Разное

Cisco dhcp relay: Steinkäfer: DHCP-Relay Cisco

Содержание

Steinkäfer: DHCP-Relay Cisco

DHCP-Relay Cisco

Существует DHCP-сервер на Windows, например. Сервер находится в одном сегменте сети, клиентские компьютеры в другой. Между клиентами и сервером несколько маршрутизаторов и коммутаторов 3-го уровня. Сети связаны по маршрутизации.

По-умолчанию, DHCP-Relay настраивается на Cisco одной командой:

ip helper-address IP-адрес_DHCP-сервера

Прописывается эта команда на интерфейсе который смотрит в сеть с клиентскими компьютерами.

interface GigabitEthernet0/4
 description LAN_IT
 no switchport
 ip address 10.10.71.1 255.255.255.0
 ip helper-address 10.10.57.18

Но есть один нюанс: необходимо проверить чтобы был включен DHCP-сервис на маршрутизаторе (коммутаторе). По-умолчанию он включен, но многие его отключают за ненадобностью.
Следующая команда включает dhcp-сервис на маршрутизаторе (коммутаторе):

service dhcp

Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы:

Time (udp 37)
TACACS (udp 49)
DNS (udp 53)
TFTP (udp 69)
NetBIOS name service (udp 137)
NetBIOS datagram service (udp 138)

Если мы хотим исправить ситуацию, в режиме глобальной конфигурации определяем, какие запросы пересылать, а какие — нет:

no ip forward-protocol udp 37 

no ip forward-protocol udp 53

Клиент шлет стандартный DISCOVERY, который пересылается Relay-агентом в направлении DHCP-сервера. Маршрутизатор пересылает запрос DHCP-серверу на ip-адрес указанный в ip helper-address (dest=10.10.57.18), unicast-пакетом с source-адресом 10.10.71.1, то есть с тем адресом на который пришел запрос от клиента. На основании адреса источника сообщения DHCP-сервер определяет, из какого пула выдавать адреса.
Если на интерфейсе сети, который является шлюзом по-умолчанию (10.10.71.1), стоит access-list,  на нем должна быть строчка:

permit udp any eq 68 any eq 67

То есть клиент DHCP посылает запрос по UDP с порта 68, а DHCP-server слушает UDP на порту 67.
Если кратко, то всё. Однако DHCP-Relay на Cisco имеет большое количество дополнительных настроек и политик.

Настройка DHCP-Relay на Cisco

DHCP позволяет устройствам в сети получать IP-адрес автоматически. В такой сети есть два участника: DHCP-клиент и DHCP-сервер. При получении IP-адреса, клиент посылает широковещательный запрос DISCOVER на поиск DHCP-сервера. Если сервер находится в одной подсети с компьютером, которому необходимо получить сетевые настройки, то проблем в данной ситуации не возникает. В противном случае, когда DHCP-сервер и DHCP-клиент находятся в разных подсетях, широковещательный запрос DISCOVER отброситься на ближайшем маршрутизаторе, так как маршрутизаторы не пропускают широковещательные запросы. Таким образом, необходим механизм, который бы пропускал определенные широковещательные запросы (в данном случае, протокола DHCP, 67/68 порты UDP) на нужный нам сервер.

Более подробно про работу протокола DHCP можно почитать в моей статье, а также здесь.  Для примера рассмотри две схемы: в первой схеме – DHCP сервер находится за маршрутизатором в другой подсети, во второй схеме – DHCP-сервер и локальная сеть разнесены в разных VLAN.

Первая схема:

Конфигурация Router:

Router>enable - переходим в расширенный режим
Router(config)conf t - переходим в режим конфигурации
Router(config)#interface fa0/0 - настраиваем интерфейс в сторону LAN
Router(config-if)#description LAN - описание интерфейса
Router(config-if)#ip address 172.16.1.1 255.255.255.0 - задаем шлюз по-умолчанию
Router(config-if)#no shutdown - включаем интерфейс 
Router(config-if)#ip helper-address 172.16.2.2 - перенаправляем широковещательные запросы
Router(config-if)#exit 
Router(config)#interface fa0/1 - настраиваем интерфейс в сторону DHCP-server 
Router(config-if)#description DHCP-server 
Router(config-if)#ip address 172.16.2.1 255.255.255.0 
Router(config-if)#no shutdown

По сути главная строчка в этой конфигурации ip-helper-address 172.16.2.2. Это команда означает, что все широковещательные запросы протокола UDP (в том числе и DHCP Discover), попадающие на порт fa0/0 (в сторону локальной подсети) будут пересылаться на хост 172.16.2.2 (адрес DHCP-server). Пересылаться будут следующие запросы:

  1. Time (udp 37)
  2. TACACS (udp 49)
  3. DNS (udp 53)
  4. TFTP (udp 69)
  5. NetBIOS name service (udp 137)
  6. NetBIOS datagram service (udp 138)

Если вы хотите запретить пересылать некоторые запросы, то воспользуйтесь командой no ip forward-protocol udp номер_порта. Например – запрет на пересылку DNS-запросов:

Router(config)#no ip forward-protocol udp 53

Рассмотрим как пакет DHCP-Discover находит нужный сервер. Компьютер PC0 подготавливает DHCP-запрос на автоматическое выделение IP-адреса.

Видим, что MAC-адрес назначения широковещательный FFFF.FFFF.FFFF – такой пакет отбросится на маршрутизаторе, если на нем не настроена ретрансляция.

Коммутатор перешлет широковещательный пакет на все порты, кроме того с которого был получен пакет. Компьютеры дропнут пакет, так как не выполняют функции DHCP-сервера. Маршрутизатор определит, что Ip-адрес назначения является широковещательным, а также, что пакет относится к DHCP-протоколу. Маршрутизатор видит, что пакет совпадает с helper-критерием и пересылает пакет на helper-адрес. Он смотрит в свою таблицу маршрутизации и видит что подсеть 172.16.2.1/24 находится на порту fa0/1. Маршрутизаор посылает пакет на указанный порт. В качестве Source Ip – маршрутизатор указывает свой адрес 172.16.1.1, в качестве Destination IP указывает IP-адрес DHCP-сервера 172.16.2.2.

Таблица маршрутизации Router:

DHCP-сервер в свою очередь посылает ответ DHCP-Request с предложенным Ip-адресом.

Конфигурация для Switch:

Switch(config)#interface range fa0/1 - fa0/4 - настраиваем порты в сторону PC
Switch(config-if-range)#description PC
Switch(config-if-range)#switchport mode access - переводим порты в режим доступа
Switch(config-if-range)#switchport access vlan 10 - тегируем кадры 10 VLAN'ом
Switch(config-if-range)#exit
Switch(config)#interface fa0/5 - настраиваем порт в сторону DHCP-server
Switch(config-if)#description DHCP-server
Switch(config-if)#switchport mode access - переводим порты в режим доступа
Switch(config-if)#switchport access vlan 20 - тегируем кадры 20 VLAN'ом
Switch(config-if)#exit
Switch(config)#interface fa0/24 - настраиваем порт в сторону Router
Switch(config-if)#description Router
Switch(config-if)#switchport mode trunk - настраиваем порт в режиме транка
Switch(config-if)#switchport trunk allowed vlan 10,20 - пропускаем VLAN 10,20
Switch(config-if)#exit

Конфигурация для Router

Router(config)#interface fa0/0
Router(config-if)#no shutdown - включаем интерфейс
Router(config-if)#exit
Router(config)#interface fa0/0.10 - настраиваем сабинтерфейс для пользователей
Router(config-subif)#description User-PC
Router(config-subif)#encapsulation dot1q 10 - тегируем кадры 10 VLAN'ом
Router(config-subif)#ip address 172.16.1.1 255.255.255.0 - задаем шлюз по-умолчанию
Router(config-subif)#ip helper-address 172.16.2.2 - пересылаем широковещательные пакеты на сервер
Router(config-subif)#exit
Router(config)#interface fa0/0.20 - настраиваем сабинтерфейс для сервера
Router(config-subif)#description DHCP-server
Router(config-subif)#encapsulation dot1q 20 - тегируем кадры 20 VLAN'ом
Router(config-subif)#ip address 172.16.2.1 255.255.255.0 - задаем шлюз по-умолчанию
Router(config-subif)#exit 

Настройки для второй схеме полностью аналогичны первой, разница лишь в том, что мы указываем команду ip helper-address 172.16.2.2 на сабинтерфейсе.

