配置ASA成为DHCP服务器

以下，我们通过一个简单的实验，来讲解如何将配置ASA成为DHCP服务器：

我们在R1和ASA配置基本的网络地址和路由，并完成流量放行，然后在ASA上配置DHCP服务，而R2作为DHCP client。

首先我们完成基本配置：

      R1：
      r1(config)#interface e0/0
      r1(config-if)#ip address 10.0.0.1 255.255.255.0
      r1(config-if)#no shutdown
      r1(config-if)#exit
      r1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10   、

ASA基本配置：

      ciscoasa(config)# interface Ethernet0/0
      ciscoasa(config-if)# nameif outside
      ciscoasa(config-if)# ip address 10.0.0.10 255.255.255.0
      ciscoasa(config-if)# no sh
      ciscoasa(config-if)# exit
      ciscoasa(config)# interface Ethernet0/1
      ciscoasa(config-if)# nameif inside
      ciscoasa(config-if)# ip address 20.0.0.1 255.255.255.0
      ciscoasa(config-if)# no sh
      ciscoasa(config-if)# exit

outside方向的访问控制列表，我们直接使用permit ip any any，允许所有流量进入：

      ciscoasa(config)# access-list out extended permit ip any any
      ciscoasa(config)# access-group out in interface outside
      ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 10.0.0.1

在ASA上配置DHCP服务，配置DHCP地址池，并指定该地址池应用于inside区域：

ciscoasa(config)# dhcpd address 20.0.0.2-20.0.0.100 inside

然后配置DNS信息，假设dns服务器地址为202.106.0.20：

ciscoasa(config)# dhcpd dns 202.106.0.20

配置DHCP租约时间，默认为3600秒

dhcpd lease 7200

配置域名：
dhcpd domain cisco.com

配置ping_timeout：
dhcpd ping_timeout 10

应用在inside接口上：
ciscoasa(config)# dhcpd enable outside

测试：

R2:
r2(config)#interface e0/0

      配置接口作为dhcp client
      r2(config-if)#ip address dhcp
      r2(config-if)#
      Interface Ethernet0/0 assigned DHCP address 20.0.0.2, mask 255.255.255.0

*Mar 3 11:26:18.429: ICMP: echo reply sent, src 20.0.0.2, dst 20.0.0.1
收到以上信息，说明已经获得地址。

      查看R2接口获得的地址：
      r2#sh ip int brief
      Interface                  IP-Address      OK? Method Status                Protocol
      Ethernet0/0                20.0.0.2        YES DHCP   up                    up
      Ethernet0/1                unassigned      YES unset administratively down down
      Virtual-Access1            unassigned      YES unset up                    up

      此时查看路由表，发现在路由表中自动产生了一条缺省路由，下一跳指向防火墙的inside接口，这条缺省路由的推送是ASA作为dhcp服务器的默认行为：
      r2# sh ip route
      Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
            D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
            N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
            E1 - OSPF external type 1, E2 - OSPF external type 2
            i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
            * - candidate default, U - per-user static route, o - ODR
            P - periodic downloaded static route

Gateway of last resort is 20.0.0.1 to network 0.0.0.0

            20.0.0.0/24 is subnetted, 1 subnets
            C      20.0.0.0 is directly connected, Ethernet0/0
            S*   0.0.0.0/0 [254/0] via 20.0.0.1

测试R2到外网的连通性：
r2#ping 10.0.0.1

      Type escape sequence to abort.
      5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
      !!!!!
      Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

在ASA上查看，dhcp分配的信息：
ciscoasa# show dhcpd binding all

IP address Hardware address Lease expiration Type

      20.0.0.2 0063.6973.636f.2d30.           7183 seconds    Automatic
                  3030.612e.3861.3137.
                  2e35.3961.302d.4574.
                  302f.30

上面的试验中，我们使用了在ASA上配置DHCP的一些基本命令，除了使用ASA默认的命令可以对DHCP服务进行设置外，我们还可以通过dhcpd option来增强ASA作为DHCP服务器的功能，dhcpd option的相关内容可以查询RFC2131获得，不过需要注意下表中列出的option不被ASA所支持。

来源：oschina

链接：https://my.oschina.net/u/4356468/blog/3216584

标签

Sequence

Periodic