我们已经ASA 5505部署了几个。目前,我们有一个设置,其中本地 ASA 正在回答 DHCP 查询并为客户端配置两个 DNS 服务器:我们的 DR 站点 DNS 服务器(我们使用 AD)和公共 DNS。
当 VPN 隧道关闭时,我们需要让客户端访问“互联网”(这不仅意味着数据包路由,还意味着 DNS 应答),这排除了我们这边的 DHCP 服务。上面的配置允许我们vpnclient server [Production site VPN target] [DR site VPN target]毫无问题地使用。
这是之前配置的一种解决方法,我们通过调整 DHCP 分配的 DNS 手动故障转移隧道。超高触感和缓慢。
在 Fortigate 上,有一个负载平衡服务会创建一个 VIP 并进行一些检查以验证与 DNS 服务器的连接。
除了负载平衡等创造性解决方案之外,我们如何配置由我们的现场 ASA 分配 DHCP 的客户端,以将 DNS 查找发送到特定服务器?
[边注]
只是想我们可能会在每个站点上使用负载均衡器,通过同一个 VIP 服务 DNS(只能由 VPN 客户端访问)。但对于可能的客户端问题,这是一个复杂的服务器端解决方案。
在您的情况下,我会简单地将 ASA 用作 DHCP,将其内部 IP 作为 DNS 服务器,将 DNS 代理用于隧道 DNS,并在配置中列出几个公共 DNS。
例如。(这些命令适用于 c3900 设备 ios15.1,您可能需要进行更改才能与 ASA 软件兼容)
这适用于小型办公室,我在 100 个或更少的用户上使用它,但如果你有 ram 可以扩展。
在隧道上运行 ip-sla 以了解其何时关闭并使用默认路由指向隧道将使切换更快、更可靠。只需确保您定义了指向本地外部接口的静态路由,或者当隧道关闭时,asa 将删除默认路由,然后事情可能会停止工作。