- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-域名解析命令
本章节下载: 04-域名解析命令 (527.32 KB)
目 录
1.1.6 display dns server health status
1.1.7 display dns server-group
1.1.8 display dns transparent host
1.1.15 dns fast-reply ignore-client-vpn
1.1.20 dns server (dns server-group view)
1.1.26 dns transparent-proxy enable
description命令用来配置DNS服务器组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置DNS服务器组的描述信息。
【视图】
域名服务器组视图
【缺省用户角色】
network-admin
【参数】
text:域名服务器组的描述信息,为1~255个字符的字符串,不区分大小写。
【举例】
# 配置域名服务器组1的描述信息为office。
<Sysname> system-view
[Sysname] dns server-group 1
[Sysname-dns-server-group-1] description office
【相关命令】
· dns server-group
display dns domain命令用来显示域名后缀信息。
【命令】
display dns domain [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名后缀信息。如果未指定本参数,则显示静态配置和动态获得的域名后缀信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名后缀信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名后缀信息。
【举例】
# 显示公网静态配置和动态获得的域名后缀信息。
<Sysname> display dns domain
Type:
D: Dynamic S: Static
No. Type Domain suffix
1 S com
2 D net
表1-1 display dns domain命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
Type |
域名后缀类型: · S:表示静态配置的域名后缀 · D:表示通过DHCP等协议动态获得的域名后缀 |
|
Domain suffix |
域名后缀 |
【相关命令】
· dns domain
display dns domain-rule命令用来显示用户域名匹配规则。
【命令】
display dns domain-rule { dynamic [ vpn-instance vpn-instance-name ] | static }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示其他模块动态添加的DNS域名匹配规则。
vpn-instance vpn-instance-name:显示指定VPN实例中的动态域名匹配规则。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网下的动态域名匹配规则。
static:显示静态配置的DNS域名匹配规则。
【举例】
# 显示静态配置的DNS域名匹配。
<Sysname> display dns domain-rule static
Total rules: 1
ID VPN instance Domain name Rule Type Server Group
1 a.example.com Domain 1
2 group1 Group(Exclude) 1
表1-2 display dns domain-rule static命令显示信息描述表
|
字段 |
描述 |
|
Total rules |
静态域名匹配规则总数 |
|
ID |
域名匹配规则编号 |
|
VPN instance |
域名匹配规则所属的VPN实例。显示为空表示域名匹配规则位于公网 |
|
Domain name |
域名匹配规则中的域名 |
|
Rule type |
域名匹配方式: · Domain:表示完整域名匹配方式 · Subdomain:表示子域名匹配方式 · Group:表示包含域名组匹配方式 · Group(Exclude):表示排除域名组匹配方式 |
|
Server group |
域名服务器组的编号 |
# 显示其他模块动态添加的DNS域名匹配规则。
<Sysname> display dns domain-rule dynamic
Total rules: 1
Domain name Rule Type Rule source IP address
b.example.com Domain MEP 1.1.1.102
表1-3 display dns thread dynamic命令显示信息描述表
|
字段 |
描述 |
|
Total rules |
动态域名匹配规则总数 |
|
Domain name |
域名匹配规则中的域名 |
|
Rule type |
域名匹配方式: · Domain:表示完整域名匹配方式 · Subdomain:表示子域名匹配方式 |
|
Rule source |
动态域名匹配规则的来源。当前本字段的取值只能为MEP,表示由MEP(Multi-access Edge Computing Platform,移动边缘计算平台)将域名匹配规则下发给设备 |
|
IP address |
动态域名匹配规则中的域名服务器IP地址 |
【相关命令】
· dns domain-rule
display dns host命令用来显示域名解析信息。
【命令】
display dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:显示A类查询的信息。A类查询用来解析域名对应的IPv4地址。
ipv6:显示AAAA类查询的信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:显示指定VPN实例的域名解析信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名解析信息。
【使用指导】
如果未指定ip和ipv6参数,则显示所有查询类型的域名解析信息。
【举例】
# 显示公网中所有查询类型的静态域名解析表和动态域名解析缓存表的域名解析信息。
<Sysname> display dns host
Type:
D: Dynamic S: Static
Total number: 4
No. Host name Type TTL Query type IP addresses OutInterface
1 a.example.com D 3132 A 192.168.10.1 -
192.168.10.2
192.168.10.3
2 b.example.com D 2400(a) A 100.10.23.1
3 c.example.com S - A 192.168.1.1
4 d.example.net S - AAAA FE80::4904:4448
# 显示公网中由DNS Cache获得的所有查询类型的域名解析信息。
<Sysname> display dns host cache
Type:
C: Cached
Total number: 1
No. Host name Server IP Type TTL Query Type IP addresses
1 e.example.com 110.1.1.1 C 180 A 192.168.10.50
192.168.10.51
192.168.134.100
表1-4 display dns host命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
Host name |
查询的域名 |
|
Type |
域名解析信息的类型: · S:表示静态配置的域名解析信息,即通过ip host或ipv6 host命令配置的主机名及其对应的主机IPv4/IPv6地址 · D:表示通过动态域名解析获得的域名解析信息 · C:表示通过DNS Cache功能缓存的过路表的域名解析信息 |
|
TTL |
域名解析信息的剩余有效时间,单位为秒(a)表示该表项的老化时间由命令dns host aging-time指定,如果通过本命令指定的域名表项永久有效,则显示为Infinite。 对于静态域名解析信息,本字段显示为“-” |
|
Query type |
查询类型,取值包括A和AAAA |
|
IP addresses |
主机名对应的IP地址 · 对于A类查询类型,为IPv4地址 · 对于AAAA类查询类型,为IPv6地址 |
|
Server IP |
DNS服务器的IP地址 |
|
OutInterface |
上层应用选定的DNS协议报文的出接口。如果上层应用未选定出接口,则显示为“-” |
【相关命令】
· reset dns host
· ip host
· ipv6 host
display dns server命令用来显示域名服务器的IPv4地址信息。
【命令】
display dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名服务器IPv4地址信息。如果未指定本参数,则显示静态配置和动态获得的域名服务器IPv4地址信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名服务器IPv4地址信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名服务器IPv4地址信息。
【举例】
# 显示公网的域名服务器IPv4地址信息。
<Sysname> display dns server
Type:
D: Dynamic S: Static
No. Type IP address
1 S 202.114.0.124
2 S 169.254.65.125
表1-5 display dns server命令显示信息描述表
|
字段 |
描述 |
|
No. |
域名服务器的序号 |
|
Type |
域名服务器类型 · S表示静态指定的域名服务器信息 · D表示通过DHCP等协议动态获得的域名服务器信息 |
|
IP address |
域名服务器的IPv4地址 |
【相关命令】
· dns server
display dns server health status命令用来显示DNS服务器健康探测状态。
【命令】
display dns server health status
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 查看DNS服务器健康探测状态。
<Sysname> display dns server health status
No. DNS server OutInterface VPN name Status
1 1.1.1.1 - vpn1 Up
2 2::1 - Up
3 FE80::1 - vpn1 Up
表1-6 display dns server health status命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
DNS server |
DNS服务器的地址 |
|
OutInterface |
DNS域名服务器转发报文的出接口 仅当DNS服务器地址为IPv6链路本地地址时,才会显示本字段 |
|
VPN name |
VPN实例名称。显示为空表示域名匹配规则位于公网 |
|
Status |
健康探测结果: Up:DNS服务器可用 Down:DNS服务器不可用 |
【相关命令】
· health-check enable
display dns server-group命令用来显示静态配置的域名服务器组信息。
【命令】
display dns server-group
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示静态配置的域名服务器组信息。
<Sysname> display dns server-group
Total number of DNS server group: 1
ID VPN instance IP addresses Out interfaces Description
1 1.1.1.101 -
