关于ASA建立DHCP服务的问题，请各位指教。

zakkary · 发表于 2013-8-20 10:57:25

拓扑非常简单，一台ASA5200上连外网出口，下连一台2960交换机，交换机下直连用户。
现在要求将用户划分为两个网段，互相无法连接但是都可以上外网，在此情况下请问DHCP应该如何配置？

年哥 · 发表于 2013-8-20 13:38:02

把ASA当成一台路由器，划分两个vlan就可以。

★浓_眉☆※兴 · 发表于 2013-8-20 16:15:08

ASA e1（Inside）接口的配置：

int e1

nameif Inside

security-level 100

no sh

!

int e1.10

vlan 10

nameif Inside_VLAN10

security-level 100

ip address 192.168.10.254 255.255.255.0

!

interface Ethernet1.20

vlan 20

nameif Inside_VLAN20

security-level 100

ip address 192.168.20.254 255.255.255.0

ASA DHCP配置：

dhcpd address 192.168.10.100-192.168.10.200 Inside_VLAN10

dhcpd enable Inside_VLAN10 ！！激活

!

dhcpd address 192.168.20.100-192.168.20.200 Inside_VLAN20

dhcpd enable Inside_VLAN20

ASA上没有为客户端设置缺省路由，下发地址时，会连同该网段接口地址作为缺省路由下发给客户端。

zakkary · 发表于 2013-8-21 16:12:35

★浓_眉☆※兴发表于 2013-8-20 16:15
ASA e1（Inside）接口的配置：int e1 nameif Inside security-level 100 no sh!int e1.10vlan 10 namei ...

浓眉哥非常感谢！
顺便再次求教：如果在此拓扑中，要求双网段间互相可以访问应该如何配置，更进一步要求A网段只能连接B网段中若干台主机，B网段无法连接A网段呢？

★浓_眉☆※兴 · 发表于 2013-8-21 19:50:50

本帖最后由 ★浓_眉☆※兴于 2013-8-22 22:44 编辑

zakkary 发表于 2013-8-21 16:12
浓眉哥非常感谢！
顺便再次求教：如果在此拓扑中，要求双网段间互相可以访问应该如何配置，更进一步要求 ...

1：因为ASA默认安全级别即使相同，也不能互访的，在ASA全局模式下：(config)#same-security-traffic permit inter-interface-->这样这两个网段就能互访

2：A网段能访问B网段，B网段不能访问B网段
  a.安全级别相同（在ASA上做B网段的deny ip any any in方向，然后又在ASA上做A网段限制部分流量）
  b.A网段的安全级别高于B网段（只需在A网段上限制部分流量）
  c.A网段的安全级别低于B网段（自己想下）

以下是一个举例：

要求：VLAN 10客户只能访问VLAN 20的http服务，且能ping通VLAN 20，VLAN 20上开启telnet、http，VLAN 20不能与VLAN 10客户通信。

1. 假设e1.10、e1.20的安全级别都为100，且能互通（same-security-traffic permit inter-interface）

access-list VLAN20_Control permit icmp host 192.168.20.20 any

access-list VLAN20_Control deny ip host 192.168.20.20 any

access-group VLAN20_Control in interface Inside_VLAN20

！

access-list VLAN10_Control permit icmp any host 192.168.20.20

access-list VLAN10_Control permit tcp any host 192.168.20.20 eq www

access-list VLAN10_Control deny ip any host 192.168.20.20

access-group VLAN10_Control in interface Inside_VLAN10

说明：ASA只对初始化的数据包做限制，返回的包不查列表

2. 假设e1.10安全级别=100，e1.20安全级别=50，默认VLAN 20不能访问VLAN 10,如何限制VLAN 10的用户访问VLAN 20？只需要在ASA VLAN 10 in方向做ACL就行，如果要VLAN 10与VLAN 20之间能ping通，就得在ASA VLAN 20 in方向放行ICMP的流量。

zakkary · 发表于 2013-8-22 10:43:41

咦。回复怎么消失了。。

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 关于ASA建立DHCP服务的问题，请各位指教。

本帖子中包含更多资源

本帖子中包含更多资源