- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-域名解析命令
本章節下載: 09-域名解析命令 (407.03 KB)
目 錄
1.1.12 dns snooping log enable
1.1.13 dns snooping rate-limit
display dns domain命令用來顯示域名後綴信息。
【命令】
display dns domain [ dynamic ] [ vpn-instance vpn-instance-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dynamic:顯示通過DHCP等協議動態獲得的域名後綴信息。如果未指定本參數,則顯示靜態配置和動態獲得的域名後綴信息。
vpn-instance vpn-instance-name:顯示指定VPN實例內的域名後綴信息。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則顯示公網的域名後綴信息。
【舉例】
# 顯示公網靜態配置和動態獲得的域名後綴信息。
<Sysname> display dns domain
Type:
D: Dynamic S: Static
No. Type Domain suffix
1 S com
2 D net
表1-1 display dns domain命令顯示信息描述表
|
字段 |
描述 |
|
No. |
序號 |
|
Type |
域名後綴類型: · S:表示靜態配置的域名後綴 · D:表示通過DHCP等協議動態獲得的域名後綴 |
|
Domain suffix |
域名後綴 |
【相關命令】
· dns domain
display dns host命令用來顯示域名解析信息。
【命令】
display dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:顯示A類查詢的信息。A類查詢用來解析域名對應的IPv4地址。
ipv6:顯示AAAA類查詢的信息。AAAA類查詢用來解析域名對應的IPv6地址。
vpn-instance vpn-instance-name:顯示指定VPN實例的域名解析信息。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則顯示公網的域名解析信息。
【使用指導】
如果未指定ip和ipv6參數,則顯示所有查詢類型的域名解析信息。
【舉例】
# 顯示所有查詢類型的域名解析信息。
<Sysname> display dns host
Type:
D: Dynamic S: Static
Total number: 3
No. Host name Type TTL Query type IP addresses
1 sample.com D 3132 A 192.168.10.1
192.168.10.2
192.168.10.3
2 zig.sample.com S - A 192.168.1.1
3 sample.net S - AAAA FE80::4904:4448
表1-2 display dns host命令顯示信息描述表
|
字段 |
描述 |
|
No. |
序號 |
|
Host name |
查詢名稱 |
|
Type |
域名解析信息的類型: · S:表示靜態配置的域名解析信息,即通過ip host或ipv6 host命令配置的主機名及其對應的主機IPv4/IPv6地址 · D:表示通過動態域名解析獲得的域名解析信息 |
|
TTL |
域名解析信息的剩餘有效時間,單位為秒 靜態信息的TTL值顯示為“-” |
|
Query type |
查詢類型,取值包括A和AAAA |
|
IP addresses |
主機名對應的IP地址 · 對於A類查詢類型,為IPv4地址 · 對於AAAA類查詢類型,為IPv6地址 |
【相關命令】
· reset dns host
· ip host
· ipv6 host
display dns server命令用來顯示域名服務器的IPv4地址信息。
【命令】
display dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dynamic:顯示通過DHCP等協議動態獲得的域名服務器IPv4地址信息。如果未指定本參數,則顯示靜態配置和動態獲得的域名服務器IPv4地址信息。
vpn-instance vpn-instance-name:顯示指定VPN實例內的域名服務器IPv4地址信息。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則顯示公網的域名服務器IPv4地址信息。
【舉例】
# 顯示公網的域名服務器IPv4地址信息。
<Sysname> display dns server
Type:
D: Dynamic S: Static
No. Type IP address
1 S 202.114.0.124
2 S 169.254.65.125
表1-3 display dns server命令顯示信息描述表
|
字段 |
描述 |
|
No. |
域名服務器的序號 |
|
Type |
域名服務器類型 · S表示靜態指定的域名服務器信息 · D表示通過DHCP等協議動態獲得的域名服務器信息 |
|
IP address |
域名服務器的IPv4地址 |
【相關命令】
· dns server
display ipv6 dns server命令用來顯示域名服務器的IPv6地址信息。
【命令】
display ipv6 dns server [ dynamic ] [ vpn-instance vpn-instance-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dynamic:顯示通過DHCP等協議動態獲得的域名服務器IPv6地址信息。如果未指定本參數,則顯示靜態配置和動態獲得的域名服務器IPv6地址信息。
vpn-instance vpn-instance-name:顯示指定VPN實例內的域名服務器IPv6地址信息。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則顯示公網的域名服務器IPv6地址信息。
【舉例】
# 顯示公網域名服務器的IPv6地址信息。
<Sysname> display ipv6 dns server
Type:
D: Dynamic S: Static
No. Type IPv6 address Outgoing Interface
1 S 2::2
表1-4 display ipv6 dns server命令顯示信息描述表
|
字段 |
描述 |
|
No. |
域名服務器的序號 |
|
Type |
域名服務器類型 · S表示靜態指定的域名服務器信息 · D表示通過DHCP等協議動態獲得的域名服務器信息 |
|
IPv6 address |
域名服務器的IPv6地址 |
|
Outgoing Interface |
出接口名 |
【相關命令】
· ipv6 dns server
dns cache ttl命令用來配置域名解析表項的有效時間。
undo dns cache ttl命令用來取消域名解析表項有效時間的配置。
【命令】
dns cache ttl { maximum max-value | minimum min-value } *
undo dns cache ttl { maximum | minimum }
