DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行在UDP协议之上，使用端口号53。在网关实现透明代理可以既解决内网用户繁杂的DNS服务器设置问题，又可以方便的对服务器进行切换。另外，由于各个WlAN出口的带宽不通.DNS Proxyz在进行请求转发时需要在各个接口上面进行负载均衡，为了增加DNS管理的灵活性，设备提供静态域名和特定域名的定向转发功能。透明代理的规则分为2种类型：手工配置和自动链路继承。手工配置是指对于配置有IP地址的三层网络接口，需要人为的配置正确的DNS服务器地址才能正常域名解析的类型。自动链路继承是指对于配置为DHCP或PPPOE类型的网络接口，既可以人为配置DNS服务器地址也可以从地址服务器端获取DNS服务器地址的类型。

本文档介绍F1000-ServerBlade设备DNS配置举例，包括域名管理、动态缓存、特定域名解析、DNS透明代理、DNS全服务器。

在配置DNS前，先了解如下几个定义：

·     域名管理：域名管理也就是之前的静态域名功能，是DNS代理常见的功能，实现域名和IP地址的固定映射。该映射关系的优先级最高，如果一个DNS请求能匹配域名管理，那优先使用域名管理进行DNS应答。

·     动态缓存：开启DNS功能后，下联pc通过访问动态域名和特定域名后设备解析出来形成一个cache表项，下次pc再次访问这个域名的时候可以直接通过缓存进行域名访问。动态缓存支持开启和关闭。

·     特定域名解析：一些特殊域名使用公共的DNS服务器无法解析，需要在特定的DNS服务器才能解析域名。例如指定域名www.baidu.com和map.baidu.com的DNS请求必须用2.2.2.2的DNS服务器进行解析，而其它任何DNS服务器都是错误的。

·     DNS透明代理：DNS透明代理可以为内网用户提供统一无感知的DNS解析服务。内网pc只需要随便设置一个DNS地址，当pc范围域名时由网关统一进行dns解析。

·     DNS全局代理：全局DNS代理开启时，使用全局代理的DNS服务器进行域名解析，解析成功，完成应答，并完成统计和形成缓存。下联pc需要把DNS地址指向网关地址。

本模块功能具有如下功能点：

·     能够根据用户的DNS请求，从本地查找DNS缓存，然后对用户的请求做出应答。

·     能够向配置的远端DNS server请求，然后对用户的请求做出应答。

·     能够支持DNS代理服务的策略配置。

·     能够支持DNS透明代理域名管理模糊匹配。

·     能够支持DNS透明代理特定域名的定向转发。

·     能够支持DNS透明代理域名匹配的优先级。

·     能够支持DNS透明代理基于权重的转发。

·     能够支持DNS透明代理基于优先级的转发。

·     能够支持DNS透明代理基于流量的转发。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解DNS特性。

·     对于接口配置，有如下规格要求：

¡     必须是配置IP的三层接口，最多配置32条接口规则。

¡     只允许PPPOE和DHCP接口配置继承链路，其它接口都配置为手工方式。

¡     接口配置为手工还是继承链路，只看最原始的接口地址类型。配置成功后，切换接口地址类型，DNS代理方式更改不生效。例，某接口为静态ip，配置为手工方式。将此接口更改为DHCP获取地址，更改为继承链路功能不生效。

·     域名管理支持前缀模糊匹配，最大配置128条。

·     特定域名，特定DNS解析，域名同样支持前缀模糊匹配，最大配置128条，每条提供主备DNS。

·     DNS透明代理提供基于优先级和权重的选项。

·     DNS缓存按5秒进行一次老化处理，最大缓存数5W条。

·     DNS请求的并发性能为每秒1w条。

·     本机报文不走DNS代理流程，只需要在全局dns配置一个有效的DNS地址（DNS全局代理可关闭），在设备上就可以ping域名。

·     基于流量的DNS透明代理服务器需要使用运营商给的DNS（使用第三方DNS解析出来的DNS 解析报文有可能联通解析出电信的地址导致DNS负载流量统计错误）。

如(5)图1所示，一个拥有100员工的公司，有一条电信100M带宽的WLAN接口，一条联通20M的PPPOE线路WLAN接口，需要平衡网络负载，充分利用带宽资源，具体应用需求如下：

(1)     电信100M，联通20M PPPOE拨号上网。

(2)     按照带宽比进行DNS负载100:20。

(3)     内部服务器映射为内网IP，1.example.com 映射地址192.168.0.245。

(4)     域名服务器需要特定DNS进行解析。例www.google.com 需要223.5.5.5 DNS服务器进行解析。

(5)     开启动态缓存。

图1 DNS组网图

按照组网图组网。

(1)     登录Web网管。

(2)     开启代理功能，配置基于权重的DNS透明代理。

(3)     配置特定域名管理。

(4)     配置特定域名代理。

(5)     开启动态缓存。

如图2所示，使用http或https的方式登录设备的Web网管，默认的用户名和密码是admin/admin，输入验证码，并点击按钮。

图2 登录H3C 设备 Web网管

如图3所示，进入左树>“网络管理>DNS>DNS透明代理”，“勾选”启用代理。

图3 启用基于权重DNS透明代理

如图4所示，DNS透明代理页面，点击。ge0接口配置为DNS出接口，权重100，主DNS为114.114.114.114；备DNS为114.114.115.115，点击。

图4 ge0手工DNS配置

如图5所示，DNS透明代理页面，点击。GE3接口配置为DNS出接口，权重20，DNS类型继承链路配置，点击。

图5 GE2-2继承链路配置

如图6所示，创建成功的DNS 透明代理配置如下：

图6 DNS透明代理配置效果

如图7所示，进入左树>“网络管理>DNS>域名管理”。点击，配置域名为1.example.com,IP映射为192.168.0.245点击。

图7 配置静态域名

如图8所示，进入左树>“网络管理>DNS>特定域名解析”。点击，配置域名为www.google.com ，主DNS为223.5.5.5点击。

图8 配置特定域名解析

如图9所示，创建成功后的特定域名解析配置如下：

图9 特定域名解析配置效果

如图10所示，进入左树>“网络管理>DNS>动态缓存”。勾选“启用”。

图10 启用动态缓存

(1)     验证DNS透明代理功能

如图11所示，访问www.baidu.com，设备响应主机的DNS请求，最终可正常打开百度的主页。

图11 DNS透明代理效果图

(2)     验证域名管理

如图12所示，访问1.example.com，设备直接匹配域名管理，访问内网服务器。

图12 静态域名效果图

(3)     验证特定域名代理

如表1所示，在PC打开cmd，nslookup www.google.com。

表1 PC端CMD下nslookup www.google.com

在设备抓包，接口选择any，目的端口53抓包。如图13所示，服务器进行解析的。

图13 抓包查看特定域名效果图

(4)     验证动态缓存

如图14所示，访问各种域名，DNS解析成功后形成缓存。

图14 动态缓存效果图

·     《H3C SecPath F1000-ServerBlade 服务器安全智能模块 Web配置手册》中的“DNS”

·     《H3C SecPath F1000-ServerBlade 服务器安全智能模块 对外测试手册》中的“DNS”

·     《H3C SecPath F1000-ServerBlade 服务器安全智能模块  用户FAQ》中的“DNS”