10.10.12.12 -
表1-7 display dns server-group命令显示信息描述表
|
字段 |
描述 |
|
Total number of DNS server group |
域名服务器组总数 |
|
ID |
域名服务器组编号 |
|
VPN instance |
域名服务器组所属的VPN。显示为空表示域名服务器组位于公网 |
|
IP addresses |
域名服务器IP地址 |
|
Out interfaces |
域名服务器转发报文的出接口 |
|
Description |
域名服务器组的描述信息 |
【相关命令】
· dns server-group
display dns transparent host命令用来显示DNS源地址透明代理已解析的动态表项信息。
【命令】
display dns transparent host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:显示A类查询的信息。A类查询用来解析域名对应的IPv4地址。
ipv6:显示AAAA类查询的信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网中DNS源地址透明代理已解析的动态表项信息。
【使用指导】
如果未指定ip和ipv6参数,则显示所有查询类型的域名解析信息。
【举例】
# 显示DNS源地址透明代理已解析的动态表项信息。
<Sysname> display dns transparent host
Total number: 1
No. Host name Server TTL QType IP addresses OutInterface
1 sample.com 1.1.1.1 3132 A 192.168.10.1 --
2 sample2.com -- 3000 A 192.168.10.2
表1-8 display dns transparent host命令显示信息描述表
|
字段 |
描述 |
|
No. |
序号 |
|
Host name |
查询名称 |
|
Server |
DNS服务器IP地址。显示为“--”时表示该表项由DNS重定向功能生成 |
|
TTL |
域名解析信息的剩余有效时间,单位为秒 |
|
QTYPE |
查询类型,取值包括A和AAAA |
|
IP addresses |
主机名对应的IP地址: · 对于A类查询类型,为IPv4地址 · 对于AAAA类查询类型,为IPv6地址 |
|
OutInterface |
出接口名称,未指定时显示为”--” |
【相关命令】
· dns transparent enable
display ipv6 dns server命令用来显示域名服务器的IPv6地址信息。
【命令】
display ipv6 dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示通过DHCP等协议动态获得的域名服务器IPv6地址信息。如果未指定本参数,则显示静态配置和动态获得的域名服务器IPv6地址信息。
vpn-instance vpn-instance-name:显示指定VPN实例内的域名服务器IPv6地址信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的域名服务器IPv6地址信息。
【举例】
# 显示公网域名服务器的IPv6地址信息。
<Sysname> display ipv6 dns server
Type:
D: Dynamic S: Static
No. Type IPv6 address Outgoing Interface
1 S 2::2
表1-9 display ipv6 dns server命令显示信息描述表
|
字段 |
描述 |
|
No. |
域名服务器的序号 |
|
Type |
域名服务器类型 · S表示静态指定的域名服务器信息 · D表示通过DHCP等协议动态获得的域名服务器信息 |
|
IPv6 address |
域名服务器的IPv6地址 |
|
Outgoing Interface |
出接口名 |
【相关命令】
· ipv6 dns server
dns domain命令用来添加域名后缀。
undo dns domain命令用来删除指定的域名后缀。
【命令】
dns domain domain-name [ vpn-instance vpn-instance-name ]
undo dns domain domain-name [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名后缀,即只根据用户输入的域名信息进行解析。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-name:域名后缀,由“.”分隔的字符串组成(如example.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
vpn-instance vpn-instance-name:为指定VPN实例添加域名后缀。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网添加域名后缀。
【使用指导】
设备支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名example.com,那么可以先在后缀列表中配置com,然后输入example进行查询,系统会自动将输入的域名与后缀连接成example.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
· 如果用户输入的域名中没有“.”,比如example,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如example)进行查询。
· 如果用户输入的域名中间有“.”,比如www.example,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
· 如果用户输入的域名最后有“.”,比如example.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查找终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。
设备仅在查询动态域名解析缓存表时执行上述操作。
设备仅在作为DNS客户端时支持域名后缀列表功能。
本命令配置的域名后缀同时用于IPv4域名解析和IPv6域名解析。
公网或每个VPN实例内最多可以配置16个域名后缀。可同时在公网和VPN实例内配置域名后缀。
【举例】
# 为公网添加一个域名后缀com。
<Sysname> system-view
[Sysname] dns domain com
【相关命令】
· display dns domain
dns domain-name-group命令用来创建域名组并进入域名组视图。如果已经创建了域名组,则直接进入该域名组视图。
undo dns domain-name-group命令用来删除指定的域名组。
【命令】
dns domain-name-group group-name
undo dns domain-name-group group-name
【缺省情况】
存在名称为any的默认域名组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:域名组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在使用域名匹配规则将收到的域名请求发送给指定的域名服务器的场景中,将域名匹配规则与域名组关联可以简化配置,需要匹配多个不同的域名时,无需多次配置域名匹配规则。
在域名组中通过domain-name命令添加完整域名,或者通过subdomain-name命令添加子域名后,将域名匹配规则与域名组关联能够实现根据域名匹配结果分发域名请求的目的。
域名匹配规则与域名组的关联方式包括如下两种:
· 包含域名组。该方式下,设备使用请求中的域名和域名组中的域名进行匹配,匹配上组中任意域名即为匹配成功。
如果域名匹配规则包含名称为any的域名组,则任意域名均能匹配该规则。
· 排除域名组。该方式下,设备使用请求中的域名和域名组中的域名进行匹配,只有与组中所有域名均不匹配才算通过域名匹配规则的过滤。
如果域名匹配规则包含名称为any的域名组,则所有域名均无法匹配该规则。
不能手工创建或删除默认域名组。
多次执行本命令可以创建多个域名组。能够创建的域名组的最大数量与设备的型号有关,请以设备的实际情况为准。
不允许删除被域名匹配规则引用的域名组。
【举例】
# 创建名称为1的域名组并进入域名组视图。
<Sysname> system-view
[Sysname] dns domain-name-group 1
[Sysname-domain-name-group-1]
【相关命令】
· dns domain-rule
· domain-name
· subdomain-name
dns domain-rule命令用来配置域名匹配规则。
undo dns domain-rule命令用来删除已配置的域名匹配规则。
【命令】
dns domain-rule rule-id { domain-name domain-name | [ exclude ] domain-name-group group-name | subdomain-name subdomain-name } [ vpn-instance vpn-instance-name ] server-group group-id
undo dns domain-rule rule-id [ domain-name domain-name | [ exclude ] domain-name-group group-name | subdomain-name subdomain-name ]
【缺省情况】
未配置域名匹配规则。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rule-id:域名匹配规则ID。rule-id的取值范围与设备的型号有关,请以设备的实际情况为准。
domain-name domain-name:完整域名。domain-name由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”,如www.example.com。
exclude:表示与指定域名组中的所有域名均不匹配才算通过域名匹配规则的过滤。如果未指定本参数,则表示匹配方式为包含域名组。
domain-name-group domain-group-name:指定域名匹配规则关联的域名组。domain-group-name表示域名组的名称,为1~31个字符的字符串,不区分大小写。指定的域名组必须已经存在。
subdomain-name subdomain-name:子域名。subdomain-name由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”,如.example.com。字符串中不可包含“*”。
vpn-instance vpn-instance-name:发送域名请求的DNS客户端所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示发送域名请求的DNS客户端在公网中。
server-group group-id:域名服务器组编号,取值范围为1~16。本参数需要指定已存在的域名服务器的编号。
【使用指导】
某些组网环境中,为了使设备(包括DNS客户端和DNS proxy)能够根据请求的域名向指定的域名服务器发送查询请求,需要在设备上配置域名服务器组和对应的域名匹配规则。
域名匹配规则包括以下匹配方式:
· 完整域名匹配方式,设备使用请求中的域名和domain-name指定的域名进行匹配,只有完全对应才算匹配成功。
· 子域名匹配方式,设备使用请求中的域名和subdomain-name指定的域名进行匹配,只有完全对应subdomain-name字符串,才算匹配成功。指定subdomain-name时,请不要携带“*”。
· 包含域名组。该方式下,设备使用请求中的域名和域名组中的域名进行匹配,匹配上组中任意域名即为匹配成功。关联多个域名组时,匹配上任意组中的任意域名即为匹配成功。
如果域名匹配规则包含名称为any的域名组,则任意域名均能匹配该规则。
· 排除域名组。该方式下,设备使用请求中的域名和域名组中的域名进行匹配,只有与组中所有域名均不匹配才算通过域名匹配规则的过滤。关联多个域名组时,只有与所有组中所有域名均不匹配才算通过域名匹配规则的过滤。