Помогла ли вам статья?

Да
Нет
Стоп

Спасибо! Ваш голос учтен.

Настройка cisco dhcp в локальной сети

Всем привет ранее мы закончили настраивать сеть для филиалов, и разобрались со статической маршрутизацией, но все это время настраивали компьютерам ip адреса в ручную. Для решения это задачи есть служба DHCP. Можно конечно использовать Windows DHCP, при наличии лицензии на Windows Server, но Cisco тоже умеет это делать на ура. Настроим давайте DHCP службу на Cisco, рассмотрим несколько вариантов.

Принцип работы DHCP

Как работает dhcp сервер, ответ на этот вопрос очень простой. Когда компьютер появляется в локальной сети, первым делом он отсылает в сеть широковещательный запрос, по всем кто в сети. Данный пакет называется DHCPDISCOVER, в котором он спрашивает ребята есть у вас тут DHCP, если да то дай как мне ip адрес. Если HDCP сервер в локальной сети есть, то он отвечает ему пакетом DHCPOFFER, в котором говорит вот я есть, вот тебе ip адрес, будешь брать? Компьютер получив пакет DHCPOFFER, отсылаем ему ответ в виде пакета DHCPREQUEST в котором говорит, отлично я беру это ip адрес запиши его за мной, на что DHCP получив этот пакет, отвечает пакетом DHCPACK в котором говорит что записал, что это ip адрес теперь твой. Вот весь принцип.

В своей практике я встречал еще вот такие пакеты от dhcp сервера:

  • DHCPDECLINE — это пакет в котором клиент определил, что ip адрес, от DHCP сервера в момент предложения, уже используется кем то, и тогда будет  сгенерирован новый запрос на другой ip адрес
  • DHCPRELEASE — данный пакет появляется когда клиент освобождает IP адрес
  • DHCPRENEW — Это пакет содержит в себе запрос на обновление и продление аренды ip адреса
  • DHCPINFORM — пакет, направленный клиентом к серверу DHCP, чтобы получить от него детальную информацию, пример, где находится запасной DHCP сервер в сети

Настройка dhcp cisco

Настройка для маленького офиса

У нас есть филиал, 3 компьютера, один коммутатор второго уровня Cisco 2960 и роутер Cisco 1841. Все компьютеры находятся в нативном vlan (vlan по умолчанию). Вот схема сети.

Приступаем к настройке Cisco 1841. Поднимем у него порт fa0/0 и назначим ему ip 192.168.1.1/24

enable
conf t
in fa0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
exit

Видим, что порт загорелся зеленым.

Далее создаем pool ip адресов на cisco dhcp server, для этого вводим команду: DHCP_192.168.1.0 это имя

ip dhcp pool DHCP_192.168.1.0

Посмотрим теперь доступные команды

Router(dhcp-config)#?
default-router Default routers
dns-server Set name server
exit Exit from DHCP pool configuration mode
network Network number and mask
no Negate a command or set its defaults
option Raw DHCP options

Задаем в начале сеть которую будем раздавать, естественно она должна быть в том же диапазоне что и ip адрес устройства Cisco. Создаю сеть 192.168.1.0

network 192.168.1.0 255.255.255.0

Задаем шлюз по умолчанию

default-router 192.168.1.1

Задаем DNS сервер

Выходим exit.

Теперь давайте исключим из созданного пула первые 50 ip адресов, которые отдадим для серверов и про запас.

ip dhcp excluded-address 192.168.1.1 192.168.1.50
exit
do wr mem

Проверка получения ip адреса

Берем первый компьютер, вводи на нем команду ipconfig чтобы посмотреть текущие настройки. Как видим, ip адрес не назначен. Так как это у меня симулятор Cisco packet tracer 6.2, то у него по умолчанию стоит статический ip в настройках, поставлю получение автоматически с DHCP.

Делаем снова ipconfig и видим, что получили ip адрес 192.168.1.51

Делаем на двух других компьютерах такие же настройки, и пробуем пропинговать друг друга, видим, все ок пинги доходят.

В малом офисе мы настроили dhcp сервер cisco.

Настройка DHCP для среднего офиса

С маленьким офисом мы разобрались, теперь рассмотрим схему среднего офиса. У нас тут уже есть сигментирование в  виде vlan (2,3,4). У нас в схеме есть роутер Cisco 2911, на котором будет маршрутизация локального трафика между vlan, коммутатор второго уровня Cisco 2960 на уровне доступа конечных устройств, сервер DHCP в vlan 4, с которого мы и будем получать ip адреса.

Настроим Cisco 2960

Первым делом на коммутаторе нужно создать vlan 2,3,4 и зададим им имена.

enable
conf t
vlan 2
name VLAN2
exit
vlan 3
name VLAN3
exit
vlan 4
name VLAN4
exit

Теперь настроим порты коммутатора и добавим их в нужный vlan.

VLAN2 у меня порты fa0/1 и fa0/2

int range fa0/1-2
switchport mode access
switchport access vlan 2
exit

VLAN3 у меня порты fa0/3 и fa0/4

int range fa0/3-4
witchport mode access
switchport access vlan 3
exit

VLAN4 у меня порт fa0/5

int fa 0/5
switchport mode access
switchport access vlan 4
exit

Теперь настроим порт gi0/1 который подключается к роутеру Cisco 2911, и режим работы у него будет trunk. разрешим через trunk все 4 vlan.

int gi0/1
switchport mode trunk
switchport trunk allowed vlan 2,3,4
exit

Сохраним настройки

do wr mem

Настроим Cisco 2911

Теперь приступим к настройке Cisco 2911, на нем будет маршрутизация трафика между vlan, значит для этого мы должны создать их на нем, задать им ip адреса, которые будут выступать в роли шлюзов.Вот общая схема.

первым делом мы поднимаем порт, так как на всех роутерах Cisco они в выключенном состоянии.

enable
conf t
int gi0/0
no shutdown

Создаем sub интерфейс vlan2
int gi0/0.2
encapsulation dot1Q 2
ip address 192.168.2.251 255.255.255.0
exit
Создаем sub интерфейс vlan3
int gi0/0.3
encapsulation dot1Q 3
ip address 192.168.3.251 255.255.255.0
exit
Создаем sub интерфейс vlan4
int gi0/0.4
encapsulation dot1Q 4
ip address 192.168.4.251 255.255.255.0
exit
Включаем маршрутизацию
ip routing
do wr mem

Проверим теперь с компьютера где ip адрес 192.168.2.1 пропинговать шлюз и соседей по vlan 3,4. Видим, что все отлично работает, связь проверена. Осталось теперь настроить DHCP сервер.

DHCP настройка

Напомню, что службой DHCP, может быть компьютер с роль на Windows Server (тут это компьютер или виртуальная машина, где есть много сетевых интерфейсов, каждый из которых подключен к нужному vlan, в который DHCP и отдает свои ip адреса), само устройство cisco, либо сторонний продукт на базе linux, вариантов много, в своей тестовой среде у меня это будет сервер в cisco packet tracer, у него есть статический ip адрес 192.168.4.1. Я создаю новый пул для VLAN2, раздавать я буду с 192.168.2.50 до 192.168.2.250, задаю шлюз по умолчанию и dns сервер.

жмем Add и добавляем наш пул. Так же создаем пул для 3 VLAN.

Теперь вспомним, что у нас DHCP сервер в другом vlan, а это значит что широковещательные запросы DHCPDISCOVER из других vlan он не видит, решить эту проблему нам поможет dhcp relay.

dhcp relay настройка

cisco dhcp relay в двух словах это ретранслятор, который отлавливает пакеты DHCPDISCOVER и перенаправляет их DHCP серверу, за счет этого можно уменьшить количество DHCP серверов. Приступим и настроим наш dhcp relay.

int gi0/0.2
ip helper-address 192.168.4.1
exit
Router(config)#int gi0/0.3
ip helper-address 192.168.4.1
exit
do wr mem

Теперь у нас в каждом vlan появился ретранслятор на наш dhcp сервер.  Так же в целях безопасности вы можете настроить, чтобы у вас доверенным был только определенный dhcp сервер с определенного порта, а все остальные будут игнорироваться. Возьмем за тест компьютер со статическим ip 192.168.2.1, посмотрим текущие настройки сети командой ipconfig, ставим автоматическое получение, и видим что получили 192.168.2.50. DHCP в vlan2 работает.

