إرساء DNS على مثال تكوين ASA
المحتويات
المقدمة
يوضح هذا المستند كيفية إستخدام إرساء DNS على جهاز الأمان القابل للتكيف (ASA) لتغيير عناوين IP المضمنة في استجابات نظام اسم المجال (DNS) حتى يمكن للعملاء الاتصال بعنوان IP الصحيح للخوادم.
المتطلبات الأساسية
المتطلبات
يتطلب توثيق DNS تكوين ترجمة عنوان الشبكة (NAT) على ASA، بالإضافة إلى تمكين فحص DNS.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى جهاز الأمان القابل للتكيف.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
أمثلة توثيق DNS
خادم DNS على الجزء الداخلي من ASA
شكل 1 
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
class inspection_default
inspect dns
في الشكل 1، يتم التحكم في خادم DNS بواسطة المسؤول المحلي. يجب أن يقوم خادم DNS بتسليم عنوان IP خاص، وهو عنوان IP الحقيقي المعين لخادم التطبيق. وهذا يسمح للعميل المحلي بالاتصال مباشرة بخادم التطبيق.
لسوء الحظ، يتعذر على العميل البعيد الوصول إلى خادم التطبيق باستخدام العنوان الخاص. ونتيجة لذلك، يتم تكوين إرساء DNS على ASA لتغيير عنوان IP المضمن داخل حزمة إستجابة DNS. وهذا يضمن أنه عندما يقوم العميل البعيد بإجراء طلب DNS ل www.abc.com، تكون الاستجابة التي يحصل عليها هي للعنوان المترجم لخادم التطبيق. بدون الكلمة الأساسية DNS في عبارة NAT، يحاول العميل البعيد الاتصال ب 10.1.1.100، والذي لا يعمل لأنه لا يمكن توجيه هذا العنوان على الإنترنت.
خادم DNS على الجزء الخارجي من ASA
شكل 2 
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
class inspection_default
inspect dns
في الشكل 2، يتم التحكم في خادم DNS بواسطة ISP أو مزود الخدمة المماثل. يجب أن يقوم خادم DNS بتسليم عنوان IP العام، أي عنوان IP المترجم لخادم التطبيق. ويتيح ذلك لجميع مستخدمي الإنترنت الوصول إلى خادم التطبيقات عن طريق الإنترنت.
لسوء الحظ، يتعذر على العميل المحلي الوصول إلى خادم التطبيق الذي يحمل العنوان العام. ونتيجة لذلك، يتم تكوين إرساء DNS على ASA لتغيير عنوان IP المضمن داخل حزمة إستجابة DNS. وهذا يضمن أنه عندما يقوم العميل المحلي بإجراء طلب DNS ل www.abc.com، فإن الاستجابة التي تم تلقيها هي العنوان الحقيقي لخادم التطبيق. بدون الكلمة الأساسية DNS في عبارة NAT، يحاول العميل المحلي الاتصال ب 198.51.100.100. لا يعمل هذا لأن هذا ربط يكون أرسلت إلى ال ASA، أي يسقط الربط.
VPN NAT و DNS Doctoring
شكل 3 
ضع في الاعتبار حالة يوجد فيها شبكات تتداخل. في هذه الحالة، يقع العنوان 10.1.1.100 على كل من الجانب البعيد والجانب المحلي. ونتيجة لذلك، يلزمك تنفيذ NAT على الخادم المحلي حتى يظل العميل البعيد قادرا على الوصول إليه باستخدام عنوان IP 192.1.1.100. لجعل هذا يعمل بشكل صحيح، يلزم إنشاء DNS.
لا يمكن تنفيذ DNS Doctoring في هذه الدالة. ال DNS الكلمة المفتاح يستطيع فقط كنت أضفت إلى النهاية من كائن nat أو مصدر nat. لا يدعم NAT مرتين الكلمة الأساسية DNS. هناك تكوينان محتملان وقد يفشل كلاهما.
فشل التكوين 1: إذا قمت بتكوين السطر السفلي، فإنه يترجم من 10.1.1.1 إلى 192.1.1.1، ليس فقط للعميل البعيد، ولكن لكل شخص على الإنترنت. نظرا لأن الإصدار 192.1.1.1 غير قابل للتوجيه عبر الإنترنت، فلا يمكن لأي شخص على الإنترنت الوصول إلى الخادم المحلي.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT
التكوين الفاشل 2: إذا قمت بتكوين سطر DNS Doctoring NAT بعد سطر NAT اللازم مرتين، فهذا يتسبب في حالة لا يعمل فيها إنشاء DNS أبدا. ونتيجة لذلك، يحاول العميل البعيد الوصول إلى www.abc.com باستخدام عنوان IP 10.1.1.100، والذي لا يعمل.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Dec-2012 |
الإصدار الأولي |
التعليقات