- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
23-DNS透明代理
本章節下載: 23-DNS透明代理 (469.70 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置限製和指導
要實現本功能,管理員需要保證客戶端的DNS請求報文能夠發到設備上,且客戶端配置的DNS服務器的地址不能為設備的接口地址或與接口地址同網段的地址。
若要配置對指定鏈路進行健康檢測,則需要在健康模板中指定出接口。避免探測鏈路斷開後,探測報文根據等價路由從其他鏈路發送出去,探測結果不符合實際情況。
○ 健康檢測(可選)
○ 持續性組(可選)
○ 流量特征
○ 鏈路
○ DNS服務器
○ DNS服務器池
○ 代理策略
如圖-1所示,企業內網用戶可以通過運營商ISP 1的鏈路Link 1和ISP 2的鏈路Link 2分別訪問提供相同網絡服務的外網服務器External server A和External server B。企業內網用戶通過域名訪問外網服務器時,內網用戶的所有DNS請求報文會發往同一DNS服務器。DNS服務器收到DNS請求報文後,將其解析為同一運營商網絡內外網服務器的IP地址,這將使內網用戶的所有流量都通過一條鏈路轉發,導致一條鏈路擁塞,而其他鏈路閑置。
DNS透明代理功能可以有效解決由於客戶端DNS服務器的配置導致流量分配不均的問題。通過DNS透明代理功能可以使DNS請求報文發往不同運營商網絡內的DNS服務器,從而使內網用戶訪問外網服務器的流量較為均勻地分配到多條鏈路上,提高流量轉發效率,提升服務質量;可以避免出現一條鏈路擁塞而其他鏈路閑置的情況;也可以在某條鏈路出現故障時,使用其他鏈路來訪問外網服務器,避免因鏈路故障導致訪問失敗。
圖-1 DNS透明代理原理圖
設備通過改變DNS請求報文的目的地址控製訪問流量在多條鏈路上的轉發,為內網用戶訪問外網服務器選擇最佳鏈路。
圖-2 設備上的業務處理流程圖
如圖所示,當收到DNS請求的目的端口號匹配DNS透明代理的代理端口號時,負載均衡設備會對DNS請求報文進行DNS透明代理處理。首先在DNS透明代理中查找關聯的DNS服務器池。再依據池中配置的調度算法選出應將DNS請求分發給哪台DNS服務器。設備將選定DNS服務器的IP地址作為目的地址發送DNS請求報文,DNS服務器接收並處理DNS請求報文,將其解析為同網絡內外網服務器的IP地址,並返回DNS應答報文。內網用戶收到應答報文後,就可以訪問該外網服務器了。
要實現本功能,管理員需要保證客戶端的DNS請求報文能夠發到設備上,且客戶端配置的DNS服務器的地址不能為設備的接口地址或與接口地址同網段的地址。
若要配置對指定鏈路進行健康檢測,則需要在健康模板中指定出接口。避免探測鏈路斷開後,探測報文根據等價路由從其他鏈路發送出去,探測結果不符合實際情況。
DNS透明代理功能的配置思路如下圖所示:
圖-3 DNS透明代理配置指導圖
健康檢測模板可被DNS服務器或DNS服務器池引用。
配置健康檢測功能的詳細步驟請參見“健康檢測聯機幫助”。
持續性組可被IPv4/IPv6代理策略引用。
配置持續性組的詳細步驟請參見“負載均衡全局配置聯機幫助”。
流量特征的作用是將報文分類,即通過匹配規則將報文按照一定條件進行匹配,以便對不同類型的報文執行不同的轉發動作。
1. 單擊“策略 > 負載均衡 > 鏈路負載均衡 > DNS透明代理 > 流量特征”。
2. 在“流量特征”頁麵單擊<新建>。
3. 新建流量特征。
表-1 流量特征配置
|
參數 |
說明 |
|
流量特征名稱 |
流量特征的名稱,不區分大小寫 |
|
匹配方式 |
流量特征的匹配方式,包括: · 匹配任意一條規則:匹配任一匹配規則就算匹配該流量特征 · 匹配所有規則:匹配所有匹配規則才算匹配該流量特征 |
|
匹配規則 |
