मैं सिस्को एएसए 9.0 (3) पर डीएनएस अनुवाद के साथ डबल ऑटो नेट स्थापित करने की कोशिश कर रहा हूं, और मुझे डीएनएस भाग के साथ कुछ चुनौतियां हैं। मुझे डबल एनएटी सही ढंग से काम कर रहा है, जैसे कि मेरे पास उत्पादन में एक सर्वर है और एक ही आईपी पते के साथ लैब में है। B2masd1, nameif INSIDE (उत्पादन) और masd1, nameif DMZ (प्रयोगशाला) देखें।
जब आप DMZ 10.195.18.182 से 1.195.18.182 तक पिंग करते हैं, तो मुझे अनुवाद दोनों में सही ढंग से हो रहा है ...
D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182
<----------- <-----------
1) echo-request to 1.195.18.182
nat (INSIDE,DMZ) static 1.195.18.182 dns
S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182
------------> ------------>
2) echo-reply to 192.168.11.101
nat (DMZ,INSIDE) static 192.168.11.101 dns
b2masd1 +-----------+ masd1
10.195.18.182 INSIDE | | DMZ 10.195.18.182
Mfg Server -------------| Cisco ASA |------------ Devel Server
| |
+-----------+
Manufacturing Development
Network Network
Security: 100 Security: 50
यह मैं masd1 पर क्या देख रहा हूँ ...
masd1$ /usr/sbin/ping 1.195.18.182
PING 1.195.18.182: 64 byte packets
64 bytes from 1.195.18.182: icmp_seq=0. time=0. ms
64 bytes from 1.195.18.182: icmp_seq=1. time=0. ms
----1.195.18.182 PING Statistics----
2 packets transmitted, 2 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
masd1$
समस्या यह है कि DMZ से INSIDE तक DNS प्रश्नों का अनुवाद नहीं हो रहा है। जब मैंने DMZ से b2masd1 के लिए क्वेरी की, तो मुझे उम्मीद है कि INSIDE पर नामांकित व्यक्ति 10.195.18.182 के साथ जवाब देगा, और फिर एएसए को 1.195.18.182 पर अनुवाद करना चाहिए। हालाँकि, ऐसा नहीं हो रहा है; जैसा कि आप देख सकते हैं, DNS प्रविष्टि का अनुवाद नहीं किया गया है।
masd1$ nslookup
Using /etc/hosts on: masd1
> a2mosd1
Using /etc/hosts on: masd1
looking up FILES
Trying DNS
Name: b2masd1.domain.local
Address: 10.195.18.182
> exit
masd1$
क्या कोई बता सकता है कि DNS प्रश्नों को सही ढंग से अनुवादित करने के लिए मुझे क्या करने की आवश्यकता है? मुझे DM19 में b2masd1 के लिए INSIDE इंटरफ़ेस पर एक नामांकित व्यक्ति को 1.195.18.182 पर लौटने के लिए एक क्वेरी की आवश्यकता है (क्योंकि ASA INSIDE A- रिकॉर्ड 10.195.18.182 को DMR addr 1.195.18.182 में अनुवाद करता है)।
मैंने निदान के लिए सहायता के लिए एक चैट रूम स्थापित किया है
विविध डिबगिंग जानकारी
यह मेरा विन्यास है ...
!
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 10.195.2.197 255.255.255.248 standby 10.195.2.198
!
interface GigabitEthernet0/1
nameif DMZ
security-level 50
ip address 10.195.2.201 255.255.255.248 standby 10.195.2.202
!
object network DMZ_NAT_masd1
host 10.195.18.182
description xlate masd1 NAT DMZ src 10.195.18.182 to INSIDE src 192.168.11.101
object network INSIDE_NAT_masd1
host 10.195.18.182
description xlate masd1 NAT INSIDE src 10.195.18.182 to DMZ src 1.195.18.182
!
object network DMZ_NAT_masd1
nat (DMZ,INSIDE) static 192.168.11.101 dns
object network INSIDE_NAT_masd1
nat (INSIDE,DMZ) static 1.195.18.182 dns
!
policy-map type inspect dns DNS_INSPECT_MAP
parameters
message-length maximum 512
!
policy-map global_policy
class inspection_default
inspect dns DNS_INSPECT_MAP
!
service-policy global_policy global
दिखाएँ xlate, यदि यह मदद करता है ...
B2-DEV-FW1/DEVELOPMENT# sh xlate local 10.195.18.182
121 in use, 126 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
NAT from DMZ:10.195.18.182 to INSIDE:192.168.11.101
flags sD idle 0:00:01 timeout 0:00:00
NAT from INSIDE:10.195.18.182 to DMZ:1.195.18.182
flags sD idle 0:03:55 timeout 0:00:00
B2-DEV-FW1/DEVELOPMENT#
सेवा-नीति निरीक्षण dns दिखाएँ ...
B2-DEV-FW1/DEVELOPMENT# sh service-policy inspect dns
Global policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: dns DNS_INSPECT_MAP, packet 15302, drop 0, reset-drop 0, v6-fail-close 0
message-length maximum 512, drop 0
dns-guard, count 7649
protocol-enforcement, drop 0
nat-rewrite, count 139
B2-DEV-FW1/DEVELOPMENT#
नाम सर्वर (10.195.18.201) के लिए b2masd1 से प्रश्न दिखाने वाले कैप्चर। INSIDE इंटरफ़ेस पर भेजे गए डबल DNS प्रश्नों को नोट करें, लेकिन हम DMZ इंटरफ़ेस पर उन्हें प्राप्त नहीं करते हैं।
B2-DEV-FW1/DEVELOPMENT# capture FOO interface DMZ real-time match udp host 10.195.18.182 host 10.195.18.201
Warning: using this option with a slow console connection may
result in an excessive amount of non-displayed packets
due to performance limitations.
Use ctrl-c to terminate real-time capture
1: 09:54:35.994730 10.195.18.182.52639 > 10.195.18.201.53: udp 45
2: 09:54:35.995218 10.195.18.201.53 > 10.195.18.182.52639: udp 83
3: 09:54:47.875076 10.195.18.182.52644 > 10.195.18.201.53: udp 53
4: 09:54:47.875549 10.195.18.201.53 > 10.195.18.182.52644: udp 136
5: 09:54:47.875854 10.195.18.182.52645 > 10.195.18.201.53: udp 51
6: 09:54:47.876297 10.195.18.201.53 > 10.195.18.182.52645: udp 138
7: 09:54:47.876648 10.195.18.182.52646 > 10.195.18.201.53: udp 35
8: 09:54:47.877075 10.195.18.201.53 > 10.195.18.182.52646: udp 35
B2-DEV-FW1/DEVELOPMENT# capture FOO interface INSIDE real-time match udp host 192.168.11.101 host 10.195.18.201
Warning: using this option with a slow console connection may
result in an excessive amount of non-displayed packets
due to performance limitations.
Use ctrl-c to terminate real-time capture
1: 09:56:27.282608 10.195.18.182.52742 > 10.195.18.201.53: udp 43
2: 09:56:27.282684 192.168.11.101.52742 > 10.195.18.201.53: udp 43
3: 09:56:27.283081 10.195.18.201.53 > 192.168.11.101.52742: udp 59
4: 09:56:27.283096 10.195.18.201.53 > 10.195.18.182.52742: udp 59