- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-域名解析命令
本章节下载: 05-域名解析命令 (346.49 KB)
目 录
1.1.4 display dns server health status
1.1.5 display dns snooping host
1.1.14 dns snooping log enable
1.1.15 dns snooping rate-limit
display dns domain命令用来显示域名后缀信息。
【命令】
display dns domain [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名后缀信息。如果未指定本参数,则显示静态配置和动态获得的域名后缀信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名后缀信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名后缀信息。
【举例】
# 显示公网静态配置和动态获得的域名后缀信息。
<Sysname> display dns domain
Type:
D: Dynamic S: Static
No. Type Domain suffix
1 S com
2 D net
表1-1 display dns domain命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
Type |
域名后缀类型: · S:表示静态配置的域名后缀 · D:表示通过DHCP等协议动态获得的域名后缀(暂不支持) |
|
Domain suffix |
域名后缀 |
【相关命令】
· dns domain
display dns host命令用来显示域名解析信息。
【命令】
display dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:显示A类查询的信息。A类查询用来解析域名对应的IPv4地址。
ipv6:显示AAAA类查询的信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:显示指定VPN实例的域名解析信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名解析信息。
【使用指导】
如果未指定ip和ipv6参数,则显示所有查询类型的域名解析信息。
【举例】
# 显示所有查询类型的域名解析信息。
<Sysname> display dns host
Type:
D: Dynamic S: Static
Total number: 3
No. Host name Interface Type TTL QType IP addresses
1 sample.com D 3132 A 192.168.10.1
192.168.10.2
192.168.10.3
2 zig.sample.com S - A 192.168.1.1
3 sample.net S - AAAA FE80::4904:4448
表1-2 display dns host命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
Host name |
查询名称 |
|
Interface |
出接口名称。 |
|
Type |
域名解析信息的类型: · S:表示静态配置的域名解析信息,即通过ip host或ipv6 host命令配置的主机名及其对应的主机IPv4/IPv6地址 · D:表示通过动态域名解析获得的域名解析信息 |
|
TTL |
域名解析信息的剩余有效时间,单位为秒 静态信息的TTL值显示为“-” |
|
Query type |
查询类型,取值包括A和AAAA |
|
IP addresses |
主机名对应的IP地址 · 对于A类查询类型,为IPv4地址 · 对于AAAA类查询类型,为IPv6地址 |
【相关命令】
· reset dns host
· ip host
· ipv6 host
display dns server命令用来显示域名服务器的IPv4地址信息。
【命令】
display dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名服务器IPv4地址信息。如果未指定本参数,则显示静态配置和动态获得的域名服务器IPv4地址信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名服务器IPv4地址信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名服务器IPv4地址信息。
【举例】
# 显示公网的域名服务器IPv4地址信息。
<Sysname> display dns server
Type:
D: Dynamic S: Static
No. Type IP address
1 S 202.114.0.124
2 S 169.254.65.125
表1-3 display dns server命令显示信息描述表
|
字段 |
描述 |
|
No. |
域名服务器的序号 |
|
Type |
域名服务器类型 · S表示静态指定的域名服务器信息 · D表示通过DHCP等协议动态获得的域名服务器信息(暂不支持) |
|
IP address |
域名服务器的IPv4地址 |
【相关命令】
· dns server
display dns server health status命令用来显示DNS服务器健康探测状态。
【命令】
display dns server health status
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 查看DNS服务器健康探测状态。
