登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6618)-5W100

目录

37-DNS典型配置举例

本章节下载 37-DNS典型配置举例  (724.34 KB)

37-DNS典型配置举例

目  录

1 简介

2 配置前提

3 使用限制

4 DNS代理策略配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置步骤

4.4.1 配置设备

4.5 验证配置

5 DNS透明代理及特定域名解析配置举例

5.1 组网需求

5.2 配置思路

5.3 使用版本

5.4 配置步骤

5.4.1 配置设备

5.5 验证配置

 

1  简介

DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在网关实现透明代理可以既解决内网用户繁杂的DNS服务器设置问题,又可以方便的对服务器进行切换。另外,由于各个WAN出口的带宽不通。DNS Proxy在进行请求转发时需要在各个接口上面进行负载均衡,为了增加DNS管理的灵活性,设备提供静态域名和特定域名的定向转发功能。透明代理的规则分为2种类型:手工配置和自动链路继承。手工配置是指对于配置有IP地址的三层网络接口,需要人为的配置正确的DNS服务器地址才能正常域名解析的类型。自动链路继承是指对于配置为DHCP或PPPOE类型的网络接口,既可以人为配置DNS服务器地址也可以从地址服务器端获取DNS服务器地址的类型。

本文档介绍设备的DNS配置举例,包括DNS代理策略举例及域名管理、动态缓存、特定域名解析、DNS透明代理、DNS全局服务器的举例。

在配置DNS前,先了解如下几个定义:

·     DNS代理策略:针对匹配条件的用户,执行特定的动作,进行特定的业务处理,实现精细化的DNS业务管控。DNS代理策略的匹配条件支持用户、源目地址、时间和接口,匹配后的动作支持:放行、解析为IP、重定向至DNS服务器、重定向至制定线路和丢弃。

·     域名管理、特定域名解析及DNS透明代理针对的所有用户,优先级顺序为:DNS代理策略>DNS透明代理>DNS服务器。

·     域名管理:域名管理也就是之前的静态域名功能,是DNS代理常见的功能,实现域名和IP地址的固定映射。该映射关系的优先级最高,如果一个DNS请求能匹配域名管理,那优先使用域名管理进行DNS应答。

·     动态缓存:开启DNS功能后,下联pc通过访问动态域名和特定域名后设备解析出来形成一个cache表项,下次pc再次访问这个域名的时候可以直接通过缓存进行域名访问。动态缓存支持开启和关闭。

·     特定域名解析:一些特殊域名使用公共的DNS服务器无法解析,需要在特定的DNS服务器才能解析域名。例如指定域名www.baidu.com和map.baidu.com的DNS请求必须用2.2.2.2的DNS服务器进行解析,而其它任何DNS服务器都是错误的。

·     DNS透明代理:DNS透明代理可以为内网用户提供统一无感知的DNS解析服务。内网pc只需要随便设置一个DNS地址,当pc访问域名时由网关统一进行dns解析。

·     DNS全局代理:全局DNS代理开启时,使用全局代理的DNS服务器进行域名解析,解析成功,完成应答,并完成统计和形成缓存。下联pc需要把DNS地址指向网关地址。

本模块功能具有如下功能点:

·     能够根据用户的DNS请求,从本地查找DNS缓存,然后对用户的请求做出应答。

·     能够向配置的远端DNS server请求,然后对用户的请求做出应答。

·     能够支持DNS代理服务的策略配置。

·     能够支持DNS透明代理域名管理模糊匹配。

·     能够支持DNS透明代理特定域名的定向转发。

·     能够支持DNS透明代理域名匹配的优先级。

·     能够支持DNS透明代理基于权重的转发。

·     能够支持DNS透明代理基于优先级的转发。

·     能够支持DNS透明代理基于流量的转发。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解DNS特性。

3  使用限制

·     对于接口配置,有如下规格要求:

¡     必须是配置IP的三层接口,最多配置32条接口规则。

¡     只允许PPPOE和DHCP接口配置继承链路,其它接口都配置为手工方式。

¡     接口配置为手工还是继承链路,只看最原始的接口地址类型。配置成功后,切换接口地址类型,DNS代理方式更改不生效。例,某接口为静态ip,配置为手工方式。将此接口更改为DHCP获取地址,更改为继承链路功能不生效。

·     域名管理支持前缀模糊匹配,最大配置128条。

·     特定域名,特定DNS解析,域名同样支持前缀模糊匹配,最大配置128条,每条提供主备DNS。

·     DNS透明代理提供基于优先级和权重的选项。

·     DNS缓存按5秒进行一次老化处理,最大缓存数5W条。

·     DNS请求的并发性能为每秒1w条。

·     本机报文不走DNS代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。

·     基于流量的DNS透明代理服务器需要使用运营商给的DNS(使用第三方DNS解析出来的DNS 解析报文有可能联通解析出电信的地址导致DNS负载流量统计错误)。

4  DNS代理策略配置举例

4.1  组网需求

图1所示,一个拥有100员工的公司,有一条电信100M带宽的WLAN接口,一条联通100M的WLAN接口,由于电信和联通都有自己的DNS服务器,希望到联通的DNS报文走联通的线路,到电信的DNS报文走电信的线路,具体应用需求如下:

(1)     将DNS域名解析为IP,内部服务器域名1.example.com映射为内网IP:172.16.0.20。

(2)     将DNS域名重定向至固定DNS服务器。访问2.example.com时,指定使用223.5.5.5 DNS服务器进行解析。

(3)     DNS报文重定向至线路,通过指定接口发出。请求3.example.com的报文需要从ge5-2接口转发,请求4.example.com的报文需要从ge5-3接口转发。

图1 DNS代理策略配置举例组网图

 

