- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-域名解析配置
本章節下載: 04-域名解析配置 (1.14 MB)
DNS(Domain Name System,域名係統)是一種用於TCP/IP應用程序的分布式數據庫,提供域名與IP地址之間的轉換。通過域名係統,用戶進行某些應用時,可以直接使用便於記憶的、有意義的域名,而由網絡中的域名解析服務器將域名解析為正確的IP地址。
域名解析分為靜態域名解析和動態域名解析,二者可以配合使用。在解析域名時,首先采用靜態域名解析(查找靜態域名解析表),如果靜態域名解析不成功,再采用動態域名解析。由於動態域名解析需要域名服務器(DNS server)或域名服務器組的配合,會花費一定的時間,因而可以將一些常用的域名放入靜態域名解析表中,這樣可以大大提高域名解析效率。
靜態域名解析就是手工建立域名和IP地址之間的對應關係。當用戶使用域名進行某些應用(如telnet應用)時,係統查找靜態域名解析表,從中獲取指定域名對應的IP地址。
用戶程序、DNS客戶端及域名服務器的關係如圖1-1所示,其中解析器和緩存構成DNS客戶端。用戶程序、DNS客戶端在同一台設備上,而DNS客戶端和域名服務器一般分布在兩台設備上。
目前,設備隻能作為DNS客戶端,不能作為DNS服務器。
如果域名服務器上配置了域名的別名,設備也可以通過別名來解析主機的IP地址。
服務器域名解析通過向域名服務器查詢域名和IP地址之間的對應關係來實現將域名解析為IP地址。服務器域名解析過程如下:
(1) 當用戶使用域名進行某些應用時,用戶程序首先向DNS客戶端中的解析器發出請求。
(2) DNS客戶端收到請求後,首先查詢本地的域名緩存。如果存在已解析成功的映射項,就將域名對應的IP地址返回給用戶程序;如果未發現所要查找的映射項,就向域名服務器發送查詢請求。
(3) 域名服務器首先從自己的數據庫中查找域名對應的IP地址。如果判斷該域名不屬於本域範圍,就將請求交給其他域名服務器處理,直到完成解析,並將解析的結果返回給DNS客戶端。
(4) DNS客戶端收到域名服務器的響應報文後,將解析結果返回用戶程序。
服務器域名解析支持緩存功能。每次解析成功的域名與IP地址的映射均存放在DNS客戶端的動態域名緩存區中,當下一次查詢相同域名的時候,就可以直接從緩存區中讀取,不用再向域名服務器進行請求。緩存區中的映射在一段時間後會老化而被刪除,以保證及時從域名服務器得到最新的內容。老化時間由域名服務器設置,DNS客戶端從域名服務器的應答報文中獲得老化時間。
服務器域名解析支持域名後綴列表功能。用戶可以預先設置一些域名後綴,在域名解析的時候,用戶隻需要輸入域名的部分字段,係統會自動將輸入的域名加上不同的後綴進行解析。例如,用戶想查詢域名example.com,那麼可以先在後綴列表中配置com,然後輸入example進行查詢,係統會自動將輸入的域名與後綴連接成example.com進行查詢。
使用域名後綴的時候,根據用戶輸入域名方式的不同,查詢方式分成以下幾種情況:
· 如果用戶輸入的域名中沒有“.”,比如example,係統認為這是一個主機名,會首先加上域名後綴進行查詢,如果所有加後綴的域名查詢都失敗,將使用最初輸入的域名(如example)進行查詢。
· 如果用戶輸入的域名中間有“.”,比如www.example,係統直接用它進行查詢,如果查詢失敗,再依次加上各個域名後綴進行查詢。
· 如果用戶輸入的域名最後有“.”,比如example.com.,表示不需要進行域名後綴添加,係統直接用輸入的域名進行查詢,不論成功與否都直接返回結果。就是說,如果用戶輸入的字符中最後一個字符為“.”,就隻根據用戶輸入的字符進行查找,而不會去匹配用戶預先設置的域名後綴,因此最後這個“.”,也被稱為查找終止符。帶有查詢終止符的域名,稱為FQDN(Fully Qualified Domain Name,完全合格域名)。
某些組網環境中,為了使設備(包括DNS客戶端和DNS proxy)能夠根據請求的域名向指定的域名服務器發送查詢請求,需要在設備上配置域名服務器組和對應的域名匹配規則。
當設備收到公網或某個VPN內的用戶發送的域名解析請求後,如果本地不存在對應的域名緩存,則在公網或對應的VPN內按照域名匹配規則ID從小到大的順序依次匹配:
· 如果請求中的域名匹配到某條規則中的完整域名或子域名,則設備向該規則綁定的域名服務器組轉發請求。
¡ 如果收到域名服務器的應答,則設備會將應答報文轉發給發起請求的用戶,並將域名和地址的對應關係保存在本地緩存中。
¡ 如果未收到域名服務器的應答,則繼續匹配其他域名匹配規則。
· 如果請求中的域名未匹配到任何域名匹配規則中的完整域名或子域名,則DNS客戶端不會向域名服務器組中的服務器轉發該請求,域名解析失敗。
DNS代理(DNS proxy)用來在DNS client和DNS server之間轉發DNS請求和應答報文。局域網內的DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy。DNS proxy將該請求報文轉發到真正的DNS server,並將DNS server的應答報文返回給DNS client,從而實現域名解析。
使用DNS proxy功能後,當DNS server的地址發生變化時,隻需改變DNS proxy上的配置,無需改變局域網內每個DNS client的配置,從而簡化了網絡管理。
DNS proxy的典型應用環境如圖1-2所示。
圖1-2 DNS代理典型組網應用
DNS代理的工作過程如下:
(1) DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy,即請求報文的目的地址為DNS proxy的IP地址。
(2) DNS proxy收到請求報文後,首先查找本地的靜態域名解析表和動態域名解析緩存表,如果存在請求的信息,則DNS proxy直接通過DNS應答報文將域名解析結果返回給DNS client。
(3) 如果不存在請求的信息,則DNS proxy將報文轉發給域名服務器進行解析:
a. 當DNS proxy上配置了域名服務器組時,則DNS proxy根據域名匹配規則選擇對應的域名服務器組,並將請求轉發給服務器組中服務器;
b. 如果不存在匹配的域名服務器組,且配置了域名服務器地址時,DNS proxy將報文轉發給DNS服務器,通過DNS服務器進行域名解析。
(4) DNS proxy收到DNS server的應答報文後,記錄域名解析的結果,並將報文轉發給DNS client。DNS client利用域名解析的結果進行相應的處理。
隻有DNS proxy上存在域名服務器地址,並存在到達域名服務器的路由,DNS proxy才會向DNS server發送域名解析請求。
圖1-3 DNS spoofing典型應用場景
DNS spoofing(DNS欺騙)主要應用於圖1-3所示的撥號網絡。在該網絡中:
· Device通過撥號接口連接到PSTN/ISDN等撥號網絡。隻有存在通過撥號接口轉發的報文時,才會觸發撥號接口建立連接。
· Device作為DNS proxy。在Host上將Device指定為DNS服務器;撥號接口建立連接後,Device通過DHCP等方式動態獲取DNS服務器地址。
Device上未開啟DNS spoofing功能時,Device接收到Host發送的域名解析請求報文後,如果不存在對應的域名解析表項,則需要向DNS server發送域名解析請求。但是,由於此時撥號接口尚未建立連接,Device上不存在DNS server地址,Device不會向DNS server發送域名解析請求,也不會應答DNS client的請求。從而導致域名解析失敗,且沒有流量觸發撥號接口建立連接。
DNS spoofing功能可以解決上述問題。使能DNS spoofing功能後,即便Device上不存在DNS server地址或到達DNS server的路由,Device也會利用指定的IP地址作為域名解析結果,應答DNS client的域名解析請求。DNS client後續發送的報文可以用來觸發撥號接口建立連接。
圖1-3所示網絡中,Host訪問HTTP server的報文處理流程為:
(1) Host通過域名訪問HTTP server時,首先向Device發送域名解析請求,將HTTP server的域名解析為IP地址。
(2) Device接收到域名解析請求後,如果撥號接口尚未建立連接,Device上不存在DNS server地址,或者設備上配置的DNS server地址均不可達,則Device利用DNS spoofing中指定的IP地址作為域名解析結果,應答DNS client的域名解析請求。該域名解析應答的老化時間為0。並且,應答的IP地址滿足如下條件:Device上存在到達該IP地址的路由,且路由的出接口為撥號接口。
(3) Host接收到Device的應答報文後,向應答的IP地址發送HTTP請求。
(4) Device通過撥號接口轉發HTTP請求時,觸發撥號接口建立連接,並通過DHCP等方式動態獲取DNS server的地址。
(5) 域名解析應答老化後,Host再次發送域名解析請求。
(6) 之後,Device的處理過程與DNS proxy工作過程相同,請參見“1.1.5 DNS代理”。
(7) Host獲取到正確的HTTP server地址後,可以正常訪問HTTP server。
由於DNS spoofing功能指定的IP地址並不是待解析域名對應的IP地址,為了防止DNS client上保存錯誤的域名解析表項,該IP地址對應域名解析應答的老化時間為0。
域名解析配置任務如下:
(1) 配置DNS客戶端
建立域名與IP地址的對應關係,請至少選擇其中一項進行配置。
¡ 配置靜態域名解析
(2) (可選)配置DNS代理功能
(3) (可選)配置DNS spoofing
本功能用於撥號網絡。
(4) 開啟DNS快速應答功能
(5) (可選)DNS重定向功能
(6) (可選)配置DNS安全功能
d. 配置DNS信任接口
(7) (可選)配置DNS報文交互參數
a. 配置DNS報文的源接口
(8) (可選)配置DNS過濾功能
