本地智能DNS

本帮助主要介绍以下内容:

特性简介

本地智能DNS原理

通过配置本地智能DNS,可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使外部互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。

图-1 本地智能DNS组网图

设备上的业务处理流程

图-2 设备上的业务处理流程

如图所示,当DNS监听器监听到负载均衡设备上收到了目的地址匹配DNS监听地址的DNS正向解析请求时,首先在DNS映射中查找域名所关联的虚IP。负载均衡设备依据调度算法选出最佳链路所对应的虚IP,将选定的虚IP地址通过DNS应答报文发送给用户,用户得到虚IP地址后将其作为目的地址,通过该虚IP关联的链路访问内网服务器。

使用限制和注意事项

如果同时配置本地智能DNS功能和服务器负载均衡功能,请避免配置虚服务器的IP地址与DNS监听器地址为同一地址,以免影响本地智能DNS功能的正常使用。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

配置指南

配置思路

本地智能DNS功能的配置思路如下图所示:

图-3 本地智能DNS配置指导图

配置准备

在配置本特性之前,需要完成以下任务:

  • 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

  • 配置路由,保证路由可达。路由在“网络 > 路由”页面配置。

  • 创建安全域。安全域在“网络 > 安全域”页面配置。

  • 配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。

  • 配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。

DNS正向域(可选)

负载均衡设备使用DNS正向域中配置的资源记录来查找域名对应的主机名。DNS资源记录是负载均衡设备用于解析DNS请求的数据记录表项,DNS正向域中可以配置以下几种类型的资源记录:

DNS正向域的具体配置步骤如下:

  1. 单击“策略 > 负载均衡 > 链路负载均衡 > 本地智能DNS > DNS正向域”。

  2. 在“DNS正向域”页面单击<新建>按钮。

  3. 新建DNS正向域。

    图-4 DNS正向域配置示意图

    表-1 DNS正向域配置

    参数

    说明

    DNS正向域域名

    DNS正向域的域名,不区分大小写,由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。字符串中可以包含字母、数字、“-”、“_”和“.”

    缓存时间

    DNS正向域中所有资源记录的缓存时间

    资源记录列表

    1. 单击<新建>按钮,新建资源记录

      • 类型: 资源记录的类型,包括:MX、NS、CNAME

      • 子域名: DNS正向域的子域名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的类型选择“MX”或“NS”时,才会出现该参数

      • 邮件服务器主机名:邮件服务器的主机名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的类型选择“MX”时,才会出现该参数

      • 优先级:MX资源记录的优先级。该值越小,优先级越高。只有资源记录的类型选择“MX”时,才会出现该参数

      • 权威名称服务器主机名:权威名称服务器的主机名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的类型选择 “NS”时,才会出现该参数

      • 别名:正规主机的别名。不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的类型选择 “CNAME”时,才会出现该参数

      • 规范名称:正规主机名,不区分大小写,由“.”分隔的字符串组成。每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过254个字符,可以包含字母、数字、“-”、“_”或“.”。只有资源记录的类型选择 “CNAME”时,才会出现该参数

      • 缓存时间:当前资源记录的缓存时间

    2. 单击<确定>按钮,新建的资源记录会在“资源记录列表”中显示

    SOA-主域名服务器主机名

    DNS正向域的主域名服务器主机名。可以是相对域名(不以“.”结束),也可以是绝对域名(以“.”结束)。当主机名为绝对域名时,不会自动扩充主机名,其长度不能大于254个字符;当主机名为相对域名时,会进行自动扩充,在用户配置的主机名后自动添加当前DNS正向域域名。主机名加DNS正向域域名的长度总和不能大于254个字符

    SOA-管理员邮箱地址

    DNS正向域的管理员邮箱地址。可以是相对域名(不以“.”结束),也可以是绝对域名(以“.”结束)。当管理员邮箱地址为绝对域名时,不会自动扩充主机名,其长度不能大于254个字符;当管理员邮箱地址为相对域名时,会进行自动扩充,在用户配置的管理员邮箱地址后自动添加当前DNS正向域域名。管理员邮箱地址加区域名长度总和不能大于254个字符

