本文档显示如何在自适应安全设备(ASA)上使用DNS修正来更改域名系统(DNS)响应中的嵌入IP地址,以便客户端可以连接到服务器的正确IP地址。
DNS修正要求在ASA上配置网络地址转换(NAT),并启用DNS检测。
本文档中的信息基于自适应安全设备。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
图 1
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
class inspection_default
inspect dns
在图1中,DNS服务器由本地管理员控制。DNS服务器应分发私有IP地址,该地址是分配给应用服务器的实际IP地址。这允许本地客户端直接连接到应用服务器。
遗憾的是,远程客户端无法使用私有地址访问应用服务器。因此,ASA上配置了DNS修正,以更改DNS响应数据包中的嵌入IP地址。这可确保当远程客户端对www.abc.com发出DNS请求时,它们得到的响应是针对应用服务器的转换地址。如果NAT语句中没有DNS关键字,远程客户端将尝试连接到10.1.1.100,但该连接不起作用,因为该地址无法在互联网上路由。