功能介绍

      在校园网DNS规划时,一般给全校所有的学生通过DHCP获取相同的DNS地址(为某个运营商或者校内DNS),当拥有多家运营商出口时,由于终端配置的DNS地址固定,无论用户的DNS请求从哪条线路出去,DNS请求都会转发的指定的DNS服务器解析,DNS服务器解析出来的URL地址就是对应运营商的地址,这样用户访问该URL时,就会固定从该运营商出口出去,就会造成某些运营商出口线路流量很大,而另外的运营商出口线路流量较小,造成资源不合理利用和浪费甚至出现跨运营商访问导致访问慢的问题。      

       采用DNS正向代理功能,可以根据出口对应的运营商的将用户的DNS地址修改为出口线路对应运营商的DNS服务器地址,这样,就可以实现从哪个出口转发DNS请求,就从哪个运营商的DNS服务器解析DNS请求。最终实现,电信用户使用电信DNS解析,联通用户使用联通DNS解析的目的。

 

应用场景

       内网用户使用某一个公网的DNS或者一个不存在的DNS地址作为初始的DNS地址,在做基于运营商做用户组选路时,实现对应运营商的用户使用对应运营商的公有DNS地址进行URL解析。

注意:

 1、DNS正向代理功能能够起生效的前提有两个:

 1)用户的DNS报文能转发到出口路由器,该地址可以是一个不存在的地址,当内网用户发出的DNS请求能到达路由器即可。

 2)匹配路由器出口配置DNS正向功能策略。

组网拓扑

       某高校在做DNS规划的时候学生均使用114.114.114.114和8.8.8.8作为电脑的DNS地址,同时要求电信的用户走电信线路并最终使用电信的公有DNS地址解析,联通的用户走电信线路并最终使用电信的公有DNS地址解析。以达到对应运营商的用户能够准确解析到对应运营商的网络资源。

要实现的效果如下:


配置步骤

1)   配置运营商出口选路

     该选路可通过user-group的策略路由来进行对应运营商选路,具体可参考用户组选路章节,同时内网用户DNS报文作为用户的报文,也按照相同的策略选路转发。

2)   配置DNS代理映射表

Ruijie(config)#smart agent-map DX      --->定义名为DX的代理图

Ruijie(smartdns-map)#dns 114.114.114.114 202.97.7.6     --->配置代理关系:将目的地址为114.114.114.114的DNS请求报文,目的地址修改202.97.7.6 的DNS请求报文

Ruijie(smartdns-map)#dns 8.8.8.8 202.97.7.17    --->配置代理关系:将目的地址为8.8.8.8的DNS请求报文,目的地址修改202.97.7.17的DNS请求报文

Ruijie(smartdns-map)#exit

Ruijie(config)#smart agent-map LT  --->定义名为LT的代理图

Ruijie(smartdns-map)#dns 114.114.144.114 202.106.0.20     --->配置代理关系:将目的地址为114.114.114.114的DNS请求报文,目的地址修改 202.106.0.20的DNS请求报文

Ruijie(smartdns-map)#dns 8.8.8.8 202.106.46.151 --->配置代理关系:将目的地址为8.8.8.8的DNS请求报文,目的地址修改202.106.46.151的DNS请求报文

Ruijie(smartdns-map)#exit

3)   接口启用DNS代理

Ruijie(config)#interface GigabitEthernet 1/1/1   --->在电信运营商出接口调用DX正向代理图

Ruijie(config-if-GigabitEthernet 1/1/1)#smartdns agent-map DX

Ruijie(config)#interface GigabitEthernet 1/1/2   --->在联通运营商出接口调用DX正向代理图

Ruijie(config-if-GigabitEthernet 1/1/1)#smartdns agent-map DX

4)   保存配置

Ruijie(config-if-GigabitEthernet 1/1/2)#end

 

功能验证

通过在外网口所在线卡查看对应用户的流表根据DNS报文的目的地址是否更改成DNS agent-amp的映射地址来判断DNS正向代理功能是否生效。

Ruijie#vtty 3/1

[LC3/1]>enable

[LC3/1]#show ip fpm flows users 172.16.1.2//内网测试用户ip地址为172.16.1.2

Pr  SrcAddr                                   DstAddrSrcPort      DstPort      VrfSendBytes  RecvBytes  St

17  172.16.1.2(117.57.13.52)   114.114.114.114        (202.97.7.6)    53834        53           0          382        882        3

从该流表可以看到用户172.16.1.2目的地址为114.114.114.114的DNS报文,目的IP已经修改成了电信对应的公网DNS地址202.97.7.6,正向DNS代理功能生效;另外由于接口配置了nat(配置步骤省略),设备也会将源地址也修改成了公网出口地址117.57.13.52