Полезные команды cisco dhcp

Смотрим статистику по пакетам и привязкам

sh ip dhcp server statistics

Смотрим кому какой ip адрес присвоен

sh ip dhcp bindings assigned

Вот так вот работает и настраивается DHCP и DHCP Relay в сети. Надеюсь было позновательно.

Материал сайта pyatilistnik.org

Пример конфигурации DHCP-ретрансляции ASA — Cisco

Введение

Этот документ описывает ретрансляцию DHCP на платформе Cisco Adaptive Security Appliance (ASA) с использованием перехвата и отладки пакетов. В нем также приведен пример конфигурации.

Предварительные условия

Агент ретрансляции DHCP позволяет устройству безопасности переадресовывать запросы DHCP с клиентов на маршрутизатор или на другой сервер DHCP, подключенный к другому интерфейсу.

Эти ограничения применимы только при использовании агента ретрансляции DHCP:

  • Если уже включена функция DHCP-сервера, нельзя включить агент ретрансляции.
  • Необходимо подключиться напрямую к устройству безопасности. При этом нельзя отправлять запросы через другой агент ретрансляции или маршрутизатор.
  • В многоконтекстном режиме нельзя включить ретрансляцию DHCP или настроить сервер ретрансляции DHCP в интерфейсе, если он используется несколькими контекстами.

Сервисы ретрансляции DHCP недоступны в прозрачном режиме межсетевого экрана. Устройство безопасности в прозрачном режиме межсетевого экрана разрешает прохождение только трафика ARP. Для всего остального трафика требуется список контроля доступа. Чтобы разрешить отправку запросов и отклика DHCP через устройство безопасности в прозрачном режиме, необходимо настроить два списка контроля доступа:

  • Один список контроля доступа, который разрешает отправку запросов DHCP из внутреннего интерфейса во внешний
  • Второй список контроля доступа разрешает отправку отклика с сервера в другом направлении

Требования

Cisco рекомендует ознакомиться с основными принципами работы интерфейсов командной строки (CLI) ASA и Cisco IOS®.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5500-x Series Security Appliance 9.x или более поздней версии
  • Маршрутизаторы Cisco серии 1800

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Протокол DHCP предоставляет хостам параметры автоматической конфигурации (например, IP-адрес с маской подсети, шлюз по умолчанию, адрес DNS-сервера и адрес WINS (Windows Internet Name Service)). Изначально у клиентов DHCP нет этих параметров конфигурации. Для получения этой информации они отправляют соответствующий широковещательный запрос. Когда сервер DHCP видит этот запрос, он предоставляет нужную информацию. Учитывая природу таких широковещательных запросов, DHCP-клиент и сервер должны находиться в пределах одной подсети. Устройства уровня 3 (маршрутизаторы и межсетевые экраны), как правило, не выполняют переадресацию этих широковещательных запросов по умолчанию.

Размещать DHCP-клиенты и DHCP-сервер в одной подсети не всегда удобно. В этом случае можно использовать ретрансляцию DHCP. Когда агент ретрансляции DHCP на устройстве безопасности получает DHCP-запрос от хоста во внутреннем интерфейсе, он переадресует его на один из указанных DHCP-серверов во внешнем интерфейсе. Когда DHCP-сервер отправляет клиенту отклик, устройство безопасности переадресует его обратно. То есть, агент ретрансляции DHCP в этом диалоге с DHCP-сервером выступает в качестве прокси-сервера для клиента DHCP. 

Движение пакетов

На этой иллюстрации демонстрируется поток пакета DHCP, если агент ретрансляции DHCP не используется:

ASA перехватывает эти пакеты и преобразовывает их в формат ретрансляции DHCP: 

Ретрансляция DHCP с перехватом пакета на внутренних и внешних интерфейсах ASA

Обратите внимание на содержимое, выделенное КРАСНЫМ, — именно так ASA изменяет поля.

  1. Чтобы запустить процесс DHCP, загрузите систему и отправьте широковещательное сообщение (DHCPDISCOVER) на адрес назначения 255.255.255.255 — UDP-порт 67. 

    Примечание. Если VPN-клиент запрашивает IP-адрес, IP-адрес агента ретрансляции будет первым используемым IP-адресом, который определяется командой dhcp-network-scopeв рамках групповой политики.

  2. Как правило, ASA отбрасывает широковещательное сообщение, но, поскольку эта платформа настроена как DHCP-ретранслятор, она переадресует сообщение DHCPDISCOVER в формате одноадресного пакета на IP-адрес DHCP-сервера из IP-интерфейса, который ориентирован на этот сервер. В данном случае это будет IP-адрес внешнего интерфейса. Обратите внимание на изменение IP-заголовка и поля агента ретрансляции:

    Примечание. Благодаря исправлению для ошибки Cisco с идентификатором CSCuo89924, ASA 9.1(5.7), 9.3(1) и более поздних версий переадресует одноадресные пакеты на IP-адрес DHCP-сервера с IP-адреса, который ориентирован на клиент (giaddr), где активирован параметр dhcprelay. В данном случае это будет IP-адрес внутреннего интерфейса.

  3. Сервер отправляет сообщение DHCPOFFER в формате одноадресного пакета обратно в ASA, на IP-адрес агента ретрансляции, настроенный в поле DHCPDISCOVER- UDP port 67. В данном случае это будет IP-адрес внутреннего интерфейса (giaddr), где активирован параметр dhcprelay. Обратите внимание на IP-адрес назначения в заголовке уровня 3:

  4. ASA передает этот пакет из внутреннего интерфейса — UDP-порт 68. Обратите внимание на изменение заголовка IP-адреса в процессе отправки пакета из внутреннего интерфейса:

  5. После вывода сообщения DHCPOFFER отправьте сообщение DHCPREQUEST, чтобы сообщить о принятии предложения.

  6. ASA передает сообщение DHCPREQUEST на сервер DHCP.

  7. После того как сервер получит DHCPREQUEST, он отправляет DHCPACK обратно, чтобы подтвердить предложенный IP.

  8. ASA передает вам сообщение DHCPACK с DHCP-сервера, и транзакция завершается.

Отладка и системные журналы для транзакций ретрансляции DHCP

Это запрос DHCP, переадресованный на интерфейс DHCP-сервера 198.51.100.2:

DHCPRA: relay binding created for client 0050.5684.396a.DHCPD: 
setting giaddr to 192.0.2.1.

dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: Adding rule to allow client to respond using offered address 192.0.2.4

После получения отклика от DHCP-сервера устройство безопасности переадресует его на DHCP-клиент с MAC-адресом 0050.5684.396a и изменяет адрес шлюза на адрес в собственном внутреннем интерфейсе.

DHCPRA: forwarding reply to client 0050.5684.396a.
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPD: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 0050.5684.396a forwarded to 198.51.100.2.
DHCPD/RA: Punt 198.51.100.2/17152 --> 192.0.2.1/17152 to CP
DHCPRA: Received a BOOTREPLY from interface 2
DHCPRA: relay binding found for client 0050.5684.396a.
DHCPRA: exchange complete - relay binding deleted for client 0050.5684.396a.
DHCPD: returned relay binding 192.0.2.1/0050.5684.396a to address pool.
dhcpd_destroy_binding() removing NP rule for client 192.0.2.1
DHCPRA: forwarding reply to client 0050.5684.396a.

