- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-DNS-DNAT功能典型配置举例
本章节下载 (434.12 KB)
目录
DNS-DNAT的功能主要是在链路负载均衡策略的接口上设置DNS服务器的地址,同时在DNS的request的出接口上,我们将用户的DNS目的地址更换为接口上的DNS服务器的ip地址,从而保证从该链路上返回来的ip地址为该运营商提供的服务。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解链路负载均衡的特性和DNS-dnat的特性。
配置的主备DNS可以正常解析www.baidu.com,DNS流量经过设备转换成出口的DNS地址转发出去。
如图1所示,某公司内网办公网段IP地址为172.1.1.0/24。使用F1000-C8102设备的ge4-3口连接内网设备,ge4-3网关地址172.1.1.1/24,在F1000-C8102产品开启链路负载均衡功能,出接口ge4-0内网ip:11.1.1.2/24,出接口ge4-1内网ip:12.1.1.2/24,具体应用需求如下:
· 将F1000-C8102设备配置两个负载均衡出接口,分别为出接口ge4-0,ge4-1,负载均衡的两个出接口分别配置DNS-DNAT功能。
配置负载均衡策略,负载均衡策略选择按照权重进行负载均衡,匹配条件为默认,添加两个出接口分别为出接口ge4-0,ge4-1。
图1 链路负载均衡功能组网图(DNS-dnat功能在负载均衡出接口上添加配置)
· 配置链路负载均衡前,先配置链路负载均衡出接口,添加DNS-DNAT功能。
· 为每个链路负载出接口添加健康检查策略,保证可以及时监控链路状态。
· 链路负载均衡策略添加相应的链路出接口,保证命中策略的流量能够按照选中接口进行转发。
· DNS-DNAT的默认dns健康检查地址是www.baidu.com。
· DNS使用主备DNS地址进行探测,10s一次,如果三次探测不成功,设备认为DNS地址不可用。
· 如果设备配置的主备DNS地址均正常可用,默认使用主DNS地址,当主DNS地址不可用,再使用备DNS地址。
如图2所示,使用http或https的方式登录F1000-C8102设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录H3C 设备 Web网管
如图3所示,进入“资源管理>地址> IPv4地址对象”,点击<新建>,IP地址配置为172.1.1.0/24创建办公网段地址对象,点击<提交>.。
如图4所示,在设备上进入“网络管理>静态路由”,点击<新建>,配置两条默认路由。
图4 配置默认路由
如图5所示,在设备上进入“网络管理>源NAT”,点击<新建>,配置两个个源NAT。
如图6、图7所示,在设备上进入“网络管理>负载均衡>负载均衡出接口”,点击<新建>,配置两个负载均衡出接口。
图8 负载均衡出接口
图9 负载均衡策略
(1) 验证电信用户的DNS流量从电信链路发送出去。
观察所有从ge4-0发出去的DNS流量,DNS地址都转换成162.1.1.2(ge4-0做了出接口源nat)。
host# display ip connection all
current connection count: 46
Protocol: UDP State:Complete PolicyID:1 VrfId:0
Status: 0x0080080e FastCode: 0x80000207
UserName: 172.1.1.55 AppName: dns
Expire: 00:01:04 Existed: 00:00:01
Source Dir: 172.1.1.55:19757 > 200.1.1.2:53 PKTS 1
Reply Dir: 162.1.1.2:53 > 11.1.1.2:19757 PKTS 1
This connection has SRC_NAT DST_NAT
Protocol: UDP State:Complete PolicyID:1 VrfId:0
Status: 0x0080080e FastCode: 0x80000207
UserName: 172.1.1.94 AppName: dns
Expire: 00:01:04 Existed: 00:00:01
Source Dir: 172.1.1.94:19796 > 200.1.1.2:53 PKTS 1
Reply Dir: 162.1.1.2:53 > 11.1.1.2:19796 PKTS 1
This connection has SRC_NAT DST_NAT
(2) 验证联通用户的DNS流量从联通链路发送出去
观察所有从ge4-1发出去的DNS流量,DNS地址都转换成162.1.1.3(ge4-1做了出接口源nat)
host# display ip connection all
current connection count: 46
Protocol: UDP State:Complete PolicyID:1 VrfId:0
Status: 0x0080080e FastCode: 0x80000207
UserName: 172.1.1.77 AppName: dns
Expire: 00:01:03 Existed: 00:00:02
Source Dir: 172.1.1.77:19679 > 200.1.1.2:53 PKTS 1
Reply Dir: 162.1.1.3:53 > 12.1.1.2:19679 PKTS 1
This connection has SRC_NAT DST_NAT
Protocol: UDP State:Complete PolicyID:1 VrfId:0
Status: 0x0080080e FastCode: 0x80000207
UserName: 172.1.1.67 AppName: dns
Expire: 00:01:03 Existed: 00:00:02
Source Dir: 172.1.1.67:19669 > 200.1.1.2:53 PKTS 1
Reply Dir: 162.1.1.3:53 > 12.1.1.2:19669 PKTS 1
This connection has SRC_NAT DST_NAT
(3) 验证经过负载均衡的DNS流量以1:1的比例从ge4-0和ge4-1发出去
图10 验证经过负载均衡的DNS流量
H3C:WD-D# display running-config lb-policy
!
lb-policy wans interface ge4-0
description 电信出接口
next-hop 11.1.1.1
dns server enable
monitor dns-dnat
dns server manual 162.1.1.2 (DNS 健康检查)
monitor enable
monitor 11 ping 11.1.1.1 10 10
lb-policy wans interface ge4-1
description 联通出接口
next-hop 12.1.1.1
dns server enable
no monitor dns-dnat
dns server manual 162.1.1.3 (DNS 健康检查)
monitor enable
monitor 12 ping 12.1.1.1 10 10
!
lb-policy any 内网办公网段 any any any any always 1
mode weight-ratio
out-interface ge4-0 10
out-interface ge4-1 10
!!
H3C:WD-D#
· 《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》中的“DNS-DNAT”
· 《H3C SecPath F1000-C8102安全产品管理平台配置指导》中的“DNS-DNAT”
· 《H3C SecPath F1000-C8102安全产品管理平台对外测试手册》中的“DNS-DNAT”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