如果域名匹配规则包含名称为any的域名组,则所有域名均无法匹配该规则。
当设备收到公网或某个VPN内的用户发送的域名解析请求后,如果本地不存在对应的域名缓存,则在公网或对应的VPN内按照域名匹配规则ID从小到大的顺序依次匹配:
· 如果请求中的域名匹配到某条规则中的完整域名或子域名,则设备向该规则绑定的域名服务器组转发请求。
¡ 如果收到域名服务器的应答,则设备会将应答报文转发给发起请求的用户,并将域名和地址的对应关系保存在本地缓存中。
¡ 如果未收到域名服务器的应答,则继续匹配其他域名匹配规则。
· 如果请求中的域名未匹配到任何域名匹配规则中的完整域名或子域名,则DNS客户端不会向域名服务器组中的服务器转发该请求,域名解析失败。
一条规则由一个规则ID和同一个VPN唯一标识。对于同一个规则,有如下使用限制:
· 同一个规则只能绑定一个域名服务器组。
· 同一个规则最多可以关联8个域名组,但不能同时配置包含域名组和排除域名组的匹配方式。
· 对于同一个规则,可以通过多次执行本命令,将最多8个域名和子域名与同一个域名服务器组绑定。
· 同一规则关联域名组后,不允许在该规则下配置完整域名和子域名。反之,同一规则下配置完整域名或子域名后,不允许该规则与域名组关联。
· 执行undo dns domain-rule命令时,如果携带domain-name domain-name或subdomain-name subdomain-name参数,则只删除添加的完整域名或子域名;如果携带exclude domain-name-group domain-group-name或domain-name-group domain-group-name参数,则删除域名匹配规则关联的域名组;如果未携带任何域名参数,则删除整条域名匹配规则。
某个VPN内或公网内的终端用户发送的请求只能匹配相同VPN或公网内域名匹配规则。
域名匹配规则与匹配的域名服务器组可以不在同一个VPN或公网内。
【举例】
# 配置域名匹配规则1,将子域名“.example.com”和完整域名“www.example.com”与域名服务器组1绑定。
<Sysname> system-view
[Sysname] dns domain-rule 1 subdomain-name .example.com server-group 1
[Sysname] dns domain-rule 1 domain-name www.example.com server-group 1
# 配置域名匹配规则1与名称为group1的域名组关联,并与域名服务器组1绑定。
<Sysname> system-view
[Sysname] dns domain-name-group group1
[Sysname-dns-domain-name-group-group1] domain-name www.example.com
[Sysname-dns-domain-name-group-group1] subdomain-name example.com
[Sysname-dns-domain-name-group-group1] quit
[Sysname] dns domain-rule 1 domain-name-group group1 server-group 1
【相关命令】
· display dns domain-rule
· dns domain-name-group
· dns server-group
dns dscp命令用来指定DNS客户端或DNS proxy发送DNS报文的DSCP优先级。
undo dns dscp命令用来恢复缺省情况。
【命令】
dns dscp dscp-value
undo dns dscp
【缺省情况】
DNS客户端或DNS proxy发送DNS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:DNS报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置发送的DNS报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] dns dscp 30
dns fast-reply enable命令用来开启DNS快速应答功能。
undo dns fast-reply enable命令用来关闭DNS快速应答功能。
【命令】
dns fast-reply enable
undo dns fast-reply enable
|
型号 |
说明 |
|
MSR1008 |
支持 |
|
MSR1004-G |
支持 |
|
MSR1004-G-5GCN |
支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
不支持 |
|
MSR3620-G-X3 |
不支持 |
|
型号 |
说明 |
|
MSR2660-XS |
支持 |
|
MSR2680-XS |
支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
支持 |
|
MSR2610-13X-WiNet |
支持 |
【缺省情况】
DNS快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能每秒钟能够处理的DNS请求报文数量较多,适用于对DNS报文处理性能要求较高的场景。
配置本命令后,设备会侦听过路的DNS请求报文(目前只支持UDP报文),解析出报文中的被请求的域名,然后按照如下机制查询本地的域名解析信息:
· 未开启DNS快速应答忽略用户侧VPN功能,设备根据请求报文是否携带VPN信息查询本地的域名解析信息:
¡ 如果请求报文未携带VPN信息,则设备依次查询公网中的静态域名解析表、过路表和动态域名解析缓存表。
¡ 如果请求报文携带VPN信息,则设备依次查询对应的VPN中的静态域名解析表、过路表和动态域名解析缓存表。
· 已开启DNS快速应答忽略用户侧VPN功能,设备按照如下顺序查询本地的域名解析信息:
a. 依次查询公网中的静态域名解析表、过路表和动态域名解析缓存表。
b. 按照VPN实例索引从小到大的顺序在各个VPN中依次查询静态域名解析表、过路表和动态域名解析缓存表。
根据查询结果的不同决定是否进行DNS快速应答,具体工作机制如下:
· 在本地缓存中查找到域名和IP地址信息,设备直接应答DNS请求,不会将报文转发给DNS服务器。
· 未在本地缓存中查找到域名和IP地址信息,设备将DNS请求转发给DNS服务器。
本命令的配置同时用于IPv4和IPv6的DNS快速应答。
本命令对带标签的DNS报文无效。
dns fast-reply enable命令和dns transparent-proxy enable命令互斥。配置dns fast-reply enable命令后,无法配置dns transparent-proxy enable命令。反之,配置dns transparent-proxy enable命令后,无法配置dns fast-reply enable命令。
【举例】
# 开启DNS快速应答功能。
<Sysname> system-view
[Sysname] dns fast-reply enable
【相关命令】
· dns transparent-proxy enable
dns fast-reply ignore-client-vpn命令用来开启DNS快速应答忽略用户侧VPN功能。
undo dns fast-reply ignore-client-vpn命令用来关闭DNS快速应答忽略用户侧VPN功能。
【命令】
dns fast-reply ignore-client-vpn
undo dns fast-reply ignore-client-vpn
|
型号 |
说明 |
|
MSR1008 |
支持 |
|
MSR1004-G |
支持 |
|
MSR1004-G-5GCN |
支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
不支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
不支持 |
|
MSR3620-G-X3 |
不支持 |
|
型号 |
说明 |
|
MSR2660-XS |
支持 |
|
MSR2680-XS |
支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
支持 |
|
MSR2610-13X-WiNet |
支持 |
【缺省情况】
DNS快速应答功能在查询DNS缓存的域名解析信息表时,用户侧的VPN信息和域名解析信息表的VPN信息必须匹配。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启DNS快速应答功能的设备上配置本命令后,在进行DNS快速应答时,设备将忽略接收用户请求报文接口的VPN信息,并按照如下步骤查询缓存信息:
(1) 依次查询本设备上公网中的静态域名解析表、过路表和动态域名解析缓存表。如果存在请求的信息,则本设备直接通过DNS应答报文将域名解析结果返回给DNS client。
(2) 如果公网中不存在请求的信息,则按照VPN实例索引从小到大的顺序在各个VPN中依次查询静态域名解析表、过路表和动态域名解析缓存表。查到第一个匹配到的域名IP信息时,设备终止查询,并将域名解析结果返回给DNS Client。
(3) 如果不存在请求的信息,本设备将DNS请求报文转发给DNS服务器。
本命令的配置同时用于IPv4和IPv6的DNS快速应答忽略用户侧VPN。
【举例】
# 开启DNS快速应答忽略用户侧VPN功能。
<Sysname> system-view
[Sysname] dns fast-reply ignore-client-vpn
dns host aging-time命令用来配置指定域名表项的老化时间。
undo dns host aging-time命令用来恢复缺省情况。
【命令】
dns host host-name [ vpn-instance vpn-instance-name ] aging-time { time-value | infinite }
undo dns host host-name [ vpn-instance vpn-instance-name ] aging-time
【缺省情况】
域名表项的老化时间为DNS响应报文中的TTL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host host-name:指定需要修改老化时间的域名。host-name表示域名,由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”,如www.example.com。
vpn-instance vpn-instance-name:指定域名所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示域名属于公网。
aging-time time-value:指定域名的老化时间,取值范围为1~604800,单位为秒。
aging-time infinite:指定的域名表项永久有效。
【使用指导】
过路表和动态域名解析缓存表的老化时间由域名服务器设置,分别由DNS Cache设备和DNS客户端从域名服务器的应答报文中获得老化时间。用户通过本命令可以控制过路表和动态域名解析缓存表的老化时间。
配置本命令后,设备会遍历查询过路表和动态域名解析缓存表,将查询到的所有表项的TTL均修改为本命令指定的老化时间。
执行undo dns host aging-time命令后,设备会恢复所有被修改过老化时间的域名解析表项的老化时间,恢复后的老化时间为DNS响应报文中原始的TTL的剩余时间。如果已超出表项老化时间,则设备删除此表项。例如,DNS响应报文中原始的TTL为3600秒,设备会自动根据设备的系统时间计算出需要删除表项的时间(假设为2021年2月1日8时8分8秒),如果在2021年2月1日8时8分10秒执行undo dns host aging-time命令,设备会删除对应的表项。
目前最多支持配置256条本命令。
【举例】
# 配置公网中域名为www.example.com的老化时间为3600秒。
<Sysname> system-view
[Sysname] dns host www.example.com aging-time 3600
dns proxy enable命令用来开启DNS proxy功能。
undo dns proxy enable命令用来关闭DNS proxy功能。
【命令】
dns proxy enable
undo dns proxy enable
