我刚刚安装并配置了 ASA 5505 防火墙(基本许可证),它有 3 个 VLAN(外部、受信任、不受信任),并且配置非常简单。
外部用于互联网,受信任用于局域网计算机,不受信任用于 Wifi。
我们有一个连接到受信任的内部服务器,其静态 IP 为 10.5.1.2。该服务器运行一个 Bind DNS 实例。该服务器还运行 2 个 VPS 实例。为了方便访问 VPS 实例,它们被赋予一个域名,DNS 实例用于向网络中的计算机提供这些 VPS 实例的 IP。
我尝试将内部服务器添加为主 DNS 服务器,并将 Google 公共从属 DNS(8.8.4.4)添加为辅助 DNS 服务器:
mastermind(config)# dhcpd dns 10.5.1.2 8.8.4.4
address overlap with dhcp pool ip addresses
但是这不起作用。我是否需要保留该 IP,以便它不在 DHCP 池中?还是我的做法完全错误?
相关配置设置:
ASA Version 8.4(1)
!
interface Vlan1
nameif outside
security-level 0
ip address dhcp
!
interface Vlan2
nameif trusted
security-level 100
ip address 10.5.1.1 255.255.255.0
!
interface Vlan3
no forward interface Vlan2
nameif untrusted
security-level 50
ip address 10.4.1.1 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
# Ethernet0/2 to Ethernet0/6 has identical configuration
!
interface Ethernet0/7
switchport access vlan 3
!
dns server-group DefaultDNS
domain-name mastermind.local
object network obj_any
subnet 0.0.0.0 0.0.0.0
!
object network obj_any
nat (trusted,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 10.15.166.1 1
aaa authentication ssh console LOCAL
ssh 0.0.0.0 0.0.0.0 trusted
dhcpd dns 8.8.8.8 8.8.4.4
dhcpd auto_config outside
!
dhcpd address 10.5.1.2-10.5.1.32 trusted
dhcpd enable trusted
!
dhcpd address 10.4.1.2-10.4.1.32 untrusted
dhcpd enable untrusted
!
答案1
你做得对。我猜这个错误的原因在于,如果你的 DNS 服务器是动态配置的,那么它可能会丢失该 IP 地址并破坏其余客户端的 DNS。我会在 DNS 服务器上放置一个静态 IP,然后更改 DHCP 范围以排除 10.5.1.2。