Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración de DNS Doctoring en ASA

Opciones de descarga

  • PDF     (222.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (210.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (189.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de marzo de 2013
ID del documento:115753

Lenguaje no discriminatorio

Para la documentación de este producto, se ha apuntado a utilizar un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad étnica, orientación sexual, nivel socio-económico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento muestra cómo se utiliza DNS Doctoring en Adaptive Security Appliance (ASA) para cambiar las direcciones IP incrustadas en las respuestas del Sistema de nombres de dominio (DNS) de modo que los clientes puedan conectarse a la dirección IP correcta de los servidores.

Prerequisites

Requirements

La documentación de DNS requiere la configuración de la traducción de direcciones de red (NAT) en el ASA, así como la habilitación de la inspección de DNS.

Componentes Utilizados

La información en este documento se basa en Adaptive Security Appliance.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Ejemplos de Doctorado DNS

Servidor DNS en el interior de ASA

Figure 1

dns-doctoring-asa-config-01.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

En la Figura 1, el servidor DNS es controlado por el administrador local. El servidor DNS debe entregar una dirección IP privada, que es la dirección real asignada al servidor de aplicaciones. Esto permite al cliente local conectarse directamente al servidor de aplicaciones.

Desafortunadamente, el cliente remoto no puede acceder al servidor de aplicaciones con la dirección privada. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente remoto realiza una solicitud DNS para www.abc.com, la respuesta que obtiene es para la dirección traducida del servidor de aplicaciones. Sin la palabra clave DNS en la instrucción NAT, el cliente remoto intenta conectarse a 10.1.1.100, lo que no funciona porque esa dirección no se puede rutear en Internet.

Servidor DNS en el exterior del ASA

Figure 2

dns-doctoring-asa-config-02.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

En la Figura 2, el servidor DNS es controlado por el ISP o un proveedor de servicios similar. El servidor DNS debe entregar la dirección IP pública, es decir, la dirección IP traducida del servidor de aplicaciones. Esto permite a todos los usuarios de Internet acceder al servidor de aplicaciones a través de Internet.

Desafortunadamente, el cliente local no puede acceder al servidor de aplicaciones con la dirección pública. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente local realiza una solicitud DNS para www.abc.com, la respuesta recibida es la dirección real del servidor de aplicaciones. Sin la palabra clave DNS en la sentencia NAT, el cliente local intenta conectarse a 198.51.100.100. Esto no funciona porque este paquete se envía al ASA, que descarta el paquete.

DNS y NAT de VPN

Figure 3

dns-doctoring-asa-config-03.gif

Considere una situación en la que hay redes que se superponen. En esta condición, la dirección 10.1.1.100 vive tanto en el lado remoto como en el local. Como resultado, debe realizar NAT en el servidor local para que el cliente remoto pueda acceder a él con la dirección IP 192.1.1.100. Para que esto funcione correctamente, se requiere la documentación DNS.

La documentación DNS no se puede realizar en esta función. La palabra clave DNS sólo se puede agregar al final de un objeto NAT o NAT de origen. La NAT doble no admite la palabra clave DNS. Hay dos configuraciones posibles y ambas fallan.

Error en la configuración 1: Si configura el resultado final, traduce 10.1.1.1 a 192.1.1.1, no sólo para el cliente remoto, sino para todos en Internet. Puesto que 192.1.1.1 no es enrutable por Internet, nadie en Internet puede acceder al servidor local.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT

Error en la configuración 2: Si configura la línea NAT de Doctorado DNS después de las dos líneas NAT necesarias, esto provoca una situación en la que la Doctorado DNS nunca funciona. Como resultado, el cliente remoto intenta acceder a www.abc.com con la dirección IP 10.1.1.100, que no funciona.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Rama Darbha
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos