• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-策略

03-智能DNS

本章节下载 03-智能DNS  (460.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_FZJH_WCG(V7)-6W201/02/202108/1451862_30005_0.htm

03-智能DNS

智能DNS

 

本帮助主要介绍以下内容:

·     特性简介

¡     智能DNS原理

¡     设备上的业务处理流程

·     配置指南

¡     健康检测(可选)

¡     就近性(可选)

¡     ISP(可选)

¡     区域(可选)

¡     DNS正向域(可选)

¡     DNS反向域(可选)

¡     链路

¡     虚IP

¡     DNS映射

¡     静态就近性策略

¡     DNS监听器

·     使用限制和注意事项

特性简介

智能DNS原理

通过配置智能DNS,可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使外部互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。

图-1 智能DNS组网图

 

 

设备上的业务处理流程

图-2 设备上的业务处理流程

 

如图所示,当DNS监听器监听到负载均衡设备上收到了目的地址匹配DNS监听地址的DNS正向解析请求时,首先在DNS映射中查找域名所关联的虚IP池。负载均衡设备依据虚IP池中配置的调度算法选出最佳链路所对应的虚IP,将选定的虚IP地址通过DNS应答报文发送给用户,用户得到虚IP地址后将其作为目的地址,通过该虚IP关联的链路访问内网服务器。

配置指南

智能DNS功能的配置思路如下图所示:

图-3 智能DNS配置指导图

 

健康检测(可选)

健康检测模板可被链路引用。

配置健康检测功能的详细步骤请参见“负载均衡全局配置联机帮助”。

就近性(可选)

配置就近性的详细步骤请参见“负载均衡全局配置联机帮助”。

ISP(可选)

配置ISP的详细步骤请参见“负载均衡全局配置联机帮助”。

区域(可选)

配置区域的详细步骤请参见“负载均衡全局配置联机帮助”。

DNS正向域(可选)

负载均衡设备使用DNS正向域中配置的资源记录来查找域名对应的主机名。DNS资源记录是负载均衡设备用于解析DNS请求的数据记录表项,DNS正向域中可以配置以下几种类型的资源记录:

·     CNAMECanonial Name,规范名称)资源记录允许将多个别名映射到同一正规主机名,即同一服务器。例如,企业内网有一台主机名为host.aaa.com的服务器,它同时对外提供Web服务和邮件服务,为了便于用户访问,可以为该服务器配置CNAME资源记录,分别配置别名为www.aaa.commail.aaa.com。当用户请求Web服务时,访问www.aaa.com,当用户请求邮件服务时,访问mail.aaa.com,而实际访问的均为host.aaa.com

·     MXMail Exchanger,邮件交换)资源记录用于指定该DNS正向域的邮件服务器。

·     NSName Server,权威名称服务器)资源记录用于指定为该DNS正向域服务的权威名称服务器。

·     SOAStart of Authority,起始授权)资源记录用来配置一个DNS正向域的主域名服务器、管理员邮箱等参数。

-4所示,配置了DNS正向域的设备收到DNS请求后,首先查询在DNS正向域中配置的资源记录得到主机域名,再依据该主机域名在DNS映射中查找域名所对应的虚IP

图-4 负载均衡设备上的业务处理流程图

 

配置步骤

1.     在“DNS正向域”页面单击<新建>按钮。

2.     新建DNS正向域

表-1 DNS正向域配置

参数

说明

DNS正向域域名

DNS正向域的域名,不区分大小写,由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。字符串中可以包含字母、数字、“-”、“_”和“.”。

缓存时间

DNS正向域中所有资源记录的缓存时间。

资源记录列表

1.     单击<新建>按钮,新建资源记录。

¡     类型: 资源记录的类型,包括:MXNSCNAME

¡     子域名: DNS正向域的子域名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的的类型选择“MX”或“NS”时,才会出现该参数。

¡     邮件服务器主机名:邮件服务器的主机名不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的的类型选择“MX”时,才会出现该参数。

¡     优先级:MX资源记录的优先级。该值越小,优先级越高。只有资源记录的的类型选择“MX”时,才会出现该参数。

¡     权威名称服务器主机名:权威名称服务器的主机名不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的的类型选择 NS”时,才会出现该参数。