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9110、F1000-AK9210 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情況】
域名解析表項的有效時間為DNS響應報文中的TTL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
mdc-admin
【參數】
maximum max-value:指定域名解析表項的最大有效時間,取值範圍為60~3600,單位為秒。
minimum min-value:指定域名解析表項的最小有效時間,取值範圍為60~3600,單位為秒。
【使用指導】
設備根據域名解析表項的有效時間定期向域名服務器發起域名解析請求,此過程會占用CPU資源。如果有效時間過短,設備會頻繁發起域名解析請求,增加對CPU資源的占用;如果有效時間較長,則會導致域名解析結果更新不及時。用戶可以通過本命令設置域名解析表項的有效時間,避免上述問題的產生。
缺省情況下,對於DNS源地址透明代理功能生成的域名解析表項、DNS Snooping功能生成的域名解析表項以及服務器/服務器組功能生成的動態域名解析緩存表,由DNS客戶端從域名服務器的應答報文中獲得老化時間。配置本命令後,設備選取域名解析表項有效時間的機製如下:
· DNS響應報文中的TTL小於min-value,則使用min-value作為域名解析表項的有效時間。否則,使用DNS響應報文中的TTL作為域名解析表項的有效時間。
· DNS響應報文中的TTL大於max-value,則使用max-value作為域名解析表項的有效時間。否則,使用DNS響應報文中的TTL作為域名解析表項的有效時間。
配置本命令後,僅會影響此後由DNS源地址透明代理功能、DNS Snooping功能、服務器/服務器組功能新生成的域名解析表項的有效時間。
執行undo dns cache ttl命令後,僅會影響此後由DNS源地址透明代理功能、DNS Snooping功能、服務器/服務器組功能新生成的域名解析表項的有效時間。對於執行undo dns cache ttl命令前已經存在的域名解析表項,當前的有效時間繼續生效。
配置的min-value必須小於max-value。
多次執行dns cache ttl minimum、dns cache ttl maximum或dns cache ttl minimum maximum命令時,最後一次執行的命令生效。
【舉例】
# 配置域名解析表項的最小有效時間為180秒,最大有效時間為3600秒。
<Sysname> system-view
[Sysname] dns cache ttl maximum 3600 minimum 180
【相關命令】
· dns server
· dns snooping enable
· dns transparent-proxy enable
dns domain命令用來添加域名後綴。
undo dns domain命令用來刪除指定的域名後綴。
【命令】
dns domain domain-name [ vpn-instance vpn-instance-name ]
undo dns domain domain-name [ vpn-instance vpn-instance-name ]
【缺省情況】
未配置域名後綴,即隻根據用戶輸入的域名信息進行解析。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:域名後綴,由“.”分隔的字符串組成(如example.com),每個字符串的長度不超過63個字符,包括“.”在內的總長度不超過253個字符。不區分大小寫,字符串中可以包含字母、數字、“-”、“_”或“.”。
vpn-instance vpn-instance-name:為指定VPN實例添加域名後綴。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網添加域名後綴。
【使用指導】
域名解析時,用戶隻需要輸入域名的部分字段,係統會按照域名後綴配置的先後順序,依次將輸入的域名加上不同的域名後綴進行解析。
本命令配置的域名後綴同時用於IPv4域名解析和IPv6域名解析。
公網或每個VPN實例內最多可以配置16個域名後綴。可同時在公網和VPN實例內配置域名後綴。
【舉例】
# 為公網添加一個域名後綴com。
<Sysname> system-view
[Sysname] dns domain com
【相關命令】
· display dns domain
dns dscp命令用來指定DNS客戶端或DNS proxy發送DNS報文的DSCP優先級。
undo dns dscp命令用來恢複缺省情況。
【命令】
dns dscp dscp-value
undo dns dscp
【缺省情況】
DNS客戶端或DNS proxy發送DNS報文的DSCP優先級為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dscp-value:DNS報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
【舉例】
# 配置發送的DNS報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] dns dscp 30
dns filter命令用來開啟DNS過濾功能,並配置黑/白名單。
undo dns filter命令用來關閉DNS過濾功能,並刪除指定的黑/白名單。
【命令】
dns filter { allowlist | denylist } hostname
undo dns filter { allowlist | denylist } hostname
本命令的支持情況和設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
DNS過濾功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
allowlist:表示主機名白名單。
denylist:表示主機名黑名單。
hostname:主機名,為1~253個字符的字符串,不區分大小寫,字符串中可以包含字母、數字、“-”、“_”和“.”。支持使用“*”來定義模糊匹配主機名稱,輸入方式形如*abc*、*abc或者abc*,三種方式均表示主機名中包含指定的字符串。模糊匹配方式下,“*”隻能位於字符串的首部或末尾,不能位於字符串中間。若輸入的主機名中不存在“*”號,則表示精確匹配所配置的主機名。
【使用指導】
DNS過濾功能用於DNS代理對DNS請求報文進行攔截或放行。設備支持基於白名單或黑名單的域名訪問控製,具體機製如下:
· 如果DNS代理收到的DNS請求報文中的域名命中白名單,則DNS代理放行該DNS請求報文,並在收到DNS響應報文後記錄域名解析的結果,然後將DNS響應報文轉發給DNS客戶端。如果DNS代理收到的DNS請求報文中的域名未命中白名單,則DNS代理丟棄該DNS請求報文。
· 如果DNS代理收到的DNS請求報文中的域名未命中黑名單,則DNS代理放行該DNS請求報文,並在收到DNS響應報文後記錄域名解析的結果,然後將DNS響應報文轉發給DNS客戶端。如果DNS代理收到的DNS請求報文中的域名命中黑名單,則DNS代理丟棄該DNS請求報文。
設備使用域名提供某些應用時(如telnet應用),如果希望實現嚴格的訪問控製,建議使用白名單進行DNS過濾。如果希望實現寬鬆的訪問控製,建議使用黑名單進行DNS過濾。
