CCIE
当前位置:网站首页>CCIE
ccie培训:ASA下配置多个DHCP网段
发布日期:2019-08-12 10:59:13 发布者:


    说明: ASA是支持子接口形式的(也就是单臂路由的方式),但是模拟器支持的是5505,而且是basic版本,只支持2个接口工作,而且不支持VLAN,所以这里模拟只能是一个同一个网段的,通常情况下5505也是用在soho或者小型办公,都是身后直连网段,所以支持的功能也有限,当然后面会给出如果是子接口形式的情况下 如何配置多个DHCP网段。另外这里模拟一个小型网络环境,ASA通过DHCP获取运营商的地址(实际大部分都是PPPOE,由于模拟器不支持,所以这里DHCP代替),然后配置NAT,实现上网。


    配置步骤

    1、网络初始化(防火墙IP地址配置,以及接口nameif)

    2、外网接口通过DHCP获取地址与DNS信息(由于PT模拟器不支持PPPOE,所以用DHCP模拟)

    3、配置DHCP功能以及特性,实现内网能够获取到地址

    说明下,ASA 5505,默认初始化的情况下是有配置的,跟家用路由器一样,默认有一个IP地址,而且DHCP也已经配置好了。

    默认的配置是,E0/0加入了VLAN 2,VLAN 1的SVI地址默认是192.168.1.1,nameif为inside,而vlan2则为outside,地址通过DHCP获取。并且在inside接口上面启用了DHCP功能,DHCP的范围是192.168.1.5——35,这里需要修改下的是,我们这里的拓扑,E0/0是跟内部网络连接的,应该划入到VLAN 1中,而E0/1则是需要划入到外部网络,VLAN2中。

    Dhcpd address 是配置一个地址池的范围,比如这里的默认为192.168.1.5——35,后面的inside是跟接口,指定这个网段关联哪个接口,也就是接口下配置的Nameif,而dhcpd enable inside,则是在inside接口下开启DHCP功能。 Auto_config的功能在后面解释。

    ciscoasa(config)#interface e0/0

    ciscoasa(config-if)#switchport access vlan 1

    ciscoasa(config)#int e0/1

    ciscoasa(config-if)#switchport access vlan 2

    可以看到这里VLAN 2已经获取到公网地址了,但是模拟器这里有一个问题,在真实设备上面通常通过dhcp获取地址的话,后面还需要加一个参数,也就是setroute,它的意思是获取DHCP服务器推送的默认路由作为网关,而这里不支持这个参数,所以这里需要手动设置下默认路由,方便内网访问外网。

    ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 202.100.1.1 【真实设备可以不用写,除非是固定公网IP,通过DHCP或者PPPOE的话 会自动获取】

    4、验证

    地址是成功获取到了,但是这里默认网关没有,这是模拟器的Bug,真实设备的话,会以自己接口地址作为网关推送给客户端的,所以这里没获取到,模拟器的问题,大家在做实验的时候要注意,另外可以看到DNS获取为8.8.8.8,这个是怎么来的呢,在ASA上面其实并没有配置这条命令。

    可以看到在ASA上面默认有这样一条命令,它的作用是当外部接口是ADLS或者DHCP获取的信息,那么当它还作为server分配给内部用户信息的时候,它会把外部获取的信息一起分配给内部用户。这里外部分配的DNS为8.8.8.8,所以这里就自动把这个属性分配给内网网络了,这个非常适合这种小型站点,一般内部没有DNS服务器的。

    可以通过该地址来查看获取的信息。

    也可以通过 clear dhcpd binding来清空地址信息

    5、DHCP的其他参数

    这个是从一台真实设备支持的DHCP参数,其中address与enable,还有auto-config这个之前已经用过了

    1、dns,这里主要是给内部用户指定特定的DNS,如果有内部DNS服务器的话 可以使用该参数

    2、Domain,指定域名

    3、Lease指定租期

    4、Option,DHCP的option参数

    5、Ping_timeout,用来检测分配的地址是否已经被使用了

    6、Update,这个配合DDNS使用的,动态更新DNS参数

    7、Wins,定义wins服务器

    6、子接口的形式配置方法

    说明下,子接口的方式是除了5505以外的设备才支持的,5505的话配置比较特殊,跟交换机类似,需要把接口加入对应的VLAN,然后在起SVI接口作为地址。这里假设以之前的拓扑为例,2个用户分别在VLAN 2与VLAN 3里面,需要对VLAN 2与VLAN 3的用户分配不同的地址,这里只给出防火墙的配置,注意的是,交换机需要配置为trunk,创建对应的VLAN,把接口加入到对应的VLAN中。

    ciscoasa(config)# int e0

    ciscoasa(config-if)# no shutdown

    ciscoasa(config)# interface e0.1

    ciscoasa(config-subif)# vlan 2

    ciscoasa(config-subif)# nameif inside1

    INFO: Security level for “inside1” set to 0 by default.

    ciscoasa(config-subif)# security-level 100

    ciscoasa(config-subif)# ip address 192.168.1.1 255.255.255.0

    ciscoasa(config-subif)# int e0.2

    ciscoasa(config-subif)# vlan 3

    ciscoasa(config-subif)# nameif inside2

    INFO: Security level for “inside2” set to 0 by default.

    ciscoasa(config-subif)# security-level 100

    ciscoasa(config-subif)# ip address 192.168.2.1 255.255.255.0

    说明:这里把物理接口打开,然后配置了2个子接口,首先需要划分到对应的VLAN中,然后配置nameif,最后配置安全等级,与接口IP地址即可。这里跟5505的配置方式不一样,5505比较跟交换机类似,而其他型号则跟路由器的方式类似。

    ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.150 inside1

    ciscoasa(config)# dhcpd address 192.168.2.2-192.168.2.250 inside2

    ciscoasa(config)# dhcpd auto_config outside

    ciscoasa(config)# dhcpd enable inside1

    ciscoasa(config)# dhcpd enable inside2

    这里配置了2个地址段,分别为对应的地址段分配地址,另外开启了auto-config功能,这个适合在PPPOE这些环境下,如果是固定IP,则可以通过dhcpd dns来指定,最后开启DHCP功能。

微信