【RG-NPE】RG-NPE正向DNS代理基础配置

发布时间: 2013-09-15 点击量:2305 打印 字体:

一、组网需求

当前内网有电信、网通两条带宽不同的外网出口线路,内网用户主机只配置了电信运营商的DNS,有的甚至配置了无效的DNS地址。客户有如下需求:    

1、使内网用户访问的资源在NPE多外网线路之间分布得更均衡,从而能更充分地利用带宽;

2、内网用户配置任意的公网DNS都能上网;

3、可以主动发现外网的某个DNS服务器故障,并切换到正常的DNS。

 

二、组网拓扑

 

三、配置要点

1、必须在内网接口开启正向DNS代理功能。

2、自动选路功能开启,保证电信数据走电信,网通数据走网通。

3、选路优先级:正向DNS代理 > 策略路由 > 应用路由 >  普通选路;

注意:

①正向dns代理通常配合地址库选路一起使用效果更好,建议使用正向DNS代理功能之前,先开启地址库选路;

② 正向DNS代理与智能DNS功能本身无冲突,可以共用;但一般部署智能DNS的网络场景中内网有自己的DNS服务器,此时如果内部DNS服务器向外查询的方式为迭代查询,则不适合开启正向DNS代理功能。

客户端向DNS服务器请求的报文通常为递归查询方式,但一般DNS服务器之间的查询方式为迭代查询,即内网用户向DNS A查询,A向 DNS B查询,B上没有A所要的查询结果,则返回DNS C地址给A,让A向C发起查询请求。此场景下,NPE上拦截到的DNS报文为DNS服务器向外部DNS请求的报文,如果为迭代查询,则每次往外查询的报文目的地址都被替换,如果NPE上配置的DNS没有所要的查询结果,将造成迭代查询无法查询出最终的DNS解析结果,内网无法访问此网站;

③ 对于使用策略路由选路的IP,不能使用正向DNS代理,请将其加入到“排除DNS代理”中,否则如果DNS解析出电信的地址,而策略路由又强制走联通,会造成这部分IP访问外网时经常出现跨运营商访问,造成网页打开慢甚至打不开的问题。
④如果希望当内网向某个公网DNS发起请求的报文不被代理,可以将这个DNS地址加入到“排除DNS代理”中,排除的类型选择为DNS服务器;缺点是如果此DNS发生故障,则由于NPE正向DNS代理未监控此报文而造成这部分用户无法通过该DNS进行域名解析,导致部分服务无法使用;

 

4、内网电脑设置DNS的时候注意不能配置与本机同一网段的地址,否则DNS请求到不了NPE设备。

 

四、配置步骤

概念解释:

基础配置:是“正向DNS代理”功能生效的前提配置,需要实现DNS黑名单、排除DNS代理等功能必须先开启对应或线路的DNS代理功能;

排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:内网IP地址、外网DNS服务器)。

WEB配置方法:

进入”网络配置“---  “DNS配置”----“正向DNS代理”---”基础配置“

a、勾选全局功能开关;

b、勾选需要配置DNS服务器的外网接口,每条外网线路可以写2个DNS,第一个为主DNS,第二个为备DNS;

c、在外网接口上配置这条运营商线路的主备DNS

            配置完成后,将不需要使用DNS代理的地址加入排查DNS代理资源列表中:

进入”网络配置“---  “DNS配置”----“正向DNS代理”---”排除DNS代理“

      排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:指定的外网DNS服务器、走策略路由的IP地址等)。

 

命令行配置方法:

1、进入全局配置模式,配置正向DNS代理的负载策略及rns:rns会循环去探测指定的目的服务器的工作状态,并把探测结果通告给track

           dns-proxy                                 //正向DNS代理配置模式

 load-balance bandwidth  //建议使用基于带宽的策略

       

ip rns 1   //一个DNS服务器需要使用一个rns

  dns www.sina.com.cn name-server 218.85.157.99     //默认用新浪域名作为被侦测域名,当使用该DNS无法解析该域名,则系统会选择线路上的备用的DNS

  frequency 5000                      //默认探测频率 5000毫秒 

  timeout 5000                        //探测超时为5000 毫秒

 

ip rns 2

  dns www.sina.com.cn name-server 218.85.152.99

 frequency 5000

  timeout 5000

 

ip rns 3

  dns www.sina.com.cn name-server 211.97.104.129

  frequency 5000

  timeout 5000

 

ip rns 4

 dns www.sina.com.cn name-server 218.104.128.106

  frequency 5000

 timeout 5000

2、进入全局配置,将rns与track进行关联:track收到rns的探测结果后会同步给dns代理模块

track 1 rns 1

track 2 rns 2

track 3 rns 3

track 4 rns 4

3、在外网接口关联对应的DNS及track:

interface GigabitEthernet 0/2    //电信外网口

 ip nat outside

  ip name-server 218.85.157.99 track 1

  ip name-server 218.85.152.99 track 2

  ip address 192.168.33.145 255.255.255.0     

  nexthop 192.168.33.1

 

interface GigabitEthernet 0/6   //联通外网口

ip nat outside

ip add  192.168.34.56

ip name-server 211.97.104.129 track 3

  ip name-server 192.168.58.110 track 4

nexthop 192.168.34.1

        4、在所有内网口启用DNS代理功能:

interface GigabitEthernet 0/0    //内网接口

 ip nat inside

dns-proxy enable

 5、配置不需要进行DNS代理的地址或地址范围:

  Ruijie(config)#dns-proxy       //进入DNS代理配置模式

    Ruijie(config-dns-proxy)# whitelist source-ip 192.168.1.10 192.168.1.100     //设置排除进行正向DNS代理的内网源IP地址范围

 Ruijie(config-dns-proxy)#whitelist name-server 210.1.2.1                             //设置排除进行正向DNS代理的内网源IP地址

 Ruijie(config-dns-proxy)#whitelist source-ip 192.168.2.100                         //设置排除进行正向DNS代理的外网目的DNS

 

 

五、配置验证

1、将电脑网卡的DNS更改为与内网不同网段的任意IP地址,测试是否可以正常解析网站。

进入DOS框先清空DNS缓存,再ping一个域名,去发起DNS请求:

注意:测试前先清除DNS缓存(DOS框下用命令 ipconfig/flushdns)

2、在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况

3、在特权模式下用 show dns-proxy name-server命令显示所有接口的 dns 服务器配置情况,及当前该DNS服务器是否可用:

状态为up代表该DNS可用;

4、可以在web界面查看DNS代理的统计信息,但看不到DNS当前是否可用:

 

00 分享 纠错
相关条目