我刚刚安装并configuration了一个ASA 5505防火墙(基本许可证),它具有3个VLAN(外部,可信,不可信),configuration是非常基本的。
外面是互联网,值得信赖的是局域网电脑,不可信任的是Wifi。
我们有一个内部服务器连接到10.5.1.2的静态IP信任。 该服务器运行绑定DNS实例。 服务器还运行2个VPS实例。 为了方便访问VPS实例,他们被赋予一个域名,DNS实例被用来为networking的计算机提供这些VPS实例的IP。
我尝试添加内部服务器作为主DNS服务器和谷歌公共从属DNS(8.8.4.4)作为次要:
mastermind(config)# dhcpd dns 10.5.1.2 8.8.4.4 address overlap with dhcp pool ip addresses 但是,这并没有奏效。 我是否需要保留该IP,使其不在DHCP池中? 还是我完全错了?
相关的configuration设置:
ASA Version 8.4(1) ! interface Vlan1 nameif outside security-level 0 ip address dhcp ! interface Vlan2 nameif trusted security-level 100 ip address 10.5.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan2 nameif untrusted security-level 50 ip address 10.4.1.1 255.255.255.0 ! interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 # Ethernet0/2 to Ethernet0/6 has identical configuration ! interface Ethernet0/7 switchport access vlan 3 ! dns server-group DefaultDNS domain-name mastermind.local object network obj_any subnet 0.0.0.0 0.0.0.0 ! object network obj_any nat (trusted,outside) dynamic interface route outside 0.0.0.0 0.0.0.0 10.15.166.1 1 aaa authentication ssh console LOCAL ssh 0.0.0.0 0.0.0.0 trusted dhcpd dns 8.8.8.8 8.8.4.4 dhcpd auto_config outside ! dhcpd address 10.5.1.2-10.5.1.32 trusted dhcpd enable trusted ! dhcpd address 10.4.1.2-10.4.1.32 untrusted dhcpd enable untrusted !
你正确地做这个。 我猜这个错误的原因是,如果你的DNS服务器是dynamicconfiguration的,有可能会失去该IP地址,并打破其他客户端的DNS。 我会把一个静态IP在DNS服务器上,只是改变DHCP范围来排除10.5.1.2。