【缺省情况】
DNS proxy功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本命令的配置同时用于IPv4域名解析和IPv6域名解析。
在DNS代理设备上配置域名服务器的地址时,建议不要将本机IP地址作为域名服务器的IP地址。
【举例】
# 开启DNS proxy功能。
<Sysname> system-view
[Sysname] dns proxy enable
dns redirect enable命令用来开启DNS重定向功能。
undo dns redirect enable命令用来关闭DNS重定向功能。
【命令】
dns redirect enable
undo dns redirect enable
【缺省情况】
DNS重定向功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启DNS重定向功能后,设备会侦听过路的DNS请求报文(目前只支持UDP报文),解析出报文中的源IP地址、源端口号、域名等信息后,根据解析出来的域名查询域名匹配规则,然后将DNS请求报文重定向到域名匹配规则中的DNS服务器。
设备开启DNS重定向功能后,工作机制如下:
(1) 设备使用从DNS请求报文中解析出来的域名查询域名匹配规则,如果匹配上域名匹配规则,设备从域名匹配规则对应的域名服务器组中选择第一个路由可达的域名服务器,然后使用该域名服务器的IP地址替换原始DNS请求报文中的目的IP地址,并将该报文转发给目的IP地址对应的域名服务器。
如果设备从DNS请求报文中解析出来的域名没有匹配上域名匹配规则,则不对该报文进行重定向处理。
(2) 设备记录替换关系。包括替换前DNS请求报文的源IP、源端口号、请求的域名服务器的IP地址等信息,以及替换后的域名服务器的IP地址。
(3) 设备收到DNS响应报文后,根据替换关系将DNS响应报文的源IP地址还原为原始的DNS请求中的域名服务器IP地址。
本命令的配置同时用于IPv4和IPv6的DNS重定向。
本命令对带标签的DNS报文无效。
dns redirect enable命令和dns transparent-proxy enable命令互斥。配置dns redirect enable命令后,无法配置dns transparent-proxy enable命令。反之,配置dns transparent-proxy enable命令后,无法配置dns redirect enable命令。
在开启DNS重定向功能的设备上配置域名服务器的地址时,建议不要将本机IP地址作为域名服务器的IP地址。
【举例】
# 开启DNS重定向功能。
<Sysname> system-view
[Sysname] dns redirect enable
【相关命令】
· dns transparent-proxy enable
dns server命令用来配置域名服务器的IPv4地址。
undo dns server命令用来删除域名服务器的IPv4地址。
【命令】
dns server ip-address [ vpn-instance vpn-instance-name ] [ priority priority-value ]
undo dns server [ ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名服务器的IPv4地址。
【视图】
系统视图
接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:域名服务器的IPv4地址。在接口视图下执行undo命令时需要指定本参数。
vpn-instance vpn-instance-name:为指定VPN实例配置域名服务器的IPv4地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置域名服务器的IPv4地址。
priority priority-value:域名服务器的优先级。取值范围为1~255,优先级的值越小,优先级越高。缺省值为100。
【使用指导】
在进行动态域名解析时,系统按照域名服务器优先级从高到低的顺序,依次向各个域名服务器发送查询请求。优先级相同时,则按照域名服务器IPv4地址配置的先后顺序,依次向各个域名服务器发送查询请求。用户可以通过修改域名服务器的优先级来调整发送查询请求的先后顺序。
公网或单个VPN实例内最多可以配置6个域名服务器的IPv4地址。可同时在公网和VPN实例内配置域名服务器的IPv4地址。
执行undo dns server命令时如果未指定ip-address参数,则删除公网或指定VPN实例中的所有域名服务器IPv4地址。
【举例】
# 配置域名服务器的IPv4地址为172.16.1.1。
<Sysname> system-view
[Sysname] dns server 172.16.1.1
# 在接口GigabitEthernet0/0/1配置域名服务器的IPv4地址为172.16.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] dns server 172.16.1.1
【相关命令】
· display dns server
dns server命令用来在域名服务器组中添加域名服务器。
undo dns server命令用来删除在域名服务器组中添加的域名服务器。
【命令】
dns server ip-address [ priority priority-value ]
undo dns server [ ip-address ]
【缺省情况】
域名服务器组中无域名服务器。
【视图】
域名服务器组视图
【缺省用户角色】
network-admin
【参数】
ip-address:域名服务器的IPv4地址。
priority priority-value:域名服务器的优先级。取值范围为1~255,优先级的值越小,优先级越高。缺省值为100。
【使用指导】
在进行服务器组域名解析时,系统按照优先级从高到低的顺序,依次向各个域名服务器发送查询请求。优先级相同时,则按照在域名服务器组中执行display this命令显示服务器IPv4地址的先后顺序,依次向各个域名服务器发送查询请求。用户可以通过修改域名服务器的优先级来调整发送查询请求的先后顺序。
单个域名服务器组内最多可以配置6个域名服务器的IPv4地址。
执行undo dns server命令时如果未指定ip-address参数,则删除域名服务器组中的所有域名服务器IPv4地址。
【举例】
# 在域名服务器组1中,添加IPv4地址172.16.1.1的域名服务器。
<Sysname> system-view
[Sysname] dns server-group 1
[Sysname-dns-server-group-1] dns server 172.16.1.1
dns server-group命令用来创建域名服务器组并进入域名服务器组视图。如果已经创建了域名服务器组,则直接进入该域名服务器组视图。
undo dns server-group命令用来删除指定的域名服务器组。
【命令】
dns server-group group-id [ vpn-instance vpn-instance-name ]
undo dns server-group group-id
【缺省情况】
不存在域名服务器组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:域名服务器组编号,取值范围为1~16。
vpn-instance vpn-instance-name:指定域名服务器组所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示创建的域名服务器组在公网中。
【使用指导】
某些组网环境中,为了使设备(包括DNS客户端和DNS代理)能够根据请求的域名向指定的域名服务器发送查询请求,需要在设备上配置域名服务器组和对应的域名匹配规则。
当设备收到公网或某个VPN内的用户发送的域名解析请求后,如果本地不存在对应的域名缓存,则在公网或对应的VPN内按照域名匹配规则ID从小到大的顺序依次匹配:
· 如果请求中的域名匹配到某条规则中的完整域名或子域名,则设备向该规则绑定的域名服务器组转发请求。
¡ 如果收到域名服务器的应答,则设备会将应答报文转发给发起请求的用户,并将域名和地址的对应关系保存在本地缓存中。
¡ 如果未收到域名服务器的应答,则继续匹配其他域名匹配规则。
· 如果请求中的域名未匹配到任何域名匹配规则中的完整域名或子域名,则DNS客户端不会向域名服务器组中的服务器转发该请求,域名解析失败。
【举例】
# 创建域名服务器组1。
<Sysname> system-view
[Sysname] dns server-group 1
[Sysname-dns-server-group-1]
【相关命令】
· description
· dns domain-rule
dns snooping enable命令用来开启DNS Snooping功能。
undo dns snooping enable命令用来关闭DNS Snooping功能。
【命令】
dns snooping enable
undo dns snooping enable
【缺省情况】
DNS Snooping功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DNS Snooping功能适用于基于域名过滤用户流量的场景。
其他模块(如地址对象组模块)向DNS模块下达域名订阅请求后,才能通过DNS Snooping功能获取域名对应的IP地址。当DNS Snooping功能开启后,设备会监听经过的DNS请求和应答报文。如果请求报文中的域名与订阅的域名匹配,设备会在接收到该域名的应答报文时记录解析结果,并将其上报至发起订阅的模块。如果请求报文中的域名与订阅的域名不符,则设备不会记录解析结果。
当下达域名订阅请求的模块获取到域名对应的IP地址后,就可以利用这些信息实现基于域名的流量过滤。
此外,当其他模块订阅的域名老化时,DNS模块会通知相关模块删除该表项,以保证表项的准确性。
基于域名过滤用户流量的场景中,如果对所有DNS报文均进行解析的话,完成解析后设备会询问对象组是否放行该报文,这种情况下,报文处理效率比较低,且会占用较多的CPU资源。
开启DNS Snooping功能时,需要注意:
· DNS Snooping设备只有位于DNS客户端与DNS服务器之间,或DNS客户端与DNS代理设备之间时,DNS Snooping功能配置后才能正常工作。
· DNS Snooping功能和DNS源地址透明代理功能不能同时使用。
· DNS Snooping功能不支持跨VPN使用,即设备上DNS报文的出入接口必须属于同一个VPN。
【举例】
# 开启DNS Snooping功能。
<Sysname> system-view
[Sysname] dns snooping enable
【相关命令】
· dns transparent-proxy enable
dns source-interface命令用来指定DNS报文的源接口。
undo dns source-interface命令用来恢复缺省情况。
【命令】
dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
undo dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
【缺省情况】
设备根据DNS server的地址,通过路由表查找报文的出接口,并将该出接口的主IP地址作为发送到该服务器的DNS查询报文的源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:源接口的接口类型和接口编号。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS报文的源接口。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS报文的源接口。
【使用指导】
通过本命令指定DNS报文的源接口后,系统将选择指定接口的主IPv4地址或根据RFC 3484中定义的规则选择指定接口的某个IPv6地址,作为DNS查询报文的源地址。
本命令的配置同时用于IPv4域名解析和IPv6域名解析。
公网或每个VPN实例内只能配置1个源接口。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置源接口。
无论配置的源接口是否属于指定的VPN实例,该配置都会生效。不建议将不属于VPN实例的接口配置为该VPN实例的源接口。
不建议将设备上自动生成的接口(例如自动隧道接口等)作为DNS报文的源接口,否则可能会导致配置失败或配置丢失。
