Cisco проблемы с dns
Очень прошу, помочь разобраться.
сетевое оборудование:
ASA 5512X
GW: 2921 (тут DHCP)
Stack 2960x3
Windows:
1dc+dns (HVH-1)
2dc+dns (HVH-1)
3dc+dns (HVH-2) PDC
Exch2010 (HVH-2)
Все работало. Что сделали:
Обновили один из гипервизоров HVH2 с 2012 до 2012 R2
И тут понеслось.
Все описывать не буду. Основная проблема:
Сидит клиент с открытым Outlook. Он у него работает. Проходит время. (рандом). БАХ! и теряет соединение с Exch. не может найти автодескавери.xml и прочие странности. при этом доступ в интернет еще есть. (но owa не доступна)
Был найден workaround!
Иду на 2921. Блокирую адрес IP клиента на выдачу в DHCP. Чищу, если он есть в базе.
Обновляю на клиенте аренду. Получаю новый адрес IP и Outlook тут-же начинает летать, даже не перезапуская его.
Чую неладное с DNS-DHCP, но где собака порыта - пока не могу понять.
Подскажите, плииз!
Настройка раздельных DNS
Выполните команду split-dns в режиме настройки групповой политики, чтобы ввести список доменов, разрешающихся через раздельные туннели. Используйте форму no этой команды, чтобы удалить список.
Если списки доменов раздельного туннелирования отсутствуют, пользователи наследуют списки, существующие в групповой политике по умолчанию. Выполните команду split-dns none, чтобы предотвратить наследование списков доменов раздельного туннелирования.
Для разделения записей в списке доменов используйте одиночные пробелы. Число записей не ограничено, но длина всей строки не может превышать 255 символов. Можно использовать только алфавитно-цифровые символы, дефисы (-) и точки (.). Команда no split-dns, при использовании без аргументов, удаляет все текущие значения, включая нулевые значения, созданные при выполнении команды split-dns none.
В этом примере показано, как настроить домены Domain1, Domain2, Domain3 и Domain4, чтобы они разрешались через раздельное туннелирование для групповой политики с именем FirstGroup:
Топология
Решение: Ключевое слово "dns"
Исправление DNS с помощью ключевого слова "dns"
Чтобы настроить исправление DNS в ASDM, выполните следующие действия:
Перейдите в Configuration > NAT и выберите статическое правило NAT для изменения. Нажмите Edit.
Нажмите NAT Options. .
Установите флажок Translate DNS replies that match the translation rule.
Вот захват пакета событий, когда исправление DNS включено:
Клиент отправляет запрос DNS.
ASA выполняет PAT для DNS-запроса и запрос пересылается. Заметьте, что исходный адрес пакета изменился на внешний интерфейс ASA.
На этом этапе клиент пытается обратиться к серверу WWW по адресу 192.168.100.10. Соединение устанавливается. Трафик не перехватывается в ASA, так как клиент и сервер находятся в одной подсети.
Окончательная конфигурация с ключевым словом "dns"
Это окончательная конфигурация ASA для выполнения исправления DNS с ключевым словом dns и двумя интерфейсами NAT.
Окончательная конфигурация ASA 7.2(1)
Общие сведения
При обычном обмене DNS клиент отправляет URL или имя узла на DNS-сервер, чтобы определить IP-адрес этого узла. DNS-сервер получает запрос, ищет сопоставление имя — IP-адрес для данного узла и предоставляет А-запись с IP-адресом клиенту. Хотя эта процедура хорошо работает во многих ситуациях, могут возникать и проблемы. Проблемы могут возникнуть, когда клиент и узел, который клиент пытается достичь, находятся в одной частной сети за NAT, а DNS-сервер, используемый клиентом, находится в другой публичной сети.
Требования
Чтобы выполнить исправление DNS, на устройстве безопасности должна быть включена проверка DNS. Проверка DNS по умолчанию включена. Если она была отключена, обратитесь к параграфу Настройка проверки DNS далее в этом разделе, чтобы снова включить ее. Когда проверка DNS включена, устройство безопасности выполняет следующие задачи:
Преобразует запись DNS на основании конфигурации, выполненной с помощью команд static и nat (перезапись DNS). Преобразование применяется только к А-записи в отклике DNS. Поэтому обратные поиски, запрашивающие запись PTR, не затрагиваются перезаписью DNS.