¡     别名:正规主机的别名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的的类型选择 CNAME”时,才会出现该参数。

¡     规范名称:正规主机名,不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的的类型选择 CNAME”时,才会出现该参数。

¡     缓存时间:当前资源记录的缓存时间。

2.     单击<确定>按钮,新建的资源记录会在“资源记录列表”中显示。

SOA-主域名服务器主机名

DNS正向域的主域名服务器主机名。可以是相对域名(不以“.”结束),也可以是绝对域名(以“.”结束)。当主机名为绝对域名时,不会自动扩充主机名,其长度不能大于254个字符;当主机名为相对域名时,会进行自动扩充,在用户配置的主机名后自动添加当前DNS正向域域名。主机名加DNS正向域域名的长度总和不能大于254个字符。

SOA-管理员邮箱地址

DNS正向域的管理员邮箱地址。可以是相对域名(不以“.”结束),也可以是绝对域名(以“.”结束)。当管理员邮箱地址为绝对域名时,不会自动扩充主机名,其长度不能大于254个字符;当管理员邮箱地址为相对域名时,会进行自动扩充,在用户配置的管理员邮箱地址后自动添加当前DNS正向域域名。管理员邮箱地址加区域名长度总和不能大于254个字符。

SOA-序列号

DNS正向域的序列号。用于标识该DNS正向域配置的新旧,DNS正向域越新,序列号越大。辅助域名服务器会周期性地查询主域名服务器上DNS正向域的序列号,然后和本地的DNS正向域序列号相比较。

SOA-刷新间隔

辅助域名服务器以刷新间隔为周期,从主域名服务器上获取SOA资源记录,然后和本地辅助域名服务器上的SOA资源记录相比较。

SOA-重试间隔

重试时间为辅助域名服务器进行DNS正向域复制失败后的等待时间。

SOA-过期时间

过期时间是指当辅助域名服务器与主域名服务器失去联系后,辅助域名服务器可继续进行DNS解析的时长。

SOA-最小缓存时间

主域名服务器上的资源记录在辅助域名服务器上被缓存的时间。

 

3.     单击<确定>按钮,新建的DNS正向域会在“DNS正向域”页面显示。

DNS反向域(可选)

负载均衡设备根据DNS反向域对收到的报文进行反向DNS解析,即根据IP地址查找对应的域名。DNS反向域中设置的PTRPointer Record,指针记录)用来记录域名和IP地址的映射关系。

DNS反向地址解析通常用于解决网络中的垃圾邮件攻击,即对邮件发送方的合法性进行检查,来拒绝转发或接收非法邮件。例如,当邮件服务器收到来自外网用户的邮件时,向设备发送反向解析请求,设备收到来自邮件服务器的反向解析请求后,查找在DNS反向域中配置的PTR资源记录,将邮件发送方的源IP地址解析为域名并将解析结果返回给邮件服务器。邮件服务器将收到的域名与邮件报文中的发送方域名进行比较,结果一致则接收该邮件,否则认为该邮件为垃圾邮件并将其丢弃。

配置步骤

1.     在“DNS反向域”页面单击<新建>按钮。

2.     新建DNS反向域

表-2 DNS反向域配置

参数

说明

类型

DNS反向域的类型,包括IPv4IPv6

IPv4地址

DNS反向域的IPv4地址。只有DNS反向域的类型选择 IPv4”时,才会出现该参数。

IPv6地址

DNS反向域的IPv6地址。只有DNS反向域的类型选择 IPv6”时,才会出现该参数。

掩码

DNS反向域的掩码长度。

PTR资源记录列表

1.     单击<新建>按钮,新建PTR资源记录。

¡     IPv4地址:只有DNS反向域的类型选择 IPv4”时,才会出现该参数。IPv4地址应在其所属DNS反向域的IPv4地址范围内。

¡     IPv6地址:只有DNS反向域的类型选择 IPv6”时,才会出现该参数。IPv6地址应在其所属DNS反向域的IPv6地址范围内。

¡     域名:IP地址对应的域名。不区分大小写由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。字符串中可以包含字母、数字、“-”、“_”或“.”。