【举例】
# 指定公网DNS报文的源接口为GigabitEthernet0/0/1。
<Sysname> system-view
[Sysname] dns source-interface gigabitethernet 0/0/1
dns spoofing命令用来开启DNS spoofing功能,并指定应答的IPv4地址。
undo dns spoofing命令关闭DNS spoofing功能。
【命令】
dns spoofing ip-address [ vpn-instance vpn-instance-name ]
undo dns spoofing ip-address [ vpn-instance vpn-instance-name ]
【缺省情况】
DNS spoofing功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:用来欺骗性应答域名解析请求的IPv4地址。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS spoofing功能。
【使用指导】
配置DNS spoofing前,需要先开启DNS proxy功能。
开启DNS spoofing功能后,如果设备上未配置域名服务器地址或不存在到达域名服务器的路由,则设备会检查本地的静态域名解析表或动态域名解析缓存表中存在请求的域名和IP地址的对应关系:
· 如果存在,则Device将静态域名解析表或动态域名解析缓存表中域名对应的IP地址作为域名解析结果,应答DNS client的域名解析请求。
· 如果不存在,则Device利用DNS spoofing中指定的IP地址作为域名解析结果,应答DNS client的域名解析请求。该域名解析应答的老化时间为0。并且,应答的IP地址满足如下条件:Device上存在到达该IP地址的路由,且路由的出接口为拨号接口。
公网或每个VPN实例内只能配置1个DNS spoofing应答的IPv4地址。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置DNS spoofing功能。
【举例】
# 开启公网的DNS spoofing功能,并指定应答的IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] dns spoofing 1.1.1.1
【相关命令】
· dns proxy enable
dns spoofing track命令用来配置监视出接口的网络制式。
undo dns spoofing track命令用来恢复缺省情况。
【命令】
dns spoofing track controller interface-type interface-number
undo dns spoofing track
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR1008 |
不支持 |
|
MSR1004-G |
不支持 |
|
MSR1004-G-5GCN |
支持 |
|
MSR2630E-X1 |
支持 |
|
MSR3610E-X1、MSR3610E-X1-DP |
支持 |
|
MSR3610-G-X3-DP、MSR3610-G-X3、MSR3610-G-X3-DP-DC、 MSR3610-G-X3-DC |
支持 |
|
MSR3620-G-X3 |
支持 |
|
型号 |
说明 |
|
MSR2660-XS |
不支持 |
|
MSR2680-XS |
支持 |
|
型号 |
说明 |
|
MSR2600-12X-WiNet |
不支持 |
|
MSR2610-13X-WiNet |
支持 |
【缺省情况】
未配置监视出接口的网络制式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
controller interface-type interface-number:指定被监视的出接口,interface-type interface-number表示接口类型和接口编号。
【使用指导】
配置监视出接口的网络制式时,需要先开启DNS spoofing或IPv6 DNS spoofing功能。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置监视出接口Cellular0/1的网络制式,并配置欺骗应答的IP地址为192.168.1.10。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] dns spoofing 192.168.1.10
[Sysname] dns spoofing track controller cellular 0/1
【相关命令】
· dns spoofing
· ipv6 dns spoofing
dns transparent-proxy enable命令用来开启DNS源地址透明代理功能。
undo dns transparent-proxy enable命令用来关闭DNS源地址透明代理功能。
【命令】
dns transparent-proxy enable
undo dns transparent-proxy enable
【缺省情况】
DNS透明代理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DNS透明代理指的是,DNS客户端感知不到代理服务存在的代理模式。DNS源地址透明代理不仅能够提供代理服务,还会修改DNS请求报文的源地址,从而实现发送DNS请求报文的设备能够接收到相应的DNS响应报文,适用于需要基于域名做策略的场景(如安全策略、带宽策略等)。
与DNS代理功能不同的是,DNS客户端不需要将DNS服务器的地址指定为DNS源地址透明代理设备的地址,简化了客户端的配置。在一些负载均衡场景中,为了保证基于域名的策略能够成功对报文进行控制,建议使用DNS源地址透明代理功能。
开启DNS源地址透明代理功能后,设备开始监听过路的DNS请求报文和DNS应答报文,并记录域名解析信息,以便提供代理功能。具体工作机制如下:
(1) DNS源地址透明代理设备监听所有过路DNS报文,当收到DNS请求报文时,设备根据一定的规则从能够到达DNS服务器的本地IP地址选取一个,并将其作为修改后的DNS请求报文的源IP地址,使得DNS应答报文能够返回本设备。
(2) DNS源地址透明代理设备收到DNS服务器的应答报文后,记录域名解析的结果,并将报文转发给DNS客户端。DNS客户端利用域名解析的结果进行相应的处理。后续DNS透明代理设备收到DNS请求报文后,首先查找DNS透明代理记录的表项,如果存在请求的信息,则DNS透明代理设备直接通过DNS应答报文将域名解析结果返回给DNS client。如果不存在请求的信息,则DNS透明代理设备将报文转发给域名服务器进行解析。
dns transparent-proxy enable命令和如下命令互斥。配置dns transparent-proxy enable命令后,无法配置如下命令。配置如下命令后,无法配置dns transparent-proxy enable命令。
· dns fast-reply enable
· dns redirect enable
· dns snooping enable
DNS源地址透明代理功能不支持跨VPN使用,即设备上DNS报文的出入接口必须属于同一个VPN。
【举例】
# 开启DNS源地址透明代理功能。
<Sysname> system-view
[Sysname] dns transparent-proxy enable
【相关命令】
· dns fast-reply enable
· dns proxy enable
· dns redirect enable
· dns snooping enable
dns trust-interface命令用来指定DNS信任接口。
undo dns trust-interface命令用来删除指定的DNS信任接口。
【命令】
dns trust-interface interface-type interface-number
undo dns trust-interface [ interface-type interface-number ]
【缺省情况】
未指定任何接口为信任接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:DNS信任接口的接口类型和接口编号。
【使用指导】
缺省情况下,任意接口通过DHCP等协议动态获得的域名后缀和域名服务器信息都将作为有效信息,用于域名解析。如果网络攻击者通过DHCP服务器为设备分配错误的域名后缀和域名服务器地址,则会导致设备域名解析失败,或解析到错误的结果。通过本配置指定信任接口后,域名解析时只采用信任接口动态获得的域名后缀和域名服务器信息,非信任接口获得的信息不能用于域名解析,从而在一定程度上避免这类攻击。
本命令同时用于IPv4域名解析和IPv6域名解析。
设备最多可以配置128个信任接口。
执行undo dns trust-interface命令时,如果未指定任何接口,则删除所有的DNS信任接口,恢复到缺省情况。
【举例】
# 指定接口GigabitEthernet0/0/1为DNS信任接口。
<Sysname> system-view
[Sysname] dns trust-interface gigabitethernet 0/0/1
domain-name命令用来在域名组中添加完整域名。
undo domain-name命令用来添删除域名组中指定的完整域名。
【命令】
domain-name domain-name
undo domain-name domain-name
【缺省情况】
域名组中未配置完整域名。
【视图】
域名组视图
【缺省用户角色】
network-admin
【参数】
domain-name:完整域名,由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”,如www.example.com。
【使用指导】
设备使用请求中的域名和域名组中的完整域名进行匹配时,只有完全对应才算匹配成功。
多次执行本命令可以添加多个完整域名。同一个域名组中能够添加的域名和子域名的最大数量与设备的型号有关,请以设备的实际情况为准。
【举例】
# 在域名组1中添加完整域名www.example.com。
<Sysname> system-view
[Sysname] dns domain-name-group 1
[Sysname-domain-name-group-1] domain-name www.example.com
【相关命令】
· dns domain-name-group
· sundomain-name
health-check enable命令用来开启DNS服务器健康探测功能。
undo health-check enable命令用来关闭DNS服务器健康探测功能。
【命令】
health-check enable
undo health-check enable
【缺省情况】
DNS服务器健康探测功能处于关闭状态。
【视图】
域名服务器组视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于对如下场景中的域名服务器可用性进行检测,保证其能够提供有效的服务。
在使用DNS重定向功能对DNS请求进行分流的场景中,当DNS请求报文经过开启DNS重定向功能的设备时,如果DNS请求报文匹配上域名匹配规则,则设备从域名服务器组中选择一个域名服务器,并将该报文转发给选中的域名服务器。选择服务器的机制如下:
(1) 如果域名服务器配置了优先级,则按照优先级从高到低的顺序依次选择域名服务器。
(2) 如果域名服务器未配置优先级或优先级相同,则按照在域名服务器组中执行display this命令显示服务器地址的先后顺序选择域名服务器。
设备向域名服务器发送请求报文后,若2s内无法收到该选中域名服务器的DNS响应报文,设备会重新选择域名服务器。为了避免设备选中不可用的域名服务器,请使用本功能对域名服务器可用性进行检测。具体机制如下:
(1) 设备周期性进行健康探测,即周期性向域名服务器组中的各个域名服务器分别发送一个DNS请求报文,根据是否能收到DNS响应报文判断域名服务器的可用性。
(2) 如果设备收到DNS响应报文,则认为该DNS服务器可用。
(3) 如果设备连续3次向某DNS服务器发送DNS请求报文后,均未收到DNS响应报文,则认为该DNS服务器不可用。
DNS重定向设备在对DNS请求报文进行重定向时,会自动跳过不可用的DNS服务器,然后根据字典序在可用的域名服务器中进行选择。
【举例】
