17、网络访问控制与IP路由配置详解

网络访问控制与IP路由配置详解

1. DNS Doctoring技术解析

1.1 无DNS Doctoring时的问题

在许多网络部署中，DNS服务器和DNS客户端位于不同子网，通过安全设备进行地址转换。当Web客户端（如Host A）尝试使用服务器的主机名访问Web服务器时，会出现一系列问题，具体事件顺序如下：
1. 发送请求 ：Host A向DNS服务器发送请求，询问Web服务器的IP地址。
2. 地址转换 ：源IP地址使用动态PAT或其他地址转换形式转换为209.165.200.225。
3. DNS回复 ：DNS服务器以A类DNS记录形式回复Web服务器的转换后IP地址（209.165.200.227）。
4. 目标地址转换 ：安全设备将目标IP地址转换为192.168.10.50（Host A的IP地址）。
5. 尝试连接 ：客户端因不知Web服务器在同一子网，尝试连接公共IP地址。
6. 数据包丢弃 ：安全设备丢弃数据包，因为服务器在内网接口，而数据包目的地为公共IP地址。

1.2 DNS Doctoring的作用

Cisco ASA的DNS doctoring功能可检查DNS回复的数据有效负载，并将A类DNS记录（DNS服务器发送的IP地址）更改为NAT配置中指定的地址。具体操作步骤如下：
1. 使用ASDM启用