Эта же транзакция отображается также и в системных журналах:

%ASA-7-609001: Built local-host inside:0.0.0.0
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 13 for inside:
 0.0.0.0/68 (0.0.0.0/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-609001: Built local-host identity:198.51.100.1
%ASA-7-609001: Built local-host outside:198.51.100.2
%ASA-6-302015: Built outbound UDP connection 14 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:198.51.100.1/67 (198.51.100.1/67)

%ASA-7-609001: Built local-host inside:192.0.2.4
%ASA-6-302020: Built outbound ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1
%ASA-7-609001: Built local-host identity:192.0.2.1
%ASA-6-302015: Built inbound UDP connection 16 for outside:
 198.51.100.2/67 (198.51.100.2/67) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302015: Built outbound UDP connection 17 for inside:
 192.0.2.4/68 (192.0.2.4/68) to identity:192.0.2.1/67 (192.0.2.1/67)
%ASA-6-302021: Teardown ICMP connection for
 faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

В этом документе используются следующие конфигурации:

  • Настройка ретрансляции DHCP с использованием CLI
  • Окончательная настройка ретрансляции DHCP
  • Конфигурация сервера DHCP
Настройка ретрансляции DHCP с использованием CLI
dhcprelay server 198.51.100.2 outside
dhcprelay enable inside
dhcprelay setroute inside
dhcprelay timeout 60
Окончательная настройка ретрансляции DHCP
show run
: Saved
:
ASA Version 9.1(5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 0
 ip address 192.0.2.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 100
 ip address 198.51.100.1 255.255.255.0
!
interface Ethernet0/2
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
boot system disk0:/asa825-k8.bin
ftp mode passive
no pager
logging enable
logging buffer-size 40960
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 0:30:00
timeout pat-xlate 0:00:30
timeout conn 3:00:00 half-closed 0:30:00 udp 0:15:00 icmp 0:00:02
timeout sunrpc 0:10:00 h423 0:05:00 h325 0:30:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

dhcprelay server 198.51.100.2 Outside
dhcprelay enable inside
dhcprelay setroute inside

//Defining DHCP server IP and interface//
//Enables DHCP relay on inside/client facing interface//
//Sets ASA inside as DG for clients in DHCP reply packets//
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
 no active
 destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
 destination address email [email protected]
 destination transport-method http
 subscribe-to-alert-group diagnostic
 subscribe-to-alert-group environment
 subscribe-to-alert-group inventory periodic monthly
 subscribe-to-alert-group configuration periodic monthly
 subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7ae5f655ffe399c8a88b61cb13425972
: end

Конфигурация сервера DHCP
show run
Building configuration...

Current configuration : 1911 bytes
!
! Last configuration change at 18:36:05 UTC Tue May 28 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 4096
!
no aaa new-model
!
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip source-route
!
ip dhcp excluded-address 192.0.2.1 192.0.2.2
ip dhcp excluded-address 192.0.2.10 192.0.2.254

//IP addresses exluded from DHCP scope//
!
ip dhcp pool pool1
 import all  network 192.0.2.0 255.255.255.0
 dns-server 192.0.2.10 192.0.2.11  domain-name cisco.com

//DHCP pool configuration and various parameters//
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1811W-AG-A/K9 sn FCTxxxx
!
!
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Dot11Radio1
 no ip address
 shutdown
 speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
 station-role root
!
interface FastEthernet0
 ip address 198.51.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 no ip address
!
interface FastEthernet9
 no ip address
!
interface Vlan1
 no ip address
!
interface Async1
 no ip address
 encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 192.0.2.0 255.255.255.0 198.51.100.1

//Static route to ensure replies are routed to relay agent IP//
!
!
!
control-plane
!
!
line con 0
line 1
 modem InOut
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 login
 transport input all
!
end

Ретрансляция DHCP с несколькими серверами DHCP

Можно определить не более десяти DHCP-серверов. Когда клиент передает пакет DHCPDiscover, он переадресуется на все DHCP-серверы.

Например:

dhcprelay server 198.51.100.2 outside
dhcprelay server 198.51.100.3 outside
dhcprelay server 198.51.100.4 outside
dhcprelay enable inside
dhcprelay setroute inside
 Отладка с использованием нескольких серверов DHCP

Далее приведено несколько примеров отладки при использовании нескольких DHCP-серверов:

DHCP: Received a BOOTREQUEST from interface 2 (size = 300)
DHCPRA: relay binding found for client 000c.291c.34b5.
DHCPRA: setting giaddr to 192.0.2.1.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.2.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.3.
dhcpd_forward_request: request from 000c.291c.34b5 forwarded to 198.51.100.4.
Перехват с использованием нескольких серверов DHCP

Далее приведен пример перехвата пакетов при использовании нескольких DHCP-серверов:

ASA# show cap out

3 packets captured

 1: 18:48:41.211628      192.0.2.1.67 > 198.51.100.2.67: udp 300 
 2: 18:48:41.211689      192.0.2.1.67 > 198.51.100.3.67: udp 300
 3: 18:48:41.211704      192.0.2.1.67 > 198.51.100.4.67: udp 300 

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Чтобы просмотреть статистическую информацию о службах ретрансляции DHCP, выполните команду show dhcprelay statistics в CLI ASA:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1
DHCP Other UDP Errors: 0

Packets Relayed
BOOTREQUEST         0
DHCPDISCOVER        1
DHCPREQUEST         1
DHCPDECLINE         0
DHCPRELEASE         0
DHCPINFORM          0

BOOTREPLY           0
DHCPOFFER           1
DHCPACK             1
DHCPNAK             0

Эти выходные данные содержат информацию о нескольких типах сообщений DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

  • команда show dhcprelay state в CLI ASA
  • команда show ip dhcp server statistics в CLI маршрутизатора

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show.  Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Router#show ip dhcp server statistics
Memory usage        56637
Address pools       1
Database agents     0
Automatic bindings  1
Manual bindings     0
Expired bindings    0
Malformed messages  0
Secure arp entries  0

Message             Received
BOOTREQUEST         0
DHCPDISCOVER        1
DHCPREQUEST         1
DHCPDECLINE         0
DHCPRELEASE         0
DHCPINFORM          0

Message             Sent
BOOTREPLY           0
DHCPOFFER           1
DHCPACK             1
DHCPNAK             0

ASA# show dhcprelay state
Context Configured as DHCP Relay
Interface inside, Configured for DHCP RELAY SERVER
Interface outside, Configured for DHCP RELAY

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show.  Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Кроме того, можно использовать следующие команды отладки:

  • debug dhcprelay packet
  • debug dhcprelay event
  • Перехват
  • Системные журналы

Примечание.Перед использованием команд debug обратитесь к документу Важные сведения о командах отладки.

Дополнительные сведения

Настройка DHCP-Relay на Cisco

DHCP позволяет устройствам в сети автоматически получать IP-адреса. В такой сети есть два участника: DHCP-клиент и DHCP-сервер. При получении IP-адреса, клиент широковещательный запрос DISCOVER на поиск DHCP-сервера. В одной подсети с компьютером находится данный способ получения сетевых проблем в данной ситуации не возникает. В противном случае, когда DHCP-сервер и DHCP-клиент находятся в разных подсетях, широковещательный запрос DISCOVER отбросится на ближайшем маршрутизаторе, так как маршрутизаторы не пропускают широковещательные запросы.Таким образом, необходим механизм, обеспечивающий передачу широковещательных запросов (в данном случае, протокол DHCP, 67/68 порты UDP) на нужный нам сервер.

Более подробно про работу протокола DHCP можно почитать в моей статье, а также здесь. Для рассмотри две схемы: в первой схеме — DHCP-сервер находится за маршрутизатором в другом подсети, во второй схеме — DHCP-сервер и локальная сеть разнесены в разных VLAN.

Первая схема:

Конфигурация Router:

 Router> enable - переходим в расширенный режим
Router (config) conf t - переходим в режим конфигурации
Маршрутизатор (config) #interface fa0 / 0 - настраиваем интерфейс в сторону LAN
Маршрутизатор (config-if) #description LAN - описание интерфейса
Маршрутизатор (config-if) #ip адрес 172.16.1.1 255.255.255.0 - задаем шлюз по-умолчанию
Маршрутизатор (config-if) # no shutdown - включаем интерфейс
Маршрутизатор (config-if) #ip helper-address 172.16.2.2 - перенаправляем широковещательные запросы
Маршрутизатор (config-if) #exit
Маршрутизатор (config) #interface fa0 / 1 - настраиваем интерфейс в сторону DHCP-сервера
Маршрутизатор (config-if) #description DHCP-сервер
Маршрутизатор (config-if) #ip-адрес 172.16.2.1 255.255.255.0
Маршрутизатор (config-if) # без выключения 

По сути главная строчка в этой конфигурации ip-helper-address 172.16.2.2. Это означает, что все широковещательные запросы протокола UDP (в том числе и DHCP Discover), попадающие на порт fa0 / 0 (в сторонней подсети) будут пересылаться на хост 172.16.2.2 (адрес DHCP-сервера). Пересылаться следующие запросы:

  1. Время (udp 37)
  2. TACACS (UDP 49)
  3. DNS (UDP 53)
  4. TFTP (UDP 69)
  5. Служба имен NetBIOS (udp 137)
  6. Служба дейтаграмм NetBIOS (UDP 138)

. Если вы хотите запретить пересылку некоторых запросов, воспользуйтесь командой no ip forward-protocol udp номер_порта. Например — запрет на пересылку DNS-запросов:

 Маршрутизатор (config) # no ip forward-protocol udp 53 

Рассмотрим как пакет DHCP-Discover находит нужный сервер. Компьютер PC0 подготавливает DHCP-запрос на автоматическое выделение IP-адреса.

