PIXASA使用静态命令和两个NAT接口执行医治的DNS配.PDF

PIX/ASA：使用静态命令和两个NAT接口执行医 治的DNS配置示例 Contents Introduction Prerequisites Requirements Components Used 相关产品 Conventions 背景信息 方案：两个 NAT 接口（内部、外部） 拓扑 问题：客户端无法访问 WWW 服务器 解决方案：“dns”关键字 备用解决方案：发夹连接 配置 DNS 检查 分割 DNS 配置 Verify 捕获 DNS 数据流 Troubleshoot 没有执行 DNS 重写 转换创建失败 丢弃 UDP DNS 应答 Related Information Introduction 本文档针对以下操作提供了配置示例：使用静态网络地址转换 (NAT) 语句在 ASA 5500 系列自适应 安全设备或 PIX 500 系列安全设备上执行域名系统 (DNS) 修正。利用 DNS 修正，安全设备可以重 写 DNS A 记录。 DNS 重写执行两项功能： 当 DNS 客户端位于专用接口上时，将 DNS 应答中的公共地址（可路由的或已映射的地址）转 换为专用地址（实际地址）。 当 DNS 客户端位于公共接口上时，将专用地址转换为公共地址。 Note: 本文档中的配置包含两个 NAT 接口；内部和外部。有关使用 static 命令和三个 NAT 接口 （内部、外部和 dmz）进行 DNS 修正的示例，请参阅 PIX/ASA：使用 static 命令和三个 NAT 接口 配置示例执行 DNS 修正。 有关如何在安全设备上使用 NAT 的详细信息，请参阅 PIX/ASA 7.x NAT 和 PAT 语句以及在 PIX 上 使用 nat、global、static、conduit 和 access-list 命令及端口重定向（转发）。 Prerequisites Requirements 必须启用 DNS 检查，才可以在安全设备上执行 DNS 修正。默认情况下，DNS 检查处于启用状态 。如果该检查处于禁用状态，请参阅本文档后面的配置 DNS 检查部分以将其重新启用。如果 DNS 检查处于启用状态，安全设备将执行以下任务： 根据使用 static 和 nat 命令（DNS 重写）完成的配置转换 DNS 记录。转换仅适用于 DNS 应答 中的 A 记录。因此，DNS 重写不会影响用于请求 PTR 记录的反向查找。Note: DNS 重写与静 态端口地址转换 (PAT) 不兼容，因为每个 A 记录有多条适用的 PAT 规则，并且要使用哪条 PAT 规则并非十分明确。 强制使用最大 DNS 消息长度（默认值是 512 个字节，最大长度是 65535 个字节）。根据需要 执行重组，以验证数据包长度是否短于所配置的最大长度。如果数据包超出最大长度，则会将 其丢弃。Note: 如果在不使用最大长度选项的情况下发出 inspect dns 命令，则不会检查 DNS 数据包的大小。 强制使用 255 个字节的域名长度和 63 个字节的标签长度。 验证当在 DNS 消息中遇到压缩指针时指针所指的域名的完整性。 检查是否存在压缩指针环路。 Components Used 本文档中的信息基于 ASA 5500 系列安全设备 7.2(1) 版。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. 相关产品 此配置还可用于 Cisco PIX 500 系列安全设备 6.2 版或更高版本。 Note: Cisco 自适应安全设备管理器 (ASDM) 配置仅适用于 7.x 版。 Conventions Refer to Cisco Technical Tips Conventions for more information on document conventions. 背景信息 在典型的 DNS 交换中，客户端将 URL 或主机