# 开启域名服务器组1的DNS服务器健康探测功能。
<Sysname> system-view
[Sysname] dns server-group 1
[Sysname-server-group-1] health-check enable
ip host命令用来配置主机名及其对应的主机IPv4地址。
undo ip host命令用来删除主机名及其对应的主机IPv4地址。
【命令】
ip host host-name ip-address [ vpn-instance vpn-instance-name ]
undo ip host host-name ip-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在主机名及IPv4地址的对应关系。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中只能包含字母、数字、“-”、“_”和“.”。
ip-address:与主机名对应的IPv4地址。
vpn-instance vpn-instance-name:为指定VPN实例配置主机名和IPv4地址的对应关系。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置主机名和IPv4地址的对应关系。
【使用指导】
公网或单个VPN实例内最多可以配置1024个主机名和IPv4地址的对应关系。可同时在公网和VPN实例内配置主机名和IPv4地址的对应关系。
在公网或单个VPN实例内,一个主机名只能对应一个IPv4地址。多次执行本命令,最后一次执行的命令生效。
在配置主机名时,请确保主机名满足以下要求:
· 主机名以“.”字符分隔成多个字符串,单个字符串的长度建议不超过63个字符。超过63个字符的主机名被视为无效,不支持PTR记录的反向查找,也无法基于该主机名对报文进行过滤。
· 主机名不能以“.”字符开头或结尾。否则配置下发失败。
· 主机名不要包含两个连续的“.”字符。如果主机名包含两个连续的“.”字符,配置能够下发成功,但是由于主机名无效,因此无法解析。
· ip、-a、-c、-f、-h、-i、-m、-n、-p、-q、-r、-s、-t、-tos、-v和-vpn-instance已被系统用作ping命令的参数关键字,在配置主机名时,请避免使用相同的字符串作为主机名。ping命令支持的参数形式,请参考“网络管理和监控”中的“ping”命令。
【举例】
# 配置公网内主机名aaa对应的IPv4地址为10.110.0.1。
<Sysname> system-view
[Sysname] ip host aaa 10.110.0.1
【相关命令】
· display dns host
ipv6 dns dscp命令用来指定IPv6 DNS客户端或IPv6 DNS proxy发出的IPv6 DNS报文的DSCP优先级。
undo ipv6 dns dscp命令用来恢复缺省情况。
【命令】
ipv6 dns dscp dscp-value
undo ipv6 dns dscp
【缺省情况】
IPv6 DNS客户端或IPv6 DNS proxy发出的IPv6 DNS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:IPv6 DNS报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置发送的IPv6 DNS报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ipv6 dns dscp 30
ipv6 dns server命令用来配置域名服务器的IPv6地址。
undo ipv6 dns server命令用来删除域名服务器的IPv6地址。
【命令】
ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] [ priority priority-value ]
undo ipv6 dns server [ ipv6-address [ interface-type interface-number ] ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置域名服务器的IPv6地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:域名服务器的IPv6地址。
interface-type interface-number:指定报文的出接口的接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口。域名服务器的IPv6地址为链路本地地址时,必须指定本参数。域名服务器的IPv6地址为全球单播地址时,无法指定本参数。
vpn-instance vpn-instance-name:为指定VPN实例配置域名服务器的IPv6地址。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置域名服务器的IPv6地址。
priority priority-value:域名服务器的优先级。取值范围为1~255,优先级的值越小,优先级越高。缺省值为100。
【使用指导】
在进行动态域名解析时,系统按照域名服务器优先级从高到低的顺序,依次向各个域名服务器发送查询请求。优先级相同时,则按域名服务器IPv6地址配置的先后顺序,依次向各个域名服务器发送查询请求。用户可以通过修改域名服务器的优先级来调整发送查询请求的先后顺序。
公网或单个VPN实例内最多可以配置6个域名服务器的IPv6地址。可同时在公网和VPN实例内配置域名服务器的IPv6地址。
执行undo ipv6 dns server命令时如果未指定ipv6-address参数,则删除公网或指定VPN实例中的所有域名服务器IPv6地址。
【举例】
# 配置公网内域名服务器的IPv6地址为2002::1。
<Sysname> system-view
[Sysname] ipv6 dns server 2002::1
【相关命令】
· display ipv6 dns server
ipv6 dns server命令用来在域名服务器组中添加域名服务器。
undo ipv6 dns server命令用来在域名服务器组中添加的域名服务器。
【命令】
ipv6 dns server ipv6-address [ interface-type interface-number ] [ priority priority-value ]
undo ipv6 dns server [ ipv6-address [ interface-type interface-number ] ]
【缺省情况】
域名服务器组中无域名服务器。
【视图】
域名服务器组视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:域名服务器的IPv6地址。
interface-type interface-number:指定报文的出接口的接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口。域名服务器的IPv6地址为链路本地地址时,必须指定本参数。域名服务器的IPv6地址为全球单播地址时,无法指定本参数。
priority priority-value:域名服务器的优先级。取值范围为1~255,优先级的值越小,优先级越高。缺省值为100。
【使用指导】
在进行服务器组域名解析时,系统按照优先级从高到低的顺序,依次向各个域名服务器发送查询请求。优先级相同时,则按照在域名服务器组中执行display this命令显示服务器IPv6地址的先后顺序,依次向各个域名服务器发送查询请求。
单个域名服务器组内最多可以配置6个域名服务器的IPv6地址。
执行undo ipv6 dns server命令时如果未指定ipv6-address参数,则删除域名服务器组中的所有域名服务器IPv6地址。
【举例】
# 在域名服务器组1中,添加IPv6地址为2000::1的域名服务器。
<Sysname> system-view
[Sysname] dns server-group 1
[Sysname-server-group-1] ipv6 dns server 2000::1
ipv6 dns spoofing命令用来开启DNS spoofing功能,并指定应答的IPv6地址。
undo ipv6 dns spoofing命令用来关闭DNS spoofing功能。
【命令】
ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情况】
DNS spoofing功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:用来欺骗性应答域名解析请求的IPv6地址。
vpn-instance vpn-instance-name:为指定VPN实例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置DNS spoofing功能。
【使用指导】
本命令必须和dns proxy enable命令一起使用。
开启DNS spoofing功能后,如果设备上未配置域名服务器地址或不存在到达域名服务器的路由,则会利用配置的应答IPv6地址作为域名解析结果,欺骗性地应答AAAA类域名解析请求。
公网或每个VPN实例内只能配置1个DNS spoofing应答的IPv6地址。多次执行本命令,最后一次执行的命令生效。可同时在公网和VPN实例内配置DNS spoofing功能。
【举例】
# 为公网开启DNS spoofing功能,并指定应答的IPv6地址为2001::1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] ipv6 dns spoofing 2001::1
【相关命令】
· dns proxy enable
ipv6 host命令用来配置主机名及其对应的主机IPv6地址。
undo ipv6 host命令用来删除主机名及其对应的主机IPv6地址。
【命令】
ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在主机名及IPv6地址的对应关系。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host-name:主机名,为1~253个字符的字符串,不区分大小写,字符串中只能包含字母、数字、“-”、“_”和“.”。
ipv6-address:与主机名对应的IPv6地址。
vpn-instance vpn-instance-name:为指定VPN实例配置主机名和IPv6地址的对应关系。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示为公网配置主机名和IPv6地址的对应关系。
【使用指导】
公网或每个VPN实例内最多可以配置1024个主机名和IPv6地址的对应关系。可同时在公网和VPN实例内配置主机名和IPv6地址的对应关系。
在公网或同一个VPN实例内,一个主机名只能对应一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
在配置主机名时,请确保主机名满足以下要求:
· 主机名以“.”字符分隔成多个字符串,单个字符串的长度建议不超过63个字符。超过63个字符的主机名被视为无效,不支持PTR记录的反向查找,也无法基于该主机名对报文进行过滤。
· 主机名不能以“.”字符开头或结尾。否则配置下发失败。
· 主机名不要包含两个连续的“.”字符。如果主机名包含两个连续的“.”字符,配置能够下发成功,但是由于主机名无效,因此无法解析。
· -a、-c、-i、-m、-q、-s、-t、-tc、-v和-vpn-instance已被系统用作ping ipv6命令的参数关键字,在配置主机名时,请避免使用相同的字符串作为主机名。ping ipv6命令支持的参数形式,请参考“网络管理和监控”中的“ping ipv6”命令。
【举例】
# 配置公网内主机名aaa对应的IPv6地址为2001::1。
<Sysname> system-view
[Sysname] ipv6 host aaa 2001::1
【相关命令】
· ip host
reset dns host命令用来清除动态域名解析缓存信息。
【命令】
reset dns host [ cache ] [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
cache:清除由DNS Cache功能缓存的过路表的域名解析信息。
ip:清除A类查询的动态缓存信息。A类查询用来解析域名对应的IPv4地址。