可以通過如下兩種方式在DNS客戶端上建立域名與IP地址的對應關係,實現設備使用域名與其他設備通信。
· 配置靜態域名解析。如果用戶使用域名訪問其他設備的次數很少,或者網絡中沒有可用的DNS服務器時,需要在DNS客戶端配置靜態域名解析。這種方式下,網絡管理員需要手工配置與維護域名與IP地址的對應關係。
· 配置動態域名解析。如果用於需要使用域名訪問很多設備,且網絡中有可用的DNS服務器,那麼可以配置動態域名解析。動態域名解析包括服務器域名解析和服務器組域名解析。
如果DNS客戶端上同時配置了靜態域名解析,服務器域名解析和服務器組域名解析,則收到域名請求後,匹配順序如下:
(1) 靜態域名解析;
(2) DNS客戶端本地緩存已解析的域名信息;
(3) 使用域名服務器組進行域名解析;
(4) 使用域名服務器進行域名解析。
如果以上方式均無法解析成功,則域名解析過程失敗。
在公網或單個VPN實例內,一個主機名隻能對應一個IPv4地址和IPv6地址。
公網或單個VPN實例內最多可以配置2048個主機名和地址的對應關係。可同時在公網和VPN實例內配置主機名和地址的對應關係。
(1) 進入係統視圖。
system-view
(2) 配置主機名和對應的地址。
(IPv4網絡)
ip host host-name ip-address [ vpn-instance vpn-instance-name ]
(IPv6網絡)
ipv6 host host-name ipv6-address [ vpn-instance vpn-instance-name ]
· 設備上允許配置的域名服務器數目限製為:
¡ 係統視圖下,公網或單個VPN實例內最多可以配置6個域名服務器的IPv4地址。可同時在公網和VPN實例內配置域名服務器的IPv4地址。
¡ 係統視圖下,公網或單個VPN實例內最多可以配置6個域名服務器的IPv6地址。可同時在公網和VPN實例內配置域名服務器的IPv6地址。
¡ 接口視圖下,公網或單個VPN實例內最多可以配置6個域名服務器的IPv4地址。可同時在公網和VPN實例內配置域名服務器的IPv4地址。
· 如果同時配置域名服務器的IPv4地址和IPv6地址,DNS客戶端向域名服務器發送請求的處理方式如下:
¡ 查詢主機名對應的IPv4地址時,優先向域名服務器的IPv4地址發送查詢請求。如果查詢失敗,則再向域名服務器的IPv6地址發送查詢請求;
¡ 查詢主機名對應的IPv6地址時,優先向域名服務器的IPv6地址發送查詢請求。如果查詢失敗,則再向域名服務器的IPv4地址發送查詢請求。
· 域名服務器的優先級順序為:
¡ 係統視圖下配置的域名服務器優先級高於接口視圖下配置的域名服務器。
¡ 配置多個域名服務器的IPv4地址時,IPv4地址越小的域名服務器,其優先級越高。
¡ 配置多個域名服務器的IPv6地址時,IPv6地址越小的域名服務器,其優先級越高。
¡ 設備上手工配置的域名服務器優先級高於通過DHCP等方式動態獲取的域名服務器。
設備首先向優先級最高的域名服務器發送查詢請求,失敗後再根據優先級從高到低的次序向其他域名服務器發送查詢請求。
· 配置域名解析後綴時,需要注意:
¡ 公網或單個VPN實例內最多可以配置16個域名後綴。可同時在公網和VPN實例內配置域名後綴。
¡ 添加域名後綴的優先級順序為:先配置的域名後綴優先級高於後配置的域名後綴;設備上手工配置的域名後綴優先級高於通過DHCP等方式動態獲取的域名後綴。設備首先添加優先級最高的域名後綴,查詢失敗後再根據優先級從高到低的次序添加其他域名後綴。
(1) 進入係統視圖。
system-view
(2) (可選)配置域名解析表項的有效時間。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情況下,域名解析表項的有效時間為DNS響應報文中的TTL。
(3) (可選)配置域名後綴。
dns domain domain-name [ vpn-instance vpn-instance-name ]
缺省情況下,未配置域名後綴,即隻根據用戶輸入的域名信息進行解析。
(4) 配置域名服務器的地址。
¡ 係統視圖下配置域名服務器的地址。
(IPv4網絡)
dns server ip-address [ vpn-instance vpn-instance-name ] [ priority priority-value ]
(IPv6網絡)
ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] [ priority priority-value ]
¡ 請依次執行以下命令在接口視圖下配置域名服務器的IPv4地址。
interface interface-type interface-number
dns server ip-address [ vpn-instance vpn-instance-name ] [ priority priority-value ]
缺省情況下,未配置域名服務器的地址。
某些組網環境中,為了使設備(包括DNS客戶端和DNS proxy)能夠根據請求的域名向指定的域名服務器發送查詢請求,需要在設備上配置域名服務器組和對應的域名匹配規則。
獨立的域名匹配規則包括以下匹配方式如下:
· 完整域名匹配方式,設備使用請求中的域名和domain-name指定的域名進行匹配,隻有完全對應才算匹配成功。
· 子域名匹配方式,設備使用請求中的域名和subdomain-name指定的域名進行匹配,隻有完全對應subdomain-name字符串,才算匹配成功。
終端用戶發送的請求隻能匹配相同VPN或公網內的域名匹配規則,如果請求中的域名匹配到某條規則中的完整域名或子域名,則設備根據如下機製向域名服務器的IPv4地址和IPv6地址轉發查詢請求。
(1) 如果域名服務器配置了優先級,則按照優先級從高到低的順序依次向各個域名服務器發送查詢請求。
(2) 如果域名服務器未配置優先級或優先級相同,則按照在域名服務器組中執行display this命令顯示服務器地址的先後順序,依次向各個域名服務器發送查詢請求。
(3) 如果查詢請求是IPv4報文,則優先向域名服務器的IPv4地址轉發查詢請求。如果查詢請求是IPv6報文,則優先向域名服務器的IPv6地址轉發查詢請求。
如果請求中的域名未匹配到任何域名匹配規則中的完整域名或子域名,則設備不會向域名服務器組中的服務器轉發該請求,域名解析失敗。
DNS服務器組下可同時配置域名服務器的IPv4地址和IPv6地址。
(1) 進入係統視圖。
system-view
(2) (可選)配置域名解析表項的有效時間。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情況下,域名解析表項的有效時間為DNS響應報文中的TTL。
(3) 配置DNS域名服務器組。
dns server-group group-id [ vpn-instance vpn-instance-name ]
缺省情況下,不存在域名服務器組。
設備上最多允許配置16個域名服務器組,每個域名服務器組內最多可以配置6個域名服務器的IPv4地址和6個域名服務器的IPv6地址。
(4) 在域名服務器組中添加域名服務器的地址。
(IPv4網絡)
dns server ip-address [ priority priority-value ]
(IPv6網絡)
ipv6 dns server ipv6-address [ interface-type interface-number ] [ priority priority-value ]
缺省情況下,域名服務器組中無域名服務器。
(5) (可選)配置DNS服務器組的描述信息。
description text
缺省情況下,未配置DNS服務器組的描述信息。
(6) 退回係統視圖。
quit
(7) 配置域名匹配規則。
dns domain-rule rule-id { domain-name domain-name | subdomain-name subdomain-name } [ vpn-instance vpn-instance-name ] server-group group-id
缺省情況下,未配置域名匹配規則。
在使用域名匹配規則將收到的域名請求發送給指定的域名服務器的場景中,將域名匹配規則與域名組關聯可以簡化配置,需要匹配多個不同的域名時,無需多次配置域名匹配規則。
在域名組中通過添加完整域名,或者添加子域名後,將域名匹配規則與域名組關聯能夠實現根據域名匹配結果分發域名請求的目的。
域名匹配規則與域名組的關聯方式包括如下兩種:
· 包含域名組。該方式下,設備使用請求中的域名和域名組中的域名進行匹配,匹配上組中任意域名即為匹配成功。
如果域名匹配規則包含名稱為any的域名組,則任意域名均能匹配該規則。
· 排除域名組。該方式下,設備使用請求中的域名和域名組中的域名進行匹配,隻有與組中所有域名均不匹配才算通過域名匹配規則的過濾。
如果域名匹配規則包含名稱為any的域名組,則所有域名均無法匹配該規則。
終端用戶發送的請求隻能匹配相同VPN或公網內的域名匹配規則,如果請求中的域名匹配到某條規則中的完整域名或子域名,則設備根據如下機製向域名服務器的IPv4地址和IPv6地址轉發查詢請求。
(1) 如果域名服務器配置了優先級,則按照優先級從高到低的順序依次向各個域名服務器發送查詢請求。
(2) 如果域名服務器未配置優先級或優先級相同,則按照在域名服務器組中執行display this命令顯示服務器地址的先後順序,依次向各個域名服務器發送查詢請求。
(3) 如果查詢請求是IPv4報文,則優先向域名服務器的IPv4地址轉發查詢請求。如果查詢請求是IPv6報文,則優先向域名服務器的IPv6地址轉發查詢請求。
如果請求中的域名未匹配到任何域名匹配規則中的完整域名或子域名,則設備不會向域名服務器組中的服務器轉發該請求,域名解析失敗。
DNS服務器組下可同時配置域名服務器的IPv4地址和IPv6地址。
(1) 進入係統視圖。
system-view
(2) (可選)配置域名解析表項的有效時間。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情況下,域名解析表項的有效時間為DNS響應報文中的TTL。
