前几天遇到个问题,在论坛发了个帖子(http://bbs.51cto.com/thread-788431-1.html),顶帖之人实在太少,不过还是要谢谢51CTO论坛里和群里的朋友的帮助。由于这几天比较忙,怕朋友们等太久所以今天刚忙完就找客户解决这个问题,好在不是太难办,很快就解决了,呵呵。现分享给大家。

  原配置(部分):


access-list acl-out extended permit tcp any interface outside eq www
 

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface www 192.168.30.2 www netmask 255.255.255.255  dns
access-group acl-out in interface outside
 

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
 

问题解决后配置(部分):

access-list acl-out extended permit tcp any interface outside eq www
 

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) interface 192.168.30.2 netmask 255.255.255.255 dns
access-group acl-out in interface outside
 

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
 

有没有发现什么不同?

对了,不同之处就在于static语句,根据cisco资料显示,DNS重写不能应用在基于静态端口映射(PAT)的服务器上,因为这样会使DNS A记录含糊不清。

还有一种技术叫发夹技术,也可以解决这个问题,比上面的复杂一点点,还没做实验,这里就不写了。

附cisco参考资料(特别感谢分享资料的“linux学习中”祝他11月份的IE考试顺利通过,非常感谢!)