Примечание. Перезапись DNS несовместима с преобразованием адресов портов (PAT), так как к каждой А-записи применимы несколько правил PAT и использование правила PAT неоднозначно.
Примечание. Если выполнить команду inspect dns без парметра maximum-length, размер пакета DNS не проверяется.
Задает длину доменного имени в 255 байт и длину метки в 63 байта.
Проверяет наличие петли указателя сжатия.
Содержание
Сброс отклика UDP DNS
Чтобы решить эту проблему, увеличьте длину пакета DNS в диапазоне 512-65535.
Прошу помощи с CISCO 3825. Ситуация следующая:
Роутер теряет запросы DNS. В итоге юзерам приходится обновлять страницу, пока DNS запрос не пройдет. В момент проблемы, если пинговать с роутера DNS сервера, то все ок. Помогает перезагрузка маршрутизатора. На время.
На роутер приходит линия от провайдера + поток Е1. Кроме этого, маршрутизатор держит на себе внутреннюю телефонную сеть порядка 120 телефонов. Есть еще момент, после перезагрузки некоторые телефоны не загружаются. ТО есть продолжвают перезагрузкук в цикле, пока не вытащищь и не воткнешь кабель обратно. Посоветуйте где и как искать. Опыт настройки Циски небольшой. Максимум что получилось сделать это связать Циску с GSM шлюзом.
Я не против, но что именно выкладывать? Там 100500 страниц (одних диалпиров штук 500). Кроме того, я так понимаю там есть части конфига, которые выкладывать в общий доступ не стоит.
А каким боком dial-peer относятся к DNS.
Нам бы все таки посмотреть часть которая к DNS имеет отношение. Для начала так сказать
А каким боком dial-peer относятся к DNS.
Нам бы все таки посмотреть часть которая к DNS имеет отношение. Для начала так сказать
Так вот именно, что никакого. Поэтому я спрашиваю, какую часть надо выложить. Какая часть имеет отношение к DNS? Да и вообще, DNS сервера указываются на клиентах, с которых ходим в интернет. На циске указан интерфейс, который смотрит в интернет и его внешний ip. Просто в какой-то момент начинают теряться DNS запросы и помогает только перезагрузка циске.
Вы бы написали сначала вообще - Cisco сконфигурирована как DNS Server или просто пропускает DNS запросы?
Вы бы написали сначала вообще - Cisco сконфигурирована как DNS Server или просто пропускает DNS запросы?
Через Циску проходят DNS запросы. Она не сконфигурирована как DNS сервер. Циска здесь при том, что она смотрит наружу и через нее идет весь интернет трафик и помогает решить проблему только ее перезагрузка.
Какой DNS? IP скажи.
Чтобы Cisco влияла на трафик в ней необходимо настроить QoS/ZBF/ACL/IPS и т.д.
Если она просто пропускает трафик, то маловероятно, что она будет с ним делать что-то кроме отправки на гейт.
Последний раз редактировалось imperorr 23 июл 2013, 15:16, всего редактировалось 1 раз.
Провайдер Роснет:
DNS-серверы ОАО РТС: 195.90.128.107, 195.90.160.107
Кроме того, проверяю nslookup и прочие сервера (а ля 8.8.8.8 и др.) то же самое.
Вот дополнительное описание подготовил (сейчас далеко от сабжа) писал по памяти:
1. От провайдера приходит E1 и Интернет по кабелю rj45. Заходит на GigabiEthernet Interface X в Cisco с выделением белого IP адреса.
2. С одного физического GigabiEthernet Interface идет несколько логических (VLAN) 0.0/1, 0.0/2 и так далее. В их числе телефонная VLAN, локальная внутренняя, локальная с интернетом. Это кабель идет через фаервол в Core Switch (Это насколько я понимаю управляемый свич, котороый держит на себе сеть).Также Кор свич раздает DHCP по тонким клиентам. Он спарен из двух для обеспечения балансировки нашгрузки на спраренных сетевых картах трех серверов, которые к нему подкючены. Эти три сервера являются терминальными, два из них находятся во внетренней сети без доступа в интернет, а третий (наш клиент) в сети с доступом в интернет. На нем сидят 50-80 пользователей и смотрят в браузеры.