<Sysname> display dns server health status
No. DNS server OutInterface VPN name Status
1 1.1.1.1 - vpn1 Up
2 2::1 - Up
3 FE80::1 - vpn1 Up
表1-4 display dns server health status命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
DNS server |
DNS服务器的地址 |
|
OutInterface |
DNS域名服务器转发报文的出接口 仅当DNS服务器地址为IPv6链路本地地址时,才会显示本字段 |
|
VPN name |
VPN实例名称。显示为空表示域名匹配规则位于公网 |
|
Status |
健康探测结果: Up:DNS服务器可用 Down:DNS服务器不可用 |
【相关命令】
· health-check enable
display dns snooping host命令用来显示DNS Snooping记录的域名解析信息。
【命令】
display dns snooping host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:显示A类查询的信息。A类查询用来解析域名对应的IPv4地址。
ipv6:显示AAAA类查询的信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。
【使用指导】
如果未指定ip和ipv6参数,则显示DNS Snooping记录的所有查询类型的域名解析信息。
【举例】
# 显示DNS Snooping记录的所有查询类型的域名解析信息。
<Sysname> display dns snooping host
Total number: 5
No. Host name Server TTL QType IP addresses
1 a.example.com 8.8.8.8 3593 A 100.100.0.7
2 b.example.com 8.8.8.8 3595 A 100.100.0.8
100.100.0.9
3 c.example.com 8.8.8.8 3593 A 100.100.0.6
4 d.example.com 8.8.8.8 3597 AAAA 101:101::104
5 e.example.com 8.8.8.8 3597 AAAA 101:101::103
表2-1 display dns snooping host命令显示信息描述表
|
字段 |
描述 |
|
No |
序号 |
|
Host name |
域名 |
|
Server |
DNS服务器地址 |
|
TTL |
域名解析信息的剩余有效时间,单位为秒 |
|
Qtype |
查询类型,取值包括A和AAAA |
|
IP address |
主机名对应的IP地址 · 对于A类查询类型,为IPv4地址 · 对于AAAA类查询类型,为IPv6地址 |
【相关命令】
· reset dns host
display ipv6 dns server命令用来显示域名服务器的IPv6地址信息。
【命令】
display ipv6 dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名服务器IPv6地址信息。如果未指定本参数,则显示静态配置和动态获得的域名服务器IPv6地址信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名服务器IPv6地址信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名服务器IPv6地址信息。
【举例】
# 显示公网域名服务器的IPv6地址信息。
<Sysname> display ipv6 dns server
Type:
D: Dynamic S: Static
No. Type IPv6 address Outgoing Interface
1 S 2::2
表1-5 display ipv6 dns server命令显示信息描述表
|
字段 |
描述 |
|
No. |
域名服务器的序号 |
|
Type |
域名服务器类型 · S表示静态指定的域名服务器信息 · D表示通过DHCP等协议动态获得的域名服务器信息(暂不支持) |
|
IPv6 address |
域名服务器的IPv6地址 |
|
Outgoing Interface |
出接口名 |
【相关命令】
· ipv6 dns server
dns cache ttl命令用来配置域名解析表项的有效时间。
undo dns cache ttl命令用来取消域名解析表项有效时间的配置。
【命令】
dns cache ttl { maximum max-value | minimum min-value } *
undo dns cache ttl [ maximum | minimum ]
【缺省情况】
域名解析表项的有效时间为DNS响应报文中的TTL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
maximum max-value:指定域名解析表项的最大有效时间,取值范围为60~3600,单位为秒。
minimum min-value:指定域名解析表项的最小有效时间,取值范围为60~3600,单位为秒。
【使用指导】
设备根据域名解析表项的有效时间定期向域名服务器发起域名解析请求,此过程会占用CPU资源。如果有效时间过短,设备会频繁发起域名解析请求,增加对CPU资源的占用;如果有效时间较长,则会导致域名解析结果更新不及时。用户可以通过本命令设置域名解析表项的有效时间,避免上述问题的产生。