通過匹配規則將報文按照一定條件進行匹配,以便對不同類型的報文執行不同的轉發動作。一個流量特征中最多允許創建65535條匹配規則 1. 單擊<新建>按鈕,新建匹配規則 ○ 規則ID:匹配規則的編號。報文按照規則ID從小到大的順序依次進行匹配 ○ 類型:匹配規則的類型,包括:源IPv4、源IPv6、目的IPv4、目的IPv6、流量特征、IPv4 ACL、IPv6 ACL、域名、用戶和入接口 ○ IPv4地址:匹配指定的IPv4地址。隻有匹配規則的類型選擇“源IPv4”或“目的IPv4”時,才會出現該參數 ○ 掩碼長度:IPv4地址的掩碼長度。隻有匹配規則的類型選擇“源IPv4” 或“目的IPv4”時,才會出現該參數 ○ IPv6地址:匹配指定的IPv6地址。隻有匹配規則的類型選擇“源IPv6” 或“目的IPv6”時,才會出現該參數 ○ 前綴長度:IPv6地址的前綴長度。隻有匹配規則的類型選擇“源IPv6” 或“目的IPv6”時,才會出現該參數 ○ 流量特征:匹配指定的流量特征。隻有匹配規則的類型選擇“流量特征”時,才會出現該參數 ○ IPv4 ACL:匹配指定的IPv4 ACL。可選擇已創建的IPv4 ACL,也可以新創建IPv4 ACL。隻有匹配規則的類型選擇“IPv4 ACL”時,才會出現該參數 ○ IPv6 ACL:匹配指定的IPv6 ACL。可選擇已創建的IPv6 ACL,也可以新創建IPv6 ACL。隻有匹配規則的類型選擇“IPv6 ACL”時,才會出現該參數 ○ 域名:匹配指定的域名。不區分大小寫。由“.”分隔的字符串組成,每個字符串的長度不超過63個字符,包括“.”在內的總長度不超過253個字符。字符串中可以包含字母、數字、“-”、“_”或“.”。域名支持通配符配置,允許使用的通配字符包括問號“?”和星號“*”, 通配符使用規則為:問號“? ”用於代替域名中的單個字符,域名中的點“.”除外,域名中允許使用多個問號“?”;星號“*”用於代替域名中的多個字符,域名中的點“.”除外,域名中允許使用多個星號“*”;域名中允許同時使用問號“?”和星號“*”。隻有匹配規則的類型選擇“域名”時,才會出現該參數 ○ 用戶:匹配指定的用戶或用戶組,可選擇已創建的身份識別用戶或身份識別用戶組,也可以新創建用戶或用戶組。隻有匹配規則的類型選擇“用戶”時,才會出現該參數 ○ 入接口:匹配指定的入接口,隻有匹配規則的類型選擇“入接口”時,才會出現該參數 2. 單擊<確定>,新建的匹配規則會在“匹配規則”中顯示 |
|
描述 |
流量特征的描述信息 |
4. 單擊<確定>,新建的流量特征會在“流量特征”頁麵顯示。
配置鏈路的詳細步驟請參見“負載均衡全局配置聯機幫助”。
通過配置DNS服務器,指定設備上處理和響應DNS請求報文的實體。一個DNS服務器可以屬於多個DNS服務器池,一個DNS服務器池也可以包含多個DNS服務器。
1. 單擊“策略 > 負載均衡 > 鏈路負載均衡 > DNS透明代理 > DNS服務器”。
2. 在“DNS服務器”頁麵單擊<新建>按鈕。
3. 新建DNS服務器。
表-2 DNS服務器配置
|
參數 |
說明 |
|
DNS服務器名稱 |
DNS服務器的名稱,不區分大小寫 |
|
IP地址配置方式 |
DNS服務器的IP地址配置方式,包括: · 手工配置 · 自動獲取:若選擇以自動獲取方式配置IP地址,則必須在鏈路配置頁麵指定自動獲取IP地址的出接口 |
|
IPv4地址 |
DNS服務器的IPv4地址 IPv4地址不能為環回地址、組播地址、廣播地址和0.X.X.X |
|
IPv6地址 |
DNS服務器的IPv6地址 IPv6地址不能為環回地址、組播地址、鏈路本地地址和全0地址 |
|
端口 |
DNS服務器的端口號。0表示繼續使用原報文攜帶的端口號 |
|
權值 |
DNS服務器的權值。在加權輪轉調度時,該數值越大,DNS服務器越被優先調用 |
|
優先級 |
DNS服務器在DNS服務器池中的調用優先級。數值越大,越被優先調用 優先使用高優先級的DNS服務器處理流量。如果最高優先級DNS服務器的個數少於配置的“最小數量”,則在次高優先級中選擇DNS服務器,直至調用的可用DNS服務器數量達到“最小數量,或者沒有可用的DNS服務器可調用為止 其中,“最大數量”和“最小數量”可在“ DNS服務器池”配置頁麵中指定 |
|
健康檢測方法 |