Видим, что MAC-адрес назначения широковещательный FFFF.FFFF.FFFF — такой пакет отбросится на маршрутизаторе, если на нем не настроена ретрансляция.

Коммутатор перешлет широковещательный пакет на все порты, кроме того с которого был получен пакет.Компьютер дропнут пакет, так как не работают функции DHCP-сервера. Маршрутизатор определит, что IP-адрес назначения является широковещательным, а также, что пакет относится к DHCP-протоколу. Маршрутизатор видит, что пакет совпадает с критерием-помощником и пересылает пакет на адрес-помощник. Он смотрит в свою таблицу маршрутизации и видит что подсеть 172.16.2.1/24 находится на порту fa0 / 1. Маршрутизаор послет пакет на порт. В качестве Source Ip — маршрутизатор указывает свой адрес 172.16.1.1, в качестве IP-адреса назначения указывает IP-адрес DHCP-сервера 172.16.2.2.

Таблица маршрутизации Router:

DHCP-сервер в свою очередь посылает ответ DHCP-запрос с предложенным IP-адресом.

Конфигурация для Switch:

 Switch (config) #interface range fa0 / 1 - fa0 / 4 - настраиваем порты в сторону ПК
Переключатель (config-if-range) #description PC
Switch (config-if-range) #switchport mode access - переводим порты в режим доступа
Switch (config-if-range) #switchport access vlan 10 - тегируем кадры 10 VLAN'ом
Переключатель (config-if-range) #exit
Switch (config) #interface fa0 / 5 - настраиваем порт в сторону DHCP-сервер
Switch (config-if) #description DHCP-сервер
Switch (config-if) #switchport mode access - переводим порты в режим доступа
Switch (config-if) #switchport access vlan 20 - тегируем кадры 20 VLAN'ом
Переключить (config-if) #exit
Switch (config) #interface fa0 / 24 - настраиваем порт в сторону Роутер
Switch (config-if) #description Маршрутизатор
Переключатель (config-if) #switchport mode trunk - настраиваем порт в режиме транка
Switch (config-if) #switchport trunk allowed vlan 10,20 - пропускаем VLAN 10,20
Переключатель (config-if) #exit 

Конфигурация для маршрутизатора

 Маршрутизатор (config) #interface fa0 / 0
Маршрутизатор (config-if) # no shutdown - включаем интерфейс
Маршрутизатор (config-if) #exit
Маршрутизатор (config) #interface fa0 / 0.10 - настраиваем сабинтерфейс для пользователей
Маршрутизатор (config-subif) #description Пользователь-ПК
Роутер (config-subif) #encapsulation dot1q 10 - тегируем кадры 10 VLAN'ом
Маршрутизатор (config-subif) #ip address 172.16.1.1 255.255.255.0 - задаем шлюз по-умолчанию
Router (config-subif) #ip helper-address 172.16.2.2 - пересылаем широковещательные пакеты на сервер
Маршрутизатор (config-subif) #exit
Маршрутизатор (config) #interface fa0 / 0.20 - настраиваем сабинтерфейс для сервера
Маршрутизатор (config-subif) # описание DHCP-сервер
Router (config-subif) #encapsulation dot1q 20 - тегируем кадры 20 VLAN'ом
Маршрутизатор (config-subif) #ip адрес 172.16.2.1 255.255.255.0 - задаем шлюз по-умолчанию
Маршрутизатор (config-subif) #exit 

Настройки для второй схемы полностью аналогичны первой, разница лишь в том, что мы указываем команду ip helper-address 172.16.2.2 на сабинтерфейсе.

Помогла ли вам статья?

Да
Нет
Стоп

Спасибо! Ваш голос учтен.

.

Steinkäfer: DHCP-ретранслятор Cisco

DHCP-ретранслятор Cisco

Существует DHCP-сервер на Windows, например. Сервер находится в одном сегменте сети, клиентские компьютеры в другой. Между клиентами и сервером нескольких маршрутизаторов и коммутаторов 3-го уровня. Сети связаны по маршрутизации.

По умолчанию, DHCP-Relay настраивается на Cisco одной командой:

ip helper-address IP-адрес_DHCP-сервера

Прописывается эта команда на интерфейс который смотрит в сеть с клиентскими компьютерами.

интерфейс GigabitEthernet0 / 4
описание LAN_IT
no switchport
ip address 10.10.71.1 255.255.255.0
ip helper-address 10.10.57.18

Но есть один нюанс : необходимо проверить, чтобы был включен DHCP-сервис на маршрутизаторе (коммутаторе). По-умолчанию он включен, но многие его откют за ненадобностью.
Следующая команда включает dhcp-сервис на маршрутизаторе (коммутаторе):

сервис dhcp

Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы:

Время (udp 37)
TACACS (udp 49)
DNS (udp 53)
TFTP (udp 69)
Служба имен NetBIOS (udp 137)
Служба дейтаграмм NetBIOS (udp 138)

Если мы хотим исправить ситуацию, в режиме глобальной конфигурации определяем, какие запросы пересылать, а какие — нет:

нет IP-протокола прямого протокола UDP 37

нет IP-протокола прямого протокола UDP 53

Клиент шлет стандартный DISCOVERY, который пересылается Relay-агентом в направлении DHCP-сервера.Маршрутизатор пересылает запрос DHCP-серверу на ip-адрес через ip helper-address (dest = 10.10.57.18), unicast-пакетом с исходным адресом 10.10.71.1, то есть с тем адресом, на который пришел запрос от клиента. На основании адреса источника сообщения DHCP-сервер определяет, из какого пула выдавать адрес.
Если на интерфейсе сети, который является шлюзом по-умолчанию (10.10.71.1), стоит список доступа, на нем должна быть строчка:

разрешить udp любой экв 68 любой экв 67

То есть DHCP посылает запрос по UDP с порта 68, а DHCP-сервер слушает UDP на порту 67.
Если кратко, то всё. Однако DHCP-Relay на Cisco имеет большое количество дополнительных настроек и политик.

.

Настройка cisco dhcp в локальной сети

Всем привет ранее мы закончили настраивать сеть для филиалов, и разобрались со статической маршрутизацией, но все это время настраивали компьютер по IP-адресу в ручную. Для решения это задачи есть служба DHCP. Можно конечно использовать Windows DHCP, при наличии лицензии на Windows Server, но Cisco тоже умеет это делать на ура. Настроим давайте службу DHCP на Cisco, рассмотрим несколько вариантов.

Принцип работы DHCP

Как работает dhcp сервер, ответ на этот вопрос очень простой.Когда компьютер установлен в сети, первым делом онсылает в сети широковещательный запрос, по всем кто в сети. Данный пакет называется DHCPDISCOVER, в котором он спрашивает ребята есть у вас тут DHCP, если да то дай как мне ip адрес. Если HDCP сервер в локальной сети есть, то он отвечает ему пакетом DHCPOFFER, в котором вот я есть, вот тебе ip адрес, будешь брать? Компьютер получил пакет DHCPOFFER, отсылаем ему ответ в виде пакета DHCPREQUEST, который говорит, отлично я беру этот IP-адрес, запиши его за мной, на что DHCP получил этот пакет, отвечает пакетом DHCPACK в котором говорит что записал, что это ip теперь твой.Вот весь принцип.

Вот такие пакеты от dhcp:

  • DHCPDECLINE — это пакет в котором определен IP-адрес сервера DHCP в момент предложения, уже используется кем то, и тогда будет сгенерирован новый запрос на другой IP-адрес
  • DHCPRELEASE — этот пакет появляется, когда освобождает IP-адрес
  • DHCPRENEW — Этот пакет содержит в себе запрос на обновление и продление IP адреса
  • DHCPINFORM — пакет, направленный клиентом к серверу DHCP, чтобы получить от него детальную информацию, пример, где находится запасной DHCP-сервер в сети

Настройка dhcp cisco

Настройка маленького офиса

У нас есть филиал, 3 компьютера, один коммутатор второго уровня Cisco 2960 и роутер Cisco 1841.Все компьютеры находятся в нативном vlan (vlan по умолчанию). Вот схема сети.