缺省情况下,对于DNS源地址透明代理功能生成的域名解析表项、DNS Snooping功能生成的域名解析表项以及服务器/服务器组功能生成的动态域名解析缓存表,由DNS客户端从域名服务器的应答报文中获得老化时间。配置本命令后,设备选取域名解析表项有效时间的机制如下:
· DNS响应报文中的TTL小于min-value,则使用min-value作为域名解析表项的有效时间。否则,使用DNS响应报文中的TTL作为域名解析表项的有效时间。
· DNS响应报文中的TTL大于max-value,则使用max-value作为域名解析表项的有效时间。否则,使用DNS响应报文中的TTL作为域名解析表项的有效时间。
配置本命令后,仅会影响此后由DNS源地址透明代理功能、DNS Snooping功能、服务器/服务器组功能新生成的域名解析表项的有效时间。
执行undo dns cache ttl命令后,仅会影响此后由DNS源地址透明代理功能、DNS Snooping功能、服务器/服务器组功能新生成的域名解析表项的有效时间。对于执行undo dns cache ttl命令前已经存在的域名解析表项,当前的有效时间继续生效。
执行undo命令时,如果未指定任何参数,则表示取消所有域名解析表项有效时间的配置。
配置的min-value必须小于max-value。
多次执行dns cache ttl minimum、dns cache ttl maximum或dns cache ttl minimum maximum命令时,最后一次执行的命令生效。
【举例】
# 配置域名解析表项的最大有效时间为3600秒,最小有效时间为180秒。
<Sysname> system-view
[Sysname] dns cache ttl maximum 3600 minimum 180
【相关命令】
· dns server
· dns snooping enable
· dns transparent-proxy enable
dns domain命令用来添加域名后缀。
undo dns domain命令用来删除指定的域名后缀。
【命令】
dns domain domain-name [ vpn-instance vpn-instance-name ]
undo dns domain domain-name [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名后缀,即只根据用户输入的域名信息进行解析。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain-name:域名后缀,由“.”分隔的字符串组成(如example.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
vpn-instance vpn-instance-name:为指定VPN实例添加域名后缀。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网添加域名后缀。
【使用指导】
设备支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名example.com,那么可以先在后缀列表中配置com,然后输入example进行查询,系统会自动将输入的域名与后缀连接成example.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
· 如果用户输入的域名中没有“.”,比如example,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如example)进行查询。
· 如果用户输入的域名中间有“.”,比如www.example,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
· 如果用户输入的域名最后有“.”,比如example.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查找终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。
设备仅在查询动态域名解析缓存表时执行上述操作。
设备仅在作为DNS客户端时支持域名后缀列表功能。
本命令配置的域名后缀同时用于IPv4域名解析和IPv6域名解析。
公网或每个VPN实例内最多可以配置16个域名后缀。可同时在公网和VPN实例内配置域名后缀。
【举例】
# 为公网添加一个域名后缀com。
<Sysname> system-view
[Sysname] dns domain com
【相关命令】
· display dns domain
dns dscp命令用来指定DNS客户端发送DNS报文的DSCP优先级。
undo dns dscp命令用来恢复缺省情况。
【命令】
dns dscp dscp-value
undo dns dscp
【缺省情况】
DNS客户端发送DNS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
dscp-value:DNS报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置发送的DNS报文的DSCP优先级为30。
<Sysname> system-view
dns filter命令用来开启DNS过滤功能,并配置黑/白名单。
undo dns filter命令用来关闭DNS过滤功能,并删除指定的黑/白名单。
【命令】
dns filter { allowlist | denylist } hostname
undo dns filter { allowlist | denylist } hostname
【缺省情况】
DNS过滤功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
