使用不同的隧道時,DHCP 可以分發不同的 DNS 伺服器地址嗎?
我們已經
ASA 5505部署了幾個。目前,我們有一個設置,其中本地 ASA 正在回答 DHCP 查詢並為客戶端配置兩個 DNS 伺服器:我們的 DR 站點 DNS 伺服器(我們使用 AD)和公共 DNS。當 VPN 隧道關閉時,我們需要讓客戶端訪問“網際網路”(這不僅意味著數據包路由,還意味著 DNS 應答),這排除了我們這邊的 DHCP 服務。上面的配置允許我們
vpnclient server [Production site VPN target] [DR site VPN target]毫無問題地使用。這是之前配置的一種解決方法,我們通過調整 DHCP 分配的 DNS 手動故障轉移隧道。超高觸感和緩慢。
在 Fortigate 上,有一個負載平衡服務會創建一個 VIP 並進行一些檢查以驗證與 DNS 伺服器的連接。
除了負載平衡等創造性解決方案之外,我們如何配置由我們的現場 ASA 分配 DHCP 的客戶端,以將 DNS 查找發送到特定伺服器?
$$ side note $$ 只是想我們可能會在每個站點上使用負載均衡器,通過同一個 VIP 服務 DNS(只能由 VPN 客戶端訪問)。但對於可能的客戶端問題,這是一個複雜的伺服器端解決方案。
在您的情況下,我會簡單地將 ASA 用作 DHCP,將其內部 IP 作為 DNS 伺服器,將 DNS 代理用於隧道 DNS,並在配置中列出幾個公共 DNS。
例如。(這些命令適用於 c3900 設備 ios15.1,您可能需要進行更改才能與 ASA 軟體兼容)
service dhcp ip domain nameserver "tunnel dns" ip domain nameserver 8.8.8.8 ; google dns used for simplicity ip domain nameserver 8.8.4.4 ip dhcp pool NET-POOL network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 domain-name mydomain.net ; not required but helpful lease 9 ip dhcp excluded-address 192.168.1.1這適用於小型辦公室,我在 100 個或更少的使用者上使用它,但如果你有 ram 可以擴展。
在隧道上執行 ip-sla 以了解其何時關閉並使用預設路由指向隧道將使切換更快、更可靠。只需確保您定義了指向本地外部介面的靜態路由,或者當隧道關閉時,asa 將刪除預設路由,然後事情可能會停止工作。