    SOA-序列号

    DNS正向域的序列号。用于标识该DNS正向域配置的新旧,DNS正向域越新,序列号越大。辅助域名服务器会周期性地查询主域名服务器上DNS正向域的序列号,然后和本地的DNS正向域序列号相比较

    SOA-刷新间隔

    辅助域名服务器以刷新间隔为周期,从主域名服务器上获取SOA资源记录,然后和本地辅助域名服务器上的SOA资源记录相比较

    SOA-重试间隔

    重试时间为辅助域名服务器进行DNS正向域复制失败后的等待时间

    SOA-过期时间

    过期时间是指当辅助域名服务器与主域名服务器失去联系后,辅助域名服务器可继续进行DNS解析的时长

    SOA-最小缓存时间

    主域名服务器上的资源记录在辅助域名服务器上被缓存的时间

  4. 单击<确定>按钮,新建的DNS正向域会在“DNS正向域”页面显示。

DNS反向域(可选)

负载均衡设备根据DNS反向域对收到的报文进行反向DNS解析,即根据IP地址查找对应的域名。DNS反向域中设置的PTR(Pointer Record,指针记录)用来记录域名和IP地址的映射关系。

DNS反向地址解析通常用于解决网络中的垃圾邮件攻击,即对邮件发送方的合法性进行检查,来拒绝转发或接收非法邮件。例如,当邮件服务器收到来自外网用户的邮件时,向设备发送反向解析请求,设备收到来自邮件服务器的反向解析请求后,查找在DNS反向域中配置的PTR资源记录,将邮件发送方的源IP地址解析为域名并将解析结果返回给邮件服务器。邮件服务器将收到的域名与邮件报文中的发送方域名进行比较,结果一致则接收该邮件,否则认为该邮件为垃圾邮件并将其丢弃。

DNS反向域的具体配置步骤如下:

  1. 单击“策略 > 负载均衡 > 链路负载均衡 > 本地智能DNS > DNS反向域”。

  2. 在“DNS反向域”页面单击<新建>按钮。

  3. 新建DNS反向域。

    图-5 DNS反向域配置示意图

    表-2 DNS反向域配置

    参数

    说明

    类型

    DNS反向域的类型,包括IPv4和IPv6

    IPv4地址

    DNS反向域的IPv4地址。只有DNS反向域的类型选择“IPv4”时,才会出现该参数

    IPv6地址

    DNS反向域的IPv6地址。只有DNS反向域的类型选择“IPv6”时,才会出现该参数

    掩码

    DNS反向域的掩码长度。只有DNS反向域的类型选择“IPv4”时,才会出现该参数

    前缀

    DNS反向域的前缀长度。只有DNS反向域的类型选择“IPv6”时,才会出现该参数

    PTR资源记录列表

    1. 单击<新建>按钮,新建PTR资源记录

      • IPv4地址:只有DNS反向域的类型选择“IPv4”时,才会出现该参数。且该IPv4地址应在其所属DNS反向域的IPv4地址范围内

      • IPv6地址:只有DNS反向域的类型选择“IPv6”时,才会出现该参数。且该IPv6地址应在其所属DNS反向域的IPv6地址范围内

      • 域名:IP地址对应的域名。不区分大小写。由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。字符串中可以包含字母、数字、“-”、“_”或“.”

