DNS Doctoring on ASA Configuration Example

Introduction

tämä asiakirja osoittaa, miten DNS Doctoring käytetään Adaptiivinen Security Appliance (Asa) muuttaa sulautettuja IP-osoitteita Domain Name System (DNS) vastauksia, jotta asiakkaat voivat muodostaa yhteyden oikeaan IP-osoitteeseen palvelimet.

edeltävät edellytykset

vaatimukset

DNS-Tohtorointi edellyttää verkko-osoitteen kääntämisen (Nat) konfigurointia ASA: ssa sekä DNS-tarkastuksen mahdollistamista.

käytetyt komponentit

tämän asiakirjan tiedot perustuvat mukautuvaan turvalaitteeseen.

tämän asiakirjan tiedot on luotu laitteista tietyssä laboratorioympäristössä. Kaikki tässä asiakirjassa käytetyt laitteet käynnistyivät tyhjennetyllä (oletus) asetuksella. Jos verkkosi on toiminnassa, varmista, että ymmärrät minkä tahansa komennon mahdollisen vaikutuksen.

konventiot

Katso lisätietoja dokumenttikäytännöistä Ciscon teknisten vinkkien konventioista.

DNS Doctoring Examples

DNS-palvelin ASA: n sisäpuolella

Kuva 1

dns-doctoring-asa-config-01.gif

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

kuvassa 1 DNS-palvelinta ohjaa paikallinen ylläpitäjä. DNS-palvelimen pitäisi jakaa yksityinen IP-osoite, joka on todellinen IP-osoite määritetty sovelluspalvelimelle. Tämä mahdollistaa paikallisen asiakkaan yhteyden suoraan sovelluspalvelimeen.

valitettavasti etäasiakas ei voi käyttää sovelluspalvelinta yksityisosoitteella. Tämän seurauksena DNS Doctoring on määritetty ASA muuttaa upotettu IP-osoite sisällä DNS vastaus paketti. Tämä varmistaa, että kun etäasiakas tekee DNS-pyynnön www.abc.com, vastaus he saavat on käännetty osoite sovelluspalvelimen. Ilman DNS-avainsanaa Nat-lauseessa etäasiakas yrittää muodostaa yhteyden 10.1.1.100: aan, mikä ei toimi, koska kyseistä osoitetta ei voi reitittää internetissä.

ASA: n ulkopuolella oleva DNS-palvelin

kuva 2

dns-doctoring-asa-config-02.gif

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

kuvassa 2 DNS-palvelinta valvoo ISP tai vastaava palveluntarjoaja. DNS-palvelimen tulisi jakaa julkinen IP-osoite, eli sovelluspalvelimen käännetty IP-osoite. Tämä mahdollistaa kaikille Internetin käyttäjille pääsyn sovelluspalvelimeen Internetin kautta.

valitettavasti paikallinen asiakas ei voi käyttää sovelluspalvelinta julkisella osoitteella. Tämän seurauksena DNS Doctoring on määritetty ASA muuttaa upotettu IP-osoite sisällä DNS vastaus paketti. Tämä varmistaa, että kun paikallinen asiakas tekee DNS-pyynnön www.abc.com, vastaanotettu vastaus on sovelluspalvelimen todellinen osoite. Ilman DNS avainsanan Nat lauseke, paikallinen asiakas yrittää muodostaa 198.51.100.100. Tämä ei toimi, koska tämä paketti lähetetään ASA: lle, joka pudottaa paketin.

VPN NAT ja DNS Doctoring

kuva 3

dns-doctoring-asa-config-03.gif

Ajatellaanpa tilannetta, jossa on päällekkäisiä verkostoja. Tässä kunnossa osoite 10.1.1.100 asuu sekä syrjäisellä että paikallisella puolella. Tämän seurauksena sinun on suoritettava Nat paikallisella palvelimella niin, että etäasiakas voi edelleen käyttää sitä IP-osoitteella 192.1.1.100. Jotta tämä toimisi kunnolla, DNS Doctoring tarvitaan.

DNS-Tohtorointia ei voida suorittaa tässä funktiossa. DNS-avainsana voidaan lisätä vain objektin NAT tai lähde Nat loppuun. Kahdesti Nat ei tue DNS-avainsanaa. Mahdollisia kokoonpanoja on kaksi, ja molemmat epäonnistuvat.

Epäonnistunut Kokoonpano 1: Jos määrität alarivin, se kääntää 10.1.1.1-192.1.1.1, ei vain etäasiakkaalle, vaan kaikille Internetissä. Koska 192.1.1.1 ei ole internet routable, kukaan Internetissä voi käyttää paikallista palvelinta.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dnsnat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT

epäonnistui Kokoonpano 2: Jos määrität DNS Doctoring Nat rivi jälkeen tarvittavat kaksi Nat rivi, tämä aiheuttaa tilanteen, jossa DNS Doctoring ei koskaan toimi. Tämän seurauksena etäasiakas yrittää käyttää www.abc.com IP-osoitteella 10.1.1.100, joka ei toimi.

Leave a Reply