allowlist:表示主机名白名单。
denylist:表示主机名黑名单。
hostname:主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。支持使用“*”来定义模糊匹配主机名称,输入方式形如*abc*、*abc或者abc*,三种方式均表示主机名中包含指定的字符串。模糊匹配方式下,“*”只能位于字符串的首部或末尾,不能位于字符串中间。若输入的主机名中不存在“*”号,则表示精确匹配所配置的主机名。
【使用指导】
DNS过滤功能用于DNS代理对DNS请求报文进行拦截或放行。设备支持基于白名单或黑名单的域名访问控制,具体机制如下:
· 如果DNS代理收到的DNS请求报文中的域名命中白名单,则DNS代理放行该DNS请求报文,并在收到DNS响应报文后记录域名解析的结果,然后将DNS响应报文转发给DNS客户端。如果DNS代理收到的DNS请求报文中的域名未命中白名单,则DNS代理丢弃该DNS请求报文。
· 如果DNS代理收到的DNS请求报文中的域名未命中黑名单,则DNS代理放行该DNS请求报文,并在收到DNS响应报文后记录域名解析的结果,然后将DNS响应报文转发给DNS客户端。如果DNS代理收到的DNS请求报文中的域名命中黑名单,则DNS代理丢弃该DNS请求报文。
设备使用域名提供某些应用时(如telnet应用),如果希望实现严格的访问控制,建议使用白名单进行DNS过滤。如果希望实现宽松的访问控制,建议使用黑名单进行DNS过滤。
多次执行本命令可以配置多个白名单或多个黑名单,但不允许同时配置白名单和黑名单。
【举例】
# 开启DNS过滤功能,并配置白名单,放行所有对*.abc域名的DNS请求报文。
<Sysname> system-view
[Sysname] dns filter allowlist *.abc
dns proxy enable命令用来开启DNS proxy功能。
undo dns proxy enable命令用来关闭DNS proxy功能。
【命令】
dns proxy enable
undo dns proxy enable
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
T5000系列 |
T5030 |
支持 |
|
T5000-AI-80-G、T5000-AI-60-G、T5000-AI-30-G、T5000-C-G、T5000-S-G、T5000-S-G2、T5000-C-G2 |
不支持 |
|
|
T1000-AI系列 |
T1000-AI-25-G、T1000-AI-35-G |
支持 |
|
T1000-AI-90、T1000-AI-55 、T1000-AI-90-G |
不支持 |
【缺省情况】
DNS proxy功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令的配置同时用于IPv4域名解析和IPv6域名解析。
【举例】
# 开启DNS proxy功能。
<Sysname> system-view
[Sysname] dns proxy enable
dns server命令用来配置域名服务器的IPv4地址。
undo dns server命令用来删除域名服务器的IPv4地址。
【命令】
dns server ip-address [ vpn-instance vpn-instance-name ]
undo dns server [ ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名服务器的IPv4地址。
【视图】
系统视图
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:域名服务器的IPv4地址。在接口视图下执行undo命令时需要指定本参数。
vpn-instance vpn-instance-name:为指定VPN实例配置域名服务器的IPv4地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置域名服务器的IPv4地址。
【使用指导】
在进行服务器域名解析时,系统按照配置的域名服务器IPv4地址从小到大的顺序,依次向各个域名服务器发送查询请求。
公网或单个VPN实例内最多可以配置6个域名服务器的IPv4地址。可同时在公网和VPN实例内配置域名服务器的IPv4地址。
执行undo dns server命令时如果未指定ip-address参数,则删除公网或指定VPN实例中的所有域名服务器IPv4地址。
【举例】
# 配置域名服务器的IPv4地址为172.16.1.1。
<Sysname> system-view
[Sysname] dns server 172.16.1.1
# 在接口GigabitEthernet1/0/1配置域名服务器的IPv4地址为172.16.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dns server 172.16.1.1
【相关命令】
· display dns server
dns snooping enable命令用来开启DNS Snooping功能。
undo dns snooping enable命令用来关闭DNS Snooping功能。
【命令】
dns snooping enable
undo dns snooping enable
【缺省情况】
DNS Snooping功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
DNS Snooping功能适用于基于域名过滤用户流量的场景。
