PIXASA使用静态命令和两个NAT接口执行医治的DNS配置.PDFVIP

PIX/ASA：使用静态命令和两个NAT接口执行医 治的DNS配置示例 目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 方案：两个 NAT 接口（内部、外部） 拓扑 问题：客户端无法访问 WWW 服务器 解决方案：“dns”关键字 备用解决方案：发夹 配置 DNS 检查 分割 DNS 配置 验证 捕获 DNS 数据流 故障排除 没有执行 DNS 重写 转换创建失败 丢弃 UDP DNS 应答 相关信息 简介 本文档针对以下操作提供了配置示例：使用静态网络地址转换 (NAT) 语句在 ASA 5500 系列自适应 安全设备或 PIX 500 系列安全设备上执行域名系统 (DNS) 修正。利用 DNS 修正，安全设备可以重 写 DNS A 记录。 DNS 重写执行两项功能： 当 DNS 客户端位于专用接口上时，将 DNS 应答中的公共地址（可路由的或已映射的地址）转 换为专用地址（实际地址）。 当 DNS 客户端位于公共接口上时，将专用地址转换为公共地址。 注意： 本文档中的配置包含两个 NAT 接口；内部和外部。有关使用 static 命令和三个 NAT 接口 （内部、外部和 dmz）进行 DNS 修正的示例，请参阅 PIX/ASA：使用 static 命令和三个 NAT 接口 配置示例执行 DNS 修正。 有关如何在安全设备上使用 NAT 的详细信息，请参阅 PIX/ASA 7.x NAT 和 PAT 语句以及在 PIX 上 使用 nat、global、static、conduit 和 access-list 命令及端口重定向（转发）。 先决条件 要求 必须启用 DNS 检查，才可以在安全设备上执行 DNS 修正。默认情况下，DNS 检查处于启用状态 。如果该检查处于禁用状态，请参阅本文档后面的配置 DNS 检查部分以将其重新启用。如果 DNS 检查处于启用状态，安全设备将执行以下任务： 根据使用 static 和 nat 命令（DNS 重写）完成的配置转换 DNS 记录。转换仅适用于 DNS 应答 中的 A 记录。因此，DNS 重写不会影响用于请求 PTR 记录的反向查找。注意： DNS 重写与 静态端口地址转换 (PAT) 不兼容，因为每个 A 记录有多条适用的 PAT 规则，并且要使用哪条 PAT 规则并非十分明确。 强制使用最大 DNS 消息长度（默认值是 512 个字节，最大长度是 65535 个字节）。根据需要 执行重组，以验证数据包长度是否短于所配置的最大长度。如果数据包超出最大长度，则会将 其丢弃。注意： 如果在不使用最大长度选项的情况下发出 inspect dns 命令，则不会检查 DNS 数据包的大小。 强制使用 255 个字节的域名长度和 63 个字节的标签长度。 验证当在 DNS 消息中遇到压缩指针时指针所指的域名的完整性。 检查是否存在压缩指针环路。 使用的组件 本文档中的信息基于 ASA 5500 系列安全设备 7.2(1) 版。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置还可用于 Cisco PIX 500 系列安全设备 6.2 版或更高版本。 注意： Cisco 自适应安全设备管理器 (ASDM) 配置仅适用于 7.x 版。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 在典型的 DNS 交换中，客户端将 URL 或主机名发送到 DNS 服务器，以确定该主机的 IP 地址。 DNS 服务器接收请求，查找该主机的“名称到 IP 地址”映射，然后将包含 IP 地址的 A 记录提供给客 户端。虽然此过程在许多情况下都进行得很好，但也会发生一些问题。如果客户端和客户端尝试访 问的主机均位于 NAT 后面的同一专用网络上，但客户端使用的 DNS 服务器位于另一个公共网络上 ，则会发生这些问题。 方案：两个 NAT 接口（内部、外部） 拓扑 在此场景中，客户端和客户端尝试访问的 WWW 服务器均位于 ASA 的内部接口上。将动态 PAT 配 置为允许客户端对 Internet 进行访问。将带有 access-list 的静态 NAT 配置为不但允许 Internet 主 机访问 WWW 服务器，而且允许 WWW 服务器访问 Internet。 此图说明了这种情况。在这种