【RG-EG】RG-EG(网关模式)智能DNS设置

发布时间: 2013-09-25 点击量:3188 打印 字体:

一、组网需求

用户已经注册了教育网DNS,用户的DNS服务器放在内网,配置的是教育网的公网IP,当外网用户需要通过域名访问此学校的网络资源时,运营商会把DNS请求发送给学校内部的DNS服务器来解析,学校内部的DNS服务器上有域名和内部服务器IP地址的对应,内服务器的IP都是教育网的公网IP,学校内部的DNS服务器根据域名与IP的对应关系回应外网的DNS请求.在此情况下不管是教育网的用户,还是电信,联通的用户,都会是解析出服务器上配置教育网的IP,所以导致电信,联通,移动的用户都要通过教育网来访问学校内部的网络资源,所以会比较慢。

用户现有电信,联通,移动,教育网四条出口线路,用户需要通过EG的智能DNS功能,让电信的用户解析学校的域名时,解析出来的是电信的公网IP;联通的用户解析出来的是,联通线路的IP,移动用户解析出来的是移动线路的IP,教育网用户解析出来的还是原来教育网的IP,使得不同运营商的用户都使用相对应的线路来访问学校的资源,都能获得最佳的访问速度。

 

二、组网拓扑

拓扑说明:

如拓扑所示:电信分配置的公网IP为222.170.150.0/27,网关为222.170.150.1;联通分配的公网IP为61.180.125.0/27,网关为61.180.125.1;移动分配置公网IP为120.193.65.0/27,网关为120.193.65.1;教育网分配了的多个网段的公网IP,接口互连的公网IP为200.202.180.0/29, 网关为200.202.180.1.

用户内网的服务器都是教育网的公网IP,DNS服务器已经在教育网注册.如拓扑图DNS服务器的公网IP为202.196.100.100;WEB服务器的公网IP为202.196.125.2;FTP服务器的公网IP为202.196.125.3。

智能DNS方案要求满足拓扑满足如下条件:

①客户出口为多线路不同运营商;

②内网必须有DNS服务器,DNS服务器为公网或者私网地址均可,且DNS服务器在运营商处注册;

③外网访问客户处WEB服务器时,外网域名解析最后会被运营商转发到客户内网的DNS服务器上进行。

 

三、功能原理

如学校的WEB服务器域名为www.test.edu.cn,对应的IP为202.196.125.2,学校的FTP服务器域名为ftp.test.edu.cn 对应的IP为202.196.125.3.那么在没有智能DNS功能的时候,外网不管那个运营商的用户通DNS服务器202.196.100.100解析出来的IP都会是服务器上实际配置的教育网的IP。在配置了第二代智能DNS后,EG会分析DNS服务器的DNS回应报文,并根据外网用户的IP去查找路由表,根据外网用户IP所对应的路由出接口和智能DNS配置的映射表,修改原来DNS回应报文中域名所对应的IP。

例:外网有一个电信的用户,需要访问www.test.edu.cn,在运营商没有缓存的情况,DNS请求报文最终会到达学校内网的DNS服务器202.196.100.100,此时DNS服务器会根据此域名对应的IP,202.196.125.2回应,DNS回应的报文到达EG后,EG会分析此DNS报文,通过查看路由表发现用户的IP是通过电信的接口出去,此时EG会根据智能DNS映射表,把原来服务器教育网的IP换成电信的IP,222.170.150.3,再从教育网将DNS应答报文发送给用户,此时用户就会通过电信的IP来访问学校的网站。

 

四、配置要点

1、根据运营商分配的公网IP和用户的规划配置好EG的接口IP,在所有外网接口配置上源进源出功能;

说明:源进源出功能保证来回路径一致,在多出口且内网有服务器需要被外网访问时必须使用。此场景下,内网DNS回应报文的转发、外网收到解析报文后访问服务器,服务器回应时都需要用源进源出功能

2、配置电信,联通,移动,教育网自动选路功能,配置好默认路由;

     说明:根据地址库自动选路,是智能DNS功能判断来访IP属于哪个运营商IP,需要给其回应哪个服务器地址的判断依据,因此必须配置

3、配置第二代智能DNS;

4、根据需要配置好端口映射;

     说明:智能DNS只是拦截并替换DNS回应报文中域名对应的服务器IP,并不能代替映射,如果没有映射,外网用户获取到最佳地址后还是访问不了服务器;

 

五、配置步骤

此功能需要在命令行下完成配置。

1、根据运营商分配的公网IP和用户的规划配置好EG的接口IP并开启外网线路源进源出功能:

interface GigabitEthernet 0/0

 ip nat inside

 ip address 192.168.1.1 255.255.255.0

 description to_neiwang

!

interface GigabitEthernet 0/1

 ip nat outside

 ip address 222.170.150.2 255.255.255.224

 reverse-path       //开启源进源出功能,保证web服务器的回应报文能从入接口返回

 description to_CNII

!

interface GigabitEthernet 0/2

 ip nat outside

 ip address 61.180.125.2  255.255.255.224

 reverse-path

 description to_CNC

!

interface GigabitEthernet 0/3

 ip nat outside

 ip address 120.193.65.2  255.255.255.224

 reverse-path

 description to_CMCC

 !

interface GigabitEthernet 0/4

 ip nat outside

 ip address 200.202.180.2 255.255.255.224

 reverse-path           //外网是通过此接口进入内网DNS进行解析的,需要保证回应报文的内容被智能DNS转换后,还是能此接口回应出去

 description to_Cernet

说明:

reverse-path命令是开启接口数据源进源出的功能,也就说开启此功能后,从教育网接口进来的数据包,还是从教育网接口出去,回包时不再查找路由表。这样能防止如电信的用户的DNS请求报文从教育网接口进来,在回包时去查看路由表发现要从电信接口出去,而运营商会做相关限制,在这种路径不一致的情况下,会丢弃报文,导致解析不成功。

2、EG路由配置

route-auto-choose cnii GigabitEthernet 0/1 222.170.150.1

route-auto-choose cnc GigabitEthernet 0/2 61.180.125.1

route-auto-choose cmcc GigabitEthernet 0/3 120.193.65.1

route-auto-choose cernet GigabitEthernet 0/4 200.202.180.1

 

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 222.170.150.1

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/2 61.180.125.1 10

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 120.193.65.1 10

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/4 200.202.180.1 10

说明:

智能DNS是通过修改学校内部DNS服务器,给外网用户的DNS回应报文,来实现智能DNS的功能。学校内部的DNS服务器回应的DNS报文中,学校域名所对应的IP都是教育网的IP,智能DNS会根据DNS回应报文的目的IP的出接口,来把域名对应的内网的教育网IP更改为对应出接口的运营商IP。DNS回应报文的目的IP从哪个接口出,是通过查看路由表得出的,所以我们必须要配置好各运营商线路自动选路功能。EG内置了各运营商的路由表,使用route-auto-choose命令调用。默认路由可以根据实际需要配置,此处是让匹配不到细化路由的外网用户通过电信访问学校的资源,如果未命中地址库的地址需要做负载均衡,则可将浮动默认路由后的管理距离“10”去掉;

3、智能DNS配置

smartdns enable    //启用智能DNS功能

smartdns 202.196.125.2  Gi0/1 map 222.170.150.3   //配置智能DNS映射表,内网回应的DNS应答报文中域名解析出的地址为202.196.125.2,如果EG选路后,DNS目的IP从g0/1口转发,则将202.196.125.2替换为222.170.150.3

smartdns 202.196.125.2  Gi0/2 map 61.180.125.3

smartdns 202.196.125.2  Gi0/3 map 120.193.65.3

smartdns 202.196.125.3  Gi0/1 map 222.170.150.4

smartdns 202.196.125.3  Gi0/2 map 61.180.125.4

smartdns 202.196.125.3  Gi0/3 map 120.193.65.4

说明:

如果是教育网的用户来访问,由于此时内网DNS回应的报文已经是服务器的教育网IP,因此不需要进行修改,所以此处不需要配置教育网线路的映射表。

4、端口映射配置

ip nat inside source static tcp  202.196.125.2 80 222.170.150.3 80 permit-inside

ip nat inside source static tcp  202.196.125.2 80 61.180.125.3  80 permit-inside

ip nat inside source static tcp  202.196.125.2 80 120.193.65.3  80 permit-inside

ip nat inside source static tcp  202.196.125.3 21 222.170.150.4 21 permit-inside

ip nat inside source static tcp  202.196.125.3 21 61.180.125.4  21 permit-inside

ip nat inside source static tcp  202.196.125.3 21 120.193.65.4  21 permit-inside

说明:映射加permit-inside,可以让内网用户也能用服务器映射的公网地址访问服务器

5、保存配置

 

六、配置验证

1、配置完成后可以在电信,联通,移动分别访问学校的网站,看解析出来是否是相应运营商的IP。

2、有时候在电信运商的DNS服务器上,会有配置智能DNS前的缓存,即原来域名对应的教育网IP。这个时候用户去解析学校的域名时还是会解析到教育网的IP,因为DNS请求报文根本就没有到达EG ,而被运营商直接回应了。

针对运营商有缓存的情况,可以直接把电脑的DNS改成,学校内部DNS服务器的IP。并使用ipconfig/flushdns 清除电脑DNS缓存,再去解析,看是否能解析出对应的公网IP。

3、目前一般情况下客户端的DNS解析都是使用的递归解析,及是由运营内部的域名服务器去到最终的学校内部的服务器去解析,再由运营商的DNS服务器把解析结果反馈给最终的用户。所以在一般情况下,不管用户是那个运营商的,测试时只要修改电脑的DNS为某个运营商,就可以测试出EG的智能DNS是否生效。例如一个电信的用户,现在配置的DNS服务器是联通的,那么联通的服务器会代替电信的用户去解析学校的域名,此时在EG看到的是联通的IP,所以会反馈域名所对应的IP是联通的地址。 

4、在设备上可以查看智能DNS选路的统计值:

Ruijie#show smartdns pkt-stat 

------------ smartdns packet state --------------

smart dns receive dns request packet num: 23    //智能DNS收到的DNS请求报文数

the number of request which matching ip: 20     //匹配到映射表的请求数

the number of request which unmatching ip 3

-------------------------------------------------

 

 

00 分享 纠错
相关条目