发布时间:2013-09-25
点击量:8381一、组网需求
当前内网有电信、网通两条带宽不同的外网出口线路,内网用户主机只配置了电信运营商的DNS,有的甚至配置了无效的DNS地址。客户有如下需求:
1.使电信和联通的资源分布得更均衡,从而能更充分地利用带宽。
2.内网用户配置任意的DNS都能上网。
3.可以主动发现外网的某个DNS服务器故障,并切换到正常的DNS。
二、组网拓扑
三、配置要点
1、必须在内网接口开启正向DNS代理功能。
2、DNS-Proxy工作在网关模式,不支持网桥模式。
3、自动选路功能开启,保证电信数据走电信,网通数据走网通。
4、正向DNS代理目前不支持 TCP协议的 DNS报文。
5、DNS-Proxy > PBR > 应用路由 > 普通选路。
6、内网电脑设置DNS的时候注意不能配置同一网段的地址,否则DNS请求到不了EG设备,会导致内网用户无法解析网站。
四、功能原理
以用户访问百度域名www.baidu.com为例
内网主机发送DNS解析请求报文,请求解析百度的域名,该报文到达EG后,EG设备劫持了该报文,EG通过对比当前两条外网线路带宽的负载比例,假设电信与网通都是10兆线路,电信当前带宽利用了8兆,网通利用了4兆,此时EG判断网通线路比较空闲,就以网通接口上配置的网通DNS地址去解析该域名,解析后的地址为百度域名对应的网通地址。后续该主机发送去往网通百度地址的访问数据后,到底EG,匹配了EG内置的电信/网通的路由表后,就从网通出口转发出去。
负载均衡策略
负载策略----根据出口的负载,每次都选择负载最小的出口,这是默认策略
带宽策略----根据出口的带宽比例,使DNS报文按出口带宽的比例分配转发
五、配置步骤
概念解释:
基础配置:是“正向DNS代理”功能生效的前提配置,需要实现DNS黑名单、排除DNS代理等功能必须先开启对应或线路的DNS代理功能;
排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。
1、进入”网络配置“--- “DNS配置”----“正向DNS代理”---”基础配置“
a、勾选全局功能开关 ;
b、勾选需要外网接口 ;
c、在外网接口上配置相应运营商线路的主备DNS
对应的命令行命令如下:
track 1 rns 1
track 2 rns 2
track 3 rns 3
track 4 rns 4
dns-proxy //DNS正向代理全局开关
load-balance load //默认策略就是基于负载的策略,所以该命令在命令行下是看不到的
ip rns 1
dns www.sina.com.cn name-server 218.85.157.99 //默认用新浪域名作为被侦测域名,当使用该DNS无法解析该域名,则系统会选择备用的DNS
frequency 5000 //默认探测频率 5000毫秒
timeout 5000 //探测超时为5000 毫秒
ip rns 2
dns www.sina.com.cn name-server 218.85.152.99
frequency 5000
timeout 5000
ip rns 3
dns www.sina.com.cn name-server 211.97.104.129
frequency 5000
timeout 5000
ip rns 4
dns www.sina.com.cn name-server 192.168.58.110
frequency 5000
timeout 5000
interface GigabitEthernet 0/0 //内网接口
ip nat inside
ip address 192.168.1.1 255.255.255.0
dns-proxy enable
interface GigabitEthernet 0/2 //电信外网口
ip nat outside
ip name-server 218.85.157.99 track 1
ip name-server 218.85.152.99 track 2
ip address 192.168.33.145 255.255.255.0
nexthop 192.168.33.1
interface GigabitEthernet 0/6 //网通外网口
ip nat outside
ip add 192.168.34.56
ip name-server 211.97.104.129 track 3
ip name-server 192.168.58.110 track 4
nexthop 192.168.34.1
2、进入”网络配置“--- “DNS配置”----“正向DNS代理”---”排除DNS代理“
排除DNS代理:是设置一些特殊的不需要受 正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。
命令行下生成的命令如下:
dns-proxy //开启dns代理
whitelist source-ip 192.168.1.1 192.168.1.100 //排除的DNS代理ip地址
六、配置验证
1、将电脑网卡的DNS更改为与内网不同网段的任意IP地址,测试是否可以正常解析网站。
注意:测试前先清除DNS缓存(ipconfig/flushdns)
2、在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况
3、在特权模式下用 show dns-proxy name-server命令显示所有接口的 dns 服务器配置情况
4、可以再web界面查看DNS代理的统计信息
