-subif)# int e0.2
ciscoasa(config-subif)# vlan 3
ciscoasa(config-subif)# nameif inside2
INFO: Security level for “inside2” set to 0 by default.
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.2.1 255.255.255.0
说明:这里把物理接口打开,然后配置了2个子接口,首先需要划分到对应的VLAN中,然后配置nameif,最后配置安全等级,与接口IP地址即可。这里跟5505的配置方式不一样,5505比较跟交换机类似,而其他型号则跟路由器的方式类似。
ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.150 inside1
ciscoasa(config)# dhcpd address 192.168.2.2-192.168.2.250 inside2
ciscoasa(config)# dhcpd auto_config outside
ciscoasa(config)# dhcpd enable inside1
ciscoasa(config)# dhcpd enable inside2
这里配置了2个地址段,分别为对应的地址段分配地址,另外开启了auto-config功能,这个适合在PPPOE这些环境下,如果是固定IP,则可以通过dhcpd dns来指定,最后开启DHCP功能。
7、ASA上面的DHCP中继配置方法
假设,在ASA这里有一台DHCP服务器,用来专门给下面用户分配地址的,该服务器在DMZ区域,服务器的地址假设为192.168.2.254,那么这里只讲解下DHCP中继怎么配置,PT模拟器是不支持这个功能的,而且在工作中这种方式也用的很少。
ciscoasa(config)# dhcprelay server 192.168.2.254 dmZ
ciscoasa(config)# dhcprelay enable dMZ
这个的意思是告诉DHCP服务器在哪,并且在DMZ上面开启中继功能。
8、NAT配置,使得内网用户能够访问internet
由于PT模拟器的ASA版本是8.4的,所以这里NAT配置方法与平时不太一样。
ciscoasa(config)#object network inside
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
这里的意思是允许192.168.1.0/24这个网段,通过outside的出接口地址转换出去,做PAT访问internet。
ciscoasa(config)#access-list 100 permit icmp any any
ciscoasa(config)#access-group 100 in interface outside
放行ICMP的流量返回通过,否则测试IMCP不能通过
可以看到模拟器虽然网关显示为0.0.0.0,但是流量访问还是没任何问题的。
ASA上面有转换槽位
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。
DHCP:(3)思科防火墙ASA上部署DHCP服务以及DHCP中继相关推荐
- 思科防火墙ASA配置案例
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设 ...
- cloudfoundry_在Cloudfoundry上部署RESTful服务
cloudfoundry 在本文中,我们将使用Pivotal Cloud Foundry(PCF)开发人员在Cloudfoundry上部署RESTful服务. 由于创建静态Web服务不是本文的一部分, ...
- 在Cloudfoundry上部署RESTful服务
在本文中,我们将使用Pivotal Cloud Foundry(PCF)Dev在Cloudfoundry上部署RESTful服务. 由于创建静态Web服务不是本文的一部分,因此我已经创建了employ ...
- Linux服务器上部署springboot服务并测试
1.在Linux服务器上部署Springboot服务 项目打jar包的操作流程: 在idea中的Maven视图中先clean,跳过test(按一下蓝色闪电的标志),再点击package打包. 2.此时 ...
- CentOS8上部署NFS服务端和客户端
centos8上部署nfs服务端和客户端 文章目录 背景 服务端与客户端信息 配置服务端 安装软件包 编辑配置文件 验证并使配置生效 启动服务端服务 查看服务端状态: 配置客户端: 安装软件包 启动客 ...
- DHCP:(5)华为防火墙USG上部署DHCP服务以及DHCP中继
说明 之前已经介绍过华为交换机的DHCP的应用场景以及配置,这次介绍的是华为防火墙USG的应用场景及配置,一般在防火墙上面部署DHCP的话属于一种小型办公网络,或者soho级别的,防火墙后面接傻瓜式交 ...
- linux上部署mysql服务_在Linux环境下部署MySql服务
之前有下载部署过几次,但是每次都会踩一些坑.特此记录在liunx下部署安装mysql的基本步骤: 1.卸载老版本的mysql find / -name mysql|xargs rm -rf 查 ...
- [Linux]阿里云免费试用体验(在阿里云的ubuntu上部署个人服务)
作为一个IT界的人,一般都希望有一个独立的博客,或者一部独立的机器.所以我一直在找机会,拥有一台自己可以独立控制的机器,自己想干嘛干嘛.当然这在虚拟机或者自己的PC上面也可以实现,但是这跟一台一直开着 ...
- 在阿里云的ubuntu上部署个人服务
为什么80%的码农都做不了架构师?>>> 作为一个IT界的人,一般都希望有一个独立的博客,或者一部独立的机器.所以我一直在找机会,拥有一台自己可以独立控制的机器,自己想干嘛干嘛.当然 ...
- 在阿里云上部署nodejs服务 + https
准备 1.备案域名 2.阿里云服务器 3.node.js环境 开始 创建ECS云服务器实例 用MotaXterm连接web服务器 部署node.js 环境准备 上传项目并启动 使用pm2启动多个项目 ...
最新文章
- 什么是CPU的虚拟化技术?优势又是什么
- 亚马逊抢甲骨文的 Java 饭碗,推出 Corretto
- 构建自己的简单微服务架构(开源)
- Android Studio下载、安装、配置及连接真机开发第一个App ——入门选手快进
- C++——拷贝构造函数和赋值函数的注意点
- Windows10安装redis(图文教程)
- Windows域控设置客户端禁用运行/cmd命令行【全域策略生效】
- winserve2016 万能驱动网卡_windows server 2016 安装网卡驱动
- [附源码]Java计算机毕业设计SSM房屋租赁管理系统设计
- OpenGL Android课程六:介绍纹理过滤
- 测试用例需要包含哪些内容
- 迅雷CTO李金波:致创业者的一封信
- 微信小程序 向下跳动箭头
- 面向对象(继承,多态,单态,魔术方法)
- 面试笔记(网易-Java开发实习)
- 中兴N880e升级android4.1版本体验
- android o机型,不分机型:所有安卓用户均可升级Android O
- [书]操作系统真象还原 -- 第5章 开启保护模式、开启分页机制
- 时尚大气简约商务动态ppt模板
- 创业如同追女生:成功的创业者都是追女生好手