多次執行本命令可以配置多個白名單或多個黑名單,但不允許同時配置白名單和黑名單。
【舉例】
# 開啟DNS過濾功能,並配置白名單,放行所有對*.abc域名的DNS請求報文。
<Sysname> system-view
[Sysname] dns filter allowlist *.abc
dns proxy enable命令用來開啟DNS proxy功能。
undo dns proxy enable命令用來關閉DNS proxy功能。
【命令】
dns proxy enable
undo dns proxy enable
【缺省情況】
DNS proxy功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本命令的配置同時用於IPv4域名解析和IPv6域名解析。
【舉例】
# 開啟DNS proxy功能。
<Sysname> system-view
[Sysname] dns proxy enable
dns server命令用來配置域名服務器的IPv4地址。
undo dns server命令用來刪除域名服務器的IPv4地址。
【命令】
dns server ip-address [ vpn-instance vpn-instance-name ]
undo dns server [ ip-address ] [ vpn-instance vpn-instance-name ]
【缺省情況】
未配置域名服務器的IPv4地址。
【視圖】
係統視圖
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:域名服務器的IPv4地址。在接口視圖下執行undo命令時需要指定本參數。
vpn-instance vpn-instance-name:為指定VPN實例配置域名服務器的IPv4地址。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置域名服務器的IPv4地址。
【使用指導】
在進行服務器域名解析時,係統按照配置的域名服務器IPv4地址從小到大的順序,依次向各個域名服務器發送查詢請求。
公網或單個VPN實例內最多可以配置6個域名服務器的IPv4地址。可同時在公網和VPN實例內配置域名服務器的IPv4地址。
執行undo dns server命令時如果未指定ip-address參數,則刪除公網或指定VPN實例中的所有域名服務器IPv4地址。
【舉例】
# 配置域名服務器的IPv4地址為172.16.1.1。
<Sysname> system-view
[Sysname] dns server 172.16.1.1
# 在接口GigabitEthernet1/0/1配置域名服務器的IPv4地址為172.16.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dns server 172.16.1.1
【相關命令】
· display dns server
dns snooping enable命令用來開啟DNS Snooping功能。
undo dns snooping enable命令用來關閉DNS Snooping功能。
【命令】
dns snooping enable
undo dns snooping enable
【缺省情況】
DNS Snooping功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
DNS Snooping功能適用於基於域名過濾用戶流量的場景。基於域名過濾用戶流量時,需要獲取域名對應的IP地址才能真正實現流量過濾。開啟DNS Snooping功能後,設備會監聽過路的DNS請求報文和DNS應答報文,如果DNS請求報文中的域名與過濾規則中的域名相同,設備會在收到該域名的響應報文時記錄域名解析結果,並上報給過濾規則,使得過濾規則可以基於此域名對應的IP地址實現流量過濾。如果DNS請求報文中的域名與過濾規則中的域名不同,設備不會記錄域名解析結果。
開啟DNS Snooping功能時,需要注意:
· DNS Snooping設備隻有位於DNS客戶端與DNS服務器之間,或DNS客戶端與DNS代理設備之間時,DNS Snooping功能配置後才能正常工作。
· DNS Snooping功能和DNS源地址透明代理功能不能同時使用。
· DNS Snooping功能不支持跨VPN使用,即設備上DNS報文的出入接口必須屬於同一個VPN。
【舉例】
# 開啟DNS Snooping功能。
<Sysname> system-view
[Sysname] dns snooping enable
【相關命令】
· dns transparent-proxy enable
dns snooping log enable命令用來開啟DNS Snooping的日誌功能。
undo dns snooping log enable命令用來關閉DNS Snooping的日誌功能。
【命令】
dns snooping log enable
undo dns snooping log enable
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5030-6GW-G |
不支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1025、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情況】
DNS Snooping日誌的功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
網絡環境中,DNS proxy設備收到請求報文後,需要查詢自己是否記錄了請求域名對應的地址,如果存在,則直接應答需求;如果不存在,則需要向DNS服務器轉發請求。如果網絡中存在攻擊源或有大量客戶端同一時間發送大量DNS請求,則會增加網絡負載並影響DNS proxy設備或DNS服務器的性能。
可以在DNS客戶端和DNS proxy或DHCP服務器之間的設備配置DNS Snooping功能,配置本功能後,DNS收到一個請求和對應的應答報文後會進行記錄,並生成日誌發給快速日誌模塊。管理員通過查詢日誌信息確認並解決問題。關於快速日誌模塊的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
【舉例】
# 開啟DNS Snooping的日誌功能。
<Sysname> system-view
[Sysname] dns snooping log enable
dns snooping rate-limit命令用來開啟DNS Snooping的報文限速功能,並指定限速速率。
undo dns snooping rate-limit命令用來關閉DNS Snooping的報文限速功能。
【命令】
dns snooping rate-limit rate
undo dns snooping rate-limit
【缺省情況】
DNS Snooping的報文限速功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rate:接口接收DNS報文的最高速率,單位為pps。本參數的取值範圍為64~512。
【使用指導】
開啟DNS Snooping的報文限速功能後,當接口上收到的DNS報文速率超過用戶設定的限速值時,丟棄超過速率限製的DNS報文。
隻有開啟了DNS源地址透明代理功能或DNS Snooping的日誌功能,本命令才會生效。
