31 |
您所在的位置:网站首页 › dir-2病毒 › 31 |
31
|
1 简介
DNS-DNAT的功能主要是在链路负载均衡策略的接口上设置DNS服务器的地址,同时在DNS的request的出接口上,我们将用户的DNS目的地址更换为接口上的DNS服务器的ip地址,从而保证从该链路上返回来的ip地址为该运营商提供的服务。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解链路负载均衡的特性和DNS-dnat的特性。 3 使用限制配置的主备DNS可以正常解析www.baidu.com,DNS流量经过设备转换成出口的DNS地址转发出去。 4 配置举例 4.1 组网需求如图1所示,某公司内网办公网段IP地址为172.1.1.0/24。使用设备的ge4口连接内网设备,ge4网关地址172.1.1.1/24,在设备开启链路负载均衡功能,出接口ge5内网ip:11.1.1.2/24,出接口ge6内网ip:12.1.1.2/24,具体应用需求如下: · 将设备的配置两个负载均衡出接口,分别为出接口ge5,ge6,负载均衡的两个出接口分别配置DNS-DNAT功能。 配置负载均衡策略,负载均衡策略选择按照权重进行负载均衡,匹配条件为默认,添加两个出接口分别为出接口ge5,ge6。 图1 链路负载均衡功能组网图(DNS-dnat功能在负载均衡出接口上添加配置)
4.2 配置思路 · 配置链路负载均衡前,先配置链路负载均衡出接口,添加DNS-DNAT功能。 · 为每个链路负载出接口添加健康检查策略,保证可以及时监控链路状态。 · 链路负载均衡策略添加相应的链路出接口,保证命中策略的流量能够按照选中接口进行转发。 4.3 使用版本本举例是在E6201上进行配置和验证。 4.4 配置注意事项· DNS-DNAT的默认dns健康检查地址是www.baidu.com。 · DNS使用主备DNS地址进行探测,10s一次,如果三次探测不成功,设备认为DNS地址不可用。 · 如果设备配置的主备DNS地址均正常可用,默认使用主DNS地址,当主DNS地址不可用,再使用备DNS地址。 4.5 配置步骤 4.5.1 配置设备 1. 配置地址对象如图2所示,进入“策略配置>对象管理>地址对象> 地址对象”,点击,IP地址配置为172.1.1.0/24创建办公网段地址对象,点击.。 图2 创建地址对象
2. 配置默认路由 如图3所示,在设备上进入“网络配置>路由管理>静态路由”,点击,配置两条默认路由。 图3 配置默认路由
3. 配置出接口的源nat 如图4所示,在设备上进入“策略配置>NAT转换策略>源NAT”,点击,配置两个源NAT。 图4 配置源nat
4. 配置负载均衡出接口(2个出接口) 如图5、图6所示,在设备上进入“策略配置>负载均衡策略>负载均衡出接口”,点击,配置两个负载均衡出接口,每个出接口配置相应的健康检查功能。 图5 电信出接口(出接口添加DNS-dnat功能)
图6 联通出接口(出接口添加DNS-dnat功能)
5. 配置负载均衡策略 进入“策略配置>负载均衡策略>负载均衡策略”,点击,创建负载均衡策略,启用负载均衡策略,策略选择权重,匹配条件默认配置,出接口设置(添加ge5,ge6)配置完成后提交。 图7 负载均衡策略
4.6 验证配置 (1) 验证电信用户的DNS流量从电信链路发送出去。 观察所有从ge5发出去的DNS流量,DNS地址都转换成162.1.1.2(ge5做了出接口源nat)。 host# display ip connection all current connection count: 46 Protocol: UDP State:Complete PolicyID:1 VrfId:0 Status: 0x0080080e FastCode: 0x80000207 UserName: 172.1.1.55 AppName: dns Expire: 00:01:04 Existed: 00:00:01 Source Dir: 172.1.1.55:19757 > 200.1.1.2:53 PKTS 1 Reply Dir: 162.1.1.2:53 > 11.1.1.2:19757 PKTS 1 This connection has SRC_NAT DST_NAT Protocol: UDP State:Complete PolicyID:1 VrfId:0 Status: 0x0080080e FastCode: 0x80000207 UserName: 172.1.1.94 AppName: dns Expire: 00:01:04 Existed: 00:00:01 Source Dir: 172.1.1.94:19796 > 200.1.1.2:53 PKTS 1 Reply Dir: 162.1.1.2:53 > 11.1.1.2:19796 PKTS 1 This connection has SRC_NAT DST_NAT
(2) 验证联通用户的DNS流量从电信链路发送出去 观察所有从ge6发出去的DNS流量,DNS地址都转换成162.1.1.3(ge6做了出接口源nat)
host# display ip connection all current connection count: 46 Protocol: UDP State:Complete PolicyID:1 VrfId:0 Status: 0x0080080e FastCode: 0x80000207 UserName: 172.1.1.77 AppName: dns Expire: 00:01:03 Existed: 00:00:02 Source Dir: 172.1.1.77:19679 > 200.1.1.2:53 PKTS 1 Reply Dir: 162.1.1.3:53 > 12.1.1.2:19679 PKTS 1 This connection has SRC_NAT DST_NAT Protocol: UDP State:Complete PolicyID:1 VrfId:0 Status: 0x0080080e FastCode: 0x80000207 UserName: 172.1.1.67 AppName: dns Expire: 00:01:03 Existed: 00:00:02 Source Dir: 172.1.1.67:19669 > 200.1.1.2:53 PKTS 1 Reply Dir: 162.1.1.3:53 > 12.1.1.2:19669 PKTS 1 This connection has SRC_NAT DST_NAT
(3) 验证经过负载均衡的DNS流量以1:1的比例从ge5和g6发出去 图8 验证经过负载均衡的DNS流量
4.7 配置文件 Host:WD-D# display running-config lb-policy ! lb-policy wans interface ge5 description 电信出接口 next-hop 11.1.1.1 dns server enable monitor dns-dnat dns server manual 162.1.1.2 (DNS 健康检查) monitor enable monitor 11 ping 11.1.1.1 10 10 lb-policy wans interface ge6 description 联通出接口 next-hop 12.1.1.1 dns server enable no monitor dns-dnat dns server manual 162.1.1.3 (DNS 健康检查) monitor enable monitor 12 ping 12.1.1.1 10 10 ! lb-policy any 内网办公网段 any any any any always 1 mode weight-ratio out-interface ge5 10 out-interface ge6 10 !! Host:WD-D# |
【本文地址】