(3) 配置DNS域名服務器組。
dns server-group group-id [ vpn-instance vpn-instance-name ]
缺省情況下,不存在域名服務器組。
設備上最多允許配置16個域名服務器組,每個域名服務器組內最多可以配置6個域名服務器的IPv4地址和6個域名服務器的IPv6地址。
(4) 在域名服務器組中添加域名服務器的地址。
(IPv4網絡)
dns server ip-address [ priority priority-value ]
(IPv6網絡)
ipv6 dns server ipv6-address [ interface-type interface-number ] [ priority priority-value ]
缺省情況下,域名服務器組中無域名服務器。
(5) (可選)配置DNS服務器組的描述信息。
description text
缺省情況下,未配置DNS服務器組的描述信息。
(6) 退回係統視圖。
quit
(7) 創建域名組並進入域名組視圖。如果已經創建了域名組,則直接進入該域名組視圖。
dns domain-name-group group-name
缺省情況下,存在名稱為any的默認域名組。
不能手工創建或刪除默認域名組。
多次執行本命令可以創建多個域名組。
(8) 在域名組中添加完整域名。
domain-name domain-name
缺省情況下,域名組中未配置完整域名。
(9) 在域名組中添加子域名。
subdomain-name subdomain-name
缺省情況下,域名組中未配置子域名。
(10) 退回係統視圖。
quit
(11) 配置域名匹配規則。
¡ 配置域名匹配規則與域名組的關聯方式為包含域名組。
dns domain-rule rule-id domain-name-group group-name [ vpn-instance vpn-instance-name ] server-group group-id
¡ 配置域名匹配規則與域名組的關聯方式為排除域名組。
dns domain-rule rule-id exclude domain-name-group group-name [ vpn-instance vpn-instance-name ] server-group group-id
缺省情況下,未配置域名匹配規則。
DNS服務器健康探測功能用於對域名服務器組中域名服務器的可用性進行探測,避免設備將報文轉發給不可用的域名服務器,提高用戶訪問域名的體驗。
在使用DNS重定向功能對DNS請求進行分流的場景中,當DNS請求報文經過開啟DNS重定向功能的設備時,如果DNS請求報文匹配上域名匹配規則,則設備從域名服務器組中選擇一個域名服務器,並將該報文轉發給選中的域名服務器。選擇服務器的機製如下:
(1) 如果域名服務器配置了優先級,則按照優先級從高到低的順序依次選擇域名服務器。
(2) 如果域名服務器未配置優先級或優先級相同,則按照在域名服務器組中執行display this命令顯示服務器地址的先後順序選擇域名服務器。
設備向域名服務器發送請求報文後,若2s內無法收到該選中域名服務器的DNS響應報文,設備會重新選擇域名服務器。為了避免設備選中不可用的域名服務器,請使用本功能對域名服務器可用性進行檢測。具體機製如下:
(1) 設備周期性進行健康探測,即周期性向域名服務器組中的各個域名服務器分別發送一個DNS請求報文,根據是否能收到DNS響應報文判斷域名服務器的可用性。
(2) 如果設備收到DNS響應報文,則認為DNS服務器可用。
(3) 如果設備連續3次發送DNS請求報文後,均未收到DNS響應報文,則認為DNS服務器不可用。
DNS重定向設備在對DNS請求報文進行重定向時,會自動跳過不可用的DNS服務器,然後根據字典序在可用的域名服務器中進行選擇。
非DNS重定向場景中,建議關閉DNS服務器健康探測功能,避免設備周期性發送DNS請求報文占用網絡資源。
(1) 進入係統視圖。
system-view
(2) 進入DNS域名服務器組視圖。
dns server-group group-id [ vpn-instance vpn-instance-name ]
(3) 開啟DNS服務器健康探測功能。
health-check enable
缺省情況下,DNS服務器健康探測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 開啟DNS proxy功能。
dns proxy enable
缺省情況下,DNS proxy功能處於關閉狀態。
可以指定多個DNS服務器。DNS proxy接收到客戶端的查詢請求後,首先向優先級最高的DNS服務器轉發查詢請求,失敗後再依次向其他DNS服務器轉發查詢請求。
DNS proxy可同時配置域名服務器的IPv4地址和IPv6地址。無論DNS proxy接收到的查詢請求是來自IPv4客戶端還是來自IPv6客戶端,DNS proxy都會按照優先級順序向域名服務器的IPv4地址和IPv6地址轉發查詢請求。如果查詢請求是IPv4報文,則優先向域名服務器的IPv4地址轉發查詢請求。如果查詢請求是IPv6報文,則優先向域名服務器的IPv6地址轉發查詢請求。
(1) 進入係統視圖。
system-view
(2) 配置域名服務器的地址。
¡ 係統視圖下配置域名服務器的地址。
(IPv4網絡)
dns server ip-address [ vpn-instance vpn-instance-name ] [ priority priority-value ]
(IPv6網絡)
ipv6 dns server ipv6-address [ interface-type interface-number ] [ vpn-instance vpn-instance-name ] [ priority priority-value ]
¡ 請依次執行以下命令在接口視圖下配置域名服務器的IPv4地址。
interface interface-type interface-number
dns server ip-address [ vpn-instance vpn-instance-name ] [ priority priority-value ]
缺省情況下,未配置域名服務器的地址。
域名服務器組的配置方式請參見“1.3.4 配置服務器組域名解析”。
DNS透明代理指的是,DNS客戶端感知不到代理服務存在的代理模式。DNS源地址透明代理不僅能夠提供代理服務,還會修改DNS請求報文的源地址,從而實現發送DNS請求報文的設備能夠接收到相應的DNS響應報文,適用於需要基於域名做策略的場景(如安全策略、帶寬策略等)。
與DNS代理功能不同的是,DNS客戶端不需要將DNS服務器的地址指定為DNS源地址透明代理設備的地址,簡化了客戶端的配置。在一些負載均衡場景中,為了保證基於域名的策略能夠成功對報文進行控製,建議使用DNS源地址透明代理功能。
開啟DNS源地址透明代理功能後,設備開始監聽過路的DNS請求報文和DNS應答報文,並記錄域名解析信息,以便提供代理功能。具體工作機製如下:
(1) DNS源地址透明代理設備監聽所有過路DNS報文,當收到DNS請求報文時,設備根據一定的規則從能夠到達DNS服務器的本地IP地址選取一個,並將其作為修改後的DNS請求報文的源IP地址,使得DNS應答報文能夠返回本設備。
(2) DNS源地址透明代理設備收到DNS服務器的應答報文後,記錄域名解析的結果,並將報文轉發給DNS客戶端。DNS客戶端利用域名解析的結果進行相應的處理。後續DNS透明代理設備收到DNS請求報文後,首先查找DNS透明代理記錄的表項,如果存在請求的信息,則DNS透明代理設備直接通過DNS應答報文將域名解析結果返回給DNS client。如果不存在請求的信息,則DNS透明代理設備將報文轉發給域名服務器進行解析。
如圖1-4所示,在Device A上開啟了DNS源地址透明代理功能。當Device A收到DNS請求報文後,將報文的源地址修改為本設備的地址,然後轉發給DNS服務器。Device A收到相應的DNS應答報文後,記錄域名和IP地址的關係,並將DNS應答報文轉發給DNS客戶端。
圖1-4 DNS源地址透明代理原理圖
DNS源地址透明代理功能和DNS快速應答功能、DNS Snooping功能、DNS重定向功能不能同時使用。
DNS源地址透明代理功能不支持跨VPN使用,即設備上DNS報文的出入接口必須屬於同一個VPN。
(1) 進入係統視圖。
system-view
(2) (可選)配置域名解析表項的有效時間。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情況下,域名解析表項的有效時間為DNS響應報文中的TTL。
(3) 開啟DNS源地址透明代理功能。
dns transparent-proxy enable
缺省情況下,DNS源地址透明代理功能處於關閉狀態。
公網或單個VPN實例內隻能配置1個DNS spoofing應答的IPv4地址和1個DNS spoofing應答的IPv6地址。重複配置時,新的配置會覆蓋原有配置。
可同時在公網和VPN實例內配置DNS spoofing功能。
DNS spoofing功能生效時,即使設備上配置了靜態域名解析,也會使用DNS spoofing指定的IP地址來應答DNS請求。
設備上啟用了DNS proxy功能。
設備上未指定域名服務器地址或不存在到達域名服務器的路由。
(1) 進入係統視圖。
system-view
(2) 啟用DNS proxy功能。
dns proxy enable
缺省情況下,DNS proxy功能處於關閉狀態。
(3) 開啟DNS spoofing功能,並指定DNS spoofing應答地址。
(IPv4網絡)
dns spoofing ip-address [ vpn-instance vpn-instance-name ]
(IPv6網絡)
ipv6 dns spoofing ipv6-address [ vpn-instance vpn-instance-name ]