4.2  配置思路

按照组网图组网。

(1)     配置DNS代理策略,基于源地址和域名匹配策略,解析DNS域名为指定IP。

(2)     配置DNS代理策略,基于域名匹配策略,指定域名使用固定服务器进行解析。

(3)     配置DNS代理策略,基于域名匹配策略,指定DNS报文的出接口。

4.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置设备

1. 配置DNS代理策略,基于源地址和域名匹配策略,解析DNS域名为指定IP。

(1)     进入“策略配置>对象管理>地址对象”,点击“新建”配置地址对象。

 

(2)     如图2所示,进入“网络配置>基础网络>DNS服务>DNS代理策略”,点击新建,源地址选择:172.16.1.0,域名配置为:1.example.com,解析动作选择“解析为IP”,IP地址配置为:172.16.0.20。

图2 地址对象

 

2. 配置DNS代理策略,基于域名匹配策略,指定域名使用固定服务器进行解析。

图3所示,进入“网络配置>基础网络>DNS服务>DNS代理策略”,点击<新建>,配置域名自定义为:2.example.com,执行动作为“重定向至服务器”,DNS服务器地址配置为:223.5.5.5 ,点击<提交>。

图3 配置重定向至服务器

 

3. 配置DNS代理策略,基于域名匹配策略,指定DNS报文的出接口

图4所示,进入“网络配置>基础网络>DNS服务>DNS透明代理”。点击<新建>,配置两条DNS透明代理。

图4 配置DNS透明代理

 

进入“网络配置>基础网络>DNS服务>DNS代理策略”。点击<新建>,配置两条DNS代理策略,配置完成后如下图所示。

图5 配置DNS代理策略

 

4.5  验证配置

(1)     验证解析为IP

图6所示,访问1.example.com,设备直接匹配DNS代理策略test,访问内网服务器。

图6 解析为IP效果图

 

(2)     验证重定向至服务器

在PC打开cmd,nslookup 2.example.com。

PC发出的报文,抓包如下:

设备发出去的报文,目的地址变为重定向服务器的地址,如下图所示。

(3)     验证重定向至指定线路

在PC打开cmd,nslookup 3.example.com。

报文从ge5-2发出,目的地址变为配置的DNS服务器地址,如下图所示。

在PC打开cmd,nslookup 4.example.com。

报文从ge5-3发出,目的地址变为配置的DNS服务器地址,如下图所示。

 

5  DNS透明代理及特定域名解析配置举例

5.1  组网需求

图7所示,一个拥有100员工的公司,有一条电信100M带宽的WLAN接口,一条联通20M的PPPOE线路WLAN接口,需要平衡网络负载,充分利用带宽资源,具体应用需求如下:

(1)     电信100M,联通20M PPPOE拨号上网。

(2)     按照带宽比进行DNS负载100:20。

(3)     内部服务器映射为内网IP,1.example.com 映射地址192.168.0.245。

(4)     域名服务器需要特定DNS进行解析。例www.google.com 需要223.5.5.5 DNS服务器进行解析。

(5)     开启动态缓存。

图7 DNS组网图

 

5.2  配置思路

按照组网图组网。

(1)     开启代理功能,配置基于权重的DNS透明代理。

(2)     配置特定域名管理。

(3)     配置特定域名代理。

(4)     开启动态缓存。

5.3  使用版本

本举例是在R6618版本上进行配置和验证的。

5.4  配置步骤

5.4.1  配置设备

1. 开启DNS代理功能,配置基于权重的DNS透明代理

图8所示,进入左树“网络配置>基础网络>DNS服务>DNS透明代理”,“勾选”启用代理(先新建DNS链路才能启用代理功能)。

图8 启用基于权重DNS透明代理

 

图9所示,DNS透明代理页面,点击<新建>。ge1接口配置为DNS出接口,权重100,主DNS为114.114.114.114;备DNS为114.114.115.115,点击<提交>。

图9 MGT0手工DNS配置

 

图10所示,DNS透明代理页面,点击<新建>。GE2接口配置为DNS出接口,权重20,DNS类型继承链路配置,点击<提交>。

图10 GE2-2继承链路配置

 

图11所示,创建成功的DNS 透明代理配置如下:

图11 DNS透明代理配置效果

 

2. 配置静态域名

图12所示,进入左树“网络配置>基础网络>DNS服务>域名管理”。点击<新建>,配置域名为1.example.com,IP映射为192.168.0.245点击<提交>。

图12 配置静态域名

 

图13所示,创建成功后的域名管理配置如下:

图13 静态域名配置效果

 

3. 配置特定域名解析

图14所示,进入左树“网络配置>基础网络>DNS服务>特定域名解析”。点击<新建>,配置域名为www.google.com ,主DNS为223.5.5.5点击<提交>。

图14 配置特定域名解析

 

图15所示,创建成功后的特定域名解析配置如下:

图15 特定域名解析配置效果

 

4. 开启动态缓存

图16所示,进入左树“网络配置>基础网络>DNS服务>动态缓存”。勾选“启用”。

图16 启用动态缓存

 

5.5  验证配置

(1)     验证DNS透明代理功能

访问www.baidu.com,设备响应主机的DNS请求,最终可正常打开百度的主页。

 

(2)     验证域名管理

图17所示,访问1.example.com,设备直接匹配域名管理,访问内网服务器。

图17 静态域名效果图

 

(3)     验证特定域名代理

图18所示,在PC打开cmd,nslookup www.google.com。

图18 PC端CMD下nslookup www.google.com

 

在设备抓包,接口选择any,目的端口53抓包。如图19所示,服务器进行解析的。

图19 抓包查看特定域名效果图

 

(4)     验证动态缓存

图20所示,访问各种域名,DNS解析成功后形成缓存。

图20 动态缓存效果图

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们