(轉)DNS Proxy配置

DNS Proxy配置

2.4.1 dns proxy簡介
    1. 概述
    dns proxy是指在防火牆上啟動dns代理功能，這樣在區域網路內部沒有dns伺服器時，區域網路內部用戶端可以通過防火牆串連到外部dns伺服器，進行正確的dns解析後，可以訪問internet。
    2. dns proxy的工作機制
    (1)dns用戶端將dns請求報文發送給dns proxy，此時請求報文的目的地址為dns proxy的ip地址；
    (2)dns proxy收到請求報文後，將報文中的目的地址替換為dns伺服器的ip地址，然後根據已配置的dns伺服器的地址將報文轉寄給dns伺服器。若在dns proxy上配置了多個dns伺服器的地址，則dns proxy先向第一個dns伺服器上發送請求，若第一個dns伺服器沒有響應，則dns用戶端等待逾時後會重新發送dns請求報文，dns proxy收到請求報文後向第二個dns伺服器轉寄，以此類推，直到dns伺服器發送響應報文為止。
    (3)dns伺服器的響應報文返回給dns prxoy後，dns proxy將報文中的源ip地址替換為dns proxy的ip地址後轉寄給dns用戶端。這時，dns用戶端就可以使用dns解析到的ip地址訪問internet。
    2.4.2 dns proxy的配置
    1. 配置準備
在配置dns proxy功能前需要先進行如下配置：
在dns proxy上配置真實的dns伺服器的地址
在pc上指定dns server為使能了dns proxy的防火牆的ip地址
保證dns proxy與dns client及dns伺服器網路可達
    2. 配置dns proxy
    dns proxy功能是在防火牆上配置的。
    2.4.3 dns proxy典型配置舉例
    1. 組網需求
區域網路內沒有dns伺服器，要求內部10.1.1.0/24網段的pc可以通過外網的dns伺服器來解析網域名稱。要求：
防火牆支援dns proxy；
外網dns伺服器ip地址為10.72.66.36/24。
    2. 配置步驟
    (1)配置防火牆
    # 配置ethernet 1/0/0的ip地址。
    [h3c] interface ethernet 1/0/0
    [h3c-ethernet1/0/0] ip address 10.1.1.1 255.255.255.0
    # 配置nat服務，使用戶端可以通過dns proxy訪問internet。
    [h3c] acl number 2000
    [h3c-acl-basic-2000] rule 0 permit source 10.1.1.0 0.0.0.255
    [h3c-acl-basic-2000] quit
    [h3c] interface ethernet 1/0/1
    [h3c-ethernet1/0/1] ip address 10.1.2.1 255.255.255.0
    [h3c-ethernet1/0/1] nat outbound 2000
    [h3c-ethernet1/0/1] quit
    # 啟動dns proxy功能。
    [h3c] dns-proxy enable
    # 配置dns伺服器位址。
    [h3c] dns server 10.72.66.36
    # 配置路由（略）。
要確保防火牆與用戶端和dns伺服器的路由可達。
    (2)配置pc
    將網關及dns伺服器指定為10.1.1.1。