- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
36-DNS典型配置
本章节下载: 36-DNS典型配置 (453.00 KB)
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在网关实现透明代理可以既解决内网用户繁杂的DNS服务器设置问题,又可以方便的对服务器进行切换。另外,由于各个WAN出口的带宽不通。DNS Proxy在进行请求转发时需要在各个接口上面进行负载均衡,为了增加DNS管理的灵活性,设备提供静态域名和特定域名的定向转发功能。透明代理的规则分为2种类型:手工配置和自动链路继承。手工配置是指对于配置有IP地址的三层网络接口,需要人为的配置正确的DNS服务器地址才能正常域名解析的类型。自动链路继承是指对于配置为DHCP或PPPOE类型的网络接口,既可以人为配置DNS服务器地址也可以从地址服务器端获取DNS服务器地址的类型。
本文档介绍设备的DNS配置举例,包括域名管理、动态缓存、特定域名解析、DNS透明代理、DNS全服务器。
在配置DNS前,先了解如下几个定义:
· 域名管理:域名管理也就是之前的静态域名功能,是DNS代理常见的功能,实现域名和IP地址的固定映射。该映射关系的优先级最高,如果一个DNS请求能匹配域名管理,那优先使用域名管理进行DNS应答。
· 动态缓存:开启DNS功能后,下联pc通过访问动态域名和特定域名后设备解析出来形成一个cache表项,下次pc再次访问这个域名的时候可以直接通过缓存进行域名访问。动态缓存支持开启和关闭。
· 特定域名解析:一些特殊域名使用公共的DNS服务器无法解析,需要在特定的DNS服务器才能解析域名。例如指定域名www.baidu.com和map.baidu.com的DNS请求必须用2.2.2.2的DNS服务器进行解析,而其它任何DNS服务器都是错误的。
· DNS透明代理:DNS透明代理可以为内网用户提供统一无感知的DNS解析服务。内网pc只需要随便设置一个DNS地址,当pc访问域名时由网关统一进行dns解析。
· DNS全局代理:全局DNS代理开启时,使用全局代理的DNS服务器进行域名解析,解析成功,完成应答,并完成统计和形成缓存。下联pc需要把DNS地址指向网关地址。
本模块功能具有如下功能点:
· 能够根据用户的DNS请求,从本地查找DNS缓存,然后对用户的请求做出应答。
· 能够向配置的远端DNS server请求,然后对用户的请求做出应答。
· 能够支持DNS代理服务的策略配置。
· 能够支持DNS透明代理域名管理模糊匹配。
· 能够支持DNS透明代理特定域名的定向转发。
· 能够支持DNS透明代理域名匹配的优先级。
· 能够支持DNS透明代理基于权重的转发。
· 能够支持DNS透明代理基于优先级的转发。
· 能够支持DNS透明代理基于流量的转发。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解DNS特性。
· 对于接口配置,有如下规格要求:
¡ 必须是配置IP的三层接口,最多配置32条接口规则。
¡ 只允许PPPOE和DHCP接口配置继承链路,其它接口都配置为手工方式。
¡ 接口配置为手工还是继承链路,只看最原始的接口地址类型。配置成功后,切换接口地址类型,DNS代理方式更改不生效。例,某接口为静态ip,配置为手工方式。将此接口更改为DHCP获取地址,更改为继承链路功能不生效。
· 域名管理支持前缀模糊匹配,最大配置128条。
· 特定域名,特定DNS解析,域名同样支持前缀模糊匹配,最大配置128条,每条提供主备DNS。
· DNS透明代理提供基于优先级和权重的选项。
· DNS缓存按5秒进行一次老化处理,最大缓存数5W条。
· DNS请求的并发性能为每秒1w条。
· 本机报文不走DNS代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
· 基于流量的DNS透明代理服务器需要使用运营商给的DNS(使用第三方DNS解析出来的DNS 解析报文有可能联通解析出电信的地址导致DNS负载流量统计错误)。
如图1所示,一个拥有100员工的公司,有一条电信100M带宽的WLAN接口,一条联通20M的PPPOE线路WLAN接口,需要平衡网络负载,充分利用带宽资源,具体应用需求如下:
(1) 电信100M,联通20M PPPOE拨号上网。
(2) 按照带宽比进行DNS负载100:20。
(3) 内部服务器映射为内网IP,1.example.com 映射地址192.168.0.245。
(4) 域名服务器需要特定DNS进行解析。例www.google.com 需要223.5.5.5 DNS服务器进行解析。
(5) 开启动态缓存。
图1 DNS组网图
按照组网图组网。
(1) 开启代理功能,配置基于权重的DNS透明代理。
(2) 配置特定域名管理。
(3) 配置特定域名代理。
(4) 开启动态缓存。
本举例是在R6616版本上进行配置和验证的。
如图2所示,进入左树“网络配置>基础网络>DNS服务>DNS透明代理”,“勾选”启用代理(先新建DNS链路才能启用代理功能)。
图2 启用基于权重DNS透明代理
如图3所示,DNS透明代理页面,点击<新建>。ge1接口配置为DNS出接口,权重100,主DNS为114.114.114.114;备DNS为114.114.115.115,点击<提交>。
图3 MGT0手工DNS配置
如图4所示,DNS透明代理页面,点击<新建>。GE2接口配置为DNS出接口,权重20,DNS类型继承链路配置,点击<提交>。
图4 GE2-2继承链路配置
如图5所示,创建成功的DNS 透明代理配置如下:
图5 DNS透明代理配置效果
如图6所示,进入左树“网络配置>基础网络>DNS服务>域名管理”。点击<新建>,配置域名为1.example.com,IP映射为192.168.0.245点击<提交>。
图6 配置静态域名
如图7所示,创建成功后的域名管理配置如下:
如图8所示,进入左树“网络配置>基础网络>DNS服务>特定域名解析”。点击<新建>,配置域名为www.google.com ,主DNS为223.5.5.5点击<提交>。
如图9所示,创建成功后的特定域名解析配置如下:
如图10所示,进入左树“网络配置>基础网络>DNS服务>动态缓存”。勾选“启用”。
(1) 验证DNS透明代理功能
如图11所示,访问www.baidu.com,设备响应主机的DNS请求,最终可正常打开百度的主页。
图11 DNS透明代理效果图
(2) 验证域名管理
如图12所示,访问1.example.com,设备直接匹配域名管理,访问内网服务器。
(3) 验证特定域名代理
如图13所示,在PC打开cmd,nslookup www.google.com。
图13 PC端CMD下nslookup www.google.com
在设备抓包,接口选择any,目的端口53抓包。如图14所示,服务器进行解析的。
(4) 验证动态缓存
如图15所示,访问各种域名,DNS解析成功后形成缓存。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
