【SSLVPN】应用域名绑定IP相关策略配置案例

Fine发表于:2020年09月09日 17:02:50

适配版本


产品:SecSSL VPN

版本:不涉及

平台:不涉及

关键字

应用域名、DNS解析、IP绑定

内容


功能背景:

域名与IP绑定,其实就是为了对内网的服务器实现DNS解析的功能,PC一般使用的是公网DNS服务器,在拨号VPN以后,如果需要将域名解析成内网服务地址,使用PC本地的公网DNS无法实现此功能,可以通过绑定域名与IP的对应关系,由VPN设备来实现PC在访问域名的时候,自动解析成内网IP的效果。

域名绑定IP配置:

SSL VPN支持,应用域名与IP绑定相关配置共有三处:

1、授权域名应用

配置:SSL-VPN---应用设置—应用和组—添加应用:应用服务器地址采用:domain@IP的方式配置。

举例:配置应用demo1.lingxinren.com@172.16.100.20。登录VPN以后,访问demo1.lingxinren.com,自动解析成:172.16.100.20

image2020-6-15_18-45-48.png?version=1&modificationDate=1592217949000&api=v2

VPN拨号以后,测试域名解析:

image2020-6-16_10-20-50.png?version=1&modificationDate=1592274051000&api=v2


2、主机绑定

配置:SSL-VPN---应用设置---应用相关设置—主机地址,添加,主机与域名的绑定关系:

举例:域名demo1.lingxinren.com绑定主机192.168.100.100

image2020-6-16_10-33-44.png?version=1&modificationDate=1592274825000&api=v2

VPN拨号以后,测试demo1.lingxinren.com。解析的地址为:192.168.100.100

image2020-6-16_10-35-44.png?version=1&modificationDate=1592274945000&api=v2


3、DNS分离策略

分离策略详细配置参考:【SSLVPN】DNS分离策略配置案例

DNS分离策略只针对:MAC、IOS、Android客户端生效,Windows客户端不受影响


策略优先级

1、配置有精确IP的优先,域名对应配置的是明确的主机地址,非IP段形式。

2、如果同时配置了三个策略,而且都是配置的精确IP地址,那么DNS分离策略>授权域名应用>主机绑定


备注:配置了以上三种策略中的任意一种策略,DNS在相应报文的时候,会自动将AA标志位置位,返回的是带AA标记的DNS解析,(AA标记:标记该服务器是解析域名的权威解析服务器)

image2020-6-16_10-46-59.png?version=1&modificationDate=1592275619000&api=v2