交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
当DNS代理拦截到DNS应答报文时,如果发现里头域名对应的IP在黑名单中,就把该报文丢弃,阻止用户访问,以免用户被该IP劫持到非法网站上去。
二、组网拓扑
三、配置要点
配置完DNS正向代理基础配置后,在DNS黑名单处配置恶意的IP地址或IP网段,将某些非法或恶意的IP加入黑名单中。
功能作用:当DNS代理拦截到DNS应答报文时,如果发现里头域名对应的IP在黑名单中,就把该报文丢弃,阻止用户访问,以免用户被该IP劫持到非法网站上去。
四、配置步骤
注意:在配置DNS黑名单前必须先配置正向DNS代理的基础配置
WEB配置方法:
进入菜单 网络配置>DNS配置>正向DNS代理
1、检查基础配置完成,已开启正向DNS代理功能;
2、进入菜单 DNS黑名单,填写恶意的IP或IP网段:
注意:填写恶意的ip地址或ip网段通常指一些非法的网站地址。
命令行配置方法:
Ruijie(config)#dns-proxy //进入DNS代理全局配置模块
Ruijie(config-dns-proxy)#blacklist domain-ip 61.135.169.125 // DNS黑名单添加的ip地址
Ruijie(config-dns-proxy)#blacklist domain-ip 220.181.111.83 // DNS黑名单添加的ip地址
五、配置验证
1、首先清空IE的缓存:IE浏览器的工具---internet选项
2、清空DNS缓存
查看百度的地址已经无法正常解析和ping,但是ping其他网址都是可以正常解析的。
3、在IE浏览器上输入www.baidu.com 显示如下:
在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况: