У нас есть два маршрутизатора Cisco 2811 в конфигурации HSRP, защищающие сеть с несколькими vlan. У нас есть вторичный публичный DNS для contoso.com зона спрятана там, а также почтовый сервер mail1.contoso.com NAT подключен к своему выделенному общедоступному IP-адресу. Мы обнаружили, что DNS-запрос, запущенный из любой сети за маршрутизатором для общедоступного адреса этого почтового сервера, возвращает частный IP-адрес с NAT. Нам удалось собрать пакеты с обеих сторон, фактически обнаружив, что 2811 действительно меняет IP-адреса в пакетах, приходящих извне на внутренние, с внутреннего глобального IP-адреса на внутренний локальный IP-адрес. Это может быть нормально, но этот процесс мешает передаче зоны DNS для защищенного вторичного DNS-сервера, в результате чего он получает адреса с NAT вместо общедоступных, а затем обслуживает частные адреса в Интернете вместо обслуживания общедоступных IP-адресов. Нам не удалось найти точную команду для отключения перезаписи DNS, указанную здесь Cisco - NAT заставляет nslookup возвращать локальный IP не принимается. Как мы должны хотя бы избежать вмешательства Cisco в передачу зоны DNS? В лучшем случае мы хотели бы полностью отключить эту перезапись DNS.
NAT выполняется следующим образом:
ip nat inside source static tcp 10.x.x.9 53 217.x.x.x 53 route-map RM-NAT-ISP extendable
ip nat inside source static udp 10.x.x.9 53 217.x.x.x 53 route-map RM-NAT-ISP extendable
ip nat inside source static 10.x.x.31 217.x.x.y route-map RM-NAT-VNETWORK01-EXCHANGE
DNS преобразован в NAT через один порт, сервер, который страдает от перезаписи DNS, преобразован в статический NAT с картой маршрутов из-за наличия VPN в конфигурации. Был документ, в котором говорилось, что маршрутизатор Cisco не должен выполнять перезапись DNS для статического NAT с картой маршрутов, И не должен мешать передаче зон DNS - но мы наблюдаем обратное. Информация о версии iOS:
R1#sh ver
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(25b), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 12-Aug-09 11:53 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1)
R1 uptime is 33 weeks, 6 days, 9 hours, 55 minutes
System returned to ROM by Reload Command
System restarted at 03:43:40 GMT+3 Tue Jul 19 2016
System image file is "flash:c2800nm-adventerprisek9-mz.124-25b.bin"
<snip>
Cisco 2811 (revision 53.51) with 512000K/12288K bytes of memory.
Processor board ID FGL153312DD
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
126976K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
ip nat service ? вывод:
R1(config)#ip nat service ?
H225 H323-H225 protocol
allow-h323-keepalive Allow H323 KeepAlive
allow-sip-even-rtp-ports Allow even RTP ports for SIP
append-ldap-search-res Append ldap search result
fullrange allocate all available port of 1 to 65535
list Specify access list describing global addresses
mgcp Media Gateway Control Protocol
nbar nbar protocol
ras H323-RAS protocol
rtsp Real Time Streaming Protocol
sip SIP protocol
skinny skinny protocol
Старая ветка, но у меня была та же проблема, и я только что нашел ответ, поэтому я должен поделиться им.
В IOS-XE 16.9 я добавил следующие две строки настроек в глобальном режиме exec:
Router(config)#no ip nat service dns udp
Router(config)#no ip nat service dns tcp
Вы должны добавить no-payload вариант в конце вашего ip nat inside source static сопоставления для DNS-серверов.