其他模块(如地址对象组模块)向DNS模块下达域名订阅请求后,才能通过DNS Snooping功能获取域名对应的IP地址。当DNS Snooping功能开启后,设备会监听经过的DNS请求和应答报文。如果请求报文中的域名与订阅的域名匹配,设备会在接收到该域名的应答报文时记录解析结果,并将其上报至发起订阅的模块。如果请求报文中的域名与订阅的域名不符,则设备不会记录解析结果。
当下达域名订阅请求的模块获取到域名对应的IP地址后,就可以利用这些信息实现基于域名的流量过滤。
此外,当其他模块订阅的域名老化时,DNS模块会通知相关模块删除该表项,以保证表项的准确性。
开启DNS Snooping功能时,需要注意:
· DNS Snooping设备只有位于DNS客户端与DNS服务器之间,或DNS客户端与DNS代理设备之间时,DNS Snooping功能配置后才能正常工作。
· DNS Snooping功能和DNS源地址透明代理功能不能同时使用。
· DNS Snooping功能不支持跨VPN使用,即设备上DNS报文的出入接口必须属于同一个VPN。
【举例】
# 开启DNS Snooping功能。
<Sysname> system-view
[Sysname] dns snooping enable
【相关命令】
· dns transparent-proxy enable
dns snooping log enable命令用来开启DNS Snooping的日志功能。
undo dns snooping log enable命令用来关闭DNS Snooping的日志功能。
【命令】
dns snooping log enable
undo dns snooping log enable
【缺省情况】
DNS Snooping日志的功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
网络环境中,DNS proxy设备收到请求报文后,需要查询自己是否记录了请求域名对应的地址,如果存在,则直接应答需求;如果不存在,则需要向DNS服务器转发请求。如果网络中存在攻击源或有大量客户端同一时间发送大量DNS请求,则会增加网络负载并影响DNS proxy设备或DNS服务器的性能。
可以在DNS客户端和DNS proxy或DHCP服务器之间的设备配置DNS Snooping功能,配置本功能后,DNS收到一个请求和对应的应答报文后会进行记录,并生成日志发给快速日志模块。管理员通过查询日志信息确认并解决问题。关于快速日志模块的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 开启DNS Snooping的日志功能。
<Sysname> system-view
[Sysname] dns snooping log enable
dns snooping rate-limit命令用来开启DNS Snooping的报文限速功能,并指定限速速率。
undo dns snooping rate-limit命令用来关闭DNS Snooping的报文限速功能。
【命令】
dns snooping rate-limit rate
undo dns snooping rate-limit
【缺省情况】
DNS Snooping的报文限速功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
rate:接口接收DNS报文的最高速率,单位为pps。本参数的取值范围为64~512。
【使用指导】
开启DNS Snooping的报文限速功能后,当接口上收到的DNS报文速率超过用户设定的限速值时,丢弃超过速率限制的DNS报文。
只有开启了DNS源地址透明代理功能或DNS Snooping的日志功能,本命令才会生效。
【举例】
# 开启DNS Snooping的报文限速功能,并指定限速速率为64pps。
<Sysname> system-view
[Sysname] dns snooping rate-limit 64
【相关命令】
· dns snooping log enable
· dns transparent-proxy enable
dns source-interface命令用来指定DNS报文的源接口。
undo dns source-interface命令用来恢复缺省情况。
【命令】
dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
undo dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
【缺省情况】
设备根据DNS server的地址,通过路由表查找报文的出接口,并将该出接口的主IP地址作为发送到该服务器的DNS查询报文的源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface-type interface-number:源接口的接口类型和接口编号。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS报文的源接口。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS报文的源接口。
【使用指导】
通过本命令指定DNS报文的源接口后,系统将选择指定接口的主IPv4地址或根据RFC 3484中定义的规则选择指定接口的某个IPv6地址,作为DNS查询报文的源地址。
本命令的配置同时用于IPv4域名解析和IPv6域名解析。
公网或每个VPN实例内只能配置1个源接口。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置源接口。
无论配置的源接口是否属于指定的VPN实例,该配置都会生效。不建议将不属于VPN实例的接口配置为该VPN实例的源接口。
【举例】
# 指定公网DNS报文的源接口为GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] dns source-interface gigabitethernet 1/0/1
dns spoofing命令用来开启DNS spoofing功能,并指定应答的IPv4地址。
