Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Exemple de configuration du doctorage DNS sur ASA

Options de téléchargement

  • PDF     (190.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (210.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (189.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 mars 2013
ID du document:115753
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document montre comment le doctoring DNS est utilisé sur l'appareil de sécurité adaptatif (ASA) pour modifier les adresses IP intégrées dans les réponses DNS (Domain Name System) afin que les clients puissent se connecter à l'adresse IP correcte des serveurs.

Conditions préalables

Conditions requises

Le doctoring DNS nécessite la configuration de la traduction d'adresses de réseau (NAT) sur l'ASA, ainsi que l'activation de l'inspection DNS.

Components Used

Les informations de ce document sont basées sur l'appliance de sécurité adaptative.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Exemples de documentation DNS

Serveur DNS à l'intérieur d'ASA

Figure 1

dns-doctoring-asa-config-01.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

Dans la Figure 1, le serveur DNS est contrôlé par l'administrateur local. Le serveur DNS doit attribuer une adresse IP privée, qui est la véritable adresse IP attribuée au serveur d'applications. Cela permet au client local de se connecter directement au serveur d'applications.

Malheureusement, le client distant ne peut pas accéder au serveur d'applications avec l'adresse privée. Par conséquent, le doctoring DNS est configuré sur l'ASA pour modifier l'adresse IP intégrée dans le paquet de réponse DNS. Cela garantit que lorsque le client distant fait une requête DNS pour www.abc.com, la réponse qu'il obtient est pour l'adresse traduite du serveur d'applications. Sans le mot clé DNS de l'instruction NAT, le client distant tente de se connecter à 10.1.1.100, ce qui ne fonctionne pas car cette adresse ne peut pas être routée sur Internet.

Serveur DNS en dehors de l'ASA

Figure 2

dns-doctoring-asa-config-02.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

Dans la Figure 2, le serveur DNS est contrôlé par le FAI ou un fournisseur de services similaire. Le serveur DNS doit distribuer l'adresse IP publique, c'est-à-dire l'adresse IP traduite du serveur d'applications. Cela permet à tous les utilisateurs d'Internet d'accéder au serveur d'applications via Internet.

Malheureusement, le client local ne peut pas accéder au serveur d'applications avec l'adresse publique. Par conséquent, le doctoring DNS est configuré sur l'ASA pour modifier l'adresse IP intégrée dans le paquet de réponse DNS. Cela garantit que lorsque le client local fait une demande DNS pour www.abc.com, la réponse reçue est l'adresse réelle du serveur d'applications. Sans le mot clé DNS de l'instruction NAT, le client local tente de se connecter à 198.51.100.100. Cela ne fonctionne pas, car ce paquet est envoyé à l'ASA, qui abandonne le paquet.

NAT VPN et Doctoring DNS

Figure 3

dns-doctoring-asa-config-03.gif

Considérez une situation dans laquelle des réseaux se chevauchent. Dans cette condition, l'adresse 10.1.1.100 réside à la fois du côté distant et du côté local. Par conséquent, vous devez effectuer la NAT sur le serveur local afin que le client distant puisse toujours y accéder avec l'adresse IP 192.1.1.100. Pour que cela fonctionne correctement, le doctoring DNS est requis.

Le doctoring DNS ne peut pas être effectué dans cette fonction. Le mot clé DNS ne peut être ajouté qu'à la fin d'une NAT d'objet ou NAT source. Le double NAT ne prend pas en charge le mot clé DNS. Il existe deux configurations possibles et les deux échouent.

Échec de la configuration 1 : Si vous configurez le résultat final, il traduit 10.1.1.1 à 192.1.1.1, non seulement pour le client distant, mais pour tout le monde sur Internet. Comme 192.1.1.1 n’est pas routable par Internet, personne sur Internet ne peut accéder au serveur local.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT

Échec de la configuration 2 : Si vous configurez la ligne NAT de doctoring DNS après la ligne NAT deux fois nécessaire, cela provoque une situation où le doctoring DNS ne fonctionne jamais. Par conséquent, le client distant tente d'accéder à www.abc.com avec l'adresse IP 10.1.1.100, qui ne fonctionne pas.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns

Informations connexes

TAC Authored

Contribution d’experts de Cisco

  • Rama Darbha
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Discussions connexes de communautés de Cisco

Ce document s’applique à ces produits

Suivez-nous
Salle de presseÉvénementsBloguesCommunauté
À propos de nous
Communiquer Avec Nous
Travailler Avec Nous