缺省情況下,未開啟DNS spoofing功能。
開啟DNS快速應答功能後,設備會偵聽過路的DNS請求報文,解析出報文中被請求的域名,然後查找本地的靜態域名解析表,根據查詢結果的不同決定是否進行DNS快速應答,具體工作機製如下:
· 在本地靜態域名解析表中查找到域名和IP地址信息,設備直接應答DNS請求,不會將報文轉發給DNS服務器。
· 未在本地靜態域名解析表中查找到域名和IP地址信息,設備將DNS請求轉發給DNS服務器。
DNS快速應答功能使得設備每秒鍾能夠處理的DNS請求報文數量較多,適用於對DNS報文處理性能要求較高的場景。
DNS快速應答功能和DNS源地址透明代理功能不能同時使用。
(1) 進入係統視圖。
system-view
(2) 開啟DNS快速應答功能。
dns fast-reply enable
缺省情況下,DNS快速應答功能處於關閉狀態。
DNS重定向功能用於需要對DNS請求進行分流的場景。開啟DNS重定向功能後,設備會偵聽過路的DNS請求報文(目前隻支持UDP報文),解析出報文中的源IP地址、源端口號、域名等信息後,根據解析出來的域名查詢域名匹配規則,然後將DNS請求報文重定向到域名匹配規則指定的DNS服務器。
DNS重定向功能的工作機製如下:
(1) 設備使用從DNS請求報文中解析出來的域名查詢域名匹配規則:
¡ 如果匹配上域名匹配規則,設備從域名匹配規則對應的域名服務器組中選擇第一個路由可達的域名服務器,然後使用該域名服務器的IP地址替換原始DNS請求報文中的目的IP地址,並將該報文轉發給目的IP地址對應的域名服務器。
¡ 如果設備從DNS請求報文中解析出來的域名沒有匹配上域名匹配規則,則不對該報文進行重定向處理。
(2) 設備記錄替換關係。包括替換前DNS請求報文的源IP、源端口號、請求的域名服務器的IP地址等信息,以及替換後的域名服務器的IP地址。
(3) 設備收到DNS響應報文後,根據替換關係將DNS響應報文的源IP地址還原為原始的DNS請求中的域名服務器IP地址。
DNS重定向功能和DNS源地址透明代理功能不能同時使用。
(1) 進入係統視圖。
system-view
(2) 開啟DNS重定向功能。
dns redirect enable
缺省情況下,DNS重定向功能處於關閉狀態。
DNS Snooping功能適用於基於域名過濾用戶流量的場景。
其他模塊(如地址對象組模塊)向DNS模塊下達域名訂閱請求後,才能通過DNS Snooping功能獲取域名對應的IP地址。當DNS Snooping功能開啟後,設備會監聽經過的DNS請求和應答報文。如果請求報文中的域名與訂閱的域名匹配,設備會在接收到該域名的應答報文時記錄解析結果,並將其上報至發起訂閱的模塊。如果請求報文中的域名與訂閱的域名不符,則設備不會記錄解析結果。
當下達域名訂閱請求的模塊獲取到域名對應的IP地址後,就可以利用這些信息實現基於域名的流量過濾。
此外,當其他模塊訂閱的域名老化時,DNS模塊會通知相關模塊刪除該表項,以保證表項的準確性。
開啟DNS Snooping功能時,需要注意:
· DNS Snooping功能僅適用於三層業務組網場景,設備上同一個VLAN的二層轉發業務不支持該功能。
· DNS Snooping設備隻有位於DNS客戶端與DNS服務器之間,或DNS客戶端與DNS代理設備之間時,DNS Snooping功能配置後才能正常工作。
· DNS Snooping功能和DNS源地址透明代理功能不能同時使用。
· DNS Snooping功能不支持跨VPN使用,即設備上DNS報文的出入接口必須屬於同一個VPN。
(1) 進入係統視圖。
system-view
(2) (可選)配置域名解析表項的有效時間。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情況下,域名解析表項的有效時間為DNS響應報文中的TTL。
(3) 開啟DNS Snooping功能。
dns snooping enable
缺省情況下,DNS Snooping功能處於關閉狀態。
網絡環境中,DNS proxy設備收到請求報文後,需要查詢自己是否記錄了請求域名對應的地址,如果存在,則直接應答需求;如果不存在,則需要向DNS服務器轉發請求。如果網絡中存在攻擊源或有大量客戶端同一時間發送大量DNS請求,則會增加網絡負載並影響DNS proxy設備或DNS服務器的性能。為了防止上述問題的產生,可以在DNS客戶端和DNS proxy或DNS服務器之間的設備配置DNS Snooping日誌功能。
開啟DNS Snooping的日誌功能後,DNS收到一個請求和對應的應答報文後會進行記錄,並生成日誌發給快速日誌模塊。管理員通過查詢日誌信息確認並解決問題。關於快速日誌模塊的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 開啟DNS Snooping的日誌功能。
dns snooping log enable
缺省情況下,DNS Snooping的日誌功能處於關閉狀態。
開啟DNS Snooping的報文限速功能後,當接口上收到的DNS報文速率超過用戶設定的限速值時,丟棄超過速率限製的DNS報文。
隻有開啟了DNS源地址透明代理功能或DNS Snooping的日誌功能,本功能才會生效。
(1) 進入係統視圖。
system-view
(2) 開啟DNS Snooping的報文限速功能。
dns snooping rate-limit rate
缺省情況下,DNS Snooping的報文限速功能處於關閉狀態。
缺省情況下,任意接口通過DHCP等協議動態獲得的域名後綴和域名服務器信息都將作為有效信息,用於域名解析。如果網絡攻擊者通過DHCP服務器為設備分配錯誤的域名後綴和域名服務器地址,則會導致設備域名解析失敗,或解析到錯誤的結果。通過本配置指定信任接口後,域名解析時隻采用信任接口動態獲得的域名後綴和域名服務器信息,非信任接口獲得的信息不能用於域名解析,從而在一定程度上避免這類攻擊。
設備最多可以配置128個DNS信任接口。
(1) 進入係統視圖。
system-view
(2) 指定DNS信任接口。
dns trust-interface interface-type interface-number
缺省情況下,未指定任何接口為信任接口。
缺省情況下,設備根據域名服務器的地址,通過路由表查找請求報文的出接口,並將該出接口的主IP地址作為發送到該服務器的DNS請求報文的源地址。根據域名服務器的地址不同,發送報文的源地址可能會發生變化。在某些特殊的組網環境中,域名服務器隻應答來自特定源地址的DNS請求報文。這種情況下,必須指定DNS報文的源接口。如果為設備配置了DNS報文的源接口,則設備在發送DNS報文時,將固定使用該接口的主IP地址作為報文的源地址。
發送IPv4 DNS報文時,將使用源接口的主IPv4地址作為DNS報文的源地址。發送IPv6 DNS報文時,將根據RFC 3484中定義的規則從源接口上選擇IPv6地址作為DNS報文的源地址。如果源接口上未配置對應的地址,則將導致報文發送失敗。
公網或單個VPN實例內隻能配置1個源接口。重複配置時,新的配置會覆蓋原有配置。可同時在公網和VPN實例內配置源接口。
無論配置的源接口是否屬於指定的VPN,該配置都會生效。不建議為某個VPN配置一個不屬於該VPN的源接口。否則,設備會使用不屬於該VPN的地址作為DNS報文源地址,導致無法收到DNS應答。
(1) 進入係統視圖。
system-view
(2) 指定DNS報文的源接口。
dns source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]
缺省情況下,未指定DNS報文的源接口。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定設備發送的DNS報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 指定DNS客戶端或DNS proxy發出的DNS報文的DSCP優先級。
(IPv4網絡)
dns dscp dscp-value
缺省情況下,DNS報文的DSCP優先級為0。
(IPv6網絡)
ipv6 dns dscp dscp-value
通過在DNS代理上開啟DNS過濾功能,可以實現對用戶通過域名進行的業務訪問進行控製。開啟DNS過濾功能後,DNS代理將會提取DNS客戶端發送的DNS請求報文中的域名與本功能配置的白名單或黑名單進行匹配,根據匹配結果對DNS請求報文執行放行或丟棄動作。
DNS過濾功能的機製如下:
· 如果DNS代理收到的DNS請求報文中的域名命中白名單,則DNS代理放行該DNS請求報文,並在收到DNS響應報文後記錄域名解析的結果,然後將DNS響應報文轉發給DNS客戶端。如果DNS代理收到的DNS請求報文中的域名未命中白名單,則DNS代理丟棄該DNS請求報文。
· 如果DNS代理收到的DNS請求報文中的域名未命中黑名單,則DNS代理放行該DNS請求報文,並在收到DNS響應報文後記錄域名解析的結果,然後將DNS響應報文轉發給DNS客戶端。如果DNS代理收到的DNS請求報文中的域名命中黑名單,則DNS代理丟棄該DNS請求報文。
如果希望實現嚴格的訪問控製,建議使用白名單進行DNS過濾。如果希望實現寬鬆的訪問控製,建議使用黑名單進行DNS過濾。
可以配置多個白名單或多個黑名單,但不允許同時配置白名單和黑名單。
(1) 進入係統視圖。
system-view
(2) 開啟DNS過濾功能,並配置黑/白名單。
dns filter { allowlist | denylist } hostname
缺省情況下,DNS過濾功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示域名解析配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除動態域名緩存信息。
|
操作 |
命令 |
|
顯示域名後綴信息 |
display dns domain [ dynamic ] [ vpn-instance vpn-instance-name ] |
|
顯示域名解析表信息 |
display dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ] |
|
顯示域名服務器的IPv4地址信息 |
display dns server [ dynamic ] [ vpn-instance vpn-instance-name ] |
|
顯示DNS服務器健康探測狀態 |
display dns server health status |
|
顯示域名服務器的IPv6地址信息 |
display ipv6 dns server [ dynamic ] [ vpn-instance vpn-instance-name ] |
|
清除動態域名解析緩存信息 |
reset dns host [ ip | ipv6 ] [ vpn-instance vpn-instance-name ] |
為了避免記憶複雜的IP地址,Device希望通過便於記憶的主機名訪問某一主機。在Device上手工配置IP地址對應的主機名,利用靜態域名解析功能,就可以實現通過主機名訪問該主機。
在本例中,Device訪問的主機IP地址為10.1.1.2,主機名為host.com。
圖1-5 靜態域名解析配置組網圖
# 配置主機名host.com對應的IP地址為10.1.1.2。
<Sysname> system-view
[Sysname] ip host host.com 10.1.1.2
# 執行ping host.com命令,Device通過靜態域名解析可以解析到host.com對應的IP地址為10.1.1.2。
[Sysname] ping host.com
Ping host.com (10.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 10.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 10.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 10.1.1.2: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 10.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 10.1.1.2: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for host.com ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
為了避免記憶複雜的IP地址,Device希望通過便於記憶的域名訪問某一主機。如果網絡中存在域名服務器,則可以利用動態域名解析功能,實現通過域名訪問主機。
在本例中:
· 域名服務器的IP地址是2.1.1.2/16,域名服務器上存在com域,且com域中包含域名“host”和IP地址3.1.1.1/16的對應關係。
· Device作為DNS客戶端,使用動態域名解析功能,將域名解析為IP地址。
· Device上配置域名後綴com,以便簡化訪問主機時輸入的域名,例如通過輸入host即可訪問域名為host.com、IP地址為3.1.1.1/16的主機Host。
· 在開始下麵的配置之前,假設設備與主機之間的路由可達,設備和主機都已經配置完畢,接口IP地址如圖1-6所示。
· 不同域名服務器的配置方法不同,下麵僅以Windows Server 2008 R2為例,說明域名服務器的配置方法。
(1) 配置域名服務器
# 進入域名服務器配置界麵。
在開始菜單中,選擇[程序/管理工具/DNS]。
# 創建區域com。
如圖1-7所示,右鍵點擊[正向查找區域],選擇[新建區域],按照提示創建新的區域com。
# 添加域名和IP地址的映射。
如圖1-8所示,右鍵點擊區域[com]。
選擇[新建主機],彈出如圖1-9的對話框,輸入域名host和IP地址3.1.1.1。單擊<添加主機>可完成操作。
圖1-9 添加域名和IP地址的映射
(2) 配置DNS客戶端Device
<Sysname> system-view
# 配置域名服務器的IP地址為2.1.1.2。
[Sysname] dns server 2.1.1.2
# 配置域名後綴com。
[Sysname] dns domain com
# 在設備上執行ping host命令,可以ping通主機,且對應的目的地址為3.1.1.1。
[Sysname] ping host
Ping host.com (3.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 3.1.1.1: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
Device希望需要通過動態域名方式訪問不同位置的主機Host1和Host2。Host1的域名和地址的對應關係保存在域名服務器1上,Host2的域名和地址的對應關係保存在域名服務器2上。
· 域名服務器1的IP地址是1.1.1.3/24,域名服務器上存在com域,且com域中包含域名“host1”和IP地址1.1.1.2/24的對應關係。域名服務器2的IP地址是3.1.1.3/24,域名服務器上存在com域,且com域中包含域名“host2”和IP地址3.1.1.2/24的對應關係。
· Device作為DNS客戶端,使用動態域名解析功能,將域名解析為IP地址。
在開始下麵的配置之前,假設設備與域名服務器、主機之間的路由可達,接口IP地址如圖1-10所示。
(1) 配置域名服務器
# 配置域名服務器1和域名服務器2。
不同的域名服務器的配置方法不同。Windows Server 2008 R2作為域名服務器時,配置方法請參見“1.17.2 服務器域名解析配置舉例”。
(2) 配置DNS客戶端Device
<Sysname> system-view
# 創建域名服務器組1,添加域名服務器的地址1.1.1.3。
[Sysname] dns server-group 1
[Sysname-dns-server-group-1] dns server 1.1.1.3
[Sysname-dns-server-group-1] quit
# 創建域名服務器組2,添加域名服務器的地址3.1.1.3。
[Sysname] dns server-group 2
[Sysname-dns-server-group-2] dns server 3.1.1.3
[Sysname-dns-server-group-2] quit
# 配置域名匹配規則1,將完整域名“host1.com”與域名服務器組1綁定。
[Sysname] dns domain-rule 1 domain-name host1.com server-group 1
# 配置域名匹配規則2,將完整域名“host2.com”與域名服務器組2綁定。
[Sysname] dns domain-rule 2 domain-name host2.com server-group 2
# 在設備上執行ping host1.com命令,可以ping通主機,且對應的目的地址為1.1.1.2。
[Sysname] ping host1.com
Ping host1.com (1.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
# 在設備上執行ping host2.com命令,可以ping通主機,且對應的目的地址為3.1.1.2。
[Sysname] ping host2.com
Ping host2.com (3.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 3.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 3.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 3.1.1.2: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 3.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 3.1.1.2: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
某局域網內擁有多台設備,每台設備上都指定了域名服務器的IP地址,以便直接通過域名訪問外部網絡。當域名服務器的IP地址發生變化時,網絡管理員需要更改局域網內所有設備上配置的域名服務器IP地址,工作量將會非常巨大。
通過DNS proxy功能,可以大大減少網絡管理員的工作量。當域名服務器IP地址改變時,隻需更改DNS proxy上的配置,即可實現局域網內設備通過新的域名服務器解析域名。
在本例中,具體配置步驟為:
(1) 局域網中的某台設備Device A配置為DNS proxy,DNS proxy上指定域名服務器IP地址為真正的域名服務器的地址4.1.1.1。
(2) 局域網中的其他設備(如Device B)上,域名服務器的IP地址配置為DNS proxy的地址,域名解析報文將通過DNS proxy轉發給真正的域名服務器。
在開始下麵的配置之前,假設設備與域名服務器、主機之間的路由可達,並已按照圖1-11配置各接口的IP地址。
(1) 配置域名服務器
不同的域名服務器的配置方法不同。Windows Server 2008 R2作為域名服務器時,配置方法請參見“1.17.2 服務器域名解析配置舉例”。
(2) 配置DNS代理Device A
# 配置域名服務器的IP地址為4.1.1.1。
<DeviceA> system-view
[DeviceA] dns server 4.1.1.1
# 開啟DNS proxy功能。
[DeviceA] dns proxy enable
(3) 配置DNS客戶端Device B
<DeviceB> system-view
