本举例是在M9000-X06的E9671版本上进行配置和验证的。
如下图所示,某网络的出口处部署了一台Device,现需要使用Device做DNS代理,Device内部用户的DNS服务器的地址配置为Device内部接口的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。具体需求如下:
内部用户192.168.10.0/24配置DNS服务器的IP地址为192.168.10.1,通过DNS代理访问host.com主机。
图-1 DNS配置组网图
配置DNS代理服务,若DNS服务器地址或域名对应的主机更改IP地址,DNS代理服务器以及客户端设备通过DNS访问,需先清除DNS缓存。
配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码长度:172.16.100.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/0,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码长度:192.168.10.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略dns-a,并进行如下配置:
名称:dns-a
源安全域:Trust
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:192.168.10.10/24
目的IPV4地址:3.3.3.4/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略dns-a的配置。
# 新建安全策略dns-b,并进行如下配置:
名称:dns-b
源安全域:Local
目的安全域:Untrust
类型:IPv4
动作:允许
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略dns-b的配置。
# 新建安全策略dns-c,并进行如下配置:
名称:dns-c
源安全域:Trust
目的安全域:Local
类型:IPv4
动作:允许
源IPv4地址:192.168.10.10/24
目的IPV4地址:192.168.10.1/24
其他配置项使用缺省值
配置DNS服务
# 选择“网络 > DNS > 高级设置”,进入DNS服务配置页面。
# 选中<开启>复选框,配置如下。
图-2 DNS服务配置页面
配置DNS服务器地址
# 选择“网络 > DNS > DNS客户端”,进入DNS客户端配置页面。
# 输入DNS服务器的地址。
# 单击<添加>按钮,完成DNS服务器地址的添加。
图-3 DNS客户端配置页面
# 配置DNS client设备的IP地址以及DNS服务器地址。
DNS client设备可以Ping通外部网络的服务器地址
C:\Users\abc>ping host.com
正在 Ping host.com [3.3.3.4] 具有 32 字节的数据:
来自 3.3.3.4 的回复: 字节=32 时间=1ms TTL=253
来自 3.3.3.4 的回复: 字节=32 时间=1ms TTL=253
来自 3.3.3.4 的回复: 字节=32 时间=1ms TTL=253
来自 3.3.3.4 的回复: 字节=32 时间=1ms TTL=253
3.3.3.4 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 1ms,最长 = 1ms,平均 = 1ms
在Device上,选择“系统 > 诊断中心 > ping”,输入目的主机名“host.com”,并单击<开始>按钮,验证结果为能够ping通host.com
图-4 Ping验证页面