3. Также в корсвич подключен обычный маршрутизатор TP-Link в той же VLAN, что и интеренет-сервер (терминальный №3). К этому маршрутизатору подключены клиенты напрямую для получения интернета.
- Испытывают те же проблемы.
Здравствуйте!Прошу помощи с CISCO 3825. Ситуация следующая:
Роутер теряет запросы DNS. В итоге юзерам приходится обновлять страницу, пока DNS запрос не пройдет. В момент проблемы, если пинговать с роутера DNS сервера, то все ок. Помогает перезагрузка маршрутизатора. На время.
На роутер приходит линия от провайдера + поток Е1. Кроме этого, маршрутизатор держит на себе внутреннюю телефонную сеть порядка 120 телефонов. Есть еще момент, после перезагрузки некоторые телефоны не загружаются. ТО есть продолжвают перезагрузкук в цикле, пока не вытащищь и не воткнешь кабель обратно. Посоветуйте где и как искать. Опыт настройки Циски небольшой. Максимум что получилось сделать это связать Циску с GSM шлюзом.
-
, Noromich, 01:17 , 23-Июл-13, (1)
-
, fantom, 10:53 , 23-Июл-13, (2)
-
, Noromich, 11:40 , 23-Июл-13, (3)
-
, fantom, 16:37 , 23-Июл-13, (5)
-
, Noromich, 17:08 , 23-Июл-13, (6)
-
, fantom, 09:39 , 24-Июл-13, (7)
-
, Noromich, 11:48 , 24-Июл-13, (8)
-
, fantom, 14:07 , 24-Июл-13, (9)
-
, Noromich, 20:56 , 24-Июл-13, (10)
-
, mr_noname, 09:11 , 25-Июл-13, (11)
-
, Noromich, 15:18 , 25-Июл-13, ( 12 ) , Noromich, 16:50 , 25-Июл-13, ( 13 )
-
, crash, 06:38 , 26-Июл-13, ( 14 ) +1 , Noromich, 15:35 , 26-Июл-13, ( 17 ) , Andrey, 16:04 , 26-Июл-13, ( 20 ) , Noromich, 13:53 , 27-Июл-13, ( 23 ) , mr_noname, 22:54 , 26-Июл-13, ( 21 ) , mr_noname, 23:20 , 26-Июл-13, ( 22 ) , Noromich, 13:55 , 27-Июл-13, ( 24 )
-
, Noromich, 15:37 , 26-Июл-13, ( 19 )
-
, ShyLion, 11:41 , 26-Июл-13, ( 16 )
-
, Noromich, 15:37 , 26-Июл-13, ( 18 )
> Надежды не теряю.1. схема включения абонентов?
2. какой DNS у абонента прописан/выдан?
3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему не от абонента?) DNS сервер?
1. схема включения абонентов?
Не совсем понял. Есть терминальный сервер, с которого выходят в интернет. Есть клиенты, которые через другой маршрутизатор. Сам интернет приходит на эту циску.> 2. какой DNS у абонента прописан/выдан?
Пробовал разные, от провайдера, от гугла, от яндекса. DNS настраивается на самом клиенте. Дело не в сервере, есть другие клиенты с такими же проблемами.
> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
> не от абонента?) DNS сервер?NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.
Пингать с абонента не получается. В системе есть еще центральный свич (тоже циска, модель не помню, от серверной счас далеко) к которому и подключен этот терминальный сервер и все остальное, на нем закрыт ICMP трафик. То что не в нем дело, выяснил перезагрузив его и увидев, что проблема осталась.
Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.
>[оверквотинг удален]
> проблемами.
>> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
>> не от абонента?) DNS сервер?
> NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.
> Пингать с абонента не получается. В системе есть еще центральный свич (тоже
> циска, модель не помню, от серверной счас далеко) к которому и
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик. То что не в нем дело, выяснил перезагрузив его и
> увидев, что проблема осталась.
> Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.Ну пальцем в небо - на циске НАТ и проблема в нем, как вариант - обновить ИОС.
А так. "терминальный сервер" - если браузер тоже из него работает, дык с клинта проверять бесполезно.
> А так. "терминальный сервер" - если браузер тоже из него работает, дык
> с клинта проверять бесполезно.Ну интернет то сам пашет. Скажем если я IP вместо адреса в браузер ввожу (конечно если IP = сайт), то попаду на сайт. Не резолвятся конкретно адреса.
