微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > 分离的DNS服务及其部署

分离的DNS服务及其部署

时间:09-28 来源:ISA中文站 点击:
当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能访问这些服务,Why?

  如下图所示,内部网络地址范围为10.2.1.0/24,在ISA上对Internet发布了内部网络中Web服务器(10.2.1.5)上的Web站点www.isacn.org,在Internet的DNS服务器上解析www.isacn.org为ISA服务器的外部IP地址39.1.1.8。

  此时,外部Internet上的客户(39.1.1.9)可以正常的访问ISA防火墙上发布的Web站点www.isacn.org,

  但是内部网络中的SNat客户(10.2.1.9)却不可以,

  为什么呢?

  内部网络中的SNat客户(10.2.1.9)和外部的客户(39.1.1.9)使用的是相同的DNS服务器(39.1.1.9),当内部的SNat客户(10.2.1.9)解析域名www.isacn.org时,结果和外部客户(39.1.1.9)一样,是ISA防火墙的外部接口IP地址39.1.1.8。于是,内部SNat客户(10.2.1.9)向ISA防火墙的外部接口(39.1.1.8)发起连接,当ISA防火墙接收到此连接请求时,会根据发布规则的设置转发给内部网络中的Web服务器(10.2.1.5)。

  问题的关键在于,此时Web服务器(10.2.1.5)直接对SNat客户(10.2.1.9)的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址(10.2.1.9),Web服务器(10.2.1.5)识别出此IP地址(10.2.1.9)和自己位于相同的子网内,所以直接向此IP地址发送连接响应。

  但是Snat客户计算机(10.2.1.9)会丢弃Web服务器(10.2.1.5)直接发送给它的连接响应,因为它的连接请求是发送到ISA防火墙的外部IP地址(39.1.1.8)而不是Web服务器的IP地址(10.2.1.5)。对于Snat客户计算机而言,Web服务器发送给它的连接响应不是它发起的,所以它会丢弃此连接响应。

  解决此问题的办法有两种:

  第一种方法是在ISA防火墙的服务发布规则中,设置连接请求显示为从ISA防火墙发起,如下图所示:

  但是这样会导致两个问题:

  被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙,这样不能做日志分析和统计;
出现了网络访问回环,这样会极大的降低ISA防火墙的性能;
所以,不推荐使用此办法。

  第二种方法就是使用分离的DNS服务(Split dns)。顾名思义,分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户,使用Internet上的DNS服务,解析域名到ISA防火墙的外部接口的IP地址上;而对于内部客户,使用内部网络中的DNS服务,将此域名解析到内部网络中对应的服务器IP地址上,这样当内部网络中的客户访问此服务时,就不再需要通过ISA防火墙进行中转而直接进行访问。

  下图中所示就是分离的DNS服务结构,在内部网络中,增加了一台DNS服务器,并且配置内部网络中的客户使用此DNS服务;

  此时,通过将名字解析为对应服务器的内部网络中的IP地址,内部网络中的客户就可以正常的访问内部网络中的服务了。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top