【舉例】
# 開啟DNS Snooping的報文限速功能,並指定限速速率為64pps。
<Sysname> system-view
[Sysname] dns snooping rate-limit 64
【相關命令】
· dns snooping log enable
· dns transparent-proxy enable
dns source-interface命令用來指定DNS報文的源接口。
undo dns source-interface命令用來恢複缺省情況。
【命令】
dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
undo dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
【缺省情況】
設備根據DNS server的地址,通過路由表查找報文的出接口,並將該出接口的主IP地址作為發送到該服務器的DNS查詢報文的源地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-type interface-number:源接口的接口類型和接口編號。
vpn-instance vpn-instance-name:為指定VPN實例配置DNS報文的源接口。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置DNS報文的源接口。
【使用指導】
通過本命令指定DNS報文的源接口後,係統將選擇指定接口的主IPv4地址或根據RFC 3484中定義的規則選擇指定接口的某個IPv6地址,作為DNS查詢報文的源地址。
本命令的配置同時用於IPv4域名解析和IPv6域名解析。
公網或每個VPN實例內隻能配置1個源接口。多次執行本命令,最後一次執行的命令生效。可同時在公網和VPN實例內配置源接口。
無論配置的源接口是否屬於指定的VPN實例,該配置都會生效。不建議將不屬於VPN實例的接口配置為該VPN實例的源接口。
【舉例】
# 指定公網DNS報文的源接口為GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] dns source-interface gigabitethernet 1/0/1
dns spoofing命令用來開啟DNS spoofing功能,並指定應答的IPv4地址。
undo dns spoofing命令關閉DNS spoofing功能。
【命令】
dns spoofing ip-address [ vpn-instance vpn-instance-name ]
undo dns spoofing ip-address [ vpn-instance vpn-instance-name ]
【缺省情況】
DNS spoofing功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:用來欺騙性應答域名解析請求的IPv4地址。
vpn-instance vpn-instance-name:為指定VPN實例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置DNS spoofing功能。
【使用指導】
配置DNS spoofing前,需要先開啟DNS proxy功能。
開啟DNS spoofing功能後,如果設備上未配置域名服務器地址或不存在到達域名服務器的路由,則會利用配置的應答IP地址作為域名解析結果,欺騙性地應答A類域名解析請求。
公網或每個VPN實例內隻能配置1個DNS spoofing應答的IPv4地址。多次執行本命令,最後一次執行的命令生效。可同時在公網和VPN實例內配置DNS spoofing功能。
【舉例】
# 開啟公網的DNS spoofing功能,並指定應答的IPv4地址為1.1.1.1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] dns spoofing 1.1.1.1
【相關命令】
· dns proxy enable
dns transparent-proxy enable令用來開啟DNS源地址透明代理功能。
undo dns transparent-proxy enable命令用來關閉DNS源地址透明代理功能。
【命令】
dns transparent-proxy enable
undo dns transparent-proxy enable
【缺省情況】
DNS透明代理功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
DNS透明代理指的是,DNS客戶端感知不到代理服務存在的代理模式。DNS源地址透明代理不僅能夠提供代理服務,還會修改DNS請求報文的源地址,從而實現發送DNS請求報文的設備能夠接收到相應的DNS響應報文,適用於需要基於域名做策略的場景(如安全策略、帶寬策略等)。
與DNS代理功能不同的是,DNS客戶端不需要將DNS服務器的地址指定為DNS源地址透明代理設備的地址,簡化了客戶端的配置。在一些負載均衡場景中,為了保證基於域名的策略能夠成功對報文進行控製,建議使用DNS源地址透明代理功能。
開啟DNS源地址透明代理功能後,設備開始監聽過路的DNS請求報文和DNS應答報文,並記錄域名解析信息,以便提供代理功能。具體工作機製如下:
(1) DNS源地址透明代理設備監聽所有過路DNS報文,當收到DNS請求報文時,設備根據一定的規則從能夠到達DNS服務器的本地IP地址選取一個,並將其作為修改後的DNS請求報文的源IP地址,使得DNS應答報文能夠返回本設備。
(2) DNS源地址透明代理設備收到DNS服務器的應答報文後,記錄域名解析的結果,並將報文轉發給DNS客戶端。DNS客戶端利用域名解析的結果進行相應的處理。後續DNS透明代理設備收到DNS請求報文後,首先查找DNS透明代理記錄的表項,如果存在請求的信息,則DNS透明代理設備直接通過DNS應答報文將域名解析結果返回給DNS client。如果不存在請求的信息,則DNS透明代理設備將報文轉發給域名服務器進行解析。
DNS源地址透明代理功能和DNS Snooping功能不能同時使用。
DNS源地址透明代理功能不支持跨VPN使用,即設備上DNS報文的出入接口必須屬於同一個VPN。
【舉例】
# 開啟DNS源地址透明代理功能。
<Sysname> system-view
[Sysname] dns transparent-proxy enable
【相關命令】
· dns proxy enable
· dns snooping enable
dns trust-interface命令用來指定DNS信任接口。
undo dns trust-interface命令用來刪除指定的DNS信任接口。
【命令】
dns trust-interface interface-type interface-number
undo dns trust-interface [ interface-type interface-number ]
【缺省情況】
未指定任何接口為信任接口。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-type interface-number:DNS信任接口的接口類型和接口編號。
【使用指導】
