CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
1
Chương 8:
Dynamic Host Configuration Protocol Support
HỖ TRỢ GIAO THỨC CẤU HÌNH HOST ĐỘNG (DHCP)
Tổng quan:
Chương này bao gồm các topic sau:
Mục tiêu
Giao thức cấu hình host động
PIX Firewall là một server DHCP
PIX Firewall là một client DHCP
Tổng hợp
Lab excersice
Tổng tiêu:
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
2
GIAO THỨC CẤU HÌNH HOST ĐỘNG
(DHCP)
Phần này sẽ mô tả chức năng của giao thức cấu hình host động (DHCP) và giải
thích cách thức PIX Firewall sử dụng nó như thế nào.
DHCP cung cấp khả năng tự động cấp phát địa chỉ mạng (có thể sử dụng lại được)
trên một mạng TCP/IP. Điều này tạo sự dẽ dàng cho người quản trị và làm giảm
đáng kể những lỗi do con người gây ra. Không có DHCP thì một địa chỉ IP cần phải
được nhập bằng tay cho mỗi một máy tính hoặc thiết bị mà yêu cầu địa chỉ IP
DHCP cũng có thể.
DHCP cũng có thể cấp phát những tham số cấu hình khác như là địa chỉ server DNS
,WINS và domain names (tên miền). Host cấp phát địa chỉ và các tham số cấu hình
cho DHCP clients gọi là DHCP server. Một DHCP client là bất kỳ host nào sử dụng
DHCP để lấy các tham số cấu hình
Lưu lương DHCP bao gồm các gói tin quảng bá của router để điều khiển sự gia tăng
không cần thiết của các gói tin quảng bá, nó có thể là cần thiết để cho phép đẩy các
gói tin quảng bá DHCP trên router giữa DHCP server và clients của nó. Để có phần
mềm CISCO IOS đẩy những gói tin quảng bá này, sử dụng lệnh cấu hình giao diện
ip helper-address. Địa chỉ được chỉ định trong lệnh này sẽ là DHCP server.
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
3
Bất kỳ PIX Firewall nào mà chạy phiên bản 5.2 hoặc cao hơn đều hỗ trợ DHCP
server và client. Một DHCP server là một thiết bị cung cấp các tham số cấu hình
cho một DHCP client, và một DHCP client là một thiết bị sử dụng DHCP để lấy các
tham số cấu hình mạng
Trong một môi trường mạng được đảm bảo an ninh bởi PIX Firewall, PC clients kết
nối đến PIX Firewall và thiết lập kết nối mạng để truy cập một mạng doanh nghiệp
hoặc tập đoàn. Như là một DHCP server, PIX Firewall cung cấp cho những PC này
(là DHCP client của nó) những tham số mạng cần thiết để truy cập tới mạng của
doanh nghiệp hay tổ chức., và một mạng inside. PIX Firewall cung cấp các dịch vị
mạng để sử dụng như là DNS server. Giống như DHCP clients, PIX Firewall có thể
lấy một địa chỉ IP, subnet mask, các tùy chọn và một tuyến đường mặc định từ một
DHCP server
Note: hiện tại PIX Firewall có thể cấp phát các tham số cấu hình chỉ đến các clients
mà kết nối vật lý đến mạng con của inside interface của PIX Firewall.
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
4
The PIX Firewall as a DHCP Server
Phần này sẽ giải thích cách cấu hình PIX Firewall để hoạt động như là một DHCP
Server
Truyền thông DHCP bao gồm một vài thông điệp được truyền qua giữa DHCP client
và DHCP server. Dưới đây là các sự kiện sẽ xảy ra trong quá trình trao đổi này:
1. Client broadcast (quảng bá) một thông điệp DHCPDISCOVER trên cổng vật lý
cục bộ đến DHCP server
2. Bất kỳ DHCP server nào nhận được thông điệp đó có thể đáp ứng với một thông
điệp DHCPOFFER, thông điệp này bao gồm một địa chỉ mạng (địa chỉ phải tồn
tại) và một vài tham số cấu hình khác
3. Dựa trên các tham số cấu hình được đưa ra trong thông điệp DHCPOFFER.
Client chọn một server để yêu cầu các tham số cấu hình. Client quảng bá một
thông điệp DHCPREQUEST yêu cầu đưa ra các tham số từ một server và hủy
thông điệp từ tất cả các server khác
4. Server chọn trong thông điệp DHCPREQUEST đáp ứng với một thông điệp
DHCPACK chưa các tham số cấu hình cho yêu cầu của client. Nếu việc chọn
server mà không đáp ứng được các yêu cầu của client (ví dụ trường hợp địa chỉ
mạng yêu cầu đã được cấp phát) thì server sẽ phản hồi bằng một thông điệp
DHCPNAK. Client nhận thông điệp DHCPNAK hoặc DHCPACK chưa các
tham số cấu hình
Note: PIX Firewall DHCP server không hỗ trợ BOOTP request và cấu hình failover
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
5
Để kích hoạt DHCP server hỗ trợ trên PIX Firewall, hoàn thành các bước dưới đây:
1. Gán một địa chỉ IP tĩnh cho inside interface bằng cách sử dụng lệnh ip
address.
