1 基于全局DNS代理配置案例

1.1   适用的产品和版本

表1-1     配置示例使用的产品和版本

设备类型

设备型号

版本

NBR网关

RG-NBR-N7000系列网关

RG-NBR-N7000-EA系列网关

适用于NBR_NTOS 1.0R13或更高版本

 

1.2   业务需求

如图所示,客户端群体通过网关访问Web服务器,网关到达Web服务器存在一条电信链路和一条移动链路,分别关联电信地址库和移动地址库。客户群1192.168.50.0/24网段的内网用户)的PC都配置DNS服务器为8.8.8.8,客户群2192.168.30.0/24网段的内网用户)的PC都配置DNS服务器为114.114.114.114

为了保障业务的连续性以及网络质量,可以在网关上开启DNS代理,排除内网终端DNS的配置差异,统一用223.5.5.5进行DNS代理,保障网络体验同质化。

图1-1     基于全局DNS代理组网图

 

 

1.3   配置限制与说明

l  仅对IPv4流量生效。

l  仅对内网访问外网的DNS流量进行分流和代理。

l  若设备同时开启域名路由功能,域名路由优先级高于DNS代理。

l  默认基于源地址负载均衡后,相同源IP地址的报文均会由同一个接口发出:

         当某个接口流量达到带宽阈值,则该接口不再参与新建流的流量分担;

         当所有接口流量都达到带宽阈值,所有接口都参与新建流的流量的分担。

1.4   前置条件

l  已完成客户端和Web服务器的接口IP、接口带宽、DNS服务器、默认路由等基本网络配置。

l  设备需完成基础上网配置,如接口IP、接口带宽、路由等。

1.5   配置步骤

1.5.1  配置WAN

(1)   点击[网络]>>[接口]>>[物理接口]菜单项,编辑接口Ge0/2

         接口名称:Ge0/2

         连接状态:启用

         模式:路由模式

         接口类型:WAN

         IP类型:IPv4

         连接类型:DHCP。根据运营商提供的上网方式设置,若为静态地址方式,需手动设置接口IP/掩码、下一跳地址,并开启默认路由。

 

(2)   编辑接口Ge0/4

         接口名称:Ge0/4

         连接状态:启用

         模式:路由模式

         接口类型:WAN

         IP类型:IPv4

         连接类型:DHCP。根据运营商提供的上网方式设置,若为静态地址方式,需手动设置接口IP/掩码、下一跳地址,并开启默认路由。

 

1.5.2  配置LAN

(1)   点击[网络]>>[接口]>>[物理接口]菜单项,编辑接口Ge0/3

         接口名称:Ge0/3

         连接状态:启用

         模式:路由模式

         接口类型:LAN

         IP类型:IPv4

         连接类型:静态地址

         IP/网络掩码:192.168.30.1/255.255.255.0

         访问管理:根据实际需求开启

 

(2)   参考Ge0/3口配置,编辑接口Ge0/5

         接口名称:Ge0/5

         连接状态:启用

         模式:路由模式

         接口类型:LAN

         IP类型:IPv4

         连接类型:静态地址

         IP/网络掩码:192.168.50.1/255.255.255.0

         访问管理:根据实际需求开启

 

1.5.3  配置DNS代理

(1)   开启DNS代理。

点击[网络]>>[DNS] >>[DNS代理]菜单项,点击开启DNS代理

 

(2)   配置代理模式为“使用全局DNS”。

DNS代理配置页面,互联网DNS服务器区域下,代理模式选择“使用全局DNS”,配置全局DNS223.5.5.5

 

(3)   配置代理范围。

a      [DNS代理]页面,点击<代理范围>右侧的“配置”。

 

b      点击<新增>,添加代理策略。

 

c      为子网192.168.30.0/24添加一条名为“dnsp_30”的代理策略。

入接口:Ge0/3

源地址:创建地址对象“subnet_30”,IP地址范围为192.168.30.0/24

目的地址:any

服务:dns-t, dns-u

代理动作:代理

1777033127404050543.png     说明

配置源地址和目的地址时,若地址对象不存在,需点击“新增地址”,先创建对象再关联。

 

 

d      参考上述配置方法,为子网192.168.50.0/24添加一条名为“dnsp_50”的代理策略。

 

1.6   验证配置结果

1.6.1  查看接口IP

点击[网络]>>[接口]>>[物理接口],查看WAN口和LAN口的地址信息如下。

 

1.6.2  查看DNS代理

点击[网络]>>[DNS]>>[DNS代理],查看DNS代理全局开关、代理接口以及代理范围等配置如下。

 

 

1.6.3  流量效果

1.    同源同出口

通过查看实时会话信息,验证相同源IP的流量是否从同一出接口转发。

点击[监控]>>[会话]>>[详细会话信息],点击<查询条件>按源地址筛选会话。

l  筛选源地址是192.168.50.81的内网终端的流量,可以看到终端IP192.168.50.81的所有流量都从Ge0/4转发。

 

l  筛选源地址是192.168.30.8的内网终端的流量,可以看到终端IP192.168.30.8所有的流量都从Ge0/2转发。

 

2.    DNS请求被代理

通过查看抓包的报文中目的地址的转换,确认DNS请求是否被成功代理。

(1)   点击[系统]>>[故障诊断]>>[抓包工具],点击<开始抓包>,配置抓包条件:

l  接口:Ge0/3Ge0/4

l  协议类型:IPv4

l  过滤:UDP

l  目的端口:53

 

(2)   配置完成后,点击<开始抓包>。获取一定数量报文后,停止抓包,点击查看可以发现DNS请求目的地址都从8.8.8.8变成了223.5.5.5,正向代理生效。