产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【RG-EG】RG-EG(网关模式)正向DNS代理基础配置

发布时间:2013-09-25
点击量:7723

一、组网需求

当前内网有电信、网通两条带宽不同的外网出口线路,内网用户主机只配置了电信运营商的DNS,有的甚至配置了无效的DNS地址。客户有如下需求:    

1.使电信和联通的资源分布得更均衡,从而能更充分地利用带宽。

2.内网用户配置任意的DNS都能上网。

3.可以主动发现外网的某个DNS服务器故障,并切换到正常的DNS。

 

二、组网拓扑

 

三、配置要点

1、必须在内网接口开启正向DNS代理功能。

2、DNS-Proxy工作在网关模式,不支持网桥模式。

3、自动选路功能开启,保证电信数据走电信,网通数据走网通。

4、正向DNS代理目前不支持 TCP协议的 DNS报文。

5、DNS-Proxy > PBR > 应用路由 >  普通选路。

6、内网电脑设置DNS的时候注意不能配置同一网段的地址,否则DNS请求到不了EG设备,会导致内网用户无法解析网站。

 

四、功能原理

以用户访问百度域名www.baidu.com为例

内网主机发送DNS解析请求报文,请求解析百度的域名,该报文到达EG后,EG设备劫持了该报文,EG通过对比当前两条外网线路带宽的负载比例,假设电信与网通都是10兆线路,电信当前带宽利用了8兆,网通利用了4兆,此时EG判断网通线路比较空闲,就以网通接口上配置的网通DNS地址去解析该域名,解析后的地址为百度域名对应的网通地址。后续该主机发送去往网通百度地址的访问数据后,到底EG,匹配了EG内置的电信/网通的路由表后,就从网通出口转发出去。

 

负载均衡策略

负载策略----根据出口的负载,每次都选择负载最小的出口,这是默认策略

带宽策略----根据出口的带宽比例,使DNS报文按出口带宽的比例分配转发

 

五、配置步骤

概念解释:

基础配置:是“正向DNS代理”功能生效的前提配置,需要实现DNS黑名单、排除DNS代理等功能必须先开启对应或线路的DNS代理功能;

排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。

1、进入”网络配置“---  “DNS配置”----“正向DNS代理”---”基础配置“

a、勾选全局功能开关  ;

b、勾选需要外网接口 ;

c、在外网接口上配置相应运营商线路的主备DNS

 

对应的命令行命令如下:

track 1 rns 1

track 2 rns 2

track 3 rns 3

track 4 rns 4

 

dns-proxy         //DNS正向代理全局开关

load-balance load  //默认策略就是基于负载的策略,所以该命令在命令行下是看不到的

 

ip rns 1

  dns www.sina.com.cn name-server 218.85.157.99     //默认用新浪域名作为被侦测域名,当使用该DNS无法解析该域名,则系统会选择备用的DNS

  frequency 5000          //默认探测频率 5000毫秒 

  timeout 5000             //探测超时为5000 毫秒

 

ip rns 2

  dns www.sina.com.cn name-server 218.85.152.99

 frequency 5000

  timeout 5000

 

ip rns 3

  dns www.sina.com.cn name-server 211.97.104.129

  frequency 5000

  timeout 5000

 

ip rns 4

 dns www.sina.com.cn name-server 192.168.58.110

  frequency 5000

 timeout 5000

 

interface GigabitEthernet 0/0    //内网接口

 ip nat inside

   ip address 192.168.1.1 255.255.255.0

dns-proxy enable

 

interface GigabitEthernet 0/2    //电信外网口

 ip nat outside

  ip name-server 218.85.157.99 track 1

  ip name-server 218.85.152.99 track 2

  ip address 192.168.33.145 255.255.255.0     

  nexthop 192.168.33.1

 

interface GigabitEthernet 0/6   //网通外网口

ip nat outside

ip add  192.168.34.56

ip name-server 211.97.104.129 track 3

  ip name-server 192.168.58.110 track 4

nexthop 192.168.34.1

2、进入”网络配置“---  “DNS配置”----“正向DNS代理”---”排除DNS代理“

      排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。

      命令行下生成的命令如下:

      dns-proxy  //开启dns代理

        whitelist source-ip 192.168.1.1 192.168.1.100 //排除的DNS代理ip地址

 

六、配置验证

1、将电脑网卡的DNS更改为与内网不同网段的任意IP地址,测试是否可以正常解析网站。

注意:测试前先清除DNS缓存(ipconfig/flushdns)

2、在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况

3、在特权模式下用 show dns-proxy name-server命令显示所有接口的 dns 服务器配置情况

4、可以再web界面查看DNS代理的统计信息

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式