      • 缓存时间:当前PTR资源记录的缓存时间

    2. 单击<确定>按钮,新建的PTR资源记录会在“PTR资源记录列表”中显示

  4. 单击<确定>按钮,新建的DNS反向域会在“DNS反向域”页面显示。

DNS映射

DNS映射的作用是把指定的域名与虚IP/虚服务关联在一起,当负载均衡设备收到DNS请求时可以根据域名获取到所关联的虚IP/虚服务,并根据调度算法选择一个虚IP/虚服务。

DNS映射的具体配置步骤如下:

  1. 单击“策略 > 负载均衡 > 链路负载均衡 > 本地智能DNS > DNS映射”。

  2. 在“DNS映射”页面单击<新建>按钮。

  3. 新建DNS映射。

    图-6 DNS映射功能示意图

    表-3 DNS映射配置

    参数

    说明

    DNS映射名称

    DNS映射名称,不区分大小写

    域名列表

    1. 在输入框中输入DNS映射的域名。域名支持通配符配置,允许使用的通配字符包括问号“?”和星号“*”,通配符使用规则如下:

      • 域名中允许使用多个问号“?”,问号“?”用于代替域名中的单个字符,域名中的点“.”除外

      • 域名中允许使用多个星号“*”,星号“*”用于代替域名中的多个字符,域名中的点“.”除外

      • 域名中允许同时使用问号“?”和星号“*”

      • 域名中以点“.”分隔的字符串的长度为1~63个字符

      • 域名中起始字符与结束字符支持字母、数字、横线、下划线、通配符星号“*”与通配符问号“?”;中间字符支持字母、数字、横线、下划线、点号“.”、通配符星号“*”与通配符问号“?”

    2. 单击<添加>按钮,输入的域名会在“域名列表”中显示

    虚IP/虚服务列表

    1. 单击<新建>按钮,新建虚IP或虚服务

      • 虚服务:本地智能DNS的虚服务。可选择已创建的虚服务器,也可以新创建虚服务器

      • IP地址:本地智能DNS的虚IP地址。在无需配置应用负载均衡的场景下,可以不配置虚服务器,直接配置虚IP地址简化配置

      • 链路:虚服务或虚IP关联的链路。可选择已创建的链路,也可以新创建链路

      • 权值:虚服务或虚IP的调用权值。在加权轮转和加权最小连接调度时,该数值越大,虚服务或虚IP越被优先调用

    2. 单击<确定>按钮,新建的虚服务或虚IP会在“虚IP/虚服务列表”中显示

    首选调度算法

    虚IP和虚服务的首选调度算法,首选调度算法优先级最高,当采用首选算法不能选出可用的虚IP或虚服务器时,采用次选调度算法,备选调度算法优先级最低。首选调度算法包括:

    • 加权轮转算法:根据虚IP/虚服务权值的大小将DNS请求依次分发给每个虚IP/虚服务,权值越大,分配的DNS请求越多

    • 随机算法:把DNS请求随机分发给每个虚IP/虚服务

    • 加权最小连接算法:总是把DNS请求分发给加权活动连接数(当前活动连接数/权值)最小的虚IP/虚服务

    • 静态就近性算法:跟据静态就近性表项把DNS请求分发给虚IP/虚服务

    • 动态就近性:根据动态就近性表项把DNS请求分发给虚IP/虚服务

    • 源IP地址哈希:根据源IP地址哈希算法将DNS请求分发给虚IP/虚服务

    • 源IP地址和端口哈希:根据源IP地址和端口号哈希算法将DNS请求分发给虚IP/虚服务

    • 目的IP地址哈希:根据目的IP地址哈希算法将DNS请求分发给虚IP/虚服务

    • 带宽算法:根据虚IP的权值与剩余带宽的比例把DNS请求分发给每个虚IP/虚服务

    • 最大带宽算法:总是将DNS请求分发给处于空闲状态且带宽最大的链路所对应的虚IP/虚服务

    缺省情况下,首选调度算法为加权轮转算法

    次选调度算法

    选择虚IP和虚服务的次选调度算法,支持的调度算法种类与首选调度算法一致

    备选调度算法

    虚IP和虚服务的备选调度算法,支持的调度算法种类与首选调度算法一致

    带宽繁忙保护

    开启/关闭带宽繁忙保护功能

    开启带宽繁忙保护功能后,设备根据用户配置的调度方式选择虚IP/虚服务时,会查看所选取的虚IP/虚服对应的链路是否超过配置的繁忙比,如果超出则不选择该IP。其中,链路的带宽繁忙比在“链路”页面配置

