內容概要:當你對internet發布了內部網路中的服務時,可能你的使用者會有抱怨:遠端客戶可以正常的訪問你發布到internet的服務,但是位於內部網路的使用者卻不能正常的訪問這些服務。
這個時候,你可能需要在你的網路中部署分離的dns服務。
當你對internet發布了內部網路中的服務時,可能你的使用者會有抱怨:遠端客戶可以正常的訪問你發布到internet的服務,但是位於內部網路的使用者卻不能訪問這些服務,why?
如下圖所示,內部網路位址範圍為10.2.1.
0/24,在isa上對internet發布了內部網路中web伺服器(10.2.1.
5)上的web站點在internet的dns伺服器上解析為isa伺服器的外部ip位址39.1.1.
8。此時,外部internet上的客戶(39.1.1.9)可以正常的訪問isa防火牆上發布的web站點
但是內部網路中的snat客戶(10.2.1.9)卻不可以,
為什麼呢?
內部網路中的snat客戶(10.2.1.
9)和外部的客戶(39.1.1.
9)使用的是相同的dns伺服器(39.1.1.
9),當內部的snat客戶(10.2.1.
9)解析網域名稱時,結果和外部客戶(39.1.1.
9)一樣,是isa防火牆的外部介面ip位址39.1.1.
8。於是,內部snat客戶(10.2.
1.9)向isa防火牆的外部介面(39.1.
1.8)發起連線,當isa防火牆接收到此連線請求時,會根據發布規則的設定**給內部網路中的web伺服器(10.2.
1.5)。
問題的關鍵在於,此時web伺服器(10.2.1.
5)直接對snat客戶(10.2.1.
9)的連線請求發出響應。isa防火牆**給web伺服器的連線請求的源位址是內部snat客戶的ip位址(10.2.
1.9),web伺服器(10.2.
1.5)識別出此ip位址(10.2.
1.9)和自己位於相同的子網內,所以直接向此ip位址傳送連線響應。但是snat客戶計算機(10.
2.1.9)會丟棄web伺服器(10.
2.1.5)直接傳送給它的連線響應,因為它的連線請求是傳送到isa防火牆的外部ip位址(39.
1.1.8)而不是web伺服器的ip位址(10.
2.1.5)。
對於snat客戶計算機而言,web伺服器傳送給它的連線響應不是它發起的,所以它會丟棄此連線響應。
解決此問題的辦法有兩種:
第一種方法是在isa防火牆的服務發布規則中,設定連線請求顯示為從isa防火牆發起,如下圖所示:
但是這樣會導致兩個問題:
被訪問的伺服器上的日誌記錄中的客戶ip位址全部為isa防火牆,這樣不能做日誌分析和統計;
出現了網路訪問回環,這樣會極大的降低isa防火牆的效能;
所以,不推薦使用此辦法。
第二種方法就是使用分離的dns服務(split dns)。顧名思義,分離的dns服務就是為外部客戶和內部客戶分別使用不同的dns服務。對於外部的客戶,使用internet上的dns服務,解析網域名稱到isa防火牆的外部介面的ip位址上;而對於內部客戶,使用內部網路中的dns服務,將此網域名稱解析到內部網路中對應的伺服器ip位址上,這樣當內部網路中的客戶訪問此服務時,就不再需要通過isa防火牆進行中轉而直接進行訪問。
下圖中所示就是分離的dns服務結構,在內部網路中,增加了一台dns伺服器,並且配置內部網路中的客戶使用此dns服務;
此時,通過將名字解析為對應伺服器的內部網路中的ip位址,內部網路中的客戶就可以正常的訪問內部網路中的服務了。
DNS伺服器的配置與使用
一 基本資訊 實驗日期 2011.12.14 實驗地點 計算機網路實驗室 實驗人 二 實驗報告主要內容 實驗目的 1 掌握dns的工作原理 2 掌握dns的安裝配置方法 實驗環境 1.已正確安裝了windows server 2000 2003 2.每台pc具有一塊乙太網卡,通過雙絞線與區域網相連 ...
DNS伺服器的安裝與設定
由dns網域名稱稱查詢ip位址的操作稱為 主機名稱解析 dns domain name system 被廣泛應用於internet的主機名稱解析,用於提供網域名稱稱登記和網域名稱稱到ip位址轉換的一組協議和服務。dns基本概念和原理 dns 是網域名稱系統的縮寫,指在internet中使用的分配名字...
科普 常見的公共DNS解析伺服器
網路安全專家江蘇國駿為您科普 常見的公共dns解析伺服器 在2014年1月21日,國內出現的大面積dns解析錯誤,伴隨著相關的新聞,一些公共的dns服務被提及。在我們使用電信或者其他運營商網路時會自動的給你分配dns,但是由於目前國內的運營商基本上都是毫無節操的,在給網域名稱解析時常會進行 dns汙...