>> А так. "терминальный сервер" - если браузер тоже из него работает, дык> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
>> с клинта проверять бесполезно.
> Ну интернет то сам пашет. Скажем если я IP вместо адреса в
> браузер ввожу (конечно если IP = сайт), то попаду на сайт.
> Не резолвятся конкретно адреса.Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS запрос - UDP.
1. Смотрим логи циски на предмет аномалий.
2. смотрим статистику по NAT-у на той же циске.если после перезагрузки циски какое-то время все номально работает и потом вдруг начинает подглючивать, то очень похоже на утечку памяти или переполнение какой-нить таблицы..
Первое решается обновлением ИОС-а, второе тюнингом/обновлением/добавлением памяти (зависит от симптомов)
> запрос - UDP.
> 1. Смотрим логи циски на предмет аномалий.
> 2. смотрим статистику по NAT-у на той же циске.
Nat конечно есть. А как смотреть статистику и логи на Циске?
>> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
>> запрос - UDP.
>> 1. Смотрим логи циски на предмет аномалий.
>> 2. смотрим статистику по NAT-у на той же циске.
> Nat конечно есть. А как смотреть статистику и логи на Циске?sh logging
sh ip nat ?
> sh logging
> sh ip nat ?Вот что есть в конфиге:
!
ip nat translation udp-timeout 5
ip nat translation max-entries 5000
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload //Это внешний интерфейс
!Не может быть, что срабатывает ограничение?
> Не может быть, что срабатывает ограничение?> Ты админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немногоТы админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немного локализуешь проблему. Тем более, что косвенно и так всё указывает на проблемы с NAT-ом для UDP. Короче:
no ip nat translation udp-timeout 5
no ip nat translation max-entries 5000
> локализуешь проблему. Тем более, что косвенно и так всё указывает на
> проблемы с NAT-ом для UDP. Короче:
> no ip nat translation udp-timeout 5
> no ip nat translation max-entries 5000
Спасибо, в момент напряга попробую.
> Мы упираемся в это ограничение. Я уменьшил значение max-entry до 2000 и
> пропажа DNS запросов сразу появилась. Теперь вопросы знающим:
> 1. Зачем выставляется это ограничение, что будет если я увеличу его до,
> скажем 10 000? И что это за 5000 записей? За какой
> период времени? Единомоментно? Не многовато ли для 70 пользователей?
естественно одновременно. Но таблица не чистится моментально. А насчет много или мало, кто же вас знает что делают ваши 70 пользователей
> 2. Что делает параметр ip nat translation udp-timeout 5?
видимо очищает трансляцию nat для udp, после указанного времени таймаута
>Что будет если его уменьшить?
раньше очистится, разве нелогично?
> Или это время пока он ждет ответа и если его нет,
> повторяет снова?
кто он?
>Этот параметр может влиять на количество, которое упирается в max-entry?
может, если трансляция не чистится, то количество трансляций увеличивается до максимума.
Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите свои значения, какие вам большенравятся
> Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите
> свои значения, какие вам больше нравятсяЯ ж уже написал, что причина найдена. Устранена изменением значения с 5000 на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу помощи в том, чтобы знающие люди объяснили, что конкретно значат и на что влияют эти настройки.
Вот например, изменил я это значение и что, не будет ли такого, что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена специалистами внедрявшими систему - значит она должна иметь смысл? Вот я хочу понять, зачем она там стоит, почему 5000, а не 10000 и к чему может привести ее увеличение.
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме чтобы что-то объяснили - моветон.
Конкретно для вас на сайте Cisco сказано следующее:To limit the size of a Network Address Translation (NAT) table to a specified maximum, use the ip nat translation max-entries command in global configuration mode. To remove a specified limit, use the no form of this command.
ip nat translation max-entries all-vrf | redundancy redundancy-id number-of-entries | vrf name } number
no ip nat translation max-entries list redundancy redundancy-id number-of-entries number
Ищущий, да обрящет! (с)
> Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме
> чтобы что-то объяснили - моветон.
