关于ASA建立DHCP服务的问题,请各位指教。
拓扑非常简单,一台ASA5200上连外网出口,下连一台2960交换机,交换机下直连用户。现在要求将用户划分为两个网段,互相无法连接但是都可以上外网,在此情况下请问DHCP应该如何配置?
把ASA当成一台路由器,划分两个vlan就可以。
ASA e1(Inside)接口的配置:int e1 nameif Inside security-level 100 no sh!int e1.10vlan 10 nameif Inside_VLAN10 security-level 100 ip address 192.168.10.254 255.255.255.0!interface Ethernet1.20 vlan 20 nameif Inside_VLAN20 security-level 100 ip address 192.168.20.254 255.255.255.0ASA DHCP配置:dhcpd address 192.168.10.100-192.168.10.200 Inside_VLAN10dhcpd enable Inside_VLAN10 !!激活!dhcpd address 192.168.20.100-192.168.20.200 Inside_VLAN20dhcpd enable Inside_VLAN20ASA上没有为客户端设置缺省路由,下发地址时,会连同该网段接口地址作为缺省路由下发给客户端。 ★浓_眉☆※兴 发表于 2013-8-20 16:15
ASA e1(Inside)接口的配置:int e1 nameif Inside security-level 100 no sh!int e1.10vlan 10 namei ...
浓眉哥非常感谢!
顺便再次求教:如果在此拓扑中,要求双网段间互相可以访问应该如何配置,更进一步要求A网段只能连接B网段中若干台主机,B网段无法连接A网段呢?
本帖最后由 ★浓_眉☆※兴 于 2013-8-22 22:44 编辑
zakkary 发表于 2013-8-21 16:12
浓眉哥非常感谢!
顺便再次求教:如果在此拓扑中,要求双网段间互相可以访问应该如何配置,更进一步要求 ...
1:因为ASA默认安全级别即使相同,也不能互访的,在ASA全局模式下:(config)#same-security-traffic permit inter-interface-->这样这两个网段就能互访
2:A网段能访问B网段,B网段不能访问B网段
a.安全级别相同(在ASA上做B网段的deny ip any any in方向,然后又在ASA上做A网段限制部分流量)
b.A网段的安全级别高于B网段(只需在A网段上限制部分流量)
c.A网段的安全级别低于B网段(自己想下)
以下是一个举例:
要求:VLAN 10客户只能访问VLAN 20的http服务,且能ping通VLAN 20,VLAN 20上开启telnet、http,VLAN 20不能与VLAN 10客户通信。1. 假设e1.10、e1.20的安全级别都为100,且能互通(same-security-traffic permit inter-interface)access-list VLAN20_Control permit icmp host 192.168.20.20 anyaccess-list VLAN20_Control deny ip host 192.168.20.20 any access-group VLAN20_Control in interface Inside_VLAN20!access-list VLAN10_Control permit icmp any host 192.168.20.20access-list VLAN10_Control permit tcp any host 192.168.20.20 eq www access-list VLAN10_Control deny ip any host 192.168.20.20access-group VLAN10_Control in interface Inside_VLAN10
说明:ASA只对初始化的数据包做限制,返回的包不查列表2. 假设e1.10安全级别=100,e1.20安全级别=50,默认VLAN 20不能访问VLAN 10,如何限制VLAN 10的用户访问VLAN 20?只需要在ASA VLAN 10 in方向做ACL就行,如果要VLAN 10与VLAN 20之间能ping通,就得在ASA VLAN 20 in方向放行ICMP的流量。
咦。回复怎么消失了。。
页:
[1]