本文件顯示如何在自適應安全裝置(asa)上使用dns修正來更改網域名稱系統(dns)響應中的嵌入ip位址,以便客戶端可以連線到伺服器的正確ip位址。
dns修正要求在asa上配置網路位址轉換(nat),並啟用dns檢測。
本文件中的資訊基於自適應安全裝置。
本文件中的資訊都是基於特定實驗室環境中的裝置編寫的。本文件中使用的所有裝置最初均採用原始(預設)配置。如果您使用的是真實網路,請確保您已經了解所有命令的潛在影響。
有關文件規則的詳細資訊,請參閱 cisco 技術提示規則。
圖 1
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
policy-map global_policy
class inspection_default
inspect dns
在圖1中,dns伺服器由本地管理員控制。dns伺服器應分發私有ip位址,該位址是分配給應用伺服器的實際ip位址。這允許本地客戶端直接連線到應用伺服器。
遺憾的是,遠端客戶端無法使用私有位址訪問應用伺服器。因此,asa上配置了dns修正,以更改dns響應資料報中的嵌入ip位址。這可確保當遠端客戶端對www.abc.com發出dns請求時,它們得到的響應是針對應用伺服器的轉換位址。如果nat語句中沒有dns關鍵字,遠端客戶端將嘗試連線到10.1.1.100,但該連線不起作用,因為該位址無法在網際網路上路由。
圖 2
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
policy-map global_policy
class inspection_default
inspect dns
在圖2中,dns伺服器由isp或類似的服務提供商控制。dns伺服器應分發公有ip位址,即應用伺服器的轉換ip位址。這允許所有網際網路使用者通過網際網路訪問應用伺服器。
遺憾的是,本地客戶端無法使用公有位址訪問應用伺服器。因此,asa上配置了dns修正,以更改dns響應資料報中的嵌入ip位址。這可確保當本地客戶端對www.abc.com發出dns請求時,收到的響應是應用伺服器的實際位址。如果nat語句中沒有dns關鍵字,本地客戶端將嘗試連線到198.51.100.100。這不起作用,因為此資料報被傳送到asa,asa會丟棄該資料報。
圖 3假設網路重疊。在這種情況下,位址10.1.1.100同時位於遠端端和本地端。因此,您需要在本地伺服器上執行nat,以便遠端客戶端仍能使用ip位址192.1.1.100訪問該伺服器。為使其正常工作,需要dns修正。
無法在此功能中執行dns修正。dns關鍵字只能新增到物件nat或源nat的末尾。兩次nat不支援dns關鍵字。有兩種可能的配置,但都失敗。
失敗配置1:如果您配置了底線,則10.1.1.1將轉換為192.1.1.1,不僅適用於遠端客戶端,也適用於網際網路上的所有人。由於192.1.1.1不是可路由的網際網路,因此網際網路上的任何人都無法訪問本地伺服器。
nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination
remote_client remote_client
失敗配置2:如果在必要的兩次nat線路後配置dns修正nat線路,則會導致dns修正從不工作的情況。因此,遠端客戶端嘗試使用ip位址10.1.1.100訪問www.abc.com,但該位址不起作用。
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination
remote_client remote_client
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns
ASA基本配置
一 asa的基本配置 1 主機名 hostname 名字 2 特權密碼 enable password 密碼 3 遠端登入密碼 telnet密碼 passwd 密碼 4 清除所有配置 全域性模式下 clear configure all 5 acl配置 access list 名字 permit i...
ASA基礎配置
asa介面配置 1.1 問題 1 熟悉asa模擬器的使用 2 配置asa介面 3 驗證介面的預設規則 1.2 方案 搭建實驗環境,如圖 1所示。圖 11.3 步驟 實現此案例需要按照如下步驟進行。1 配置asa介面 asa config int g0 asa config if nameif ins...
配置ASA的dhcp中繼
1.拓撲圖 dhcp伺服器在dmz區 2.介面配置 r1 r1 config int e0 0 r1 config if ip address dhcp r1 config if shutdown r2 r2 config int e0 0 r2 config if ip add 20.1.1.10...