9.1 思科ASA：配置防火墙成dhcp服务器(dhcpd ping timeout )

9.1  思科ASA：配置防火墙成dhcp服务器(dhcpd ping timeout )

需求：

ASA防火墙作为DHCP服务器。

PC1所在的网段的终端设备可以自动获取ip地址，PC2所在的网段的终端设备可以自动获取ip地址，并且PC2必须获取到192.168.2.200。

（1）拓扑图

（2）配置访问规则 ，只允许dhcp的流量通过

命令行方式配置：

object-group service DM_INLINE_UDP_1 udp

 port-object eq bootpc

 port-object eq bootps

access-list global_access extended permit udp any any object-group DM_INLINE_UDP_1

access-group global_access global

（3）配置dhcp服务器

命令行配置：

dhcpd auto_config untrust

(可选) （路由模式）自动配置从运行 DHCP 或 PPPoE 客户端的接口或从 VPN 服务器获取的 DNS、WINS 和域名值。

dhcpd auto_config client_if_name [[ vpnclient-wins-override] interface if_name]

示例:
ciscoasa(config)# dhcpd auto_config outside interface inside

如果使用以下命令指定 DNS、WINS 或域名参数，则它们将覆盖自动配置获取的参数。

!

dhcpd address 192.168.1.100-192.168.1.199 a

dhcpd dns 223.5.5.5 223.6.6.6 interface a

dhcpd lease 1440 interface a  

  //lease（可选）更改要授予客户端的租用时间。租用时间等于租赁到期之前客户端可以使用向其分配的 IP 地址的时间（以秒为单位）。输入一个介于 0 和 1,048,575 之间的值。默认值为 3600 秒。

dhcpd option 3 ip gateway_ip

dhcpd option 3 ip 192.168.1.254 interface a

定义被发送到 DHCP 客户端的默认网关。对于路由模式，如果未使用 dhcpd option 3 ip 命令，ASA 会作为默认网关发送启用 DHCP 服务器的接口 IP 地址。对于透明模式，如果要设置默认网关，必须设置 dhcpd option 3 ip；ASA 本身不能用作默认网关。

dhcpd enable a

在 ASA 内启用 DHCP 后台守护程序，以在启用的接口上侦听 DHCP 客户端请求。

dhcpd ping timeout milliseconds

示例:

ciscoasa(config)# dhcpd ping timeout 50

（可选）配置 ICMP 数据包的 DHCP ping 超时值。为了避免地址冲突，ASA 在将某个地址分配至 DHCP 客户端之前会向该地址发送两个 ICMP ping 数据包。默认值为 50 毫秒。

命令行配置：

dhcpd address 192.168.2.100-192.168.2.200 dmz

dhcpd dns 223.5.5.5 223.6.6.6 interface dmz

dhcpd lease 1440 interface dmz

dhcpd option 3 ip 192.168.2.254 interface dmz

dhcpd enable dmz

（4）为客户端保留 DHCP 地址、分配固定ip地址

陈: 在此ASA防火墙上看来看去都不知道怎样配置分配固定ip地址，所以应该是此版本不支持ip地址绑定，为客户端保留 DHCP 地址的命令为dhcpd reserve-address  ip地址  mac地址 。

此次实验的ASA系统版本：

ciscoasa# show version

Cisco Adaptive Security Appliance Software Version 9.8(1)

Firepower Extensible Operating System Version 2.2(1.47)

Device Manager Version 7.8(1)150

Compiled on Wed 10-May-17 15:38 PDT by builders

System image file is "boot:/asa981-smp-k8.bin"

Config file at boot was "startup-config"

ciscoasa up 13 hours 29 mins

Hardware:   ASAv, 2048 MB RAM

ciscoasa(config)# dhcpd ?

configure mode commands/options:

  address             Configure the IP pool address range after this keyword

  auto_config       Enable auto configuration from client

  dns                    Configure the IP addresses of the DNS servers after this keyword

  domain              Configure DNS domain name after this keyword

  enable               Enable the DHCP server

  lease                  Configure the DHCPD lease length after this keyword

  option               Configure options to pass to DHCP clients after this keyword

  ping_timeout    Configure ping timeout value after this keyword

  update              Configure dynamic updates

  wins                   Configure the IP addresses of the NETBIOS servers after this keyword

ciscoasa(config)#

ciscoasa(config)# dhcpd address 192.168.2.100-192.168.2.200 ? 

configure mode commands/options:

Available interfaces on which to enable the DHCP server:

  a        Name of interface GigabitEthernet0/1

  b        Name of interface GigabitEthernet0/3

  dmz      Name of interface GigabitEthernet0/2

  manager  Name of interface Management0/0

  untrust  Name of interface GigabitEthernet0/0

ciscoasa(config)# dhcpd address 192.168.2.100-192.168.2.200 dmz ?

configure mode commands/options:

  <cr>

ciscoasa(config)# dhcpd address 192.168.2.100-192.168.2.200 dmz

(可选) 为客户端保留 DHCP 地址。根据客户端的 MAC 地址，ASA 从配置的地址池中将一个具体的 IP 地址分配给 DHCP 客户端。

dhcpd reserve-address ip_address mac_address if_name

示例:

ciscoasa(config)# dhcpd reserve-address 10.0.1.109 030c.f142.4cde inside

保留的地址必须来自配置的地址池，并且地址池必须与 ASA 接口位于同一子网上。在透明模式下，指定桥接组成员接口。 在路由模式下，请指定一个路由接口或 BVI；不要指定桥接组成员接口。

（5）测试客户端获取ip地址

PC1 与PC2已经可以自动获取到ip地址了

（6）查看已经分配出去的ip地址

ciscoasa# show dhcpd binding

IP address       Client Identifier        Lease expiration        Type

  192.168.1.100    0150.0000.0200.00            1004 seconds    Automatic

  192.168.2.100    0150.0000.0500.00            1228 seconds    Automatic

ciscoasa#

ciscoasa# show dhcpd statistics

DHCP UDP Unreachable Errors: 0

DHCP Other UDP Errors: 0

Address pools        2

Automatic bindings   2

Expired bindings     0

Malformed messages   0

Message              Received

BOOTREQUEST          0

DHCPDISCOVER         3

DHCPREQUEST          2

DHCPDECLINE          0

DHCPRELEASE          0

DHCPINFORM           2

Message              Sent

BOOTREPLY            0

DHCPOFFER            3

DHCPACK              4

DHCPNAK              0

ciscoasa#

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html