Приступаем к настройке Cisco 1841. Поднимем у него порт fa0 / 0 и назначим ему ip 192.168.1.1/24

включить
conf t
in fa0 / 0
no shutdown
ip address 192.168.1.1 255.255.255.0
выход

Видим, что порт загорелся зеленым.

Далее создаем пул IP-адресов на cisco dhcp-сервере, для этого вводим команду: DHCP_192.168.1.0 это имя

ip dhcp pool DHCP_192.168.1.0

Посмотрим теперь доступные команды

Router (dhcp-config) #?
default-router Маршрутизаторы по умолчанию
dns-server Установить сервер имен
exit Выйти из режима конфигурации пула DHCP
network Номер сети и маска
no Отменить команду или установить ее значения по умолчанию
option Raw DHCP options

Задаем в начале сети которую будем раздавать, естественно она должна быть в том же диапазоне что и ip адрес устройства Cisco.Создаю сеть 192.168.1.0

сеть 192.168.1.0 255.255.255.0

Задаем шлюз по умолчанию

default-router 192.168.1.1

Задаем DNS сервер

Выходим exit.

Теперь давайте исключим из созданного пула первые 50 IP-адресов, которые отдадим для серверов и про запас.

ip dhcp excluded-address 192.168.1.1 192.168.1.50
exit
do wr mem

Проверка получения ip-адреса

Берем первый компьютер, ввод на нем команду ipconfig, чтобы посмотреть текущие настройки.Как видим, ip адрес не назначен. Так как это у меня симулятор Cisco Packet Tracer 6.2, то по умолчанию стоит статический ip в настройках, поставлю получение автоматически с DHCP.

Делаем снова ipconfig и видим, что получили ip-адрес 192.168.1.51

Делаем на двух других компьютерах такие же настройки, и пробуем пропинговать друг друга, видим, все ок пинги доходят.

В малом офисе мы настроили dhcp сервер cisco.

Настройка DHCP для среднего офиса

С маленьким офисом мы разобрались, теперь рассмотрим схему среднего офиса. У нас тут уже есть сигментирование в виде vlan (2,3,4). У нас в схеме есть роутер Cisco 2911, на котором будет маршрутизация локального трафика между vlan, коммутатор второго уровня Cisco 2960 на конечных устройствах доступа, сервер DHCP в vlan 4, с которого мы и будем получать ip-адреса.

Настроим Cisco 2960

Первым делом на коммутаторе нужно создать vlan 2,3,4 и задать им имена.

включить
conf t
vlan 2
name VLAN2
exit
vlan 3
name VLAN3
exit
vlan 4
name VLAN4
exit

Теперь настроим порты коммутатора и добавим их в нужный vlan.

VLAN2 у меня порты fa0 / 1 и fa0 / 2

int range fa0 / 1-2
switchport mode access
switchport access vlan 2
exit

VLAN3 у меня порты fa0 / 3 и fa0 / 4

int range fa0 / 3-4
доступ в режиме witchport
доступ к коммутатору vlan 3
выход

VLAN4 у меня порт fa0 / 5

int fa 0/5
доступ к режиму коммутатора
доступ к коммутатору vlan 4
выход

Теперь настроим порт gi0 / 1 который подключается к роутеру Cisco 2911, и режим работы у него будет магистраль.разрешим через ствол все 4 влана.

int gi0 / 1
switchport mode trunk
switchport trunk разрешен vlan 2,3,4
exit

Сохраним настройки

do wr mem

Настроим Cisco 2911

Теперь приступим к настройке Cisco 2911, на нем будет маршрутизация трафика между vlan , значит для этого мы должны создать их, указать им IP-адреса, которые будут выступать в схеме роли шлюзов.

первым делом мы поднимаем порт, как на всех роутерах Cisco они в выключенном состоянии.

enable
conf t
int gi0 / 0
no shutdown

Создаем суб интерфейс vlan2
int gi0 / 0.2
encapsulation dot1Q 2
ip address 192.168.2.251 255.255.255.0
exit
Создаем sub интерфейс vlan3
int gi0 /0.3
инкапсуляция dot1Q 3
ip-адрес 192.168.3.251 255.255.255.0
exit
Создаем суб интерфейс vlan4
int gi0 / 0.4
инкапсуляция dot1Q 4
ip-адрес 192.168.4.251 255.255.255.0
exit
Включаем маршрутизацию
ip routing
do wr mem

Проверим теперь с компьютера где ip адрес 192.168.2.1 пропинговать шлюз и соседей по vlan 3,4. Видим, что все отлично работает, связь проверена. Осталось теперь настроить DHCP сервер.

Настройка DHCP

Напомню, что службой DHCP, может быть компьютер с ролью на Windows Server (здесь это компьютер или виртуальная машина, где есть много сетевых интерфейсов, каждый из которых подключен к нужному vlan, в DHCP и отдает свои ip-адрес), само устройство cisco, либо сторонний продукт на базе linux, варианты много, в своей тестовой среде у меня есть сервер в cisco packet tracer, у него есть статический ip-адрес 192.168.4.1. Я создаю новый пул для VLAN2, раздавать я буду с 192.168.2.50 до 192.168.2.250, задаю шлюз по умолчанию и dns сервер.

жмем Добавить и добавляем наш пул. Так же создаем пул для 3 VLAN.

Теперь вспомним, что у нас DHCP сервер в другом vlan, а это значит, что широковещательные запросы DHCPDISCOVER из других vlan, он не видит, решить эту проблему нам поможет dhcp relay.

dhcp relay настройка

cisco dhcp relay в двух словах это ретранслятор, который отлавливает пакеты DHCPDISCOVER и перенаправляет их DHCP-серверу, за счет этого можно уменьшить количество DHCP-серверов.Приступим и настроим наш dhcp relay.

int gi0 / 0.2
ip helper-address 192.168.4.1
exit
Router (config) #int gi0 / 0.3
ip helper-address 192.168.4.1
exit
do wr mem

Теперь у нас в каждом vlan появился ретранслятор на наш dhcp сервер. Так же в целях безопасности вы можете настроить, чтобы у вас доверенным был только dhcp сервер с определенного порта, а все остальные будут игнорироваться. Возьмем за тест компьютер со статическим ip 192.168.2.1, посмотрим текущие настройки сети команды ipconfig, ставим автоматическое получение, и видим что получили 192.168.2.50. DHCP в vlan2 работает.

Полезные команды cisco dhcp

Смотрим статистику по пакетам и привязкам

sh ip dhcp server statistics

Смотрим кому настроить какой ip-адрес cisco

sh ip dhcp вот так работает привязки

и

DHCP и DHCP Relay в сети.Надеюсь было позновательно.

Материал сайта pyatilistnik.org

.

Пример конфигурации DHCP-ретрансляции ASA — Cisco

Введение

Этот документ представляет ретрансляцию DHCP на платформе Cisco Adaptive Security Appliance (ASA) с использованием перехвата и отладки пакетов. В нем также приведен пример конфигурации.

Предварительные условия

Агент ретрансляции DHCP позволяет устройству безопасности переадресовывать запросы DHCP с клиентов на маршрутизатор или на другой сервер DHCP, подключенный к другому интерфейсу.

Эти ограничения применимы только при использовании агента ретрансляции DHCP:

  • Если уже включена функция DHCP-сервера, нельзя включить агент ретрансляции.
  • Необходимо подключиться напрямую к устройству безопасности. При этом нельзя отправлять запросы через другой агент ретрансляции или маршрутизатор.
  • В многоконтекстном режиме нельзя включить ретрансляцию DHCP или настроить сервер ретрансляции DHCP в интерфейсе, если он используется контекстами.

Сервисы ретрансляции DHCP недоступны в прозрачном режиме межсетевого экрана. Устройство безопасности в прозрачном режиме межсетевого экрана разрешает прохождение только трафика ARP. Для всего остального трафика требуется список контроля доступа. Чтобы разрешить отправку запросов и отклика DHCP через устройство безопасности в прозрачном режиме, необходимо настроить два списка контроля доступа:

  • Один список контроля доступа, который разрешает отправку запросов DHCP из внутреннего интерфейса во внешний
  • Второй список контроля доступа разрешает отправку отклика с сервера в направлении другом

Требования

Cisco ознакомьтесь с принципами работы интерфейса командной строки (CLI) ASA и Cisco IOS®.

