mbr*_*nyc 5 domain-name-system dhcp cisco routing cisco-vpn
我们ASA 5505部署了几个。目前,我们有一个设置,其中本地 ASA 正在回答 DHCP 查询并使用两个 DNS 服务器配置客户端:我们的 DR 站点 DNS 服务器(我们使用 AD)和一个公共 DNS。
当 VPN 隧道关闭时,我们需要让客户端访问“互联网”(这不仅意味着数据包路由,还意味着 DNS 响应),这排除了我们这边的 DHCP 服务。上面的配置允许我们vpnclient server [Production site VPN target] [DR site VPN target]毫无问题地使用。
这是以前配置的解决方法,我们通过调整 DHCP 分配的 DNS 手动故障转移隧道。超高触感和缓慢。
在 Fortigate 上,有一个负载平衡服务可以创建一个 VIP 并进行一些检查以验证与 DNS 服务器的连接。
除了像负载平衡这样的创造性解决方案之外,我们如何配置由我们的现场 ASA 分配了 DHCP 的客户端,以将 DNS 查找发送到特定服务器?
[边注]
只是想我们可能会在每个站点使用负载均衡器,通过相同的 VIP(只能由 VPN 客户端访问)来提供 DNS 服务。但对于可能的客户端问题,这是一个复杂的服务器端解决方案。
小智 2
在您的情况下,我将简单地使用 ASA 作为 DHCP,将其内部 IP 分发为 DNS 服务器,使用隧道 DNS 的 DNS 代理,并在配置中列出多个公共 DNS。
例如。(这些命令适用于 c3900 设备 ios15.1,您可能需要进行更改才能兼容 ASA 软件)
service dhcp
ip domain nameserver "tunnel dns"
ip domain nameserver 8.8.8.8 ; google dns used for simplicity
ip domain nameserver 8.8.4.4
ip dhcp pool NET-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name mydomain.net ; not required but helpful
lease 9
ip dhcp excluded-address 192.168.1.1
这适用于小型办公室,我在 100 名或更少的用户上使用它,但如果您有 ram,则可以扩展。
在隧道上运行 ip-sla 了解何时关闭并使用默认路由指向隧道将使切换更快、更可靠。只需确保您定义了静态路由以指向本地外部接口,否则当隧道关闭时,asa 将删除默认路由,然后一切可能会停止工作。
| 归档时间: |
|
| 查看次数: |
2492 次 |
| 最近记录: |