> Конкретно для вас на сайте Cisco сказано следующее:
> To limit the size of a Network Address Translation (NAT) table
> to a specified maximum, use the ip nat translation max-entries command
> in global configuration mode. To remove a specified limit, use the
> no form of this command.Уважаемый, у вас по теме вопроса есть что сказать? То что на циско.ком я прочитал до того, как вопрос задать. Я спрашиваю, зачем нужно ограничивать эту таблицу, если нужно вообще. И вообще зачем нужен форум, если не для того, чтобы просить, чтобы что-то объяснили. Короче, моветон, то что вы тут написали.
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.Не так уж много цисок повидал, но вот ограничений на количество трансляций ни разу не встречал.
Если снять ограничение, самое плохое, что может случиться из-за разрастания таблицы - подскочит нагрузка на проц/заполнится память на маршрутизаторе и как результат начнут глобально теряться пакеты.
Во-первых, логично было бы помониторить вообще трафик - может там кто-то просто торренты качает, потому что добрый прошлый админ по дружбе открыл доступ. Тут ключевое слово для поиска в гугле - "Netflow".
Во-вторых, снимай ограничение в 5000 и мониторь состояние устройства - память и загрузку проца. Циски эти значения умеют отдавать по SNMP, так что ставь любую систему мониторинга, поднимай на Циске SNMP, снимай значения и потом смотри графики. Или просто смотри руками на самой циске:
show processes cpu sorted
show processes memory sorted
Если всё норм, то и забей.Ни на что другое это ограничение не повлияет.
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP>> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик.Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы с PathMTU. Не говоря уже об остальном.
>> трафик.
> Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы
> с PathMTU. Не говоря уже об остальном.
Нет, тупо его не блокируют. Блокируют только пинг.
Дополнительная информация:
Описание системы:1. От провайдера приходит E1 и Интернет по кабелю rj45. Заходит на GigabiEthernet Interface X в Cisco с выделением белого IP адреса.
2. С одного физического GigabiEthernet Interface идет несколько логических (VLAN) 0.0/1, 0.0/2 и так далее. В их числе телефонная VLAN, локальная внутренняя, локальная с интернетом. Это кабель идет через фаервол в Core Switch (Это насколько я понимаю управляемый свич, котороый держит на себе сеть).Также Кор свич раздает DHCP по тонким клиентам. Он спарен из двух для обеспечения балансировки нашгрузки на спраренных сетевых картах трех серверов, которые к нему подкючены. Эти три сервера являются терминальными, два из них находятся во внетренней сети без доступа в интернет, а третий (наш клиент) в сети с доступом в интернет. На нем сидят 50-80 пользователей и смотрят в браузеры.
3. Также в корсвич подключен обычный маршрутизатор TP-Link в той же VLAN, что и интеренет-сервер (терминальный №3). К этому маршрутизатору подключены клиенты напрямую для получения интернета. Испытывают те же проблемы.
> Дополнительная информация:
> Описание системы:
> Это кабель идет через фаервол в Core Switchо как, "незначительные" нюансы на пути
>> Дополнительная информация:
>> Описание системы:
>> Это кабель идет через фаервол в Core Switch
> о как, "незначительные" нюансы на путиКак подтвердилось, это именно незначительные нюансы, не имеющие отношения к проблеме.
Проверка
Этот раздел позволяет убедиться, что конфигурация работает правильно.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Маршрутизаторы Cisco серии 2500
ПО Cisco IOS 12.2(24a)
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Захват трафика DNS
Одним из методов проверки правильной перезаписи записей DNS устройством безопасности является захват соответствующих пакетов, как рассматривалось в предыдущем примере. Для захвата трафика на ASA выполните следующие действия:
Создайте список доступа для каждого экземпляра захвата, который планируется создать.
ACL должен задавать трафик, который планируется захватывать. В этом примере создаются два ACL.
ACL для трафика на внешнем интерфейсе:
ACL для трафика на внутреннем интерфейсе:
Создайте экземпляры захвата:
Вот как должны выглядеть примеры захватов после прохождения DNS-трафика:
(Необязательно) Скопируйте захваты на сервер TFTP в формате pcap для анализа в другом приложении.
Приложения, которые могут анализировать формат pcap, могут показывать дополнительные данные, например имя и IP-адрес в А-записях DNS.
Настройка проверки DNS
Чтобы включить проверку DNS (если она была отключена ранее), выполните следующие действия. В этом примере проверка DNS добавляется в глобальную политику проверки по умолчанию, которая применяется глобально командой service-policy, как при начале работы ASA с конфигурацией по умолчанию. Дополнительные сведения о служебных политиках и проверке см. в разделе Использование модульной системы политик.