    缓存时间

    缓存域名解析记录的缓存时间,取值范围为0~4294967295,单位为秒,该缓存时间将会被填充到DNS应答报文的域名解析记录中。例如,当虚IP配置变化时,用户可以通过配置小一些的缓存时间,使DNS请求客户端尽快获得新的解析记录;而在网络稳定的环境下,用户可将缓存时间设置为更大的值,提高域名的解析稳定性及速度

    DNS映射功能

    开启/关闭DNS映射功能

  4. 单击<确定>按钮,新建的DNS映射会在“DNS映射”页面显示。

静态就近性策略

静态就近性策略定义了本地DNS服务器源地址区域与虚IP所在IP地址段的对应关系。当DNS映射中指定调度算法为静态就近性调度算法时,需要配置静态就近性策略。若DNS请求匹配多个静态就近性策略时,优先选择优先级值高的策略。

静态就近性的具体配置步骤如下:

  1. 单击“策略 > 负载均衡 > 链路负载均衡 > 本地智能DNS > 静态就近性策略”。

  2. 在“静态就近性策略”页面单击<新建>按钮。

  3. 新建静态就近性策略。

    图-7 静态就近性策略功能示意图

    表-4 静态就近性策略配置

    参数

    说明

    区域名称

    本地DNS服务器源地址区域。可选择已创建的区域,也可以新创建区域

    对应地址段

    • 虚IP所在的IPv4地址段/掩码长度0~32。当掩码长度为32时,IP地址的高八位必须小于224,且不能为0或127

    • 虚IP所在的IPv6地址/前缀长度0~128

    优先级

    静态就近性策略的优先级。若DNS请求匹配多个静态就近性策略时,优先级越高,越被优先调用

  4. 单击<确定>按钮,新建的静态就近性策略会在“静态就近性策略”页面显示。

DNS监听器

用于监听负载均衡设备上收到的DNS请求。当DNS请求的目的地址匹配DNS监听地址时,会进行本地智能DNS处理,在所有的DNS映射中查找对应的域名与虚IP的映射表项。其作用是在用户与服务器建立连接前,就能通过DNS监听器获取到域名所对应的虚IP并以回复DNS请求的方式将此地址告之给用户。

DNS监听器的具体配置步骤如下:

  1. 单击“策略 > 负载均衡 > 链路负载均衡 > 本地智能DNS > DNS监听器”。

  2. 在“DNS监听器”页面单击<新建>按钮。

  3. 新建DNS监听器。

    图-8 DNS监听器功能示意图

    表-5 DNS监听器配置

    参数

    说明

    DNS监听器名称

    DNS监听器的名称,不区分大小写

    DNS监听器IPv4地址

    DNS监听器的IPv4地址。不能为环回地址、组播地址、广播地址和0.X.X.X

    IPv4监听端口

    DNS监听器的IPv4监听端口号。通过配置DNS监听器的端口,指定设备对外提供DNS解析服务的端口

    DNS监听器IPv6地址

    DNS监听器的IPv6地址。不能为环回地址、IPv6组播地址、链路本地地址和全0地址

    IPv6监听端口

    DNS监听器的IPv6监听端口号。通过配置DNS监听器的端口,指定设备对外提供DNS解析服务的端口

    VRF

    使DNS监听器服务于特定的VRF

    可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看

    DNS监听功能

    开启/关闭DNS监听功能

    域名不存在的处理方式

    DNS监听器查找DNS请求资源记录失败时的处理方式,包括:

    • 不回应:不回应DNS请求

    • 拒绝:回应DNS拒绝报文

    • DNS代理:通过DNS代理回应请求报文

  4. 单击<确定>按钮,新建的DNS监听器会在“DNS监听器”页面显示。