缺省情況下,任意接口通過DHCP等協議動態獲得的域名後綴和域名服務器信息都將作為有效信息,用於域名解析。如果網絡攻擊者通過DHCP服務器為設備分配錯誤的域名後綴和域名服務器地址,則會導致設備域名解析失敗,或解析到錯誤的結果。通過本配置指定信任接口後,域名解析時隻采用信任接口動態獲得的域名後綴和域名服務器信息,非信任接口獲得的信息不能用於域名解析,從而在一定程度上避免這類攻擊。
本命令同時用於IPv4域名解析和IPv6域名解析。
設備最多可以配置128個信任接口。
執行undo dns trust-interface命令時,如果未指定任何接口,則刪除所有的DNS信任接口,恢複到缺省情況。
【舉例】
# 指定接口GigabitEthernet1/0/1為DNS信任接口。
<Sysname> system-view
[Sysname] dns trust-interface gigabitethernet 1/0/1
ip host命令用來配置主機名及其對應的主機IPv4地址。
undo ip host命令用來刪除主機名及其對應的主機IPv4地址。
【命令】
ip host host-name ip-address [ vpn-instance vpn-instance-name ]
undo ip host host-name ip-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在主機名及IPv4地址的對應關係。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
host-name:主機名,為1~253個字符的字符串,不區分大小寫,字符串中可以包含字母、數字、“-”、“_”和“.”。
ip-address:與主機名對應的IPv4地址。
vpn-instance vpn-instance-name:為指定VPN實例配置主機名和IPv4地址的對應關係。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置主機名和IPv4地址的對應關係。
【使用指導】
公網或單個VPN實例內最多可以配置1024個主機名和IPv4地址的對應關係。可同時在公網和VPN實例內配置主機名和IPv4地址的對應關係。
在公網或單個VPN實例內,一個主機名隻能對應一個IPv4地址。多次執行本命令,最後一次執行的命令生效。
ip、-a、-c、-f、-h、-i、-m、-n、-p、-q、-r、-s、-t、-tos、-v和-vpn-instance已被係統用作ping命令的參數關鍵字,在配置主機名時,請避免使用相同的字符串作為主機名。ping命令支持的參數形式,請參考“網絡管理和監控”中的“ping”命令。
【舉例】
# 配置公網內主機名aaa對應的IPv4地址為10.110.0.1。
<Sysname> system-view
[Sysname] ip host aaa 10.110.0.1
【相關命令】
· display dns host
ipv6 dns dscp命令用來指定IPv6 DNS客戶端或IPv6 DNS proxy發出的IPv6 DNS報文的DSCP優先級。
undo ipv6 dns dscp命令用來恢複缺省情況。
【命令】
ipv6 dns dscp dscp-value
undo ipv6 dns dscp
【缺省情況】
IPv6 DNS客戶端或IPv6 DNS proxy發出的IPv6 DNS報文的DSCP優先級為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dscp-value:IPv6 DNS報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
【舉例】
# 配置發送的IPv6 DNS報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ipv6 dns dscp 30
ipv6 dns server命令用來配置域名服務器的IPv6地址。
undo ipv6 dns server命令用來刪除域名服務器的IPv6地址。
【命令】
ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ]
undo ipv6 dns server [ ipv6-address [ interface-type interface-number ] ] [ vpn-instance vpn-instance-name ]
【缺省情況】
未配置域名服務器的IPv6地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:域名服務器的IPv6地址。
interface-type interface-number:指定報文的出接口的接口類型和接口編號。如果未指定本參數,則根據路由表查找報文的出接口。域名服務器的IPv6地址為鏈路本地地址時,必須指定本參數。域名服務器的IPv6地址為全球單播地址時,無法指定本參數。
vpn-instance vpn-instance-name:為指定VPN實例配置域名服務器的IPv6地址。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置域名服務器的IPv6地址。
【使用指導】
在進行服務器域名解析時,係統按照配置的域名服務器IPv6地址從小到大的順序,依次向各個域名服務器發送查詢請求。
公網或單個VPN實例內最多可以配置6個域名服務器的IPv6地址。可同時在公網和VPN實例內配置域名服務器的IPv6地址。
執行undo ipv6 dns server命令時如果未指定ipv6-address參數,則刪除公網或指定VPN實例中的所有域名服務器IPv6地址。
【舉例】
# 配置公網內域名服務器的IPv6地址為2002::1。
<Sysname> system-view
[Sysname] ipv6 dns server 2002::1
【相關命令】
· display ipv6 dns server
ipv6 dns spoofing命令用來開啟DNS spoofing功能,並指定應答的IPv6地址。
undo ipv6 dns spoofing命令用來關閉DNS spoofing功能。
【命令】
ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情況】
DNS spoofing功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:用來欺騙性應答域名解析請求的IPv6地址。
vpn-instance vpn-instance-name:為指定VPN實例配置DNS spoofing功能。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置DNS spoofing功能。
【使用指導】
本命令必須和dns proxy enable命令一起使用。
開啟DNS spoofing功能後,如果設備上未配置域名服務器地址或不存在到達域名服務器的路由,則會利用配置的應答IPv6地址作為域名解析結果,欺騙性地應答AAAA類域名解析請求。
公網或每個VPN實例內隻能配置1個DNS spoofing應答的IPv6地址。多次執行本命令,最後一次執行的命令生效。可同時在公網和VPN實例內配置DNS spoofing功能。
【舉例】
# 為公網開啟DNS spoofing功能,並指定應答的IPv6地址為2001::1。
<Sysname> system-view
[Sysname] dns proxy enable
[Sysname] ipv6 dns spoofing 2001::1
【相關命令】