# 配置域名服務器的IP地址為2.1.1.2。
[DeviceB] dns server 2.1.1.2
# 在Device B上執行ping host.com命令,可以ping通主機,且對應的目的地址為3.1.1.1。
[DeviceB] ping host.com
Ping host.com (3.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 3.1.1.1: icmp_seq=0 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 3.1.1.1: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for host.com ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
為了避免記憶複雜的IPv6地址,Device希望通過便於記憶的主機名訪問某一主機。在Device上手工配置IPv6地址對應的主機名,利用靜態域名解析功能,就可以實現通過主機名訪問該主機。
在本例中,Device訪問的主機IPv6地址為1::2,主機名為host.com。
圖1-12 靜態域名解析配置組網圖
# 配置主機名host.com對應的IPv6地址為1::2。
<Sysname> system-view
[Sysname] ipv6 host host.com 1::2
# 執行ping ipv6 host.com命令,Device通過靜態域名解析可以解析到host.com對應的IPv6地址為1::2。
[Sysname] ping ipv6 host.com
Ping6(56 data bytes) 1::1 --> 1::2, press CTRL_C to break
56 bytes from 1::2, icmp_seq=0 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=1 hlim=128 time=0.000 ms
56 bytes from 1::2, icmp_seq=2 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=3 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=4 hlim=128 time=0.000 ms
--- Ping6 statistics for host.com ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
為了避免記憶複雜的IPv6地址,Device希望通過便於記憶的域名訪問某一主機。如果網絡中存在域名服務器,則可以利用動態域名解析功能,實現通過域名訪問主機。
在本例中:
· 域名服務器的IPv6地址是2::2/64,域名服務器上存在com域,且com域中包含域名“host”和IPv6地址1::1/64的對應關係。
· Device作為DNS客戶端,使用動態域名解析功能,將域名解析為IPv6地址。
· Device上配置域名後綴com,以便簡化訪問主機時輸入的域名,例如通過輸入host即可訪問域名為host.com、IPv6地址為1::1/64的主機Host。
· 在開始下麵的配置之前,假設設備與主機之間的路由可達,設備和主機都已經配置完畢,接口IPv6地址如圖1-13所示。
· 不同域名服務器的配置方法不同,下麵僅以Windows Server 2008 R2為例,說明域名服務器的配置方法。配置之前,需確保DNS服務器支持IPv6 DNS功能,以便處理IPv6域名解析報文;且DNS服務器的接口可以轉發IPv6報文。
(1) 配置域名服務器
# 進入域名服務器配置界麵。
在開始菜單中,選擇[程序/管理工具/DNS]。
# 創建區域com。
如圖1-14所示,右鍵點擊[正向查找區域],選擇[新建區域],按照提示創建新的區域com。
如圖1-15所示,右鍵點擊區域[com]。
選擇[新建主機],彈出如圖1-16的對話框,輸入域名和IPv6地址1::1。單擊<添加主機>可完成操作。
圖1-16 添加域名和IPv6地址的映射
(2) 配置DNS客戶端Device
# 配置域名服務器的IPv6地址為2::2。
<Device> system-view
[Device] ipv6 dns server 2::2
# 配置域名後綴com。
[Device] dns domain com
# 在設備上執行ping ipv6 host命令,可以ping通主機,且對應的目的地址為1::1。
[Device] ping ipv6 host
Ping6(56 data bytes) 3::1 --> 1::1, press CTRL_C to break
56 bytes from 1::1, icmp_seq=0 hlim=128 time=1.000 ms
56 bytes from 1::1, icmp_seq=1 hlim=128 time=0.000 ms
56 bytes from 1::1, icmp_seq=2 hlim=128 time=1.000 ms
56 bytes from 1::1, icmp_seq=3 hlim=128 time=1.000 ms
56 bytes from 1::1, icmp_seq=4 hlim=128 time=0.000 ms
--- Ping6 statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
Device希望需要通過動態域名方式訪問不同位置的主機Host1和Host2。Host1的域名和地址的對應關係保存在域名服務器1上,Host2的域名和地址的對應關係保存在域名服務器2上。
· 域名服務器1的IPv6地址是1::3/64,域名服務器1上存在com域,且com域中包含域名“host1”和IP地址1::2/64的對應關係。域名服務器2的IP地址是3::3/64,域名服務器2上存在com域,且com域中包含域名“host2”和IP地址3::2/64的對應關係。
· Device作為DNS客戶端,使用動態域名解析功能,將域名解析為IPv6地址。
在開始下麵的配置之前,假設設備與域名服務器、主機之間的路由可達,接口IPv6地址如圖1-17所示。
(1) 配置域名服務器
# 配置域名服務器1和域名服務器2。
不同的域名服務器的配置方法不同。Windows Server 2008 R2作為域名服務器時,配置方法請參見“1.17.2 服務器域名解析配置舉例”。
(2) 配置DNS客戶端Device
<Sysname> system-view
# 創建域名服務器組1,添加域名服務器的IPv6地址1::3。
[Sysname] dns server-group 1
[Sysname-dns-server-group-1] ipv6 dns server 1::3
[Sysname-dns-server-group-1] quit
# 創建域名服務器組2,添加域名服務器的IPv6地址3::3。
[Sysname] dns server-group 2
[Sysname-dns-server-group-2] ipv6 dns server 3::3
[Sysname-dns-server-group-2] quit
# 配置域名匹配規則1,將完整域名“host1.com”與域名服務器組1綁定。
[Sysname] dns domain-rule 1 domain-name host1.com server-group 1
# 配置域名匹配規則2,將完整域名“host2.com”與域名服務器組2綁定。
[Sysname] dns domain-rule 2 domain-name host2.com server-group 2
# 在設備上執行ping ipv6 host1.com命令,可以ping通主機,且對應的目的地址為1::2。
[Sysname] ping ipv6 host1.com
Ping6(56 data bytes) 1::1 --> 1::2, press CTRL_C to break
56 bytes from 1::2, icmp_seq=0 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=1 hlim=128 time=0.000 ms
56 bytes from 1::2, icmp_seq=2 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=3 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=4 hlim=128 time=0.000 ms
--- Ping6 statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
# 在設備上執行ping ipv6 host2.com命令,可以ping通主機,且對應的目的地址為3.1.1.2。
[Sysname] ping ipv6 host2.com
Ping6(56 data bytes) 2::1 --> 3::2, press CTRL_C to break
56 bytes from 1::2, icmp_seq=0 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=1 hlim=128 time=0.000 ms
56 bytes from 1::2, icmp_seq=2 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=3 hlim=128 time=1.000 ms
56 bytes from 1::2, icmp_seq=4 hlim=128 time=0.000 ms
--- Ping6 statistics for host ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