DNS服務器引用的健康檢測模板。通過健康檢測可以對DNS服務器進行檢測,保證其能夠提供有效的服務。用戶既可在“DNS服務器池”配置頁麵對池內的所有DNS服務器進行配置,也可在“DNS服務器”配置頁麵隻對當前DNS服務器進行配置,後者的配置優先級較高 可選擇已創建的健康檢測方法,也可以新建健康檢測方法 |
|
成功條件 |
DNS服務器的健康檢測成功條件 · 全部檢測通過:隻有全部健康檢測方法都通過檢測才認為健康檢測成功 · 至少n個檢測通過:健康檢測成功所需通過檢測的最少方法數為n。當用戶指定的最少方法數n大於設備上實際存在的方法數量時,隻要實際存在的全部方法通過檢測,係統也將認為健康檢測成功 |
|
鏈路 |
配置與DNS服務器關聯的鏈路 可選擇已創建的鏈路,也可以新創建鏈路 |
|
描述 |
DNS服務器的描述信息 |
4. 單擊<確定>按鈕,新建的DNS服務器會在“DNS服務器”頁麵顯示。
為了便於對DNS服務器進行統一管理,可將具有相同或相似功能的DNS服務器抽象成一個組,稱為DNS服務器池。
1. 單擊“策略 > 負載均衡 > 鏈路負載均衡 > DNS透明代理 > DNS服務器池”。
2. 在“DNS服務器池”頁麵單擊<新建>按鈕。
3. 新建DNS服務器池。
表-3 DNS服務器池配置
|
參數 |
說明 |
|
DNS服務器池名稱 |
DNS服務器池的名稱,不區分大小寫 |
|
調度算法 |
選擇DNS服務器池的調度算法,包括: · 帶寬算法:根據DNS服務器的權值與剩餘帶寬的比例把DNS請求分發給每台DNS服務器。當剩餘帶寬相同時,該算法等價於加權輪轉算法;當DNS服務器權值相同時,總是將用戶請求分發給剩餘帶寬最大的鏈路所對應的DNS服務器;當DNS服務器權值和剩餘帶寬均不相同時,兩者共同決定DNS服務器的調度 · 隨機:把新連接隨機分發給每個DNS服務器 · 加權輪轉:即根據DNS服務器權值的大小把新連接依次分發給每台DNS服務器,權值越大,分配的新連接越多 · 最大帶寬算法:總是將DNS請求分發給處於空閑狀態且帶寬最大的鏈路所對應的DNS服務器 · 源IP地址哈希:根據源IP地址進行的哈希算法 · 源IP地址和端口哈希:根據源IP地址和端口號進行的哈希算法 · 目的IP地址哈希:根據目的IP地址進行的哈希算法 缺省情況下,DNS透明代理的調度算法為帶寬算法 |
|
優先級調度 |
缺省情況下,一個DNS服務器池中調用優先級最高的DNS服務器全部被調度算法調用。用戶通過本配置可以限製DNS服務器池中可被調度算法調用的DNS服務器的數量: · 如果調用優先級最高的可用DNS服務器數量大於“最大數量”時,則隻選用“最大數量”個DNS服務器 · 如果調用優先級最高的可用DNS服務器數量小於“最小數量”時,除了調用全部優先級最高的可用DNS服務器外,還會調用優先級次高的可用DNS服務器,直至調用的可用DNS服務器數量達到“最小數量”,或者沒有可用的DNS服務器可調用為止 其中,DNS服務器的優先級在“DNS服務器”配置頁麵指定 |
|
健康檢測方法 |
DNS服務器池引用的健康檢測模板。通過健康檢測可以對DNS服務器進行檢測,保證其能夠提供有效的服務。用戶既可在“DNS服務器池”配置頁麵對組內的所有DNS服務器進行配置,也可在“DNS服務器”配置頁麵隻對當前DNS服務器進行配置,後者的配置優先級較高 可選擇已創建的健康檢測方法,也可以新建健康檢測方法 |
|
健康檢測成功條件 |
DNS服務器池的健康檢測成功條件 · 全部檢測通過:隻有全部健康檢測方法都通過檢測才認為健康檢測成功 · 至少n個檢測通過:健康檢測成功所需通過檢測的最少方法數為n。當用戶指定的最少方法數n大於設備上實際存在的方法數量時,隻要實際存在的全部方法通過檢測,係統也將認為健康檢測成功 |
|
成員列表 |
設備支持以下兩種添加DNS服務器池成員的方式: 新建DNS服務器並將DNS服務器添加為DNS服務器池成員: 1. 單擊<添加>按鈕,選擇“新建DNS服務器”。 2. 配置DNS服務器池成員信息,具體配置項說明請參見“DNS服務器” 3. 單擊<確定>按鈕,新建的DNS服務器會在“成員列表”中顯示 選擇已存在的DNS服務器: 4. 單擊<添加>按鈕,選擇“添加已存在的DNS服務器” 5. 在下拉列表中選擇已創建的DNS服務器並配置DNS服務器池成員信息,具體配置項說明請參見“DNS服務器” 6. 單擊<確定>按鈕,添加的DNS服務器會在“成員列表”中顯示 |