undo dns spoofing命令关闭DNS spoofing功能。
【命令】
dns spoofing ip-address [ vpn-instance vpn-instance-name ]
undo dns spoofing ip-address [ vpn-instance vpn-instance-name ]
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
T5000系列 |
T5030 |
支持 |
|
T5000-AI-80-G、T5000-AI-60-G、T5000-AI-30-G、T5000-C-G、T5000-S-G、T5000-S-G2、T5000-C-G2 |
不支持 |
|
|
T1000-AI系列 |
T1000-AI-25-G、T1000-AI-35-G |
支持 |
|
T1000-AI-90、T1000-AI-55 、T1000-AI-90-G |
不支持 |
【缺省情况】
DNS spoofing功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:用来欺骗性应答域名解析请求的IPv4地址。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS spoofing功能。
【使用指导】
配置DNS spoofing前,需要先开启DNS proxy功能。
开启DNS spoofing功能后,如果设备上未配置域名服务器地址或不存在到达域名服务器的路由,则会利用配置的应答IP地址作为域名解析结果,欺骗性地应答A类域名解析请求。
公网或每个VPN实例内只能配置1个DNS spoofing应答的IPv4地址。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置DNS spoofing功能。
【举例】
# 开启公网的DNS spoofing功能,并指定应答的IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] dns spoofing 1.1.1.1
【相关命令】
· dns proxy enable
dns transparent-proxy enable令用来开启DNS源地址透明代理功能。
undo dns transparent-proxy enable命令用来关闭DNS源地址透明代理功能。
【命令】
dns transparent-proxy enable
undo dns transparent-proxy enable
【缺省情况】
DNS透明代理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
DNS透明代理指的是,DNS客户端感知不到代理服务存在的代理模式。DNS源地址透明代理不仅能够提供代理服务,还会修改DNS请求报文的源地址,从而实现发送DNS请求报文的设备能够接收到相应的DNS响应报文,适用于需要基于域名做策略的场景(如安全策略、带宽策略等)。
与DNS代理功能不同的是,DNS客户端不需要将DNS服务器的地址指定为DNS源地址透明代理设备的地址,简化了客户端的配置。在一些负载均衡场景中,为了保证基于域名的策略能够成功对报文进行控制,建议使用DNS源地址透明代理功能。
开启DNS源地址透明代理功能后,设备开始监听过路的DNS请求报文和DNS应答报文,并记录域名解析信息,以便提供代理功能。具体工作机制如下:
(1) DNS源地址透明代理设备监听所有过路DNS报文,当收到DNS请求报文时,设备根据一定的规则从能够到达DNS服务器的本地IP地址选取一个,并将其作为修改后的DNS请求报文的源IP地址,使得DNS应答报文能够返回本设备。
(2) DNS源地址透明代理设备收到DNS服务器的应答报文后,记录域名解析的结果,并将报文转发给DNS客户端。DNS客户端利用域名解析的结果进行相应的处理。后续DNS透明代理设备收到DNS请求报文后,首先查找DNS透明代理记录的表项,如果存在请求的信息,则DNS透明代理设备直接通过DNS应答报文将域名解析结果返回给DNS client。如果不存在请求的信息,则DNS透明代理设备将报文转发给域名服务器进行解析。
DNS源地址透明代理功能和DNS快速应答功能、DNS Snooping功能、DNS重定向功能不能同时使用。
DNS源地址透明代理功能不支持跨VPN使用,即设备上DNS报文的出入接口必须属于同一个VPN。
【举例】
# 开启DNS源地址透明代理功能。
<Sysname> system-view
[Sysname] dns transparent-proxy enable
【相关命令】
· dns fast-reply enable
· dns proxy enable
· dns redirect enable
· dns snooping enable
dns trust-interface命令用来指定DNS信任接口。
undo dns trust-interface命令用来删除指定的DNS信任接口。
【命令】
dns trust-interface interface-type interface-number
undo dns trust-interface [ interface-type interface-number ]
【缺省情况】
未指定任何接口为信任接口。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface-type interface-number:DNS信任接口的接口类型和接口编号。
【使用指导】
