我刚买了一台ASA 5505,我的数据中心正在为我设置。 他们告诉我,设置ASA与NAT路由将打破内部networking上的Web / DNS服务器。
例如:WAN IP地址66.xxx.47.x – 在内部networking上转换为LAN IP地址192.168.0.1 – 不会向内部Web / DNS服务器提供WAN IP,这显然会中断DNS – 当然DC提供没有其他细节。
大多数人在透明模式下提供的ASA背后? 看起来像瞬态模式有一些缺点,没有终止VPNstream量是其中之一。
看起来像路由/ NAT是最安全的/多function的,但也许我没有看到瞬态模式的好处,表面上看起来像一个快速和肮脏的方式来起床和运行,希望更多。
反馈表示赞赏,我不得不很快打电话给你。
典型的静态条目如下所示:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255 如果他们通过ASDM编程,它通常会抛出dns部分。 这改变了来自外部的DNS答复。 这不是你想要的:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255 dns
摆脱那个DNS的声明,你应该没事的
透明模式是相当不错的,但它从ASA删除了一堆function。 除非您有其他理由,否则请使用路由模式。
ASA静态条目让您使用“dns”操纵器,它将即时重写DNS响应。 如果他们说这是不可能的,他们不知道他们在做什么与ASA。
这取决于你有什么样的DNS设置。
我们使用NAT在ASA 5510后面有我们的DNS服务器和Web服务器。
在DNS服务器(BIND)上,我们根据请求来自哪个IP地址提供不同的信息。 这是水平分割的DNS 。
如果请求来自内部,我们回复一个内部IP。
如果请求来自外部,我们回复一个外部IP。
例如,如果请求来自一个正常的外部主机,我们回答networking服务器的66.xxx.47.x IP。 但是,如果内部主机请求IP,我们回复networking服务器的IP地址192.168.0.x。
基本上,只要您正确configurationDNS服务器,就可以将DNS和networking服务器完全置于使用NAT的ASA之后。