我们部署了几个ASA 5505.目前,我们有一个设置,本地ASA正在回答DHCP查询,并使用两个DNS服务器配置客户端:我们的DR站点DNS服务器(我们使用AD)和公共DNS.
当VPN隧道关闭时,我们需要让客户端访问“互联网”(这不仅意味着数据包路由,而且还有DNS应答),这将排除我们这边的服务DHCP.以上配置允许我们使用vpnclient服务器[生产站点VPN目标] [DR站点VPN目标]而不会出现问题.
这是先前配置的解决方法,我们通过调整DHCP分配的DNS手动对隧道进行故障转移.超高触感和慢速.
在Fortigate上,有一个负载平衡服务可以创建一个VIP并进行一些检查以验证与DNS服务器的连接.
除了像负载平衡这样的创造性解决方案之外,我们如何配置由我们的现场ASA分配DHCP的客户端将DNS查找发送到特定服务器?
[边注]
只是认为我们可能会在每个通过相同VIP(仅可由VPN客户端访问)提供DNS的站点上使用负载均衡器.但对于可能的客户端问题,这是一个复杂的服务器端解决方案.
解决方法
在您的情况下,我只是将ASA用作DHCP,将其内部IP作为DNS服务器,使用DNS代理到隧道DNS,并在配置中列出几个公共DNS.
例如. (这些命令适用于c3900设备ios15.1,您可能需要进行更改才能与ASA软件兼容)
service dhcp ip domain nameserver "tunnel dns" ip domain nameserver 8.8.8.8 ; google dns used for simplicity ip domain nameserver 8.8.4.4 ip dhcp pool NET-POOL network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 domain-name mydomain.net ; not required but helpful lease 9 ip dhcp excluded-address 192.168.1.1
这适用于小型办公室,我在100个或更少的用户使用它,但如果你有ram可以缩放.
在隧道上运行ip-sla以了解其何时关闭并使用默认路由指向隧道将使切换更快更可靠.只需确保定义的静态路由指向本地外部接口,或者当隧道发生故障时,asa将删除默认路由,然后事情就会停止工作.
