Sửa đổi / trả lời DNS trên ISR Cisco 1900 series


8

Chúng tôi có Cisco 1900 ISR và gần đây đã thiết lập một máy chủ web tại ourdomain.com. Trang web hoạt động hoàn hảo, tuy nhiên từ mạng LAN, chúng tôi không thể sử dụng ourdomain.comđể truy cập trang, thay vào đó mọi người phải sử dụng địa chỉ IP cục bộ 10.1.1.xxx.

Tôi đã hiểu rằng đó là một hạn chế với các bộ định tuyến của Cisco. Google googling rộng rãi của tôi đã bật lên tiến sĩ DNS (hoặc sửa đổi trả lời DNS)

Tôi đã cố gắng nhiều lần để thiết lập tiến sĩ DNS nhưng tôi không thể làm cho nó hoạt động được, tôi tin vì ISR của chúng tôi không có khả năng thực hiện các lệnh tôi đang thử:

object network our_server
host 10.1.1.xx
nat (inside,outside) static 50.100.100.10 dns

Có cách nào khác để đạt được DNS tiến sĩ hoặc truy cập máy chủ cục bộ của chúng tôi bằng địa chỉ bên ngoài không?

Cấu hình mạng của chúng tôi như sau: Modem > ISR > Switch > End Users

ISR của chúng tôi đang chạy: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)


Bạn đang sử dụng gì cho một máy chủ DNS trong mạng 10.1.1.X?
Brett Lykins

Tất cả các máy đều được trỏ thủ công vào DNS của Google hoặc trỏ đến ISR đang trỏ đến Google :)
OrangeBox

ISR này có cung cấp truy cập internet cho bạn bây giờ không? Nếu vậy, xin vui lòng cho chúng tôi thấy giao diện và cấu hình NAT. Nếu không, bạn đang sử dụng cái gì cho một bộ định tuyến / tường lửa internet?
Mike Pennington

Câu trả lời:


7

Tôi đã cố gắng nhiều lần để thiết lập tiến sĩ DNS nhưng tôi không thể làm cho nó hoạt động được, tôi tin vì ISR của chúng tôi không có khả năng thực hiện các lệnh tôi đang thử

Vấn đề đầu tiên của bạn là bạn đang sử dụng các lệnh Cisco ASA trên bộ định tuyến của Cisco; bạn cũng cho rằng đây là sự cố với bộ định tuyến Cisco của mình.

Trong thực tế, đây là sự cố DNS có thể được giải quyết với bộ định tuyến Cisco của bạn; tuy nhiên, nó thường được giải quyết bằng DNS tách

Có cách nào khác để đạt được DNS tiến sĩ hoặc truy cập máy chủ cục bộ của chúng tôi bằng địa chỉ bên ngoài không?

Có ... Cisco gọi đó là dịch địa chỉ mạng (hoặc nat) ... Giả sử bạn có cấu trúc liên kết này ...

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

Giả sử địa chỉ Webhost nội bộ của bạn là 10.1.1.50 và bạn đang sử dụng 192.0.2.2 (địa chỉ thứ hai do ISP cung cấp) cho bản ghi A công khai của bạn .. Do đó, khi bạn giải quyết "ourdomain.com" từ trình phân giải của google, bạn sẽ nhận được ...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

Giả sử Bucksnort là 10.1.1.12, nếu bạn thực hiện debug ip nattrên bộ định tuyến của mình trong khi truy vấn DNS, bạn sẽ thấy ...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]

Xin chào Mike, cảm ơn bạn rất nhiều vì sự giúp đỡ của bạn. Tôi đã có thể đạt được kết quả mong muốn bằng cách sử dụng câu trả lời của bạn. Được đánh giá cao :)
OrangeBox

@OrangeBox, bạn được chào đón nhất ... chúc may mắn với những nỗ lực của bạn.
Mike Pennington

Xin chào Mike, Điều gì sẽ xảy ra nếu máy chủ công cộng đó sử dụng giao diện IP công cộng như là công ty duy nhất có sẵn. Làm thế nào bạn có thể giải quyết yêu cầu này bây giờ?
LAF

@laf, bạn đang hỏi về điều gì đó mà tôi đã thử nghiệm trong khi tôi đang viết câu trả lời. Đã gần một tháng, vì vậy trí nhớ của tôi rất mơ hồ nhưng tôi không nghĩ rằng tôi đã tìm thấy một câu trả lời NAT tốt trong kịch bản đó ... Có lẽ điều tốt nhất bạn có thể làm là chia DNS trên máy chủ linux hoặc trên chính bộ định tuyến .
Mike Pennington

Ok, tôi đã hỏi bạn vì tôi đã đánh vào kịch bản này nhiều lần mà không có NAT_solve_success. Đây là cấu hình để làm cho tôi rõ ràng: ip nat trong danh sách nguồn Giao diện INSIDE_ADDRS FastEthernet0 / 1 quá tải ip nat bên trong nguồn tĩnh tcp 10.1.1.50 80 giao diện 80
laf
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.