一、组网需求
当前内网有电信、网通两条带宽不同的外网出口线路,内网用户主机只配置了电信运营商的DNS,有的甚至配置了无效的DNS地址。客户有如下需求:
1.使电信和联通的资源分布得更均衡,从而能更充分地利用带宽。
2.内网用户配置任意的DNS都能上网。
3.可以主动发现外网的某个DNS服务器故障,并切换到正常的DNS。
二、组网拓扑
三、配置要点
1、必须在内网接口开启正向DNS代理功能。
2、DNS-Proxy工作在网关模式,不支持网桥模式。
3、自动选路功能开启,保证电信数据走电信,网通数据走网通。
4、正向DNS代理目前不支持
TCP协议的 DNS报文。
5、DNS-Proxy
> PBR > 应用路由 > 普通选路。
6、内网电脑设置DNS的时候注意不能配置同一网段的地址,否则DNS请求到不了EG设备,会导致内网用户无法解析网站。
四、功能原理
以用户访问百度域名www.baidu.com为例
内网主机发送DNS解析请求报文,请求解析百度的域名,该报文到达EG后,EG设备劫持了该报文,EG通过对比当前两条外网线路带宽的负载比例,假设电信与网通都是10兆线路,电信当前带宽利用了8兆,网通利用了4兆,此时EG判断网通线路比较空闲,就以网通接口上配置的网通DNS地址去解析该域名,解析后的地址为百度域名对应的网通地址。后续该主机发送去往网通百度地址的访问数据后,到底EG,匹配了EG内置的电信/网通的路由表后,就从网通出口转发出去。
负载均衡策略
负载策略----根据出口的负载,每次都选择负载最小的出口,这是默认策略
带宽策略----根据出口的带宽比例,使DNS报文按出口带宽的比例分配转发
五、配置步骤
概念解释:
基础配置:是“正向DNS代理”功能生效的前提配置,需要实现DNS黑名单、排除DNS代理等功能必须先开启对应或线路的DNS代理功能;
排除DNS代理:是设置一些特殊的不需要受
正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。
1、进入”网络配置“--- “DNS配置”----“正向DNS代理”---”基础配置“
a、勾选全局功能开关
;
b、勾选需要外网接口
;
c、在外网接口上配置相应运营商线路的主备DNS
对应的命令行命令如下:
track
1 rns 1
track
2 rns 2
track
3 rns 3
track
4 rns 4
dns-proxy
//DNS正向代理全局开关
load-balance
load //默认策略就是基于负载的策略,所以该命令在命令行下是看不到的
ip
rns 1
dns
www.sina.com.cn
name-server 218.85.157.99 //默认用新浪域名作为被侦测域名,当使用该DNS无法解析该域名,则系统会选择备用的DNS
frequency
5000
//默认探测频率 5000毫秒
timeout
5000
//探测超时为5000 毫秒
ip
rns 2
dns
www.sina.com.cn
name-server 218.85.152.99
frequency 5000
timeout
5000
ip
rns 3
dns
www.sina.com.cn
name-server 211.97.104.129
frequency
5000
timeout
5000
ip
rns 4
dns www.sina.com.cn name-server 192.168.58.110
frequency
5000
timeout 5000
interface
GigabitEthernet 0/0 //内网接口
ip nat inside
ip
address 192.168.1.1 255.255.255.0
dns-proxy enable
interface
GigabitEthernet 0/2 //电信外网口
ip nat outside
ip
name-server 218.85.157.99 track 1
ip
name-server 218.85.152.99 track 2
ip
address 192.168.33.145 255.255.255.0
nexthop
192.168.33.1
interface
GigabitEthernet 0/6 //网通外网口
ip
nat outside
ip
add 192.168.34.56
ip
name-server 211.97.104.129 track 3
ip
name-server 192.168.58.110 track 4
nexthop
192.168.34.1
2、进入”网络配置“--- “DNS配置”----“正向DNS代理”---”排除DNS代理“
排除DNS代理:是设置一些特殊的不需要受
正向DNS代理 功能影响的资源(包括:IP地址、DNS服务器)。
命令行下生成的命令如下:
dns-proxy //开启dns代理
whitelist
source-ip 192.168.1.1 192.168.1.100 //排除的DNS代理ip地址
六、配置验证
1、将电脑网卡的DNS更改为与内网不同网段的任意IP地址,测试是否可以正常解析网站。
注意:测试前先清除DNS缓存(ipconfig/flushdns)
2、在特权模式下用
show dns-proxy statistics命令显示 dns-proxy的统计情况
3、在特权模式下用
show dns-proxy name-server命令显示所有接口的 dns 服务器配置情况
4、可以再web界面查看DNS代理的统计信息
七、注意问题
1、尽量不要同时使用DNS代理和应用路由功能,因为DNS代理优先于应用路由,可能出现DNS去电信解析,但最终上网数据通过应用路由选择出口为联通;
2、如果给某些网段配置了策略路由,需要这些网段在“排除DNS代理”选项排除,因为DNS代理优先于策略路由,可能出现DNS去电信解析,但最终上网数据通过策略路由要走联通,导致跨运营商访问慢或无法访问的情况;
3、截止10.3(4b11)p4/11.1(1)B1版本,DNS代理通过Web配置外网口DNS服务器IP,默认会关联track和RNS探测该服务器IP是否活动,但RNS的探测报文,没法指定探测的接口,而是跟据路由表选路,导致可能跨运营商探测造成成探测失败,如配置了电信接口的DNS代理、也全局配置了到此DNS的探测,由于探测报文默认无法关联就从电信接口发送,在没有到DNS服务器的明细路由指向电信时,探报文有可能走其它运营商线路,造成探测失败,电信接口的DNS代理失效;电信接口的DNS代理失效后,如其它运营商配置有DNS代理就会从被代理到其它运营商解析,在用户路由的情况下,由于已经强制了用户走电信,但DNS解析出来的资源又是其它运营商的,造成跨运营商访问,从而造成用户无法上网或上网慢;
解决办法:开启DNS代理时,静态添加一条到DNS服务器的明细路由指向该DNS对应的运营商;