(轉)DNS Proxy配置

DNS Proxy配置

2.4.1 dns proxy簡介

    1. 概述

    dns proxy是指在防火牆上啟動dns代理功能，這樣在區域網路内部沒有dns伺服器時，區域網路内部用戶端可以通過防火牆連接配接到外部dns伺服器，進行正确的dns解析後，可以通路internet。

    2. dns proxy的工作機制

    (1)dns用戶端将dns請求封包發送給dns proxy，此時請求封包的目的位址為dns proxy的ip位址；

    (2)dns proxy收到請求封包後，将封包中的目的位址替換為dns伺服器的ip位址，然後根據已配置的dns伺服器的位址将封包轉發給dns伺服器。若在dns proxy上配置了多個dns伺服器的位址，則dns proxy先向第一個dns伺服器上發送請求，若第一個dns伺服器沒有響應，則dns用戶端等待逾時後會重新發送dns請求封包，dns proxy收到請求封包後向第二個dns伺服器轉發，以此類推，直到dns伺服器發送響應封包為止。

    (3)dns伺服器的響應封包傳回給dns prxoy後，dns proxy将封包中的源ip位址替換為dns proxy的ip位址後轉發給dns用戶端。這時，dns用戶端就可以使用dns解析到的ip位址通路internet。

    2.4.2 dns proxy的配置

    1. 配置準備

在配置dns proxy功能前需要先進行如下配置：

在dns proxy上配置真實的dns伺服器的位址

在pc上指定dns server為使能了dns proxy的防火牆的ip位址

保證dns proxy與dns client及dns伺服器網絡可達

    2. 配置dns proxy

    dns proxy功能是在防火牆上配置的。

    2.4.3 dns proxy典型配置舉例

    1. 組網需求

區域網路内沒有dns伺服器，要求内部10.1.1.0/24網段的pc可以通過外網的dns伺服器來解析域名。要求：

防火牆支援dns proxy；

外網dns伺服器ip位址為10.72.66.36/24。

    2. 配置步驟

    (1)配置防火牆

    # 配置ethernet 1/0/0的ip位址。

    [h3c] interface ethernet 1/0/0

    [h3c-ethernet1/0/0] ip address 10.1.1.1 255.255.255.0

    # 配置nat服務，使用戶端可以通過dns proxy通路internet。

    [h3c] acl number 2000

    [h3c-acl-basic-2000] rule 0 permit source 10.1.1.0 0.0.0.255

    [h3c-acl-basic-2000] quit

    [h3c] interface ethernet 1/0/1

    [h3c-ethernet1/0/1] ip address 10.1.2.1 255.255.255.0

    [h3c-ethernet1/0/1] nat outbound 2000

    [h3c-ethernet1/0/1] quit

    # 啟動dns proxy功能。

    [h3c] dns-proxy enable

    # 配置dns伺服器位址。

    [h3c] dns server 10.72.66.36

    # 配置路由（略）。

要確定防火牆與用戶端和dns伺服器的路由可達。

    (2)配置pc

    将網關及dns伺服器指定為10.1.1.1。