¡     缓存时间:当前PTR资源记录的缓存时间。

2.     单击<确定>按钮,新建的PTR资源记录会在“PTR资源记录列表”中显示。

 

3.     单击<确定>按钮,新建的DNS反向域会在“DNS反向域”页面显示。

链路

配置链路的详细步骤请参见“负载均衡全局配置联机帮助”。

IP

为了便于对虚IP进行统一管理,可将具有相同或相似功能的虚IP抽象成一个池,称为虚IP池。

IP池在DNS映射中被引用。

配置步骤

1.     在“虚IP池”页面单击<新建>按钮。

2.     新建虚IP池。

表-3 IP池配置

参数

说明

IP池名称

IP池的名称,不区分大小写。

首选调度算法

IP池的首选调度算法,首选调度算法优先级最高,当采用首选算法不能选出可用的服务器时,采用备选调度算法,次选调度算法优先级最低。首选调度算法包括:

·     加权轮转算法:根据虚IP权值的大小将DNS请求依次分发给每个虚IP,权值越大,分配的DNS请求越多。

·     随机算法:把DNS请求随机分发给每个虚IP

·     加权最小连接算法:总是把DNS请求分发给加权活动连接数(当前活动连接数/权值)最小的虚IP

·     静态就近性算法:跟据静态就近性表项把DNS请求分发给虚IP

·     动态就近性:根据动态就近性表项把DNS请求分发给虚IP

·     IP地址哈希:根据源IP地址哈希算法将DNS请求分发给虚IP

·     IP地址和端口哈希:根据源IP地址和端口号哈希算法将DNS请求分发给虚IP

·     目的IP地址哈希:根据目的IP地址哈希算法将DNS请求分发给虚IP

·     带宽算法:根据虚IP的权值与剩余带宽的比例把DNS请求分发给每个虚IP

·     最大带宽算法:总是将DNS请求分发给处于空闲状态且带宽最大的链路所对应的虚IP

缺省情况下,虚IP池的首选调度算法为加权轮转算法。

备选调度算法

IP池的备选调度算法,支持的调度算法种类与首选调度算法一致。

次选调度算法

选择虚IP池的次选调度算法,支持的调度算法种类与首选调度算法一致。

IP列表

1.     单击<新建>按钮,新建虚IP

¡     IP地址:智能DNS使用的虚IP为应用负载均衡的虚服务器。可选择已创建的虚服务器,也可以新创建虚服务器。此处新建的虚服务器,可在“应用负载均衡 > 虚服务器”页面查看。

¡     链路:虚IP关联的链路。可选择已创建的链路,也可以新创建链路。此处新建的链路,可在“全局配置 > 链路”查看。

¡     权值:虚IP的调用权值。在加权轮转和加权最小连接调度时,该数值越大,虚IP越被优先调用。

2.     单击<确定>按钮,新建的虚IP会在“虚IP列表”中显示。

带宽繁忙保护

开启/关闭带宽繁忙保护功能。

开启带宽繁忙保护功能后,虚IP池根据用户配置的调度方式选择虚IP时,会查看所选取的虚IP对应的链路是否超过配置的繁忙比,如果超出则不选择该IP。其中,链路的带宽繁忙比在“全局配置 > 链路”页面配置。

 

3.     单击<确定>按钮,新建的虚IP池会在“虚IP池”页面显示。

DNS映射

DNS映射的作用是把指定的域名与虚IP池关联在一起,当负载均衡设备收到DNS请求时可以根据域名获取到所关联的虚IP池。

配置步骤

1.     在“DNS映射”页面单击<新建>按钮。

2.     新建DNS映射。

表-4 DNS映射配置

参数

说明

DNS映射名称

DNS映射名称,不区分大小写。

IP

DNS映射引用的虚IP池。可选择已创建的虚IP池,也可以新创建虚IP池。此处新建的虚IP池,可在“IP”页面查看。

域名列表

1.     在输入框中输入DNS映射的域名。域名支持通配符配置,允许使用的通配字符包括问号“?”和星号“*”,通配符使用规则如下:

¡     域名中允许使用多个问号“?”,问号“?”用于代替域名中的单个字符,域名中的点“.”除外;

¡     域名中允许使用多个星号“*”,星号“*”用于代替域名中的多个字符,域名中的点“.”除外;

¡     域名中允许同时使用问号“?”和星号“*”。

¡     域名中以点“.”分隔的字符串的长度为163个字符。

¡     域名中起始字符与结束字符支持字母、数字、横线、下划线、通配符星号“*”与通配符问号“?”;中间字符支持字母、数字、横线、下划线、点号“.”、通配符星号“*”与通配符问号“?”。

2.     单击<添加>按钮,输入的域名会在“域名列表”中显示。

缓存时间

缓存域名解析记录的缓存时间,取值范围为04294967295,单位为秒,该缓存时间将会被填充到DNS应答报文的域名解析记录中。例如,当虚IP配置变化时,用户可以通过配置小一些的缓存时间,使DNS请求客户端尽快获得新的解析记录;而在网络稳定的环境下,用户可将缓存时间设置为更大的值,提高域名的解析稳定性及速度。

DNS映射功能

开启/关闭DNS映射功能。

 

3.     单击<确定>按钮,新建的DNS映射会在“DNS映射”页面显示。

静态就近性策略

静态就近性策略定义了本地DNS服务器源地址区域与虚IP所在IP地址段的对应关系。当虚IP池中指定调度算法为静态就近性调度算法时,需要配置静态就近性策略。若DNS请求匹配多个静态就近性策略时,优先选择权重值高的策略。

配置步骤

1.     单击“静态就近性策略”。

2.     在“静态就近性策略”页面单击<新建>按钮。

3.     新建静态就近性策略。

表-5 静态就近性策略配置

参数

说明

区域名称

本地DNS服务器源地址区域。可选择已创建的区域,也可以新创建区域。此处新建的区域,可在“全局配置 > 区域”页面查看。

对应地址段

IP所在的IP地址段,包括:

·     IPv4地址/掩码长度032。当掩码长度为32时,IP地址的高八位必须小于224,且不能为0127

·     IPv6地址/前缀长度0~128

权值

静态就近性策略的权值。若DNS请求匹配多个静态就近性策略时,权值越高,越被优先调用。

 

4.     单击<确定>按钮,新建的静态就近性策略会在“静态就近性策略”页面显示。

DNS监听器

用于监听负载均衡设备上收到的DNS请求。当DNS请求的目的地址匹配DNS监听地址时,会进行智能DNS处理,在所有的DNS映射中查找对应的域名与虚IP池的映射表项。其作用是在用户与服务器建立连接前,就能通过DNS监听器获取到域名所对应的虚IP并以回复DNS请求的方式将此地址告之给用户。

配置步骤

1.     单击“DNS监听器”。

2.     在“DNS监听器”页面单击<新建>按钮。

3.     新建DNS监听器。

表-6 DNS监听器配置

参数

说明

DNS监听器名称

DNS监听器的名称,不区分大小写。

DNS监听器IP地址

DNS监听器的IP地址。通过配置DNS监听器的IP地址。设备支持配置IPv4地址和IPv6地址。需要注意的是:

·     DNS监听器IPv4地址不能为环回地址、组播地址、广播地址和0.X.X.X

·     DNS监听器IPv6地址不能为环回地址、IPv6组播地址、链路本地地址和全0地址。

监听端口

DNS监听器的端口。通过配置DNS监听器的端口,指定设备对外提供DNS解析服务的端口。

VRF

使DNS监听器服务于特定的VRF

可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看。

DNS监听功能

开启/关闭DNS监听功能。

域名不存在的处理方式

DNS监听器查找DNS请求资源记录失败时的处理方式,包括:

·     不回应:不回应DNS请求。

·     拒绝:回应DNS拒绝报文。

·     DNS代理:通过DNS代理回应请求报文。

 

4.     单击<确定>按钮,新建的DNS监听器会在“DNS监听器”页面显示。

使用限制和注意事项

如果同时配置智能DNS功能和应用负载均衡功能,请避免配置虚服务器的IP地址与DNS监听器地址为同一地址,以免影响智能DNS功能的正常使用。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们