某局域網內擁有多台設備,每台設備上都指定了域名服務器的IPv6地址,以便直接通過域名訪問外部網絡。當域名服務器的IPv6地址發生變化時,網絡管理員需要更改局域網內所有設備上配置的域名服務器IPv6地址,工作量將會非常巨大。
通過DNS proxy功能,可以大大減少網絡管理員的工作量。當域名服務器IPv6地址改變時,隻需更改DNS proxy上的配置,即可實現局域網內設備通過新的域名服務器解析域名。
在本例中,具體配置步驟為:
(1) 局域網中的某台設備Device A配置為DNS proxy,DNS proxy上指定域名服務器IPv6地址為真正的域名服務器的地址4000::1
(2) 局域網中的其他設備(如Device B)上,域名服務器的IPv6地址配置為DNS proxy的地址,域名解析報文將通過DNS proxy轉發給真正的域名服務器。
在開始下麵的配置之前,假設設備與域名服務器、主機之間的路由可達,並已按照圖1-18配置各接口的IPv6地址。
(1) 配置域名服務器
不同的域名服務器的配置方法不同。Windows Server 2008 R2作為域名服務器時,配置方法請參見“1.18.2 服務器域名解析配置舉例”。
(2) 配置DNS代理Device A
# 配置域名服務器的IPv6地址為4000::1。
<DeviceA> system-view
[DeviceA] ipv6 dns server 4000::1
# 開啟DNS proxy功能。
[DeviceA] dns proxy enable
(3) 配置DNS客戶端Device B
# 配置域名服務器的IPv6地址為2000::2。
<DeviceB> system-view
[DeviceB] ipv6 dns server 2000::2
# 在Device B上執行ping host.com命令,可以ping通主機,且對應的目的地址為3000::1。
[DeviceB] ping host.com
Ping6(56 data bytes) 2000::1 --> 3000::1, press CTRL_C to break
56 bytes from 3000::1, icmp_seq=0 hlim=128 time=1.000 ms
56 bytes from 3000::1, icmp_seq=1 hlim=128 time=0.000 ms
56 bytes from 3000::1, icmp_seq=2 hlim=128 time=1.000 ms
56 bytes from 3000::1, icmp_seq=3 hlim=128 time=1.000 ms
56 bytes from 3000::1, icmp_seq=4 hlim=128 time=0.000 ms
--- Ping6 statistics for host com ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
配置了動態域名解析,但不能根據域名解析到正確的IP地址。
DNS客戶端需要和域名服務器配合使用,才能根據域名解析到正確的IP地址。
· 執行命令display dns host ip,檢查動態域名緩存信息是否存在指定域名。
· 如果不存在要解析的域名,檢查DNS客戶端是否和域名服務器通信正常,域名服務器是否工作正常。
· 如果存在要解析的域名,但地址不對,則檢查DNS客戶端所配置的域名服務器的IP地址是否正確。
配置了動態域名解析,但不能根據域名解析到正確的IPv6地址。
DNS客戶端需要和域名服務器配合使用,才能根據域名解析到正確的IPv6地址。
· 執行命令display dns host ipv6,檢查動態域名緩存信息是否存在指定域名。
· 如果不存在要解析的域名,檢查DNS客戶端是否和域名服務器通信正常,域名服務器是否工作正常。
· 如果存在要解析的域名,但地址不對,則檢查DNS客戶端所配置的域名服務器的IPv6地址是否正確。
· 檢查域名服務器所設置的域名和地址映射表是否正確。
DNS僅僅提供了域名和IP地址之間的靜態對應關係,當節點的IP地址發生變化時,通過域名解析得到的IP地址是錯誤的,會導致訪問失敗。
DDNS(Dynamic Domain Name System,動態域名係統)用來動態更新DNS服務器上域名和IP地址之間的對應關係,保證通過域名解析到正確的IP地址。
圖2-1 DDNS典型組網圖
DDNS的典型組網環境如圖2-1所示,DDNS采用客戶端/服務器模式:
· DDNS客戶端:IP地址變化時,需要在DNS服務器上動態更新其域名和IP地址對應關係的設備。Internet用戶通常通過域名訪問提供應用層服務的服務器,如HTTP、FTP服務器。為了保證IP地址變化時,仍然可以通過域名訪問這些服務器,當服務器的IP地址發生變化時,服務器將作為DDNS客戶端,向DDNS服務器發送更新域名和IP地址對應關係的DDNS更新請求。
· DDNS服務器:負責通知DNS服務器動態更新域名和IP地址之間的對應關係。接收到DDNS客戶端的更新請求後,DDNS服務器通知DNS服務器重新建立DDNS客戶端的域名和IP地址之間的對應關係。從而保證即使DDNS客戶端的IP地址改變,Internet用戶仍然可以通過同樣的域名訪問DDNS客戶端。
設備可以作為DDNS客戶端,通過www.3322.org、花生殼等DDNS服務器動態更新DNS服務器上域名和IP地址之間的對應關係。
目前,DDNS更新過程沒有統一的標準,向不同的DDNS服務器請求更新的過程各不相同。
目前,隻有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即隻能通過DDNS動態更新域名和IPv4地址之間的對應關係。
設備作為DDNS客戶端配置任務如下:
(1) 配置DDNS策略
(2) 在接口上應用DDNS策略
(3) (可選)配置DDNS報文的DSCP優先級
DDNS策略是DDNS服務器的地址、端口號、登錄用戶名、密碼、時間間隔、關聯的SSL客戶端策略和更新時間間隔等信息的集合。創建DDNS策略後,可以在不同的接口上應用相同的DDNS策略,從而簡化DDNS的配置。
設備向不同DDNS服務器請求更新的過程各不相同,因此,DDNS更新請求的URL地址的配置方式也存在差異,如表2-1所示。
表2-1 常見的DDNS更新請求URL地址格式列表
|
DDNS服務器 |
DDNS更新請求的URL地址格式 |
|
www.3322.org |
http://members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNDNS |
http://members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> |
|
DYNS |
http://www.dyns.cx/postscript.php?host=<h>&ip=<a> |
|
ZONEEDIT |
http://dynamic.zoneedit.com/auth/dynamic.html?host=<h>&dnsto=<a> |
|
TZO |
http://cgi.tzo.com/webclient/signedon.html?TZOName=<h>IPAddress=<a> |
|
EASYDNS |
http://members.easydns.com/dyn/ez-ipupdate.php?action=edit&myip=<a>&host_id=<h> |
|
HEIPV6TB |
http://dyn.dns.he.net/nic/update?hostname=<h>&myip=<a> |
|
CHANGE-IP |
http://nic.changeip.com/nic/update?hostname=<h>&offline=1 |
|
NO-IP |
http://dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a> |
|
DHS |
http://members.dhs.org/nic/hosts?domain=dyn.dhs.org&hostname=<h>&hostscmd=edit&hostscmdstage=2&type=1&ip=<a> |
|
HP |
https://server-name/nic/update?group=group-name&myip=<a> |
|
ODS |
ods://update.ods.org |
|
GNUDIP |
gnudip://server-name |
|
花生殼 |
根據實際情況選擇: · oray://phddns60.oray.net · oray://phservice2.oray.net |
請根據網絡中DDNS服務器選擇要設置的URL地址:
· DDNS更新請求的URL地址可以以“http://”開頭,表示基於HTTP與DDNS服務器通信;以“https://”開頭,表示基於HTTPS與DDNS服務器通信;以“ods://”開頭,表示基於TCP與ODS服務器通信;以“gnudip://”開頭,表示基於TCP與GNUDIP服務器通信;以“oray://”開頭,表示基於TCP與花生殼DDNS服務器通信。
· HP和GNUDIP是通用的DDNS更新協議,server-name是使用對應DDNS更新協議的服務提供商的服務器域名或地址。
· URL地址中的端口號是可選項,如果不包含端口號則使用缺省端口號:HTTP是80,HTTPS是443,花生殼DDNS服務器是6060。
· <h>由係統根據接口上應用DDNS策略時指定的FQDN自動填寫,<a>由係統根據應用DDNS策略的接口的主IP地址自動填寫。用戶也可以手工輸入需要更新的FQDN和IP地址,代替URL中的<h>和<a>,此時,應用DDNS策略時指定的FQDN將不會生效。建議不要修改URL中的<h>和<a>,以免配置錯誤的FQDN和IP地址。應用DDNS策略的詳細介紹,請參見“2.5 在接口上應用DDNS策略”。
· 花生殼DDNS服務器的URL地址中不能指定用於更新的FQDN和IP地址。用戶可在接口上應用DDNS策略時指定FQDN;用於更新的IP地址是應用DDNS策略的接口的主IP地址。