· dns proxy enable
ipv6 host命令用來配置主機名及其對應的主機IPv6地址。
undo ipv6 host命令用來刪除主機名及其對應的主機IPv6地址。
【命令】
ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
undo ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在主機名及IPv6地址的對應關係。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
host-name:主機名,為1~253個字符的字符串,不區分大小寫,字符串中可以包含字母、數字、“-”、“_”和“.”。
ipv6-address:與主機名對應的IPv6地址。
vpn-instance vpn-instance-name:為指定VPN實例配置主機名和IPv6地址的對應關係。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示為公網配置主機名和IPv6地址的對應關係。
【使用指導】
公網或每個VPN實例內最多可以配置1024個主機名和IPv6地址的對應關係。可同時在公網和VPN實例內配置主機名和IPv6地址的對應關係。
在公網或同一個VPN實例內,一個主機名隻能對應一個IPv6地址。多次執行本命令,最後一次執行的命令生效。
-a、-c、-i、-m、-q、-s、-t、-tc、-v和-vpn-instance已被係統用作ping ipv6命令的參數關鍵字,在配置主機名時,請避免使用相同的字符串作為主機名。ping ipv6命令支持的參數形式,請參考“網絡管理和監控”中的“ping ipv6”命令。
【舉例】
# 配置公網內主機名aaa對應的IPv6地址為2001::1。
<Sysname> system-view
[Sysname] ipv6 host aaa 2001::1
【相關命令】
· ip host
reset dns host命令用來清除動態域名解析緩存信息。
【命令】
reset dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip:清除A類查詢的動態緩存信息。A類查詢用來解析域名對應的IPv4地址。
ipv6:清除AAAA類查詢的動態緩存信息。AAAA類查詢用來解析域名對應的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN實例的動態域名解析緩存信息。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則清除公網的動態域名解析緩存信息。
【使用指導】
如果未指定ip和ipv6參數,則清除所有查詢類型的動態域名解析緩存信息。
使用本命令能夠清除如下緩存信息:
· DNS客戶端上的動態域名解析緩存信息。
· 開啟DNS源地址透明代理的設備上的動態域名解析緩存信息。
【舉例】
# 清除公網所有查詢類型的動態域名解析緩存信息。
<Sysname> reset dns host
【相關命令】
· display dns host
ddns apply policy命令用來在接口上應用指定的DDNS策略來更新指定的FQDN與接口主IP地址的對應關係,並啟動DDNS更新。
undo ddns apply policy命令用來在接口上取消應用DDNS策略,停止DDNS更新。
【命令】
ddns apply policy policy-name [ fqdn domain-name ]
undo ddns apply policy policy-name
【缺省情況】
沒有為接口指定任何DDNS策略和需要更新的FQDN,且未啟動DDNS更新。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:DDNS策略名稱,為1~32個字符的字符串,不區分大小寫。
fqdn domain-name:指定需要更新該FQDN與IP地址的對應關係,用於替換DDNS更新請求URL中的<h>。domain-name為主機名,主機名,為1~253個字符的字符串,不區分大小寫,字符串中可以包含字母、數字、“-”、“_”和“.”。
【使用指導】
一個接口上最多可以應用4個DDNS策略。
重複應用名稱相同的DDNS策略,並指定不同的FQDN時,最後一次執行的命令生效,同時發起一次DDNS更新。
【舉例】
# 在接口GigabitEthernet1/0/1下指定應用DDNS策略steven_policy來更新合格域名www.example.com與IP地址的對應關係,並啟動DDNS更新功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ddns apply policy steven_policy fqdn www.example.com
【相關命令】
· ddns policy
· display ddns policy
ddns dscp命令用來配置發送DDNS報文的DSCP優先級。
undo ddns dscp命令用來恢複缺省情況。
【命令】
ddns dscp dscp-value
undo ddns dscp
【缺省情況】
配置發送DDNS報文的DSCP優先級為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dscp-value:DDNS報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
【舉例】
# 配置發送的DDNS報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ddns dscp 30
ddns policy命令用來創建DDNS策略,並進入DDNS策略視圖。如果指定的DDNS策略視圖已存在,則直接進入DDNS策略視圖。
undo ddns policy命令用來刪除DDNS策略。
【命令】
ddns policy policy-name
undo ddns policy policy-name
【缺省情況】
設備上不存在DDNS策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:DDNS策略名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
設備上最多可以創建16個DDNS策略。
【舉例】
# 創建名稱為steven_policy的DDNS策略,並進入DDNS策略視圖。
<Sysname> system-view
[Sysname] ddns policy steven_policy
【相關命令】
· display ddns policy
· ddns apply policy
display ddns policy命令用來顯示DDNS策略的信息。
【命令】
display ddns policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:DDNS策略名稱,為1~32個字符的字符串,不區分大小寫。如果未指定本參數,則顯示所有DDNS策略的信息。
【舉例】
# 顯示名稱為steven_policy的DDNS策略的信息。
<Sysname> display ddns policy steven_policy
DDNS policy: steven_policy
URL : http://members.3322.org/dyndns/update?