ipv6:清除AAAA类查询的动态缓存信息。AAAA类查询用来解析域名对应的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN实例的动态域名解析缓存信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的动态域名解析缓存信息。
【使用指导】
如果未指定cache参数,则清除如下缓存信息:
· DNS客户端上的动态域名解析缓存信息。
· 开启DNS源地址透明代理的设备上的动态域名解析缓存信息,或者开启DNS Snooping功能的设备上的动态域名解析缓存信息。
如果未指定ip和ipv6参数,则清除所有查询类型的动态域名解析缓存信息。
【举例】
# 清除公网所有查询类型的动态域名解析缓存信息。
<Sysname> reset dns host
【相关命令】
· display dns host
subdomain-name命令用来在域名组中添加子域名。
undo subdomain-name命令用来删除域名组中指定的子域名。
【命令】
subdomain-name subdomain-name
undo subdomain-name subdomain-name
【缺省情况】
域名组中未配置子域名。
【视图】
域名组视图
【缺省用户角色】
network-admin
【参数】
subdomain-name:子域名,由“.”分隔的字符串组成,每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”,如.example.com。字符串中不可包含“*”。
【使用指导】
设备使用请求中的域名和域名组中的子域名进行匹配时,只有包含subdomain-name字符串,才算匹配成功。例如,example.net包含两个子域名a.example.net和b.example.net,subdomain-name设置为不同值时,能够匹配的域名不同:
· subdomain-name设置为.example.net时,仅a.example.net和b.example.net能够与设置的子域名匹配。
· subdomain-name设置为example.net时,example.net、a.example.net和b.example.net均能够与设置的子域名匹配。
多次执行本命令可以添加多个子域名。同一个域名组中能够添加的域名和子域名的最大数量与设备的型号有关,请以设备的实际情况为准。
【举例】
# 在域名组1中添加子域名com。
<Sysname> system-view
[Sysname] dns domain-name-group 1
[Sysname-domain-name-group-1] subdomain-name com
【相关命令】
· dns domain-name-group
· domain-name
ddns apply policy命令用来在接口上应用指定的DDNS策略来更新指定的FQDN与接口主IP地址的对应关系,并启动DDNS更新。
undo ddns apply policy命令用来在接口上取消应用DDNS策略,停止DDNS更新。
【命令】
ddns apply policy policy-name [ fqdn domain-name ]
undo ddns apply policy policy-name
【缺省情况】
没有为接口指定任何DDNS策略和需要更新的FQDN,且未启动DDNS更新。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
policy-name:DDNS策略名称,为1~32个字符的字符串,不区分大小写。
fqdn domain-name:指定需要更新该FQDN与IP地址的对应关系,用于替换DDNS更新请求URL中的<h>。domain-name为主机名,主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
【使用指导】
一个接口上最多可以应用4个DDNS策略。
重复应用名称相同的DDNS策略,并指定不同的FQDN时,最后一次执行的命令生效,同时发起一次DDNS更新。
【举例】
# 在接口GigabitEthernet0/0/1下指定应用DDNS策略steven_policy来更新合格域名www.example.com与IP地址的对应关系,并启动DDNS更新功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ddns apply policy steven_policy fqdn www.example.com
【相关命令】
· ddns policy
· display ddns policy
ddns dscp命令用来配置发送DDNS报文的DSCP优先级。
undo ddns dscp命令用来恢复缺省情况。
【命令】
ddns dscp dscp-value
undo ddns dscp
【缺省情况】
配置发送DDNS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:DDNS报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置发送的DDNS报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ddns dscp 30
ddns policy命令用来创建DDNS策略,并进入DDNS策略视图。如果指定的DDNS策略视图已存在,则直接进入DDNS策略视图。
undo ddns policy命令用来删除DDNS策略。
【命令】
ddns policy policy-name
undo ddns policy policy-name
【缺省情况】
设备上不存在DDNS策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:DDNS策略名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
设备上最多可以创建16个DDNS策略。
【举例】
# 创建名称为steven_policy的DDNS策略,并进入DDNS策略视图。
<Sysname> system-view
[Sysname] ddns policy steven_policy
【相关命令】
· display ddns policy
· ddns apply policy
display ddns policy命令用来显示DDNS策略的信息。
【命令】
display ddns policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:DDNS策略名称,为1~32个字符的字符串,不区分大小写。如果未指定本参数,则显示所有DDNS策略的信息。
【举例】
# 显示名称为steven_policy的DDNS策略的信息。
<Sysname> display ddns policy steven_policy
DDNS policy: steven_policy
URL : http://members.3322.org/dyndns/update?
system=dyndns&hostname=<h>&myip=<a>
Username : steven
Password : ******
Method : GET
SSL client policy:
Interval : 1 days 0 hours 1 minutes
Server type : ipv4
# 显示所有DDNS策略的信息。
<Sysname> display ddns policy
DDNS policy: steven_policy
URL : http://members.3322.org/dyndns/update?system=
dyndns&hostname=<h>&myip=<a>
Username : steven
Password : ******
Method : GET
SSL client policy:
Interval : 0 days 0 hours 30 minutes
Server type : ipv4
DDNS policy: tom-policy
URL : http://members.3322.org/dyndns/update?system=
dyndns&hostname=<h>&myip=<a>
Username :
Password :
Method : GET
SSL client policy:
Interval : 0 days 0 hours 15 minutes
Server type : ipv4
DDNS policy: u-policy
URL : oray://phddns60.oray.net
Username : username
Password :
Method : -
SSL client policy:
Interval : 0 days 0 hours 15 minutes
Server type : -
表2-1 display ddns policy命令显示信息描述表
|
字段 |
描述 |
|
DDNS policy |
DDNS策略名称 |
|
URL |
DDNS更新请求的URL地址。未配置时显示为空 |
|
Username |
登录DDNS服务器的用户名。未配置时显示为空 |
|
Password |
登录DDNS服务器的密码。未配置时显示为空,有配置时显示为“******” |
|
Method |
采用HTTP或HTTPS报文发送DDNS更新请求时,使用的参数传输方式 取值包括: · GET:表示参数传输方式为GET方式 · POST:表示参数传输方式为POST方式 |
|
SSL client policy |
关联的SSL客户端策略名称。未配置时显示为空 |
|
Interval |
定时发起DDNS更新请求的时间间隔 |
|
Server type |
DDNS服务器类型,取值包括: · IPv4:DDNS客户端发送的更新请求中更新的IP地址类型为IPv4地址 · IPv6:DDNS客户端发送的更新请求中更新的IP地址类型为IPv6地址 显示为“-”表示server type不生效 |
【相关命令】
· ddns policy
interval命令用来指定定时发起更新请求的时间间隔。
undo interval命令用来恢复缺省情况。
【命令】
interval days [ hours [ minutes ] ]
undo interval
【缺省情况】
定时发起DDNS更新请求的时间间隔是1小时。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
days:天,取值范围为0~365。
hours:小时,取值范围为0~23。
minutes:分钟,取值范围为0~59。
【使用指导】
不论是否到达定时发起更新请求的时间,只要对应接口的主IP地址发生改变或接口的链路状态由down变为up,都会立即发起更新请求。
如果配置时间间隔为0,则不会定时发起更新,除非对应接口的IP地址发生改变或接口的链路状态由down变为up。
多处执行本命令,最后一次执行的命令生效。如果DDNS策略已经应用到接口上,则立即触发一次DDNS更新,并以最后一次配置的时间间隔为更新周期。
【举例】
# 为DDNS策略steven_policy指定定时发起更新请求的时间间隔为1天零1分。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] interval 1 0 1
【相关命令】
· display ddns policy
· ddns policy
method命令用来配置采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数传输方式。
undo method命令用来恢复缺省情况。
【命令】
method { http-get | http-post }
undo method
【缺省情况】
采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数的传输方式为http-get。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
http-get:参数的传输方式为http-get。
http-post:参数的传输方式为http-post。
【使用指导】
采用HTTP或HTTPS报文发送DDNS更新请求时,不同的DDNS服务器要求使用的参数传输方式可能不同。例如DHS服务器,需要使用http-post参数传输方式。通过本配置可以修改参数传输方式,以满足DDNS服务器的要求。
