Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup
4-30
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
DNS 和 NAT
NAT 和 VPN 故障排除
请参阅以下用于排除 VPN 中 NAT 问题的监控工具:
•
数据包跟踪器 - 正确使用时,数据包跟踪器显示数据包命中了哪些 NAT 规则。
•
show nat detail - 显示给定 NAT 规则的命中数和未转换流量。
•
show conn all - 让您查看活动连接,包括流向设备的流量和通过设备的流量。
要让自己熟悉非工作配置和工作配置,您可以执行以下步骤:
1.
配置无身份标识 NAT 的 VPN。
2.
输入 show nat detail 和 show conn all。
3.
添加身份标识 NAT 配置。
4.
重复 show nat detail 和 show conn all。
DNS 和 NAT
您可能需要配置 ASA 以修改 DNS 回复,方法是用匹配 NAT 配置的地址替换回复中的地址。配置
每条转换规则时,您可以配置 DNS 修改。
每条转换规则时,您可以配置 DNS 修改。
此功能可以重写匹配 NAT 规则的 DNS 查询和回复中的地址(例如,适用于 IPv4 的 A 记录;适用
于 IPv6 的 AAAA 记录;或者,适用于逆向 DNS 查询的 PTR 记录)。对于从映射接口穿越到任何
其他接口的 DNS 回复,记录会从映射值被重写为实际值。相反,对于从任何接口穿越到映射接
口的 DNS 回复,记录会从实际值被重写为映射值。
于 IPv6 的 AAAA 记录;或者,适用于逆向 DNS 查询的 PTR 记录)。对于从映射接口穿越到任何
其他接口的 DNS 回复,记录会从映射值被重写为实际值。相反,对于从任何接口穿越到映射接
口的 DNS 回复,记录会从实际值被重写为映射值。
以下是 DNS 重写的某些限制:
•
DNS 重写不适用于 PAT,因为多条 PAT 规则适用于每个 A 记录,而且要使用的 PAT 规则不确
定。
定。
•
如果配置了两次 NAT 规则,并且指定了源地址和目标地址,则不能配置 DNS 修改。或者,
这种规则发送到 A 和 B 时, 对单一地址可能有不同的转换。因此,ASA 不能精确匹配 DNS
回复中的 IP 地址和正确的两次 NAT 规则; DNS 回复不包含有关哪个源地址 / 目标地址组合
位于提示 DNS 请求的数据包中的信息。
这种规则发送到 A 和 B 时, 对单一地址可能有不同的转换。因此,ASA 不能精确匹配 DNS
回复中的 IP 地址和正确的两次 NAT 规则; DNS 回复不包含有关哪个源地址 / 目标地址组合
位于提示 DNS 请求的数据包中的信息。
•
DNS 重写要求启用 DNS 应用检测,默认情况下 DNS 应用检测处于启用状态。有关详细信
息,请参阅
息,请参阅
•
实际上,DNS 重写在 xlate 条目而非 NAT 规则上完成。因此,如果没有面向动态规则的
xlate,则不能正确完成重写。静态 NAT 也会出现相同的问题。
xlate,则不能正确完成重写。静态 NAT 也会出现相同的问题。
以下主题提供 DNS 重写示例:
•
•
•
•
•