2. Chỉ định một dải các địa chỉ cho DHCP server dùng để phân phối bằng lệnh
dhcp address
3. Chỉ định địa chỉ IP của DNS server mà client sẽ sử dụng bằng lệnh dhcp dns.
Bước này là tùy chọn
4. Chỉ định địa chỉ IP của WIN server mà client sẽ sử dụng bằng lệnh dhcp
wins. Bước này cũng là tùy chọn
5. Chỉ định lease length cho client bằng lệnh dhcpd lease
6. Chỉ định giá trị ping timeout sử dụng lệnh dhcp ping timeout. Bước này là
tùy chọn
7. Cấu hình domain name mà client sẽ sử dụng bằng lệnh dhcpd domain. Bước
này là tùy chọn
8. Kích hoạt DHCP daemon trong PIX Firewall để lắng nghe các yêu cầu từ
client trên các interface được phép bằng lệnh dhcp enable
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
6
Lệnh dhcp address chỉ định dải địa chỉ IP cho server để phân phối. Dải địa chỉ này
cần phải cùng với subnet interface của PIX Firewall. Hay client cần được kết nối
vật lý đến subnet của interface của PIX Firewall. Hỗ trợ 32 địa chỉ trong một dải.
mặc định interface name là inside (và chỉ hỗ trợ interface này) Lệnh no dhcpd
address gỡ sẽ gỡ dải địa chỉ của DHCP server
Trong PIX Firewall phiên bản 5.3 trở lên, luôn có lệnh dhcpd ping timeout. DHCP
server có thể ping một địa chỉ trước khi cấp phát nó cho một client. Nếu một hồi âm
là đã nhận được ping, địa chỉ sẽ được gỡ bỏ khỏi dải địa chỉ và sẽ không được gán
nữa. Lệnh dhcpd ping_timeout được sử dụng để chỉ định khoảng thời gian DHCP
server sẽ chờ trước khi cấp phát một địa chỉ cho một client
Dưới đây là cú pháp lệnh dhcpd address:
dhcpd address ip1[-ip2] [if_name]
Address ip1[ip2]
Dải địa chỉ IP. Kích thước giới hạn là 32 địa chỉ
If_name
Tên của interface. Mặc định là inside (và nó chỉ hỗ trợ
inside interface)
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
7
Lệnh dhcpd dns chỉ định địa chỉ IP của DNS server cho DHCP clients. Hỗ trợ 2
DNS server có thể được chỉ định với lệnh này. Sử dụng lệnh no dhcpd dns để gỡ
địa chỉ IP trong cấu hình.
Cú pháp lệnh dhcpd dns:
dhcpd dns dns1 [dns2]
Dns dns1[dns2]
Địa chỉ của DNS server cho DHCP client. Địa chỉ thứ 2
là tùy chọn (dns2)
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
8
Lệnh dhcpd wins có thể được sử dụng để chỉ định hỗ trợ 2 WINS server cho DHCP
server clients sử dụng. Lệnh này là tùy chọn.
Lệnh no dhcpd wins gỡ bỏ địa chỉ IP của WINS server. Cú pháp lệnh dhcp wins:
dhcpd wins wins1 [wins2]
wins wins1[wins2]
Địa chỉ IP của tên server Microsoft NetBios (WINS
servers). Server thứ 2 là tùy chọn (wins2)
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
9
Lệnh dhcpd lease chỉ định thời gian (tính bằng giây) mà client có thể sử dụng để
gán địa chỉ IP. Mặc định là 3600 giấy. Lease length (chiều dài của lease) tối thiểu là
300 giây, tối đa là 2.147.483.647 giây.
Cú pháp lệnh dhcpd lease:
dhcpd lease lease_length
lease lease_length
Khoảng thời gian tính bằng giây. Lease chỉ ra độ dài
(về thời gian) mà client có thể sử dụng để gán địa chỉ
IP. Mặc định là 3600 giấy. Lease length tối thiểu là
300 giây, tối đa là 2.147.483.647 giây.
CHAPTER 8: DYNAMIC HOST CONFIGURATION PROTOCOL SUPPORT
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
10
Để tránh xung đột địa chỉ IP. DHCP server trong PIX Firewall sẽ ping đến một địa
chỉ trước khi cấp phát nó cho một client. Nếu một phản hồi lại ping là đã nhận được,
PIX Firewall sẽ gỡ bỏ địa chỉ đó ra khỏi dải địa chỉ của DHCP address. Trong phần
mềm PIX Firewall phiên bản 5.3 trở lên, thời gian tính bằng mili giây mà DHCP
server chờ một response (phản hồi) có thể được cấu hình sử dụng lệnh dhcpd
ping_timeout.Mặc định là 750 mili giây, cực tiểu là 100 và cực đại là 10000. Lệnh
no dhcpd ping_timeout có thể được sử dụng để reset giá trị timeout về mặc định.
Cú pháp lệnh dhcpd ping_timeout:
dhcpd ping_timeout timeout
Ping_timeout timeout Chỉ định thời gian của DHCP server chờ trước khi định
vị một địa chỉ cho một client