缺省情况下,任意接口通过DHCP等协议动态获得的域名后缀和域名服务器信息都将作为有效信息,用于域名解析。如果网络攻击者通过DHCP服务器为设备分配错误的域名后缀和域名服务器地址,则会导致设备域名解析失败,或解析到错误的结果。通过本配置指定信任接口后,域名解析时只采用信任接口动态获得的域名后缀和域名服务器信息,非信任接口获得的信息不能用于域名解析,从而在一定程度上避免这类攻击。
本命令同时用于IPv4域名解析和IPv6域名解析。
设备最多可以配置128个信任接口。
执行undo dns trust-interface命令时,如果未指定任何接口,则删除所有的DNS信任接口,恢复到缺省情况。
【举例】
# 指定接口GigabitEthernet1/0/1为DNS信任接口。
<Sysname> system-view
[Sysname] dns trust-interface gigabitethernet 1/0/1
ip host命令用来配置主机名及其对应的主机IPv4地址。
undo ip host命令用来删除主机名及其对应的主机IPv4地址。
【命令】
ip host host-name ip-address [ vpn-instance vpn-instance-name ]
undo ip host host-name ip-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在主机名及IPv4地址的对应关系。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中只能包含字母、数字、“-”、“_”和“.”,且需满足以下要求:
· 主机名以“.”字符分割成多个字符串,单个字符串的长度不超过63个字符。
· 主机名不能以“.”字符开头或结尾。
· 主机名不能包含两个连续的“.”字符。
ip-address:与主机名对应的IPv4地址。
vpn-instance vpn-instance-name:为指定VPN实例配置主机名和IPv4地址的对应关系。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置主机名和IPv4地址的对应关系。
【使用指导】
公网或单个VPN实例内最多可以配置1024个主机名和IPv4地址的对应关系。可同时在公网和VPN实例内配置主机名和IPv4地址的对应关系。
在公网或单个VPN实例内,一个主机名只能对应一个IPv4地址。多次执行本命令,最后一次执行的命令生效。
ip、-a、-c、-f、-h、-i、-m、-n、-p、-q、-r、-s、-t、-tos、-v和-vpn-instance已被系统用作ping命令的参数关键字,在配置主机名时,请避免使用相同的字符串作为主机名。ping命令支持的参数形式,请参考“网络管理和监控”中的“ping”命令。
【举例】
# 配置公网内主机名aaa对应的IPv4地址为10.110.0.1。
<Sysname> system-view
[Sysname] ip host aaa 10.110.0.1
【相关命令】
· display dns host
ipv6 dns dscp命令用来指定IPv6 DNS客户端发出的IPv6 DNS报文的DSCP优先级。
undo ipv6 dns dscp命令用来恢复缺省情况。
【命令】
ipv6 dns dscp dscp-value
undo ipv6 dns dscp
【缺省情况】
IPv6 DNS客户端发出的IPv6 DNS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
dscp-value:IPv6 DNS报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置发送的IPv6 DNS报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ipv6 dns dscp 30
ipv6 dns server命令用来配置域名服务器的IPv6地址。
undo ipv6 dns server命令用来删除域名服务器的IPv6地址。
【命令】
ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ]
undo ipv6 dns server [ ipv6-address [ interface-type interface-number ] ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名服务器的IPv6地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:域名服务器的IPv6地址。
interface-type interface-number:指定报文的出接口的接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口。域名服务器的IPv6地址为链路本地地址时,必须指定本参数。域名服务器的IPv6地址为全球单播地址时,无法指定本参数。
vpn-instance vpn-instance-name:为指定VPN实例配置域名服务器的IPv6地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置域名服务器的IPv6地址。
【使用指导】
在进行服务器域名解析时,系统按照配置的域名服务器IPv6地址从小到大的顺序,依次向各个域名服务器发送查询请求。
公网或单个VPN实例内最多可以配置6个域名服务器的IPv6地址。可同时在公网和VPN实例内配置域名服务器的IPv6地址。
执行undo ipv6 dns server命令时如果未指定ipv6-address参数,则删除公网或指定VPN实例中的所有域名服务器IPv6地址。
【举例】
# 配置公网内域名服务器的IPv6地址为2002::1。
<Sysname> system-view