Создайте карту политик проверки для DNS.
Из режима настройки карты политик войдите в режим настройки параметров, чтобы задать параметры для механизма проверки.
Выйдите из режима настройки параметров карты политик и из режима настройки карты политик.
Подтвердите создание карты политик проверки.
Войдите в режим настройки карты политик для global_policy.
В режиме настройки карты политик задайте карту класса уровней 3/4 по умолчанию, inspection_default.
В режиме настройки класса карты политик укажите, что DNS должен проверяться с помощью карты политик проверки, созданной на шагах 1-3.
Выйдите из режима настройки класса карты политик и из режима настройки карты политик.
Убедитесь, что карта политик global_policy настроена как требуется.
Убедитесь, что политика global_policy применяется глобально служебной политикой.
Все ответы
я конечно дико извиняюсь, но зачем DHCP держать на кошке при аж трех живых контроллерах? и почему exchange установлен на контроллере? ;) или HVH это Hyper-V Host ?
и еще. три контроллера в виртуалках. у Вас там тестовый стенд?
каким образом обновляли систему? и уточните - у Вас гипервизор поднят на полноценной системе или это всетаки Hyper-V Server free? ;)
Проблема решена, но отвечаю по-порядку, для понимания.
DHCP конечно-же не активировал, при обновлении. Да и это надо намеренно службу проинсталить, чтобы так вот включить DHCP.
DHCP на кошке - с целью стабильности и гаранта надежности в железе.
HVH - действительно Hyper-V Host
3 контроллера - действительно в виртуалках, как и все остальные сервера. На физике только Hyper-V. А что в этом такого? Напишите свои мысли, с удовольствием почитаю. Не вижу проблем. Не тестовый, продакшин.
Hyper-V у меня полноценный, приобретенный Windows Server Datacenter 2012R2. Ранее на этом сервере находился Windows Server Standart 2012. Естественно, большинство виртулок - тоже Standart 2012 (из-за этого ранее пришлось покупать доп. лицензии).
Решение проблемы - отдельным постом.
Очень много вариантов было испробовано и очень много тестов проведено. Но в итоге пришел к решению поменять сетевую карту.
В итоге гипотеза подтвердилась.
Приведу список несовместимого:
Matherboard: Supermicro X9DRL-iF и Ethernet: Mellanox MT27500 Family ConnectX-3 2х-портовый SFP+ 10Gbe А так-же Windows 2012 R2 - в моем случае оказались несовместимы.
( Прошивка у Mellanox была 2.54 если не ошибаюсь, т.е. не свежая. Есть уже 3.+ Прошивка на материнской - тоже не из последних. Подвергать большему риску, прошиваясь - не стал)
Заменил на Intel Ethernet Server Adapter X520-2 - Заработало!
DHCP на кошке - с целью стабильности и гаранта надежности в железе.
3 контроллера - действительно в виртуалках, как и все остальные сервера. На физике только Hyper-V. А что в этом такого? Напишите свои мысли, с удовольствием почитаю. Не вижу проблем. Не тестовый, продакшин.
Вам конечно на месте виднее, Вы же админ и знаете как выстроена архитектура и массу дополнительной информации, но.
DHCP можно поднять на контроллерах и даже организовать failover, причем даже выбрать режим отказоустойчивости. подумайте, это весьма вкусно ;) и даже кластеризовать не придется. может быть получится даже надежнее чем с кошкой (уберете единственную точку отказа). но опять же все зависит от конкретной архитектуры.
по поводу контроллеров. и снова архитектура :) но. есть мнение, что для надежности работы домена, в который входят сервера виртуализации, хотя бы один контроллер должен быть в железе. это думаю не требует дополнительных разъяснений ;) . конечно если HVH находятся в иной структуре, это и не нужно, главное чтоб к ним был полномочный доступ и они могли самостоятельно полноценно стартовать.
ну вот как то так.
изложенное выше не догма, а всего лишь мое видение вопроса, основанное на практике )))
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Ответы
Очень много вариантов было испробовано и очень много тестов проведено. Но в итоге пришел к решению поменять сетевую карту.
В итоге гипотеза подтвердилась.