Используемые компоненты

, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5500-x Series Security Appliance 9.x или более поздней версии
  • Маршрутизаторы Cisco серии 1800

сведения, представленные в этом документе, получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией.В рабочей сети использовать потенциальное воздействие всех команд до их использования.

Общие сведения

Протокол DHCP предоставляет хостам автоматической конфигурации (например, IP-адрес с маской подсети, шлюз по умолчанию, адрес DNS-сервера и адрес WINS (Windows Internet Name Service)). Изначально у клиентов DHCP нет этих параметров конфигурации. Для получения этой информации они отправляют соответствующий широковещательный запрос. Когда сервер DHCP видит этот запрос, он предоставляет нужную информацию.Поскольку природу таких широковещательных запросов, DHCP-клиент должен находиться в пределах одной подсети. Устройства уровня 3 (маршрутизаторы и межсетевые экраны), как правило, не выполняют переадресацию широковещательных запросов по умолчанию.

Размещать DHCP-клиенты и DHCP-сервер в одном подсети не всегда удобно. В этом случае можно использовать ретрансляцию DHCP. Когда агент ретрансляции DHCP на устройстве безопасности получает DHCP-запрос от хоста во внутреннем интерфейсе, он переадресует его на одном из указанных DHCP-серверов во внешнем интерфейсе.Когда DHCP-сервер отправляет клиенту отклик, устройство безопасности переадресует его обратно. То есть, агент ретрансляции DHCP в этом диалоге с DHCP-сервером выступает в качестве прокси-сервера для клиента DHCP.

Движение пакетов

На этой иллюстрации демонстрируется поток пакета DHCP, если агент ретрансляции DHCP не используется:

ASA перехватывает эти пакеты и преобразовывает их в формат ретрансляции DHCP:

Ретрансляция DHCP с перехватом пакета внутренних и внешних интерфейсов ASA

Обратите внимание на содержимое, выделенное КРАСНЫМ, — именно так ASA изменяет поля.

  1. Чтобы запустить процесс DHCP, загрузите и отправьте широковещательное сообщение (DHCPDISCOVER) на адрес назначения 255.255.255.255 — UDP-порт 67.

    Примечание. Если VPN-клиент запрашивает IP-адрес, IP-адрес агента ретрансляции будет используемым IP-адресом, который будет использовать команду dhcp-network-scope в рамках групповой политики.

  2. Как правило, ASA отбрасывает широковещательное сообщение, но, поскольку эта платформа как DHCP-ретранслятор, она переадресует сообщение DHCPDISCOVER в формате одноадресного пакета на IP-адресе DHCP-сервера из IP-интерфейса, который ориентирован на этот сервер. В данном случае это будет IP-адрес внешнего интерфейса. Обратите внимание на изменение IP-заголовка и поля агента ретрансляции:

    Примечание. Благодаря исправлению для ошибок Cisco с идентификатором CSCuo89924, ASA 9.1 (5.7), 9.3 (1) и более поздних версий переадресует одноадресные пакеты на IP-DHCP-сервере с IP-адресом, который ориентирован на клиент (giaddr), где активирован параметр dhcprelay . В данном случае это будет IP-адрес внутреннего интерфейса.

  3. Сервер отправляет сообщение DHCPOFFER в формате одноадресного пакета обратно в ASA, на IP-адрес агента ретрансляции, настроенный в поле DHCPDISCOVER- UDP-порт 67. В данном случае это будет IP-адрес внутреннего интерфейса (giaddr), где активирован параметр dhcprelay. Обратите внимание на IP-адрес назначения в заголовке уровня 3:

  4. ASA передает этот пакет из внутреннего интерфейса — UDP-порт 68. Обратите внимание на изменение заголовка IP-адреса в процессе отправки пакета из внутреннего интерфейса:

  5. После вывода сообщений DHCPOFFER отправьте сообщение DHCPREQUEST, чтобы сообщить о принятии предложения.

  6. ASA передает сообщение DHCPREQUEST на сервер DHCP.

  7. После того как сервер получит DHCPREQUEST, он отправляет DHCPACK обратно, чтобы подтвердить предложенный IP.

  8. ASA передает вам сообщение DHCPACK с DHCP-сервера, транзакция завершается.

Отладка и системные журналы транзакций ретрансляции DHCP

Это запрос DHCP, переадресованный интерфейс DHCP-сервера 198.51.100.2:

 DHCPRA: привязка ретрансляции создана для клиента 0050.5684.396a.DHCPD: 
устанавливает для giaddr значение 192.0.2.1.

dhcpd_forward_request: запрос от 0050.5684.396a перенаправлен на 198.51.100.2.
DHCPD / RA: Punt 198.51.100.2/17152 -> 192.0.2.1/17152 к CP
DHCPRA: получено сообщение BOOTREPLY от интерфейса 2
DHCPRA: обнаружена привязка ретрансляции для клиента 0050.5684.396a.
DHCPRA: добавление правила, позволяющего клиенту отвечать с использованием предложенного адреса 192.0.2.4

После получения отклика от DHCP-сервера устройство безопасности переадресует его на DHCP-клиент с MAC-адресом 0050.5684.396a и изменяет адрес шлюза на адрес в собственном внутреннем интерфейсе.

 DHCPRA: пересылка ответа клиенту 0050.5684.396a. 
DHCPRA: обнаружена привязка ретрансляции для клиента 0050.5684.396a.
DHCPD: установка giaddr на 192.0.2.1.
dhcpd_forward_request: запрос от 0050.5684.396a перенаправлен на 198.51.100.2.
DHCPD / RA: Punt 198.51.100.2/17152 -> 192.0.2.1/17152 к CP
DHCPRA: получено сообщение BOOTREPLY от интерфейса 2
DHCPRA: обнаружена привязка ретрансляции для клиента 0050.5684.396a.
DHCPRA: обмен завершен - привязка ретрансляции удалена для клиента 0050.5684.396a.
DHCPD: возвращена привязка ретранслятора 192.0.2.1/0050.5684.396a к пулу адресов.
dhcpd_destroy_binding () удаление правила NP для клиента 192.0.2.1
DHCPRA: пересылка ответа клиенту 0050.5684.396a.

Эта же транзакция отображается также в системных журналах:

% ASA-7-609001: Встроенный локальный хост внутри: 0.0.0.0 
% ASA-7-609001: Встроенный идентификатор локального хоста: 255.255.255.255
% ASA-6-302015: Встроенное входящее UDP-соединение 13 для внутреннего:
0.0.0.0 / 68 (0.0.0.0/68) для идентификации: 255.255.255.255/67 (255.255.255.255/67)
% ASA-7-609001: Встроенная идентификация локального хоста: 198.51.100.1
% ASA-7- 609001: Встроенный локальный хост снаружи: 198.51.100.2
% ASA-6-302015: Встроенное исходящее UDP-соединение 14 для внешнего:
198.51.100.2/67 (198.51.100.2/67) для идентификации: 198.51.100.1/67 (198.51 .100.1 / 67)

% ASA-7-609001: Встроенный локальный хост внутри: 192.0.2.4
% ASA-6-302020: Встроенное исходящее соединение ICMP для
faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1
% ASA-7-609001: Встроенная идентификация локального хоста: 192.0.2.1
% ASA-6-302015: Встроенное входящее UDP-соединение 16 для внешних:
198.51.100.2/67 (198.51 .100.2 / 67) для идентификации: 192.0.2.1/67 (192.0.2.1/67)
% ASA-6-302015: Создано исходящее UDP-соединение 17 для внутреннего:
192.0.2.4/68 (192.0.2.4/68) для identity: 192.0.2.1/67 (192.0.2.1/67)
% ASA-6-302021: Разрыв ICMP-соединения для
faddr 192.0.2.4/0 gaddr 198.51.100.2/1 laddr 198.51.100.2/1

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание.Воспользуйтесь инструментом Command Lookup (только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемая в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

В этом примере используются следующие конфигурации:

  • Настройка ретрансляции DHCP с использованием CLI
  • Окончательная настройка ретрансляции DHCP
  • Конфигурация сервера DHCP
Настройка ретрансляции DHCP с использованием CLI
 сервер dhcprelay 198.51.100.2 снаружи 
dhcprelay включить внутри
dhcprelay setroute внутри
dhcprelay timeout 60
Окончательная настройка ретрансляции DHCP
 show run 
: Сохранено
:
ASA Version 9.1 (5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
name
!
интерфейс Ethernet0 / 0
имя если внутри
уровень безопасности 0
IP-адрес 192.0.2.1 255.255.255.255,0
!
интерфейс Ethernet0 / 1
имяесли вне
уровень безопасности 100
IP-адрес 198.51.100.1 255.255.255.0
!
интерфейс Ethernet0 / 2
без имени if
без уровня безопасности
без IP-адреса
!
интерфейс Ethernet0 / 3
без имени if
без уровня безопасности
без IP-адреса
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
загрузочный системный диск0: /asa825-k8.bin
ftp mode passive
no pager
logging enable
logging buffer-size 40960
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst -size 1
no asdm history enable
arp timeout 14400
timeout xlate 0:30:00
timeout pat-xlate 0:00:30
timeout conn 3:00:00 half-closed 0:30:00 udp 0:15 время ожидания : 00 icmp 0:00:02
timeout sunrpc 0:10:00 h423 0:05:00 h325 0:30:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-seek 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0: 01:00
таймаут с плавающей точкой 0:00:00
запись политики динамического доступа DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 внутри
нет местоположения snmp-сервера
нет контакта с snmp-сервером
время жизни ассоциации безопасности crypto ipsec в секундах 28800
время жизни ассоциации безопасности crypto ipsec в килобайтах 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

dhcprelay server 198.51.100.2 Outside
dhcprelay enable inside
dhcprelay setroute inside

// Определение IP-адреса и интерфейса DHCP-сервера //
// Включает ретрансляцию DHCP на внутреннем / клиентском интерфейсе //
// Устанавливает ASA внутри как DG для клиентов в ответных пакетах DHCP //
таймаут dhcprelay 60
обнаружение угроз базовая угроза
статистика обнаружения угроз список доступа
нет статистики обнаружения угроз tcp-intercept
webvpn
!
!
запрос контекста имени хоста
нет отчета о звонках домой анонимный
звонок домой
профиль CiscoTAC-1
нет активного
адрес назначения http https: // tools.cisco.com/its/service/oddce/services/DDCEService
адрес назначения электронная почта [email protected]
метод транспорта назначения http
подписка на группу предупреждений диагностика
среда подписки на группу предупреждений
подписка на -alert-group inventory периодически ежемесячно
настройка группы подписки на оповещения периодически ежемесячно
телеметрия подписки на группу оповещений периодически ежедневно
Cryptochecksum: 7ae5f655ffe399c8a88b61cb13425972
: end

Конфигурация сервера DHCP
 show run 
Конфигурация здания...

Текущая конфигурация: 1911 байт
!
! Последнее изменение конфигурации в 18:36:05 UTC вторник, 28 мая 2013 г.
версия 15.1
метки времени службы отладки дата и время мсек
метки времени службы журнал datetime мсек
нет службы шифрования пароля
!
имя хоста Маршрутизатор
!
маркер начала начальной загрузки
маркер конца начальной загрузки
!
!
логирование буферизовано 4096
!
no aaa новая модель
!
таймаут удаления по умолчанию токена pki 0
!
!
dot11 syslog
ip source-route
!
ip dhcp исключенный-адрес 192.0.2.1 192.0.2.2
ip dhcp excluded-address 192.0.2.10 192.0.2.254

// IP-адреса исключены из области DHCP //
!
ip dhcp pool pool1
import all network 192.0.2.0 255.255.255.0
dns-server 192.0.2.10 192.0.2.11 domain-name cisco.com

// Конфигурация пула DHCP и различные параметры //
!
!
!
ip cef
no ipv6 cef
!
аутентификация многоканального имени-пакета
!
!
!
лицензия udi pid CISCO1811W-AG-A / K9 sn FCTxxxx
!
!
!
интерфейс Dot11Radio0
нет IP-адреса
выключение
скорость базовая-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
станция-роль root
!
интерфейс Dot11Radio1
без IP-адреса
выключение
скорость basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
станция-роль root
!
интерфейс FastEthernet0
ip-адрес 198.51.100.2 255.255.255.0
дуплекс авто
скорость авто
!
интерфейс FastEthernet1
без IP-адреса
дуплекс авто
скорость авто
!
интерфейс FastEthernet2
без IP-адреса
!
интерфейс FastEthernet3
нет IP-адреса
!
интерфейс FastEthernet4
без IP-адреса
!
интерфейс FastEthernet5
нет IP-адреса
!
интерфейс FastEthernet6
без IP-адреса
!
интерфейс FastEthernet7
нет IP-адреса
!
интерфейс FastEthernet8
нет IP-адреса
!
интерфейс FastEthernet9
нет IP-адреса
!
интерфейс Vlan1
нет IP-адреса
!
интерфейс Async1
без IP-адреса
инкапсуляция слип
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
IP-маршрут 192.0.2.0 255.255.255.0 198.51.100.1

// Статический маршрут для обеспечения маршрутизации ответов на IP-адрес агента ретрансляции //
!
!
!
контрольная плоскость
!
!
line con 0
line 1
modem InOut
stopbit 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
login
transport input all
!
конец

Ретрансляция DHCP с серверами DHCP

Можно определить не более десяти DHCP-серверов. Когда клиент передает пакет DHCPDiscover, он переадресуется на все DHCP-серверы.

Например:

 dhcprelay server 198.51.100.2 снаружи
dhcprelay server 198.51.100.3 снаружи
dhcprelay server 198.51.100.4 снаружи
dhcprelay включить внутри
dhcprelay setroute внутри
 
Отладка с использованием нескольких серверов DHCP

Ниже приведено несколько примеров отладки при использовании нескольких DHCP-серверов:

 DHCP: получен запрос на загрузку от интерфейса 2 (размер = 300)
DHCPRA: обнаружена привязка ретрансляции для клиента 000c.291c.34b5.
DHCPRA: установка giaddr на 192.0.2.1.
dhcpd_forward_request: запрос от 000c.291c.34b5 перенаправлен на 198.51.100.2.
dhcpd_forward_request: запрос от 000c.291c.34b5 перенаправлен на 198.51.100.3.
dhcpd_forward_request: запрос от 000c.291c.34b5 перенаправлен на 198.51.100.4.
 
Перехват с использованием нескольких серверов DHCP

Ниже приведен пример перехвата пакетов при использовании нескольких DHCP-серверов:

 ASA # показать без крышки

3 пакета захвачено

 1: 18:48:41.211628 192.0.2.1.67> 198.51.100.2.67: udp 300 
2: 18: 48: 41.211689 192.0.2.1.67> 198.51.100.3.67: udp 300
3: 18: 48: 41.211704 192.0.2.1.67 > 198.51.100.4.67: UDP 300

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Чтобы просмотреть статистическую информацию о службах ретрансляции DHCP, выполните команду показать статистику dhcprelay в CLI ASA:

 ASA # show dhcprelay statistics 
DHCP UDP Unreachable Errors: 1
DHCP Other UDP Errors: 0

Packets Relayed
BOOTREQUEST 0
DHCPDISCOVER 1
DHCPREQUEST 1
DHCPDECLINE 0
DHCPRELEASE 1
DHCPDECLINE 0
DHCPRELEASE 14 9014 9 DHCPPLINFACK 1
DHCPNAK 0

Эти выходные данные содержат информацию о нескольких типах сообщений DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

  • команда показать dhcprelay состояние в CLI ASA
  • команда показать статистику ip dhcp сервера в CLI маршрутизатора

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

 Router # show ip dhcp server statistics 
Использование памяти 56637
Пулы адресов 1
Агенты базы данных 0
Автоматические привязки 1
Ручные привязки 0
Истекшие привязки 0
Ошибочные сообщения 0
Защищенные записи arp 0

Получено сообщение
BOOTREQUEST 0 9014ER 1 DHCPDISC
DHCPREQUEST 1
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0

Отправлено сообщение
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 1
DHCPNAK 0

ASA # show dhc Relay Configured
Состояние интерфейса
внутри контекста
Внешний интерфейс, настроен для DHCP-РЕЛЕ

Примечание.Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Кроме того, можно использовать следующие команды отладки:

  • пакет отладки dhcprelay
  • событие отладки dhcprelay
  • Перехват
  • Системные журналы

Примечание.Перед использованием команд debug обратитесь к документу Важные сведения о командах отладки.

Дополнительные сведения

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2021 © Все права защищены. Карта сайта