Desde hace algunos años Cisco ha posicionado la plataforma Firepower como su NGFW (Next Generation Firewall), al día de hoy las series de entrada para esta familia son la serie 1000, 2000. Hoy analizaremos una configuración básica para las interfaces de estos equipos como lo es el servicio de DHCP.

Read more: Configurando DHCP server en Cisco Firepower Management Center

Lista de equipos:

  1. Cisco Firepower Management Center Version 7.0
  2. Cisco Firepower Threat Defense 1010

Guía y limitaciones

Antes de configurar algún nuevo servicio en nuestros equipos siempre es importante leer la documentación del fabricante sobre las limitantes. En el siguiente link podrán encontrar una guía completa sobre las limitantes y requerimientos para la configuración de DHCP en las interfaces de los equipos administrados Firepower.

Limitaciones DHCP Server FMC

Como observamos en la documentación de las limitaciones más importantes tenemos:

  1. El máximo de direcciones para un pool es de 256, es decir solo asignamos IPs a redes /24.
  2. Solo se puede configurar un servidor DHCP por interfaz, además como veremos mas adelante, la configuración de servidores DNS, dominio, opciones y timeout son globales para todos los DHCP servers en todas las interfaces.
  3. No se puede configurar una interfaz para que tome IP por DHCP si esta ya tiene un servidor DHCP corriendo.
  4. No se puede configurar un dispositivo (FTD) como DHCP Server y DHCP Relay al mismo tiempo.
  5. Para el caso de DHCP Relay tenemos un máximo de 10 a nivel global.

A pesar de las limitaciones que presenta en estos momentos la configuración de DHCP para estos equipos no deja de ser una característica necesaria para nuestra red por lo que en mas de una ocasión estaremos obligados a ocuparla. Es muy probable que en nuevas actualizaciones del sistema se incluyan o retiren ciertas limitaciones al sistema por lo que siempre es recomendable visitar la documentación previo a cualquier configuración.

Configuración

Para la configuración de DHCP asumimos que ya trabajamos sobre un despliegue completo del equipo FTD conectado a Management Center. Desde la GUI del management center nos dirigimos a la siguiente dirección: Devices -> Device management editamos la política de nuestro equipo.

Acceder al device management

Desde Device Management podemos configurar interfáces, enrutamiento, alta disponibilidad y servicios básicos como SNMP y DHCP:

Pestaña de configuración DHCP

DHCP Server

En esta pestaña se nos desplegará la configuración para el DHCP Server. Como mencionamos antes en Cisco Firepower las configuraciones de DNS, dominio, timeout y el tiempo de leasing de IP address son configuraciones globales para todos los DHCP servers:

Configuración global DHCP server

Rellenamos estos campos con los objetos solicitados, en mi caso no utilizo la opción Auto-configuration ya que esto lo que hace es tomar la configuración de DNS, domino y WINS desde un cliente DHCP configurado en alguna de las interfaces del equipo, de ahí que esta ventana solicite una interface.

Ejemplo de configuración global

Con estos campos rellenados procedemos a configurar el pool en una de nuestras interfaces, damos click en add para añadir un nuevo servidor DHCP:

Pool de IPs

Claramente tenemos que añadir un pool de IP que estan bajo la misma red de la interface a la que le activamos el DHCP, antes de guardar activamos el check de “Enable DHCP Server” y de esta forma el servidor que activado en la interfaz, damos click en OK, luego salvamos config y finalmente desplegamos los cambios realizados.

Para agregarle opciones a nuestros servidores DHCP nada mas tenemos que movernos a la pestaña de Advanced:

Añadir opciones al DHCP

Existen ciertas limitaciones a considerar en la configuración de opciones al DHCP, si revisamos nuevamente la documentación podemos leer que existen ciertos codigos que aún no son soportados para esta version de Firepower:

Limitaciones en la configuración de opciones

Configuraremos la opción 150 para nuestro DHCP ya que es usada por teléfonos IPs para descargar plantillas o archivos desde un servidor TFTP:

Ejemplo Configuración Opciones

Para este caso como sabemos que la opcion 150 debe retornar la dirección IP del servidor TFTP al cual los teléfonos deben conectar, entonces configuramos la opción como tipo IP y agregamos las direcciones de nuestros servidores. En caso de utilizar otras opciones lo mejor siempre es revisar la documentación ó RFC en referencia a dicha opción. Nuevamente guardamos y desplegamos.

DHCP Relay

El DHCP Relay funciona retransmitiendo los paquetes DHCPDISCOVER hacia un servidor configurado en la interfaz. Para configurarlo tenemos la pestaña del lado izquierdo y de igual manera tenemos configuración global para todos los DHCP relay:

Configuración global de DHCP relay

Para agregar un agente de relay damos click en Add

Ejemplo configuración relay

En este ejemplo seleccionamos la interfaz INSIDE para retransmitir las peticiones DHCP, activamos el check “Enable IPv4 Relay” para activar el agente de retransmisión y de manera opcional activamos el check “Set Route” si deseamos que el Firepower modifique el paquete de Offer para que la ruta por defecto del cliente siempre sea la interfaz del Firepower por la que entro la solicitud de DHCP. Damos click en OK y salvamos configuración.

Luego de configurar el DHCP Relay debemos configurar un DHCP server, por lo cual nos movemos a la pestaña DHCP Servers:

DHCP servers que responden a los Relays

Damos click en Add para agregar un nuevo DHCP server:

Relay DHCP servers

Como nota en esta configuración el DHCP server no debe alcanzarse desde la misma interfaz a la cual se le confiigura el DHCP relay, es decir si configuramos un DHCP relay por la INSIDE, el servidor DHCP al que se le retransmiten las solicitudes no debe de alcanzarse por la INSIDE.

Verificaciones desde el CLI

Para verificar los Pool y el leasing de nuestros servidores DHCP debemos ingresar por linea de comandos a nuestros equipos, conectarnos al CLI FTD y ejecutar los siguientes comandos:

>show dhcpd state
>show dhcpd statistic
Verificamos las estadísticas generales del DHCP

Para verificar las IPs que se han otorgado ejecutamos el siguiente comando:

>show dhcpd biding all
DHCP Server biding

Con esto se concluyen las tareas de configuración de DHCP en los equipos Firepower. Como vieron siempre es primordial consultar la documentación y verificar las limitaciones de nuestros equipos. Por el momento me despido no sin antes mencionar que se pueden unir a nuestro canal de telegram donde estaremos actualizando contenido sobre la página. Saludos troubleshooters! hasta la proxima!. 😀

https://t.me/troubleshootnic