Exemple de configuration du doctorage DNS sur ASA

Options de téléchargement

PDF (223.2 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (210.9 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (189.3 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:5 mars 2013

ID du document:115753

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Conventions

Exemples de documentation DNS

Serveur DNS à l'intérieur d'ASA

Serveur DNS en dehors de l'ASA

NAT VPN et Doctoring DNS

Informations connexes

Introduction

Ce document montre comment le doctoring DNS est utilisé sur l'appareil de sécurité adaptatif (ASA) pour modifier les adresses IP intégrées dans les réponses DNS (Domain Name System) afin que les clients puissent se connecter à l'adresse IP correcte des serveurs.

Conditions préalables

Conditions requises

Le doctoring DNS nécessite la configuration de la traduction d'adresses de réseau (NAT) sur l'ASA, ainsi que l'activation de l'inspection DNS.

Components Used

Les informations de ce document sont basées sur l'appliance de sécurité adaptative.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Exemples de documentation DNS

Serveur DNS à l'intérieur d'ASA

Figure 1

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

Dans la Figure 1, le serveur DNS est contrôlé par l'administrateur local. Le serveur DNS doit attribuer une adresse IP privée, qui est la véritable adresse IP attribuée au serveur d'applications. Cela permet au client local de se connecter directement au serveur d'applications.

Malheureusement, le client distant ne peut pas accéder au serveur d'applications avec l'adresse privée. Par conséquent, le doctoring DNS est configuré sur l'ASA pour modifier l'adresse IP intégrée dans le paquet de réponse DNS. Cela garantit que lorsque le client distant fait une requête DNS pour www.abc.com, la réponse qu'il obtient est pour l'adresse traduite du serveur d'applications. Sans le mot clé DNS de l'instruction NAT, le client distant tente de se connecter à 10.1.1.100, ce qui ne fonctionne pas car cette adresse ne peut pas être routée sur Internet.

Serveur DNS en dehors de l'ASA

Figure 2

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

Dans la Figure 2, le serveur DNS est contrôlé par le FAI ou un fournisseur de services similaire. Le serveur DNS doit distribuer l'adresse IP publique, c'est-à-dire l'adresse IP traduite du serveur d'applications. Cela permet à tous les utilisateurs d'Internet d'accéder au serveur d'applications via Internet.

Malheureusement, le client local ne peut pas accéder au serveur d'applications avec l'adresse publique. Par conséquent, le doctoring DNS est configuré sur l'ASA pour modifier l'adresse IP intégrée dans le paquet de réponse DNS. Cela garantit que lorsque le client local fait une demande DNS pour www.abc.com, la réponse reçue est l'adresse réelle du serveur d'applications. Sans le mot clé DNS de l'instruction NAT, le client local tente de se connecter à 198.51.100.100. Cela ne fonctionne pas, car ce paquet est envoyé à l'ASA, qui abandonne le paquet.

NAT VPN et Doctoring DNS

Figure 3

Considérez une situation dans laquelle des réseaux se chevauchent. Dans cette condition, l'adresse 10.1.1.100 réside à la fois du côté distant et du côté local. Par conséquent, vous devez effectuer la NAT sur le serveur local afin que le client distant puisse toujours y accéder avec l'adresse IP 192.1.1.100. Pour que cela fonctionne correctement, le doctoring DNS est requis.

Le doctoring DNS ne peut pas être effectué dans cette fonction. Le mot clé DNS ne peut être ajouté qu'à la fin d'une NAT d'objet ou NAT source. Le double NAT ne prend pas en charge le mot clé DNS. Il existe deux configurations possibles et les deux échouent.

Échec de la configuration 1 : Si vous configurez le résultat final, il traduit 10.1.1.1 à 192.1.1.1, non seulement pour le client distant, mais pour tout le monde sur Internet. Comme 192.1.1.1 n’est pas routable par Internet, personne sur Internet ne peut accéder au serveur local.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT

Échec de la configuration 2 : Si vous configurez la ligne NAT de doctoring DNS après la ligne NAT deux fois nécessaire, cela provoque une situation où le doctoring DNS ne fonctionne jamais. Par conséquent, le client distant tente d'accéder à www.abc.com avec l'adresse IP 10.1.1.100, qui ne fonctionne pas.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns