产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【RG-EG】RG-EG(网关模式)如何设置DNS黑名单

发布时间:2013-09-25
点击量:6359

一、组网需求

当前内网有电信、网通两条带宽不同的外网出口线路,内网用户主机只配置了电信运营商的DNS,有的甚至配置了无效的DNS地址。客户有如下需求:    

1.使电信和联通的资源分布得更均衡,从而能更充分地利用带宽。

2.内网用户配置任意的DNS都能上网。

3.可以主动发现外网的某个DNS服务器故障,并切换到正常的DNS。

 

二、组网拓扑

 

三、配置要点

1、必须在内网接口开启正向DNS代理功能。

2、DNS-Proxy工作在网关模式,不支持网桥模式。

3、自动选路功能开启,保证电信数据走电信,网通数据走网通。

4、正向DNS代理目前不支持 TCP协议的 DNS报文。

5、DNS-Proxy > PBR > 应用路由 >  普通选路。

6、内网电脑设置DNS的时候注意不能配置同一网段的地址,否则DNS请求到不了EG设备,会导致内网用户无法解析网站。

7、配置恶意的ip或ip网段 

 

四、功能原理

以用户访问百度域名www.baidu.com为例

内网主机发送DNS解析请求报文,请求解析百度的域名,该报文到达EG后,EG设备劫持了该报文,EG通过对比当前两条外网线路带宽的负载比例,假设电信与网通都是10兆线路,电信当前带宽利用了8兆,网通利用了4兆,此时EG判断网通线路比较空闲,就以网通接口上配置的网通DNS地址去解析该域名,解析后的地址为百度域名对应的网通地址。后续该主机发送去往网通百度地址的访问数据后,到底EG,匹配了EG内置的电信/网通的路由表后,就从网通出口转发出去。

 负载均衡策略

负载策略----根据出口的负载,每次都选择负载最小的出口,这是默认策略

  带宽策略----根据出口的带宽比例,使DNS报文按出口带宽的比例分配转发

 

五、配置步骤

概念解释:

DNS黑名单:您可以将某些非法或恶意的IP加入黑名单中,当DNS代理拦截到DNS应答报文时,如果发现里头域名对应的IP在黑名单中,就把该报文丢弃。以免用户被该IP劫持到非法网站上去。

排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。

注意:在配置DNS黑名单前必须先配置正向DNS代理的基础配置

进入”网络配置“---  “DNS配置”----“正向DNS代理”

1、选择DNS黑名单;

2、填写恶意的ip或ip网段 ;

注意:填写恶意的ip地址或ip网段通常指一些非法的网站地址。

命令行生成的命令如下:

dns-proxy  //开启dns代理

blacklist domain-ip 220.181.111.188 // NDS黑名单添加的ip地址

 

六、配置验证

1、首先清空IE的缓存:IE浏览器的工具---internet选项 

2、情况DNS缓存

查看百度的地址已经无法正常解析和ping,但是ping其他网址都是可以正常解析的。

3、在IE浏览器上输入www.baidu.com 显示如下:

注意:正常情况下打开网页,在无法打开的时候图示该网页无法限制,但是被DNS黑名过滤后回显示”该地址无效“

在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式