多网段并且存在内部路由的DNS的解析问题
公司的DC上接有两块网卡,分别接两个局域网,一个是10.10.10.0/24,另一个是192.168.10.0/24。DNS安装在DC上。DC上有一个WEB站点,在DC的IP地址192.168.10.1和10.10.10.1均绑定了。192.16810.1这个网卡下接一个三层交换机,交换机下接有192.168.20.0/24、192.168.30.0/24网段,交换机上做了路由,可以访问DC。现在的问题是在客户端上用NSLOOKUP解析这个WEB站点时返回的IP地址是192.168.10.1和10.10.10.1,因为客户机与DC不在同一网段,DNS服务器上启用的按网络掩码排序在此不起作用,同时启用了循环解析,所以解析时有的客户端返回的是192.168.10.1在前,有的返回的是10.10.10.1在前,如果是在192.168.20.0/24或192.168.30.0/24这个网段内,那么前一种情况客户端可以正常访问,如果是后一种情况就无法访问,我只好在ISA服务器上做条规则让两个网段均可访问这两个IP地址。如果不启用循环解析,则一直是10.10.10.1排在最前,客户机无法访问。我希望客户机访问该站点时在任何时候都不经过ISA,也就是说在客户机上解析这个WEB站点时,只返回客户机所在局域网内的对应的IP,该WEB站点在另一个网段的IP地址不被返回,或者是这个对应的IP排在前面,请问在DNS上应该如何设置?或者是说在DC上要做什么处理?
谢谢!
[ 本帖最后由 西夏的 于 2007-12-19 03:16 编辑 ] 个人感觉这样的结构本身就不合理,不过建议你可以单独创建A记录解析到对应的IP,来解决这个问题。 原帖由 goxia 于 2007-12-20 13:19 发表 http://bbs.5dmail.net/images/common/back.gif
个人感觉这样的结构本身就不合理,不过建议你可以单独创建A记录解析到对应的IP,来解决这个问题。
不好意思,请问具体怎么操作?
拓扑图如下
三层交换机做了缺省路由到192.168.10.2,这是为了上外网用的。做了10、20、30三个VLAN,按照图上设置各子网的DG为VLAN对应接口的IP时,三层交换机的默认的ACL允许10、20、30三个网段互访,我写了几条ACL阻止20和30两个网段互访。经过测试,拿掉ISA,20、30两个网段与DC的通信是正常的。
目前的情况是这样的,在DC的IIS上让WEB服务侦听192.168.10.1和10.10.10.1两个IP,但DNS中删除了主机WWW(10.10.10.1),使客户端解析www.abc.com仅返回192.168.10.1,20和30两个网段可以直接访问www.abc.com,然后在ISA上设定规则允许10.10.10.0/24这个子网访问www.abc.com。
我想达到的目的就是DNS上添加上主机WWW(10.10.10.1),没有ISA的话,各子网仍旧能正常访问www.abc.com,也就是说此时20和30两个网段解析www.abc.com时一定要192.168.10.1排在最前。
当然,如果在三层交换机上再建个VLAN把10.10.10.0/24子网接进来就不会存在这个问题,但我们这里要求这样隔离开来,没办法。
谢谢! 看了半天,理解了一些....基本的操作方法有:
1,其他默认VLAN路由应该分为网段或单个IP.,因此你设置上网的时候默认路由到服务器所以网段即可.
2.访问内部网络当然可以使用IP访问,我们也有此应用,使用IP访问差别很小.
3.你说一个10.10.X>X这个网段不加入VLAN的原因是隔离,当你把这个作为一个VLAN来设置的时候,同时也可以作出隔离,就是不能访问其他VLAN,并且指定访问某个VLAN的单独服务器,比如DC或者其中一台Server.
4.DC上这样接法是极不好的.你可以使用路由器或者一个单独的机器来连接两个子网. 楼上的解释希望对lz有帮助。鉴于你当前的环境,可以专门为一个网段提供一个特定于这个网段可以访问的解析,比如10.10.10.x不能访问www.domain.com,存在两个不同的A记录,其中一个是可路由的访问,另外一个是不可路由的访问的,那么DNS在解析的是否就如你所述可能并不会返回一个正确的结果,所以我建议你可以创建一个类似于vlan1.domain.com的a记录,其解析的ip为网段可以访问的,之后将vlan1.domian.com邦定到你的站点上。
页:
[1]
