My Way

  如图所示拓扑,内网出口为Router或PIX 局域网内主机A想访问位于内部的网站[url]www.test.com[/url] ，使用外部DNS 60.1.1.2   1．主机A会向60.1.1.2发起DNS请求， 2．PIX（Router）收到请求后，使用NAT转化为外网地址100.1.1.2 3．外部DNS收到请求后，会查询自己域名表，返回域名所关联的IP地址    由于，WWW服务器在局域网内，它是通过PIX上的PAT和外部通讯。所以DNS    服务器返回的域名[url]www.test.com[/url]相关的公网地址是100.1.1.2 4．PIX（Router）收到DNS返回消息后，进行NAT转化，并传送给主机A 5．主机A此时访问[url]www.test.com[/url] 目标IP地址为100.1.1.2 6．当路由器内口收到目标地址为自己E1口时，发现自己并没有打开WWW服务功    能，所以把包给扔了   这样，便造成了，内网用户无法访问内部WWW服务器 解决方案： 1． 架设内部DNS服务器 2． 路由器做WWW服务器的DNS解析 d Router(config)#ip dns server  路由器启用DNS功能                                 Router(config)#ip domain-lookup  启用域名查找功能                                       Router(config)#ip name-server 60.1.1.2   指定查询DNS                          Router(config)#ip host [url]www.test.com[/url] 172.16.10.5  静态DNS映射                         内部网络主机的DNS配置成192.168.1.254   3． PIX—alias   Alias的一个功能就是执行DNS回复包的重写:   alias (inside) 172.16.10.5 100.1.1.2 255.255.255.255
!--- inside口DNS Doctoring ，监控DNS回复中包括100.1.1.2的话,就把 DNS回复中的地址替换成172.16.10.5 ,发送给客户PC   static(inside,outside) 100.1.1.2 17216.10.5 netmask 255.255.255.255
!--- WEB服务器做静态地址转化,以让外部访问

!---另外,要让DNS fixup正常工作, 需禁止proxy-arp功能。  [/img]..

摘要：FPM是思科推出的下一代ACL技术，可以实现精确到bit的包抓取能力，其方便，快速的布署，及对其他防护技术的支持，使其在SDN中占据了一席之地。FPM在安全IOS 12.4(4)T以后版本的路由器系列（800到7200）中都..