Приведу список несовместимого:
Matherboard: Supermicro X9DRL-iF и Ethernet: Mellanox MT27500 Family ConnectX-3 2х-портовый SFP+ 10Gbe А так-же Windows 2012 R2 - в моем случае оказались несовместимы.
( Прошивка у Mellanox была 2.54 если не ошибаюсь, т.е. не свежая. Есть уже 3.+ Прошивка на материнской - тоже не из последних. Подвергать большему риску, прошиваясь - не стал)
Заменил на Intel Ethernet Server Adapter X520-2 - Заработало!
Создание преобразования не выполняется
Введение
Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.
Ответы
Очень много вариантов было испробовано и очень много тестов проведено. Но в итоге пришел к решению поменять сетевую карту.
В итоге гипотеза подтвердилась.
Приведу список несовместимого:
Matherboard: Supermicro X9DRL-iF и Ethernet: Mellanox MT27500 Family ConnectX-3 2х-портовый SFP+ 10Gbe А так-же Windows 2012 R2 - в моем случае оказались несовместимы.
( Прошивка у Mellanox была 2.54 если не ошибаюсь, т.е. не свежая. Есть уже 3.+ Прошивка на материнской - тоже не из последних. Подвергать большему риску, прошиваясь - не стал)
Заменил на Intel Ethernet Server Adapter X520-2 - Заработало!
Альтернативное решение: Прикрепление
Прикрепление со статическим NAT
Внимание: Прикрепление со статическим NAT предусматривает отправку всего трафика между клиентом и сервером WWW через устройство безопасности. Тщательно оцените ожидаемый объем трафика и возможности устройства безопасности, прежде чем применять это решение.
Прикрепление — это процесс, который отправляет трафик обратно на тот интерфейс, с которого он поступил. Эта функция была добавлена в ПО устройств безопасности версии 7.0. Для версий ниже 7.2(1) по крайней мере одна ветвь прикрепленного трафика (входящая или исходящая) обязательно должна быть зашифрована. Начиная с версии 7.2(1) это требование не действует. При использовании версии 7.2(1) обе ветви трафика могут быть незашифрованы.
Прикрепление в сочетании с утверждением NAT static можно использовать для достижения того же эффекта, что и исправление DNS. Этот метод не изменяет содержимое А-записи DNS, которая возвращается от DNS-сервера клиенту. Вместо этого, при использовании прикрепления, например в сценарии, рассматриваемом в этом документе, клиент может использовать для соединения адрес 172.20.1.10, возвращенный DNS-сервером.
Вот как выглядит соответствующая часть конфигурации при использовании прикрепления и статического NAT для достижения эффекта исправления DNS. Команды, выделенные полужирным шрифтом, объясняются более подробно в конце этих выходных данных:
same-security-traffic—Эта команда позволяет трафику того же уровня безопасности проходить через устройство безопасности. Ключевые слова permit intra-interface позволяют трафику одного уровня безопасности поступать и исходить с одного и того же интерфейса, таким образом включая прикрепление.
Примечание. Дополнительные сведения о прикреплении и о команде same-security-traffic см. в разделе трафик одного уровня безопасности.
global (inside) 1 interface—Весь трафик, проходящий через устройство безопасности, должен пройти через NAT. Эта команда использует адрес внутреннего интерфейса устройства безопасности, чтобы позволить трафику, поступающему на внутренний интерфейс, пройти через PAT, как бы прикрепляя его снаружи внутреннего интерфейса.
Чтобы настроить прикрепление со статическим NAT в ASDM, выполните следующие действия:
Перейдите на Configuration > Interfaces.
В нижней части окна установите флажок Enable traffic between two or more hosts connected to the same interface.
Перейдите на Configuration > NAT и выберите Add > Add Static NAT Rule. .
Введите данные конфигурации для нового статического преобразования.
В этом случае внутренний интерфейс выбирается так, чтобы разрешить узлам на внутреннем интерфейсе обращаться к серверу WWW через сопоставленный адрес 172.20.1.10.
Нажмите OK, чтобы покинуть окно "Add Static NAT Rule" (Добавление статического правила NAT).
Выберите существующее динамическое преобразование PAT и нажмите Edit.
Выберите inside из выпадающего меню Interface (Интерфейс).
Нажмите Add.
Выберите переключатель Port Address Translation (PAT) using IP address of the interface. Нажмите Add.
