锐捷睿易锐捷官方商城

中文

登录

产品

< 返回主菜单

产品

交换机

交换机所有产品

< 返回产品

交换机主页

交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

意图网络指挥官

意图网络指挥官所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品

< 返回产品

安全主页

安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

应用防护安全

应用防护安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

统一运维

统一运维所有产品

< 返回产品

统一运维主页

统一运维

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实施服务

基础实施服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商首页 >

运营商

政府

< 返回行业

政府首页 >

政府

金融

< 返回行业

金融首页 >

金融

互联网

< 返回行业

互联网首页 >

互联网

制造业

< 返回行业

制造业首页 >

制造业

高教/职教

< 返回行业

高教/职教首页 >

高教/职教

普教

< 返回行业

普教首页 >

普教

医疗卫生

< 返回行业

医疗卫生首页 >

医疗卫生

交通

< 返回行业

交通首页 >

交通

公共安全

< 返回行业

公共安全首页 >

公共安全

锐捷睿易

体验中心

服务支持

< 返回主菜单

服务与支持中心

服务与支持

服务工具

服务平台

技术支持

服务产品

产品服务

教学服务

合作伙伴

< 返回主菜单

合作伙伴中心

合作伙伴

成为锐捷伙伴

售前营销

销售与订单

售后及服务

用户中心

关于锐捷

< 返回主菜单

关于锐捷首页

关于锐捷

公司介绍

公司动态

加入我们

联系我们

营销资料平台

投资者关系

返回主菜单

选择区域/语言

Global / English

Japan / 日本語

Türkiye / Türkçe

Vietnam / Việt Nam

Indonesia / Indonesian

Thailand / ภาษาไทย

Spain / Español (España)

Portugal / Português

France / Français

Poland / Polski

Kazakhstan / Pусский

Germany / Deutsch

Italy / Italiano

Brazil / Português(Brazil)

LATAM / Español (América Latina))

首页 >服务与支持 >常见问题 >【RG-NPE】RG-NPE正向DNS代理基础配置

【RG-NPE】RG-NPE正向DNS代理基础配置

发布时间：2013-09-15

点击量：8370

一、组网需求

当前内网有电信、网通两条带宽不同的外网出口线路，内网用户主机只配置了电信运营商的DNS，有的甚至配置了无效的DNS地址。客户有如下需求：

1、使内网用户访问的资源在NPE多外网线路之间分布得更均衡，从而能更充分地利用带宽；

2、内网用户配置任意的公网DNS都能上网；

3、可以主动发现外网的某个DNS服务器故障，并切换到正常的DNS。

二、组网拓扑

三、配置要点

1、必须在内网接口开启正向DNS代理功能。

2、自动选路功能开启，保证电信数据走电信，网通数据走网通。

3、选路优先级：正向DNS代理 > 策略路由 > 应用路由 > 普通选路；

注意：

①正向dns代理通常配合地址库选路一起使用效果更好，建议使用正向DNS代理功能之前，先开启地址库选路；

② 正向DNS代理与智能DNS功能本身无冲突，可以共用；但一般部署智能DNS的网络场景中内网有自己的DNS服务器，此时如果内部DNS服务器向外查询的方式为迭代查询，则不适合开启正向DNS代理功能。

客户端向DNS服务器请求的报文通常为递归查询方式，但一般DNS服务器之间的查询方式为迭代查询，即内网用户向DNS A查询，A向 DNS B查询，B上没有A所要的查询结果，则返回DNS C地址给A，让A向C发起查询请求。此场景下，NPE上拦截到的DNS报文为DNS服务器向外部DNS请求的报文，如果为迭代查询，则每次往外查询的报文目的地址都被替换，如果NPE上配置的DNS没有所要的查询结果，将造成迭代查询无法查询出最终的DNS解析结果，内网无法访问此网站；

③ 对于使用策略路由选路的IP，不能使用正向DNS代理，请将其加入到“排除DNS代理”中，否则如果DNS解析出电信的地址，而策略路由又强制走联通，会造成这部分IP访问外网时经常出现跨运营商访问，造成网页打开慢甚至打不开的问题。
④如果希望当内网向某个公网DNS发起请求的报文不被代理，可以将这个DNS地址加入到“排除DNS代理”中，排除的类型选择为DNS服务器；缺点是如果此DNS发生故障，则由于NPE正向DNS代理未监控此报文而造成这部分用户无法通过该DNS进行域名解析，导致部分服务无法使用；

4、内网电脑设置DNS的时候注意不能配置与本机同一网段的地址，否则DNS请求到不了NPE设备。

四、配置步骤

概念解释：

基础配置：是“正向DNS代理”功能生效的前提配置，需要实现DNS黑名单、排除DNS代理等功能必须先开启对应或线路的DNS代理功能；

排除DNS代理：是设置一些特殊的不需要受正向DNS代理功能影响的资源（包括：内网IP地址、外网DNS服务器）。

WEB配置方法：

进入”网络配置“--- “DNS配置”----“正向DNS代理”---”基础配置“

a、勾选全局功能开关；

b、勾选需要配置DNS服务器的外网接口，每条外网线路可以写2个DNS，第一个为主DNS，第二个为备DNS；

c、在外网接口上配置这条运营商线路的主备DNS

配置完成后，将不需要使用DNS代理的地址加入排查DNS代理资源列表中：

进入”网络配置“--- “DNS配置”----“正向DNS代理”---”排除DNS代理“

排除DNS代理：是设置一些特殊的不需要受正向DNS代理功能影响的资源（包括：指定的外网DNS服务器、走策略路由的IP地址等）。

命令行配置方法：

1、进入全局配置模式，配置正向DNS代理的负载策略及rns：rns会循环去探测指定的目的服务器的工作状态，并把探测结果通告给track

dns-proxy //正向DNS代理配置模式

load-balance bandwidth //建议使用基于带宽的策略

ip rns 1 //一个DNS服务器需要使用一个rns

dns www.sina.com.cn name-server 218.85.157.99 //默认用新浪域名作为被侦测域名，当使用该DNS无法解析该域名，则系统会选择线路上的备用的DNS

frequency 5000 //默认探测频率 5000毫秒

timeout 5000 //探测超时为5000 毫秒

ip rns 2

dns www.sina.com.cn name-server 218.85.152.99

frequency 5000

timeout 5000

ip rns 3

dns www.sina.com.cn name-server 211.97.104.129

frequency 5000

timeout 5000

ip rns 4

dns www.sina.com.cn name-server 218.104.128.106

frequency 5000

timeout 5000

2、进入全局配置，将rns与track进行关联：track收到rns的探测结果后会同步给dns代理模块

track 1 rns 1

track 2 rns 2

track 3 rns 3

track 4 rns 4

3、在外网接口关联对应的DNS及track：

interface GigabitEthernet 0/2 //电信外网口

ip nat outside

ip name-server 218.85.157.99 track 1

ip name-server 218.85.152.99 track 2

ip address 192.168.33.145 255.255.255.0

nexthop 192.168.33.1

interface GigabitEthernet 0/6 //联通外网口

ip nat outside

ip add 192.168.34.56

ip name-server 211.97.104.129 track 3

ip name-server 192.168.58.110 track 4

nexthop 192.168.34.1

4、在所有内网口启用DNS代理功能：

interface GigabitEthernet 0/0 //内网接口

ip nat inside

dns-proxy enable

5、配置不需要进行DNS代理的地址或地址范围：

Ruijie(config)#dns-proxy //进入DNS代理配置模式

Ruijie(config-dns-proxy)# whitelist source-ip 192.168.1.10 192.168.1.100 //设置排除进行正向DNS代理的内网源IP地址范围

Ruijie(config-dns-proxy)#whitelist name-server 210.1.2.1 //设置排除进行正向DNS代理的内网源IP地址

Ruijie(config-dns-proxy)#whitelist source-ip 192.168.2.100 //设置排除进行正向DNS代理的外网目的DNS

五、配置验证

1、将电脑网卡的DNS更改为与内网不同网段的任意IP地址，测试是否可以正常解析网站。

进入DOS框先清空DNS缓存，再ping一个域名，去发起DNS请求：

注意：测试前先清除DNS缓存（DOS框下用命令 ipconfig/flushdns）

2、在特权模式下用 show dns-proxy statistics命令显示 dns-proxy的统计情况

3、在特权模式下用 show dns-proxy name-server命令显示所有接口的 dns 服务器配置情况，及当前该DNS服务器是否可用：

状态为up代表该DNS可用；

4、可以在web界面查看DNS代理的统计信息，但看不到DNS当前是否可用：

相关产品

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC

RG-ESS 1000易安全系统

RG-ESS 1000易安全系统

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-SMP安全管理平台

RG-SMP安全管理平台

RG-SMP+安全管理平台

RG-SMP+安全管理平台

您可能还关注的问题

售前咨询
售后服务
意见反馈

返回顶部

收起

请选择服务项目

售前咨询

售后服务

意见反馈

更多联系方式

是否找到您想要的内容？

是

否

您遇到了什么问题？

找不到想要的信息

筛选功能不好用

加载速度太慢

页面体验差

提交

您是否找到了与产品相关的文档

是

否

筛选功能是否帮助您更快找到所需的文档？

有帮助

一般

没有帮助

没用过

请问您遇到了什么问题？

需要填写的内容太多

有些信息不懂怎么填

页面有问题/错误

其他

确定

这些客户案例是否对您有帮助？

非常有帮助

比较有帮助

没有帮助

请您对这个客户案例进行评价

兴趣度

相关性

可信度

确定

感谢您的反馈！

感谢您的反馈！