system=dyndns&hostname=<h>&myip=<a>
Username : steven
Password : ******
Method : GET
SSL client policy:
Interval : 1 days 0 hours 1 minutes
# 顯示所有DDNS策略的信息。
<Sysname> display ddns policy
DDNS policy: steven_policy
URL : http://members.3322.org/dyndns/update?system=
dyndns&hostname=<h>&myip=<a>
Username : steven
Password : ******
Method : GET
SSL client policy:
Interval : 0 days 0 hours 30 minutes
DDNS policy: tom-policy
URL : http://members.3322.org/dyndns/update?system=
dyndns&hostname=<h>&myip=<a>
Username :
Password :
Method : GET
SSL client policy:
Interval : 0 days 0 hours 15 minutes
DDNS policy: u-policy
URL : oray://phddns60.oray.net
Username : username
Password :
Method : -
SSL client policy:
Interval : 0 days 0 hours 15 minutes
表2-1 display ddns policy命令顯示信息描述表
|
字段 |
描述 |
|
DDNS policy |
DDNS策略名稱 |
|
URL |
DDNS更新請求的URL地址。未配置時顯示為空 |
|
Username |
登錄DDNS服務器的用戶名。未配置時顯示為空 |
|
Password |
登錄DDNS服務器的密碼。未配置時顯示為空,有配置時顯示為“******” |
|
Method |
采用HTTP或HTTPS報文發送DDNS更新請求時,使用的參數傳輸方式 取值包括: · GET:表示參數傳輸方式為GET方式 · POST:表示參數傳輸方式為POST方式 |
|
SSL client policy |
關聯的SSL客戶端策略名稱。未配置時顯示為空 |
|
Interval |
定時發起DDNS更新請求的時間間隔 |
【相關命令】
· ddns policy
interval命令用來指定定時發起更新請求的時間間隔。
undo interval命令用來恢複缺省情況。
【命令】
interval days [ hours [ minutes ] ]
undo interval
【缺省情況】
定時發起DDNS更新請求的時間間隔是1小時。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
days:天,取值範圍為0~365。
hours:小時,取值範圍為0~23。
minutes:分鍾,取值範圍為0~59。
【使用指導】
不論是否到達定時發起更新請求的時間,隻要對應接口的主IP地址發生改變或接口的鏈路狀態由down變為up,都會立即發起更新請求。
如果配置時間間隔為0,則不會定時發起更新,除非對應接口的IP地址發生改變或接口的鏈路狀態由down變為up。
多次執行本命令,最後一次執行的命令生效。如果DDNS策略已經應用到接口上,則立即觸發一次DDNS更新,並以最後一次配置的時間間隔為更新周期。
【舉例】
# 為DDNS策略steven_policy指定定時發起更新請求的時間間隔為1天零1分。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] interval 1 0 1
【相關命令】
· display ddns policy
· ddns policy
method命令用來配置采用HTTP或HTTPS報文發送DDNS更新請求時使用的參數傳輸方式。
undo method命令用來恢複缺省情況。
【命令】
method { http-get | http-post }
undo method
【缺省情況】
采用HTTP或HTTPS報文發送DDNS更新請求時使用的參數的傳輸方式為http-get。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
http-get:參數的傳輸方式為http-get。
http-post:參數的傳輸方式為http-post。
【使用指導】
采用HTTP或HTTPS報文發送DDNS更新請求時,不同的DDNS服務器要求使用的參數傳輸方式可能不同。例如DHS服務器,需要使用http-post參數傳輸方式。通過本配置可以修改參數傳輸方式,以滿足DDNS服務器的要求。
本命令僅在基於HTTP或HTTPS與DDNS服務器通信時生效。基於其他協議與DDNS服務器通信時,本命令不生效。
通過本命令修改DDNS策略的參數傳輸方式時,如果該DDNS策略已經應用到接口上,則立即觸發一次DDNS更新。
【舉例】
# 配置DDNS策略steven_policy采用HTTP或HTTPS報文發送DDNS更新請求時使用的參數傳輸方式為http-post方式。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] method http-post
【相關命令】
· display ddns policy
· ddns policy
password命令用來指定登錄DDNS服務器的密碼。
undo password命令用來恢複缺省情況。
【命令】
password { cipher | simple } string
undo password
【缺省情況】
未指定登錄DDNS服務器的密碼。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~32個字符的字符串,密文密碼為1~73個字符的字符串。
【舉例】
# 為DDNS策略steven_policy指定登錄DDNS服務器的密碼為nevets。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] password simple nevets
【相關命令】
· display ddns policy
· ddns policy
· url
· username
ssl-client-policy命令用來指定與DDNS策略關聯的SSL客戶端策略。
undo ssl-client-policy命令用來恢複缺省情況。
【命令】
ssl-client-policy policy-name
undo ssl-client-policy
【缺省情況】
未指定與DDNS策略關聯的SSL客戶端策略。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:SSL客戶端策略名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL客戶端策略隻對URL為HTTPS地址的DDNS更新請求有效。
多次執行本命令,為同一個DDNS策略關聯不同的SSL客戶端策略時,DDNS策略將隻與最後配置的SSL客戶端策略關聯。
【舉例】