登錄DDNS服務提供商的網站,注冊賬戶,並為DDNS客戶端申請域名。通過DDNS服務器更新域名和IP地址的對應關係時,DDNS服務器將檢查DDNS更新請求中的賬戶信息是否正確、需要更新的域名是否屬於該賬戶。
(1) 進入係統視圖。
system-view
(2) 創建DDNS策略,並進入DDNS策略視圖。
ddns policy policy-name
(3) 指定DDNS更新請求的URL地址。
url request-url
缺省情況下,未指定DDNS更新請求的URL地址。
URL地址中不支持攜帶用戶名和密碼,配置用戶名和密碼請配合username和password命令使用,請根據實際情況修改。
(4) 指定登錄DDNS服務器的用戶名。
username username
缺省情況下,未指定登錄DDNS服務器的用戶名。
(5) 指定登錄DDNS服務器的密碼。
password { cipher | simple } string
缺省情況下,未指定登錄DDNS服務器的密碼。
(6) (可選)配置采用HTTP或HTTPS報文發送DDNS更新請求時使用的參數傳輸方式。
method { http-get | http-post }
缺省情況下,采用HTTP或HTTPS報文發送DDNS更新請求時使用的參數的傳輸方式為http-get。
本命令僅在基於HTTP或HTTPS與DDNS服務器通信時生效。
與DHS通信時,必須指定http-post參數傳輸方式進行DDNS更新。
(7) 指定與DDNS策略關聯的SSL客戶端策略。
ssl-client-policy policy-name
缺省情況下,未指定與DDNS策略關聯的SSL客戶端策略。
在指定URL為HTTPS的URL地址時為必選。
基於HTTPS與DDNS服務器通信時,需要通過本命令指定與DDNS策略關聯的SSL客戶端策略,SSL客戶端策略的配置方法請參見“安全配置指導”中的“SSL”。
(8) (可選)指定定時發起更新請求的時間間隔。
interval days [ hours [ minutes ] ]
缺省情況下,定時發起DDNS更新請求的時間間隔是1小時。
在接口上應用DDNS策略,並指定需要更新的FQDN與IP地址對應關係後,DDNS客戶端才會向DDNS服務器發起更新域名和接口主IP地址對應關係的請求。
· 除花生殼DDNS服務器外,其他的DDNS服務器均需要指定更新的FQDN,否則會導致DDNS更新失敗。
· 對於花生殼DDNS服務器,如果未指定更新的FQDN,則DDNS服務器將更新DDNS客戶端的賬戶對應的所有域名;如果指定了更新的FQDN,則DDNS服務器隻更新指定的FQDN。
· 配置該接口的主IP地址,使之與DDNS服務器路由可達。
· 配置IPv4靜態或動態域名解析功能,以便將DDNS服務器的域名解析為IP地址。域名解析功能的配置方法請參見“1.3 配置DNS客戶端”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 在接口上應用指定的DDNS策略來更新指定的FQDN與IP地址的對應關係,並啟動DDNS更新。
ddns apply policy policy-name [ fqdn domain-name ]
缺省情況下,沒有為接口指定任何DDNS策略和需要更新的FQDN,且未啟動DDNS更新。
FQDN是節點在網絡中的唯一標識,由主機名和域名組成,可被解析為IP地址。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DDNS服務器發送的DDNS報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DDNS報文的DSCP優先級。
ddns dscp dscp-value
缺省情況下,DDNS報文的DSCP優先級為0。
在完成上述配置後,在任意視圖下執行display ddns policy命令可以顯示DDNS策略的配置情況,通過查看顯示信息驗證配置的效果。
表2-2 DDNS顯示和維護
|
操作 |
命令 |
|
顯示DDNS策略的配置情況 |
display ddns policy [ policy-name ] |
· Router為Internet上的用戶提供Web服務,使用的域名為example.3322.org。
· Router通過DHCP獲得IP地址,為保證Router的IP地址變化後,Internet上的用戶仍然可以利用域名example.3322.org訪問Router,Router通過www.3322.org提供的DDNS服務及時通知DNS服務器更新域名和IP地址的對應關係。
· DNS服務器的IP地址為1.1.1.1。Router通過該DNS服務器將DDNS服務器的域名www.3322.org解析為IP地址。
圖2-2 與www.3322.org互通配置舉例組網圖
配置之前,請登錄http://www.3322.org注冊賬戶(本配置舉例以賬戶名steven,密碼nevets為例)。配置DDNS策略來更新指定的FQDN example.3322.org和IP地址的對應關係,並保證各個設備之間的路由可達。
# 創建名稱為3322.org的DDNS策略,並進入DDNS策略視圖。
<Router> system-view
[Router] ddns policy 3322.org
# 為DDNS策略3322.org指定DDNS更新請求的URL地址,登錄用戶名為steven,密碼為明文字段nevets。
[Router-ddns-policy-3322.org] url http://members.3322.org/dyndns/update?system=dyndns&hostname=<h>&myip=<a>
[Router-ddns-policy-3322.org] username steven
[Router-ddns-policy-3322.org] password simple nevets
# 為DDNS策略3322.org指定定時發起更新請求的時間間隔為15分鍾。
[Router-ddns-policy-3322.org] interval 0 0 15
[Router-ddns-policy-3322.org] quit
# 配置DNS服務器的IP地址為1.1.1.1。
[Router] dns server 1.1.1.1
# 在GigabitEthernet1/0/1接口下指定應用DDNS策略3322.org,更新域名example.3322.org與接口主IP地址的對應關係,並啟動DDNS更新功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ddns apply policy 3322.org fqdn example.3322.org
配置完成後,Router的接口IP地址變化時,它將通過DDNS服務提供商www.3322.org通知DNS服務器建立域名example.3322.org和新的IP地址的對應關係,從而保證Internet上的用戶可以通過域名example.3322.org解析到最新的IP地址,訪問Router提供的Web服務。
· Router為Internet上的用戶提供Web服務,使用的域名為example.gicp.cn。
· Router通過DHCP獲得IP地址,為保證Router的IP地址變化後,Internet上的用戶仍然可以利用域名example.gicp.cn訪問Router,Router通過花生殼提供的DDNS服務及時通知DNS服務器更新域名和IP地址的對應關係。
· DNS服務器的IP地址為1.1.1.1。Router通過該DNS服務器將花生殼DDNS服務器的域名解析為IP地址。
圖2-3 與花生殼DDNS服務器互通配置舉例組網圖
配置之前,請登錄http://www.oray.cn注冊賬戶(本配置舉例以用戶名steven,密碼nevets為例)。配置DDNS策略來更新指定的FQDN example.gicp.cn和IP地址的對應關係,並保證各個設備之間的路由可達。
# 創建名稱為oray.cn的DDNS策略,並進入DDNS策略視圖。
<Router> system-view
[Router] ddns policy oray.cn
# 為DDNS策略oray.cn指定DDNS更新請求的URL地址,登錄用戶名為steven,密碼為明文字段nevets。
[Router-ddns-policy-oray.cn] url oray://phddns60.oray.net
[Router-ddns-policy-oray.cn] username steven
[Router-ddns-policy-oray.cn] password simple nevets
# 為DDNS策略oray.cn指定定時發起更新請求的時間間隔為12分鍾。
[Router-ddns-policy-oray.cn] interval 0 0 12
[Router-ddns-policy-oray.cn] quit
# 配置DNS服務器的IP地址為1.1.1.1。
[Router] dns server 1.1.1.1
# 在GigabitEthernet1/0/1接口下指定應用DDNS策略oray.cn,更新域名example.gicp.cn與接口主IP地址的對應關係,並啟動DDNS更新功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ddns apply policy oray.cn fqdn example.gicp.cn
配置完成後,Router的接口IP地址變化時,它將通過花生殼DDNS服務器通知DNS服務器建立域名example.gicp.cn和新的IP地址的對應關係,從而保證Internet上的用戶可以通過域名example.gicp.cn解析到最新的IP地址,訪問Router提供的Web服務。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