本命令仅在基于HTTP或HTTPS与DDNS服务器通信时生效。基于其他协议与DDNS服务器通信时,本命令不生效。
通过本命令修改DDNS策略的参数传输方式时,如果该DDNS策略已经应用到接口上,则立即触发一次DDNS更新。
【举例】
# 配置DDNS策略steven_policy采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数传输方式为http-post方式。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] method http-post
【相关命令】
· display ddns policy
· ddns policy
password命令用来指定登录DDNS服务器的密码。
undo password命令用来恢复缺省情况。
【命令】
password { cipher | simple } string
undo password
【缺省情况】
未指定登录DDNS服务器的密码。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~32个字符的字符串,密文密码为1~73个字符的字符串。
【举例】
# 为DDNS策略steven_policy指定登录DDNS服务器的密码为nevets。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] password simple nevets
【相关命令】
· display ddns policy
· ddns policy
· url
· username
server type命令用来指定DDNS客户端发送的更新请求中更新的IP地址类型。
undo server type命令用来恢复缺省情况。
【命令】
server type [ ipv4 | ipv6 ]
undo server type
【缺省情况】
DDNS客户端发送的更新请求中更新的IP地址类型为IPv4地址。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
ipv4:指定DDNS客户端发送的更新请求中更新的IP地址类型为IPv4地址。
ipv6:指定DDNS客户端发送的更新请求中更新的IP地址类型为IPv6地址。
【使用指导】
DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,通过域名解析得到的IP地址是错误的,会导致访问失败。
DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。
通过DDNS能够动态更新域名和IPv4地址之间的对应关系,也能动态更新域名和IPv6地址之间的对应关系。
多次执行本命令,最后一次执行的命令生效。
本命令仅在基于HTTP或HTTPS与DDNS服务器通信时生效。基于其他协议与DDNS服务器通信时,本命令不生效。
【举例】
# 在名称为p1的DDNS策略下,指定DDNS客户端发送的更新请求中更新的IP地址类型为IPv6地址。
<Sysname> system-view
[Sysname] ddns policy p1
[Sysname-ddns-policy-p1] server type ipv6
【相关命令】
· ddns policy
· display ddns policy
ssl-client-policy命令用来指定与DDNS策略关联的SSL客户端策略。
undo ssl-client-policy命令用来恢复缺省情况。
【命令】
ssl-client-policy policy-name
undo ssl-client-policy
【缺省情况】
未指定与DDNS策略关联的SSL客户端策略。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL客户端策略只对URL为HTTPS地址的DDNS更新请求有效。
多次执行本命令,为同一个DDNS策略关联不同的SSL客户端策略时,DDNS策略将只与最后配置的SSL客户端策略关联。
【举例】
# 将SSL客户端策略ssl_policy与DDNS策略steven_policy关联。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] ssl-client-policy ssl_policy
【相关命令】
· ddns policy
· display ddns policy
· ssl-client-policy(安全命令参考/SSL)
url命令用来指定DDNS更新请求的URL地址。
undo url命令用来恢复缺省情况。
【命令】
url request-url
undo url
【缺省情况】
未指定DDNS更新请求的URL地址。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
request-url:DDNS更新请求的URL地址,为1~240个字符的字符串,区分大小写。
【使用指导】
不同DDNS服务器的请求更新URL地址有所不同。常见的DDNS服务器URL地址格式如表2-2所示。
表2-2 常见的用于更新域名对应的IPv4地址的DDNS更新请求URL地址格式列表
|
DDNS服务器 |
DDNS更新请求的URL地址格式 |
|
www.3322.org |
http://members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNDNS |
http://members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNS |
http://www.dyns.cx/postscript.php?host=<h>&ip=<a> |
|
ZONEEDIT |
http://dynamic.zoneedit.com/auth/dynamic.html?host=<h>&dnsto=<a> |
|
TZO |
http://cgi.tzo.com/webclient/signedon.html?TZOName=<h>IPAddress=<a> |
|
EASYDNS |
http://members.easydns.com/dyn/ez-ipupdate.php?action=edit&myip=<a>&host_id=<h> |
|
HEIPV6TB |
http://dyn.dns.he.net/nic/update?hostname=<h>&myip=<a> |
|
CHANGE-IP |
http://nic.changeip.com/nic/update?hostname=<h>&offline=1 |
|
NO-IP |
http://dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a> |
|
DHS |
http://members.dhs.org/nic/hosts?domain=dyn.dhs.org&hostname=<h>&hostscmd=edit&hostscmdstage=2&type=1&ip=<a> |
|
HP |
https://server-name/nic/update?group=group-name&myip=<a> |
|
ODS |
ods://update.ods.org |
|
GNUDIP |
gnudip://server-name |
|
花生壳 |
根据实际情况选择: · oray://phddns60.oray.net · oray://phservice2.oray.net |
表2-3 常见的用于更新域名对应的IPv6地址的DDNS更新请求URL地址格式列表
|
DDNS服务器 |
DDNS更新请求的URL地址格式 |
|
NTT |
http://ddnsapi-v6.e-ntt.jp/api/renew/?string 使用url命令指定DDNS更新请求的URL地址时,string部分需要指定为NTT提供的密钥 |
|
Arteria |
https://<DDNS服务的更新链接>?d=FQDN&p=password&a=[IP6]&u=id 使用url命令指定DDNS更新请求的URL地址时,<DDNS服务的更新链接>、FQDN、password和id均需要指定为Arteria提供的值。[IP6]由系统根据应用DDNS策略的接口的IPv6地址自动填写 |
URL地址中不支持携带用户名和密码,配置用户名和密码请配合username和password命令使用,请根据实际情况修改。
HP和GNUDIP是通用的DDNS更新协议,server-name是使用对应DDNS更新协议的服务提供商的服务器域名或地址。
DDNS更新请求的URL地址可以以“http://”开头,表示基于HTTP与DDNS服务器通信;以“https://”开头,表示基于HTTPS与DDNS服务器通信;以“ods://”开头,表示基于TCP与ODS服务器通信;以“gnudip://”开头,表示基于TCP与GNUDIP服务器通信;以“oray://”开头,表示基于TCP与花生壳DDNS服务器通信。
members.3322.org和phddns60.oray.net是服务提供商提供DDNS服务的域名。花生壳提供DDNS服务的域名是phddns60.oray.net和phservice2.oray.net,phservice2.oray.net对应的是花生壳老版的服务器公网地址,phddns60.oray.net对应的是当前新版本的服务器公网地址。花生壳基本不再维护老版本的服务器公网地址,所以部分服务器有时会登录不上,需要重复多试几次。在花生壳上申请的新账号应使用新版本的服务器公网地址。请根据实际情况修改域名。
URL地址中的端口号是可选项,如果不包含端口号则使用缺省端口号:HTTP是80,HTTPS是443,花生壳DDNS服务器是6060。
<h>由系统根据接口上应用DDNS策略时指定的FQDN自动填写,<a>由系统根据应用DDNS策略的接口的主IP地址自动填写,用户可以不更改URL中的<h>和<a>。用户也可以手工输入需要更新的FQDN和IP地址,代替URL中的<h>和<a>,此时,应用DDNS策略时指定的FQDN将不会生效。为了避免配置错误,建议用户不要修改URL中的<h>和<a>。
花生壳DDNS服务器的URL地址中不能指定用于更新的FQDN和IP地址。用户可在接口上应用DDNS策略时指定FQDN;用于更新的IP地址是应用DDNS策略的接口的主IP地址。
为避免歧义,请尽量不要在DDNS服务器上申请含有“:”、“@”或“?”字符的用户名和密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为DDNS策略steven_policy指定DDNS更新请求的URL地址。DDNS服务提供商为www.3322.org。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] url http:// members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a>
# 为DDNS策略p1指定DDNS更新请求的URL地址。DDNS服务提供商为NTT。
<Sysname> system-view
[Sysname] ddns policy p1
[Sysname-ddns-policy-p1] url http://ddnsapi-v6.e-ntt.jp/api/renew/?7AF958665BEB601253
【相关命令】
· display ddns policy
· ddns policy
· password
· username
username命令用来指定登录DDNS服务器的用户名。
undo username命令用来恢复缺省情况。
【命令】
username username
undo username
【缺省情况】
未指定登录DDNS服务器的用户名。
【视图】
DDNS策略视图
【缺省用户角色】
network-admin
【参数】
username:登录DDNS服务器的用户名,为1~32个字符的字符串,区分大小写。
【举例】
# 为DDNS策略steven_policy指定登录DDNS服务器的用户名为steven。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] username steven
【相关命令】
· display ddns policy
· ddns policy
· password
· url
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