# 將SSL客戶端策略ssl_policy與DDNS策略steven_policy關聯。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] ssl-client-policy ssl_policy
【相關命令】
· ddns policy
· display ddns policy
· ssl-client-policy(安全命令參考/SSL)
url命令用來指定DDNS更新請求的URL地址。
undo url命令用來恢複缺省情況。
【命令】
url request-url
undo url
【缺省情況】
未指定DDNS更新請求的URL地址。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
request-url:DDNS更新請求的URL地址,為1~240個字符的字符串,區分大小寫。
【使用指導】
不同DDNS服務器的請求更新URL地址有所不同。常見的DDNS服務器URL地址格式如表2-2所示。
表2-2 常見的DDNS更新請求URL地址格式列表
|
DDNS服務器 |
DDNS更新請求的URL地址格式 |
|
www.3322.org |
http://members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNDNS |
http://members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNS |
http://www.dyns.cx/postscript.php?host=<h>&ip=<a> |
|
ZONEEDIT |
http://dynamic.zoneedit.com/auth/dynamic.html?host=<h>&dnsto=<a> |
|
TZO |
http://cgi.tzo.com/webclient/signedon.html?TZOName=<h>IPAddress=<a> |
|
EASYDNS |
http://members.easydns.com/dyn/ez-ipupdate.php?action=edit&myip=<a>&host_id=<h> |
|
HEIPV6TB |
http://dyn.dns.he.net/nic/update?hostname=<h>&myip=<a> |
|
CHANGE-IP |
http://nic.changeip.com/nic/update?hostname=<h>&offline=1 |
|
NO-IP |
http://dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a> |
|
DHS |
http://members.dhs.org/nic/hosts?domain=dyn.dhs.org&hostname=<h>&hostscmd=edit&hostscmdstage=2&type=1&ip=<a> |
|
HP |
https://server-name/nic/update?group=group-name&myip=<a> |
|
ODS |
ods://update.ods.org |
|
GNUDIP |
gnudip://server-name |
|
花生殼 |
根據實際情況選擇: · oray://phddns60.oray.net · oray://phservice2.oray.net · http://ddns.oray.com/ph/update?hostname=<h>&myip=<a> |
URL地址中不支持攜帶用戶名和密碼,配置用戶名和密碼請配合username和password命令使用,請根據實際情況修改。
HP和GNUDIP是通用的DDNS更新協議,server-name是使用對應DDNS更新協議的服務提供商的服務器域名或地址。
DDNS更新請求的URL地址可以以“http://”開頭,表示基於HTTP與DDNS服務器通信;以“https://”開頭,表示基於HTTPS與DDNS服務器通信;以“ods://”開頭,表示基於TCP與ODS服務器通信;以“gnudip://”開頭,表示基於TCP與GNUDIP服務器通信;以“oray://”開頭,表示基於TCP與花生殼DDNS服務器通信。
members.3322.org和phddns60.oray.net是服務提供商提供DDNS服務的域名。花生殼提供DDNS服務的域名是phddns60.oray.net和phservice2.oray.net,phservice2.oray.net對應的是花生殼老版的服務器公網地址,phddns60.oray.net對應的是當前新版本的服務器公網地址。花生殼基本不再維護老版本的服務器公網地址,所以部分服務器有時會登錄不上,需要重複多試幾次。在花生殼上申請的新帳號應使用新版本的服務器公網地址。請根據實際情況修改域名。
URL地址中的端口號是可選項,如果不包含端口號則使用缺省端口號:HTTP是80,HTTPS是443,花生殼DDNS服務器是6060。
<h>由係統根據接口上應用DDNS策略時指定的FQDN自動填寫,<a>由係統根據應用DDNS策略的接口的主IP地址自動填寫,用戶可以不更改URL中的<h>和<a>。用戶也可以手工輸入需要更新的FQDN和IP地址,代替URL中的<h>和<a>,此時,應用DDNS策略時指定的FQDN將不會生效。為了避免配置錯誤,建議用戶不要修改URL中的<h>和<a>。
花生殼DDNS服務器的URL地址中不能指定用於更新的FQDN和IP地址。用戶可在接口上應用DDNS策略時指定FQDN;用於更新的IP地址是應用DDNS策略的接口的主IP地址。
為避免歧義,請盡量不要在DDNS服務器上申請含有“:”、“@”或“?”字符的用戶名和密碼。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為DDNS策略steven_policy指定DDNS更新請求的URL地址。DDNS服務提供商為www.3322.org。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] url http://members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a>
【相關命令】
· display ddns policy
· ddns policy
· password
· username
username命令用來指定登錄DDNS服務器的用戶名。
undo username命令用來恢複缺省情況。
【命令】
username username
undo username
【缺省情況】
未指定登錄DDNS服務器的用戶名。
【視圖】
DDNS策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
username:登錄DDNS服務器的用戶名,為1~32個字符的字符串,區分大小寫。
【舉例】
# 為DDNS策略steven_policy指定登錄DDNS服務器的用戶名為steven。
<Sysname> system-view
[Sysname] ddns policy steven_policy
[Sysname-ddns-policy-steven_policy] username steven
【相關命令】
· display ddns policy
· ddns policy
· password
· url
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