|
描述 |
DNS服務器池的描述信息 |
4. 單擊<確定>按鈕,新建的DNS服務器池會在“DNS服務器池”頁麵顯示。
將流量特征和動作關聯起來就構成了代理策略。代理策略是指導報文轉發的一種方式,用戶可以為匹配特定流量特征的報文指定執行的動作。
用戶隻能在一個代理策略中指定一個流量特征,轉發報文時會按照代理策略的配置順序來匹配流量特征,匹配成功則執行相應的轉發動作,否則繼續匹配下一條流量特征。如果所有流量特征均未匹配,則執行“Default”流量特征對應的動作。
1. 單擊“策略 > 負載均衡 > 鏈路負載均衡 > DNS透明代理 > IPv4/IPv6代理策略”。
2. 在“IPv4/IPv6代理策略”頁麵進行全局配置。
表-4 全局配置
|
參數 |
說明 |
|
狀態 |
用來標識DNS透明代理功能的狀態,包括: · 可用 · 不可用,請檢查配置 |
|
代理端口 |
DNS透明代理端口號。隻有當用戶發送的DNS請求報文的目的端口號匹配DNS透明代理的端口號時,設備才進行DNS透明代理處理 |
|
DNS透明代理功能 |
開啟/關閉DNS透明代理功能。IPv6代理策略不支持本參數 |
|
帶寬繁忙保護 |
開啟/關閉DNS服務器對應鏈路的帶寬繁忙保護功能。帶寬繁忙保護功能就是對DNS服務器對應鏈路的帶寬繁忙比進行限製。當流量超過某條鏈路的帶寬繁忙比後,新建流量(非匹配持續性的流量)將不再向該鏈路分發,而原有流量則仍由該鏈路繼續分發 |
|
會話擴展信息備份 |
開啟/關閉會話擴展信息備份功能 |
|
持續性信息備份 |
開啟/關閉持續性表項備份功能 若設備的配置發生以下變化,則設備會刪除當前已有的持續性表項,後續流量將會重新觸發生成新的持續性表項 · 關閉持續性表項備份功能 · 持續性表項備份由組間備份切換為全局備份 · 持續性表項備份由全局備份切換為組間備份 |
|
持續性表項備份類型 |
持續性表項的備份類型,包括: · 組間備份:表示僅在備份組內備份持續性表項 · 全局備份:在多台負載均衡設備之間備份持續性表項,而非隻在備份組內的兩台設備間備份 隻有持續性表項備份功能處於開啟狀態時,才支持配置本功能 |
1. 單擊“策略 > 負載均衡 > 鏈路負載均衡 > DNS透明代理 > IPv4/IPv6代理策略”。
2. 在“IPv4/IPv6代理策略”頁麵單擊<新建>。
3. 新建IPv4/IPv6代理策略。
表-5 IPv4/IPv6代理策略配置
|
參數 |
說明 |
|
流量特征 |
可選擇已創建的流量特征,也可以新創建流量特征 |
|
轉發動作 |
轉發動作,包括: · 負載均衡 · 丟棄報文 · 轉發 · 跳過DNS透明代理 |
|
ToS |
發往DNS服務器的IP報文中的ToS字段 |
|
DNS服務器池 |
可選擇已創建的DNS服務器池,也可以新創建DNS服務器池 |
|
持續性組 |
DNS透明代理僅支持地址端口類型的持續性組 可選擇已創建的持續性組,也可以新創建持續性組 |
|
選擇DNS服務器失敗的處理 |
配置查找DNS服務器失敗時繼續匹配下一條策略 在轉發中,若根據當前代理策略查找可用DNS服務器失敗時,可繼續順序匹配下一條策略 |
|
選擇DNS服務器全部繁忙的處理 |
配置選擇DNS服務器全部繁忙時繼續匹配下一條規則 在轉發中,若根據當前代理策略選擇的DNS服務器全部處於繁忙狀態時,可繼續順序匹配下一條規則 |
|
位於XX之前 |
將新創建的策略移至指定的IPv4/IPv6代理策略之前,設備將按照先後順序依次匹配流量特征,並執行相應的動作。其中,XX為指定IPv4/IPv6代理策略的流量特征名稱 |
4. 單擊<確定>,新建的IPv4/IPv6代理策略會在“IPv4/IPv6代理策略”頁麵顯示。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