Вот последовательность событий, которые происходят, когда настроено прикрепление. Предположим, что клиент уже запросил DNS-сервер и получил ответ в виде адреса 172.20.1.10 для сервера WWW:
Клиент пытается обратиться к серверу WWW по адресу 172.20.1.10.
Устройство безопасности принимает запрос и определяет, что сервер WWW находится по адресу 192.168.100.10.
Устройство безопасности создает динамическое преобразование PAT для клиента. Источником клиентского трафика теперь является внутренний интерфейс устройства безопасности: 192.168.100.1.
Устройство безопасности создает TCP-соединение между клиентом и сервером WWW через себя. Обратите внимание на сопоставленные адреса узлов в скобках.
Команда show xlate на устройстве безопасности проверяет, что клиентский трафик преобразуется через устройство безопасности.
Команда show conn на устройстве безопасности проверяет, что соединение между устройством безопасности и сервером WWW установлено от имени клиента. Обратите внимание на реальный адрес клиента в скобках.
Окончательная конфигурация с прикреплением и статическим NAT
Это окончательная конфигурация ASA, которая использует прикрепление и статический NAT для достижения эффекта исправления DNS с двумя интерфейсами NAT.
Окончательная конфигурация ASA 7.2(1)
Используемые компоненты
Сведения, содержащиеся в данном документе, относятся к устройству безопасности серии ASA 5500, версия 7.2(1).
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.
Требования
Интерфейс командной строки (CLI) Cisco IOS®
Общая модель поведения DNS
Предварительные условия
Настройка маршрутизатора на использование поиска DNS
Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:
Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name.
Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:
Устранение неполадок
В этом разделе описывается процесс устранения неполадок конфигурации.
Родственные продукты
Эта конфигурация также может быть использована с устройством безопасности серии Cisco PIX 500 версии 6.2 или более поздней.
Примечание. Конфигурация диспетчера устройств адаптивной безопасности Cisco (ASDM) применима только к версии 7.x.
Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются
Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.
Программа dig дает более детальную информацию о DNS пакетах:
Маршрутизатор запрашивает несколько серверов преобразования имен
В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:
Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.
В этом документе приведен пример конфигурации для исправления системы доменных имен (DNS) на устройстве адаптивной безопасности серии ASA 5500 или устройстве безопасности серии PIX 500 с помощью утверждений статической таблицы преобразования сетевых адресов (NAT). Исправление DNS позволяет устройству безопасности перезаписывать A-записи DNS.
Перезапись DNS выполняет две функции:
Преобразует публичный адрес (маршрутизируемый или сопоставляемый адрес) в отклик DNS на частный адрес (реальный адрес), когда клиент DNS находится на частном интерфейсе.
Преобразует частный адрес в публичный адрес, когда клиент DNS находится на публичном интерфейсе.
Примечание. Конфигурация в этом документе содержит два интерфейса NAT: внутренний и внешний. Пример исправления DNS со статикой и тремя интерфейсами NAT (внутренним, внешним и dmz) см. в разделе PIX/ASA: Пример исправления DNS с помощью статической команды и трех интерфейсов NAT.
Проблема: Клиент не может получить доступ к серверу WWW
Вот как выглядит конфигурация в ASDM, когда исправление DNS не включено:
Вот захват пакета событий, когда исправление DNS не включено:
Клиент отправляет запрос DNS.
ASA выполняет PAT для DNS-запроса и запрос пересылается. Заметьте, что исходный адрес пакета изменился на внешний интерфейс ASA.
На этом этапе клиент пытается обратиться к серверу WWW по адресу 172.20.1.10. ASA создает запись соединения для этого обмена данными. Однако, так как ASA не разрешает прохождение трафика с внутреннего интерфейса на внешний и обратно, соединение простаивает. Записи журнала ASA выглядят следующим образом:
Устранение неисправностей
Довольно редко можно увидеть одну из следующих ошибок:
Для того чтобы устранить эту проблему, выполните следующие шаги:
Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.
Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:
Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:
Используйте команду debug ip packet 101.
Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.
Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.
Сценарий: Два интерфейса NAT (внутренний, внешний)
Перезапись DNS не выполняется
Убедитесь, что на сутройстве безопасности настроена проверка DNS. См. раздел Настройка проверки DNS.
Предварительные условия
Условные обозначения
Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.
Читайте также: