(转)DNS Proxy配置

DNS Proxy配置

2.4.1 dns proxy简介
    1. 概述
    dns proxy是指在防火墙上启动dns代理功能，这样在局域网内部没有dns服务器时，局域网内部客户端可以通过防火墙连接到外部dns服务器，进行正确的dns解析后，可以访问internet。
    2. dns proxy的工作机制
    (1)dns客户端将dns请求报文发送给dns proxy，此时请求报文的目的地址为dns proxy的ip地址；
    (2)dns proxy收到请求报文后，将报文中的目的地址替换为dns服务器的ip地址，然后根据已配置的dns服务器的地址将报文转发给dns服务器。若在dns proxy上配置了多个dns服务器的地址，则dns proxy先向第一个dns服务器上发送请求，若第一个dns服务器没有响应，则dns客户端等待超时后会重新发送dns请求报文，dns proxy收到请求报文后向第二个dns服务器转发，以此类推，直到dns服务器发送响应报文为止。
    (3)dns服务器的响应报文返回给dns prxoy后，dns proxy将报文中的源ip地址替换为dns proxy的ip地址后转发给dns客户端。这时，dns客户端就可以使用dns解析到的ip地址访问internet。
    2.4.2 dns proxy的配置
    1. 配置准备
在配置dns proxy功能前需要先进行如下配置：
在dns proxy上配置真实的dns服务器的地址
在pc上指定dns server为使能了dns proxy的防火墙的ip地址
保证dns proxy与dns client及dns服务器网络可达
    2. 配置dns proxy
    dns proxy功能是在防火墙上配置的。
    2.4.3 dns proxy典型配置举例
    1. 组网需求
局域网内没有dns服务器，要求内部10.1.1.0/24网段的pc可以通过外网的dns服务器来解析域名。要求：
防火墙支持dns proxy；
外网dns服务器ip地址为10.72.66.36/24。
    2. 配置步骤
    (1)配置防火墙
    # 配置ethernet 1/0/0的ip地址。
    [h3c] interface ethernet 1/0/0
    [h3c-ethernet1/0/0] ip address 10.1.1.1 255.255.255.0
    # 配置nat服务，使客户端可以通过dns proxy访问internet。
    [h3c] acl number 2000
    [h3c-acl-basic-2000] rule 0 permit source 10.1.1.0 0.0.0.255
    [h3c-acl-basic-2000] quit
    [h3c] interface ethernet 1/0/1
    [h3c-ethernet1/0/1] ip address 10.1.2.1 255.255.255.0
    [h3c-ethernet1/0/1] nat outbound 2000
    [h3c-ethernet1/0/1] quit
    # 启动dns proxy功能。
    [h3c] dns-proxy enable
    # 配置dns服务器地址。
    [h3c] dns server 10.72.66.36
    # 配置路由（略）。
要确保防火墙与客户端和dns服务器的路由可达。
    (2)配置pc
    将网关及dns服务器指定为10.1.1.1。