[Sysname] ipv6 dns server 2002::1
【相关命令】
· display ipv6 dns server
ipv6 dns spoofing命令用来开启DNS spoofing功能,并指定应答的IPv6地址。
undo ipv6 dns spoofing命令用来关闭DNS spoofing功能。
【命令】
ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
T5000系列 |
T5030 |
支持 |
|
T5000-AI-80-G、T5000-AI-60-G、T5000-AI-30-G、T5000-C-G、T5000-S-G、T5000-S-G2、T5000-C-G2 |
不支持 |
|
|
T1000-AI系列 |
T1000-AI-25-G、T1000-AI-35-G |
支持 |
|
T1000-AI-90、T1000-AI-55 、T1000-AI-90-G |
不支持 |
【缺省情况】
DNS spoofing功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:用来欺骗性应答域名解析请求的IPv6地址。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS spoofing功能。
【使用指导】
本命令必须和dns proxy enable命令一起使用。
开启DNS spoofing功能后,如果设备上未配置域名服务器地址或不存在到达域名服务器的路由,则会利用配置的应答IPv6地址作为域名解析结果,欺骗性地应答AAAA类域名解析请求。
公网或每个VPN实例内只能配置1个DNS spoofing应答的IPv6地址。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置DNS spoofing功能。
【举例】
# 为公网开启DNS spoofing功能,并指定应答的IPv6地址为2001::1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] ipv6 dns spoofing 2001::1
【相关命令】
· dns proxy enable
ipv6 host命令用来配置主机名及其对应的主机IPv6地址。
undo ipv6 host命令用来删除主机名及其对应的主机IPv6地址。
【命令】
ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在主机名及IPv6地址的对应关系。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中只能包含字母、数字、“-”、“_”和“.”,且需满足以下要求:
· 主机名以“.”字符分割成多个字符串,单个字符串的长度不超过63个字符。
· 主机名不能以“.”字符开头或结尾。
· 主机名不能包含两个连续的“.”字符。
ipv6-address:与主机名对应的IPv6地址。
vpn-instance vpn-instance-name:为指定VPN实例配置主机名和IPv6地址的对应关系。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置主机名和IPv6地址的对应关系。
【使用指导】
公网或每个VPN实例内最多可以配置1024个主机名和IPv6地址的对应关系。可同时在公网和VPN实例内配置主机名和IPv6地址的对应关系。
在公网或同一个VPN实例内,一个主机名只能对应一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
-a、-c、-i、-m、-q、-s、-t、-tc、-v和-vpn-instance已被系统用作ping ipv6命令的参数关键字,在配置主机名时,请避免使用相同的字符串作为主机名。ping ipv6命令支持的参数形式,请参考“网络管理和监控”中的“ping ipv6”命令。
【举例】
# 配置公网内主机名aaa对应的IPv6地址为2001::1。
<Sysname> system-view
[Sysname] ipv6 host aaa 2001::1
【相关命令】
· ip host
reset dns host命令用来清除动态域名解析缓存信息。
【命令】
reset dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:清除A类查询的动态缓存信息。A类查询用来解析域名对应的IPv4地址。
ipv6:清除AAAA类查询的动态缓存信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN实例的动态域名解析缓存信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的动态域名解析缓存信息。
【使用指导】
如果未指定ip和ipv6参数,则清除所有查询类型的动态域名解析缓存信息。
使用本命令能够清除如下缓存信息:
· DNS客户端上的动态域名解析缓存信息。
· 开启DNS源地址透明代理的设备上的动态域名解析缓存信息,或者开启DNS Snooping功能的设备上的动态域名解析缓存信息。
HA(High Availability,高可靠性)主备模式下,备设备上不允许使用reset dns host命令。关于HA的详细介绍,请参见“可靠性配置指导”中的“双机热备(RBM)”。
【举例】
# 清除公网所有查询类型的动态域名解析缓存信息。
<Sysname> reset dns host
【相关命令】
· display dns host
· dns snooping enable
· dns transparent-proxy enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
