DNS Doctoring on asa Configuration Example
introduktion
detta dokument visar hur DNS-Doctoring används på Adaptive Security Appliance (ASA) för att ändra de inbäddade IP-adresserna i DNS-svar (Domain Name System) så att klienter kan ansluta till rätt IP-adress för servrar.
förutsättningar
krav
DNS-Doctoring kräver konfiguration av nätverksadressöversättning (NAT) på ASA, samt aktivering av DNS-inspektionen.
komponenter som används
informationen i detta dokument är baserad på Adaptive Security Appliance.
informationen i det här dokumentet skapades från enheterna i en specifik labbmiljö. Alla enheter som används i det här dokumentet började med en rensad (standard) konfiguration. Om ditt nätverk är live, Se till att du förstår den potentiella effekten av något kommando.
konventioner
se Cisco Technical Tips konventioner för mer information om dokumentkonventioner.
DNS Doctoring exempel
DNS-Server på insidan av ASA
Figur 1
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns
i Figur 1 styrs DNS-servern av den lokala administratören. DNS-servern ska dela ut en privat IP-adress, som är den verkliga IP-adressen som tilldelats applikationsservern. Detta gör det möjligt för den lokala klienten att ansluta direkt till applikationsservern.
tyvärr kan fjärrklienten inte komma åt applikationsservern med den privata adressen. Som ett resultat konfigureras DNS-Doctoring på ASA för att ändra den inbäddade IP-adressen i DNS-svarspaketet. Detta säkerställer att när fjärrklienten gör en DNS-begäran om www.abc.com, svaret de får är för den översatta adressen till applikationsservern. Utan DNS-nyckelordet i nat-uttalandet försöker fjärrklienten ansluta till 10.1.1.100, vilket inte fungerar eftersom den adressen inte kan dirigeras på internet.
DNS-Server på utsidan av ASA
Figur 2
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns
i Figur 2 styrs DNS-servern av ISP eller liknande tjänsteleverantör. DNS-servern ska dela ut den offentliga IP-adressen, det vill säga den översatta IP-adressen för applikationsservern. Detta gör att alla Internetanvändare kan komma åt applikationsservern via internet.
tyvärr kan den lokala klienten inte komma åt applikationsservern med den offentliga adressen. Som ett resultat konfigureras DNS-Doctoring på ASA för att ändra den inbäddade IP-adressen i DNS-svarspaketet. Detta säkerställer att när den lokala klienten gör en DNS-begäran om www.abc.com, det mottagna svaret är den verkliga adressen till applikationsservern. Utan DNS-nyckelordet i nat-uttalandet försöker den lokala klienten ansluta till 198.51.100.100. Detta fungerar inte eftersom detta paket skickas till ASA, som tappar paketet.
VPN NAT och DNS Doctoring
Figur 3
Tänk på en situation där det finns nätverk som överlappar varandra. I detta tillstånd bor adressen 10.1.1.100 på både fjärrsidan och den lokala sidan. Som ett resultat måste du utföra NAT på den lokala servern så att fjärrklienten fortfarande kan komma åt den med IP-adressen 192.1.1.100. För att få detta att fungera korrekt krävs DNS-Doctoring.
DNS-Doctoring kan inte utföras i den här funktionen. DNS-nyckelordet kan bara läggas till i slutet av ett objekt NAT eller källa NAT. Twice NAT stöder inte DNS-sökordet. Det finns två möjliga konfigurationer och båda misslyckas.
Misslyckad Konfiguration 1: Om du konfigurerar bottenlinjen översätter den 10.1.1.1 till 192.1.1.1, inte bara för fjärrklienten utan för alla på internet. Eftersom 192.1.1.1 inte är internetdirigerbar kan ingen på internet komma åt den lokala servern.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 dnsnat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT
misslyckad Konfiguration 2: Om du konfigurerar DNS-Doctoring nat-raden efter den nödvändiga två gånger NAT-raden, orsakar detta en situation där DNS-Doctoring aldrig fungerar. Som ett resultat försöker fjärrklienten komma åt www.abc.com med IP-adressen 10.1.1.100, som inte fungerar.
Leave a Reply