• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

21-DNS-DNAT功能典型配置举例

本章节下载 21-DNS-DNAT功能典型配置举例  (377.55 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587546_30005_0.htm

21-DNS-DNAT功能典型配置举例


1  简介

DNS-DNAT的功能主要是在链路负载均衡策略的接口上设置DNS服务器的地址,同时在DNS的request的出接口上,我们将用户的DNS目的地址更换为接口上的DNS服务器的ip地址,从而保证从该链路上返回来的ip地址为该运营商提供的服务。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解链路负载均衡的特性和DNS-dnat的特性。

3  使用限制

配置的主备DNS可以正常解析www.baidu.com,DNS流量经过设备转换成出口的DNS地址转发出去。

4  配置举例

4.1  组网需求

图1所示,某公司内网办公网段IP地址为172.1.1.0/24。使用ACG1000设备的ge4-3口连接内网设备,ge4-3网关地址172.1.1.1/24,在ACG1000产品开启链路负载均衡功能,出接口ge0内网ip:11.1.1.2/24,出接口ge1内网ip:12.1.1.2/24,具体应用需求如下:

·     将ACG1000设备配置两个负载均衡出接口,分别为出接口ge0,ge1,负载均衡的两个出接口分别配置DNS-DNAT功能。

配置负载均衡策略,负载均衡策略选择按照权重进行负载均衡,匹配条件为默认,添加两个出接口分别为出接口ge0,ge1。

图1 链路负载均衡功能组网图(DNS-dnat功能在负载均衡出接口上添加配置)

 

4.2  配置思路

·     配置链路负载均衡前,先配置链路负载均衡出接口,添加DNS-DNAT功能。

·     为每个链路负载出接口添加健康检查策略,保证可以及时监控链路状态。

·     链路负载均衡策略添加相应的链路出接口,保证命中策略的流量能够按照选中接口进行转发。

4.3  使用版本

本举例是在R6611P01上进行配置和验证。

4.4  配置注意事项

·     DNS-DNAT的默认dns健康检查地址是www.baidu.com。

·     DNS使用主备DNS地址进行探测,10s一次,如果三次探测不成功,设备认为DNS地址不可用。

·     如果设备配置的主备DNS地址均正常可用,默认使用主DNS地址,当主DNS地址不可用,再使用备DNS地址。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置地址对象

图3所示,进入“策略配置>对象管理>地址对象> IPv4地址对象”,点击<新建>,IP地址配置为172.1.1.0/24创建办公网段地址对象,点击<提交>.

图3 登录Web网管

 

3. 配置默认路由

图4所示,在ACG上进入“网络配置>路由管理>静态路由”,点击<新建>,配置两条默认路由。

图4 配置默认路由

 

4. 配置出接口的源nat

图5所示,在ACG上进入“策略配置>NAT转换策略>源NAT”,点击<新建>,配置两个源NAT。

图5 配置源nat

 

5. 配置负载均衡出接口(2个出接口)

图6图7所示,在ACG上进入“策略配置>负载均衡策略>负载均衡出接口”,点击<新建>,配置两个负载均衡出接口。

图6 电信出接口(出接口添加DNS-dnat功能)

 

图7 联通出接口(出接口添加DNS-dnat功能)

 

图8 负载均衡出接口

 

6. 配置负载均衡策略

图9 负载均衡策略

 

4.6  验证配置

(1)     验证电信用户的DNS流量从电信链路发送出去。

图10所示,观察所有从ge0发出去的DNS流量,DNS地址都转换成162.1.1.2(ge0做了出接口源nat)。

图10 观察从ge0发送数据流

 

host# display ip connection all

current connection count: 46

Protocol:    UDP State:Complete    PolicyID:1       VrfId:0

               Status: 0x0080080e                   FastCode: 0x80000207

               UserName: 172.1.1.55                 AppName: dns

               Expire: 00:01:04                     Existed: 00:00:01

               Source Dir: 172.1.1.55:19757      >  200.1.1.2:53             PKTS 1

               Reply  Dir: 162.1.1.2:53            >  11.1.1.2:19757           PKTS 1

               This connection has SRC_NAT DST_NAT

Protocol:    UDP State:Complete    PolicyID:1       VrfId:0

               Status: 0x0080080e                   FastCode: 0x80000207

               UserName: 172.1.1.94                 AppName: dns

               Expire: 00:01:04                     Existed: 00:00:01

               Source Dir: 172.1.1.94:19796      >  200.1.1.2:53              PKTS 1

               Reply  Dir: 162.1.1.2:53            >  11.1.1.2:19796            PKTS 1

               This connection has SRC_NAT DST_NAT

 

(2)     验证联通用户的DNS流量从电信链路发送出去

图11所示,观察所有从ge1发出去的DNS流量,DNS地址都转换成162.1.1.3(ge1做了出接口源nat)

图11 观察从ge1发送数据流

host# display ip connection all

current connection count: 46

Protocol:    UDP State:Complete    PolicyID:1       VrfId:0

               Status: 0x0080080e                   FastCode: 0x80000207

               UserName: 172.1.1.77                 AppName: dns

               Expire: 00:01:03                     Existed: 00:00:02

               Source Dir: 172.1.1.77:19679      >  200.1.1.2:53             PKTS 1

               Reply  Dir: 162.1.1.3:53            >  12.1.1.2:19679           PKTS 1

               This connection has SRC_NAT DST_NAT

Protocol:    UDP State:Complete    PolicyID:1       VrfId:0

               Status: 0x0080080e                   FastCode: 0x80000207

               UserName: 172.1.1.67                 AppName: dns

               Expire: 00:01:03                     Existed: 00:00:02

               Source Dir: 172.1.1.67:19669      >  200.1.1.2:53              PKTS 1

               Reply  Dir: 162.1.1.3:53            >  12.1.1.2:19669            PKTS 1

               This connection has SRC_NAT DST_NAT

 

(3)     验证经过负载均衡的DNS流量以1:1的比例从ge0和ge1发出去

图12 验证经过负载均衡的DNS流量

 

4.7  配置文件

H3C:WD-D# display running-config lb-policy

!

lb-policy wans interface ge0

 description 电信出接口

 next-hop 11.1.1.1

 dns server enable

 monitor dns-dnat

 dns server manual 162.1.1.2  (DNS   健康检查)

 monitor enable

 monitor 11 ping 11.1.1.1 10 10

lb-policy wans interface ge1

 description 联通出接口

 next-hop 12.1.1.1

 dns server enable

 no monitor dns-dnat

 dns server manual 162.1.1.3 (DNS 健康检查)

 monitor enable

 monitor 12 ping 12.1.1.1 10 10

!

lb-policy any 内网办公网段 any any any any always 1

 mode weight-ratio

 out-interface ge0 10

 out-interface ge1 10

!!

H3C:WD-D#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们