Cấu hình DHCP Relay trên tường lửa Firewall Cisco

Thông thường máy chủ DHCP được đặt trong cùng một mạng con lớp 3 với các máy Clients. Tuy nhiên, có những trường hợp chúng ta chỉ có một máy chủ DHCP nhưng tồn tại một số mạng lớp 3 (trên các vùng bảo mật khác nhau trên Firewall Cisco) và phân bổ IP động cũng được yêu cầu cho các mạng đó.

Với tính năng chuyển tiếp DHCP, chúng ta có thể kết nối máy chủ DHCP trên một vùng mạng và tường lửa chuyển tiếp tất cả các yêu cầu DHCP từ các vùng mạng khác tới máy chủ DHCP như được hiển thị trên sơ đồ bên dưới:

​

Như bạn có thể thấy ở trên, máy Client phát một yêu cầu khám phá để tìm máy chủ DHCP. ASA chuyển tiếp (relays) yêu cầu đến một giao diện khác tới Server. Sau đó, máy khách gửi yêu cầu địa chỉ IP được ASA chuyển tiếp một lần nữa đến máy chủ DHCP.

Sơ đồ dưới đây minh họa một kịch bản mạng đơn giản với ba vùng bảo mật (giao diện mạng) và một máy chủ DHCP duy nhất.

Ta có 3 vùng mạng là: bên trong(inside), bên ngoài(outside) và DMZ. Máy khách DHCP được kết nối với mạng bên trong và máy chủ DHCP trên mạng DMZ. Các yêu cầu DHCP từ các máy khách trên mạng bên trong sẽ được chuyển tiếp đến máy chủ trên mạng DMZ. Máy chủ sẽ gán địa chỉ IP trong dải 192.168.1.0/24 cho các máy khách.

​

Cấu hình (Configuration) trên Firewall Cisco

! Đầu tiên xác định máy chủ DHCP và giao diện nó được kết nối
ciscoasa# conf t
ciscoasa(config)# dhcprelay server 10.1.1.100 DMZ
ciscoasa(config)# dhcprelay timeout 90

! Bật DHCP relay trên giao diện bên trong
ciscoasa(config)# dhcprelay enable inside

! Gán ASA bên trong giao diện IP làm cổng mặc định cho các máy khách

ciscoasa(config)# dhcprelay setroute inside

Nguyên tắc sử dụng

Bạn có thể thêm tối đa 4 máy chủ chuyển tiếp DHCP (DHCP relay servers) trên mỗi giao diện. Bạn phải thêm ít nhất một lệnh dhcprelay server vào cấu hình Tường lửa ASA trước khi có thể nhập lệnh kích dhcprelay enable. Bạn không thể cấu hình DHCP Client trên giao diện đã cấu hình DHCP relay server.

Bạn không thể bật chuyển tiếp DHCP trong các điều kiện sau:

• Bạn không thể bật DHCP relay và DHCP relay server trên cùng một giao diện(interface).

• Bạn không thể bật chuyển tiếp DCHP và máy chủ DHCP (dhcpd enable) trên cùng một giao diện.

Trường hợp sử dụng

Giả sử bạn có một mạng nội bộ với nhiều mạng con Layer3. Phân đoạn mạng nội bộ bằng cách sử dụng VLAN lớp2 và mỗi mạng con Lớp3 có thể được kết nối với một vùng bảo mật khác trên tường lửa Firewall Cisco ASA.

Giả sử chúng ta có môi trường máy chủ Windows với Active Directory và máy chủ Windows DHCP nằm trong một mạng con. Máy chủ DHCP này phải cấp phát địa chỉ IP động cho tất cả các máy Clients trong mạng, bất kể phân đoạn mạng nào mà mỗi máy tính được kết nối.

Nếu bạn định cấu hình chuyển tiếp DHCP như được hiển thị ở trên, thì tất cả các máy Client (DHCP clients) sẽ có thể yêu cầu địa chỉ IP từ máy chủ DHCP và thiết bị Cisco ASA sẽ chuyển tiếp tất cả các yêu cầu này đến máy chủ duy nhất mà không cần phải cài đặt các máy chủ riêng biệt trong từng phân đoạn mạng .

Chúc các bạn thành công!