安全L1-AD.3-DNS代理原理及配置

一、DNS代理原理

        1、DNS代理介绍：

        DNS代理主要应用于实现DNS流量的负载，同时可以针对指定域名返回指定结果，或者指定域名指向特定DNS服务器解析等。

        代理过程：（1）终端发起DNS请求；

                          （2） AD设备根据预设的策略（代理目标范围等）拦截用户的DNS请求，并重新按策略（选择策略等）分发至各线路对应的运营商DNS服务器；

                          （3）AD收到网关DNS服务器应答后，AD再返回给终端。

         2、代理目标范围：

        

                》全部DNS请求：代理目的地址为任何的DNS查询请求。

                》指定的服务器：AD收到的DNS解析请求的目的地址是监听地址或者是DNS服务器列表中地址的任意一个时，AD会代理该DNS请求。

                        适用于内网用户DNS服务器可控或者可知的情况下，比如内网用户的DNS全部是由DHCP下发的。

                》指定域名：代理任何域名是优先代理策略或内网DNS记录里的DNS查询，以及任何到监听地址的DNS查询；

        3、选择策略：

                》轮询：轮流选择DNS服务器列表中的DNS服务器，机会均等。

                》加权轮询：按照DNS服务器的权值比例，选择DNS服务器的几率与其权值成正比。

                》加权最小流量：从流量最小的链路里，根据权值选择DNS服务器。

                》优先级：优先选择权值最高的DNS服务器，只有在权值最高的DNS服务器离线或者繁忙（开启繁忙保护的情况）时，才会选择权值较低的DNS服务器。

二、DNS代理基本配置

        配置步骤：

                1、启用DNS代理；

                2、配置DNS服务器列表；

                3、配置监视域名；

                4、配置其他基本配置。

？？？？？DNS代理的监视域名如果填写多个域名，怎么判断DNS服务器的有效性？ 

        答：AD DNS代理里的监视域名 多个域名之间是 "或" 的关系，获取该域名的监视结果以判断DNS服务器的有效性，只有有效的DNS服务器才能依据DNS选择策略进行调度，只要有一个有效，就视为可用。

？？？？？DNS代理的监听地址 填写为AD的内网口地址，那客户端的LDNS该如何填写？

        答：可以填写AD的监听地址，也可以写DNS服务器列表内的地址。

三、优先代理策略原理

        1、优先代理策略原理：

         配置优先代理策略，则请求的所有域名都会先通过配置的优先代理策略进行匹配，符合策略里设置的域名，则会根据设置的策略选择DNS线路。其他不符合策略的域名会按照原来DNS代理选择策略进行选择。

         优先代理策略主要应用于内网用户访问某个域名时，需要前往特定DNS服务器进行解析；也可用作访问国外域名时，国外域名走专线DNS解析等场景。

        代理域名可自行指定也可以引用域名集。

        》》DNS优先代理策略启用前后的效果：

         2、部分功能项原理：

        （1）位置序号：表示该优先代理策略在列表中的位置，域名请求过来后会按照该位置进行顺序匹配。

                位置在前的优先代理策略如果满足配置要求则会先命中。

         （2）DNS服务器列表：用于本项优先代理策略优先使用的DNS服务器集合。

         （3）链路繁忙保护：若判断某条链路处于繁忙状态，则不会选择这条链路，而是选择状态为不繁忙的链路；当所有链路均繁忙时，则优先代理的调度失败。

        （4）失效动作：当列表内DNS服务器失效或查询失败时的处理方式。

                        匹配下一条策略：略过本策略，继续匹配下一条。

                        强制调度：始终返回列表内的DNS服务器。

四、优先代理策略基本配置

         网络环境与需求：

        某客户拓扑如右图，AD设备网关模式部署。电信DNS为202.96.128.9，教育网DNS为202.38.64.1。

        1、需要实现出站链路负载代理内网用户上网。

        2、需要实现DNS代理功能，内网用户DNS需要设置成 172.10.10.254 可以自动选择走电信或者教育网解析域名。

        3、有一个域名jyw.abc.com必须走教育网的DNS才能解析到，因此要求该域名必须从教育网DNS解析。

         配置思路：

        1、基础网络配置：配置LAN口、WAN1、WAN2口IP地址等基础网络配置。

        2、出站链路负载配置：配置智能路由策略。

        3、配置DNS代理功能：启用DNS代理，并配置基本DNS代理功能。

        4、启用优先代理策略：设置jyw.abc.com域名走教育网202.38.64.1进行解析。

 ？？？？？DNS代理和DNS代理--优先代理策略，哪个优先？

        答：AD DNS代理的优先代理策略优先于DNS代理。

？？？？？AD为旁路部署，DNS代理的优先代理策略是否还能生效？

        答：优先代理策略在旁路模式下可以生效，但是要求PC上网流量需要经过AD。

五、内网DNS记录原理

        提供服务的服务器部署在内网，内网PC访问该域名时，AD可以直接返回对应的地址。

        内网DNS记录主要应用场景：

        外网用户访问某个域名对应的服务器时，返回的是对应的公网IP，而内网用户访问该域名对应服务器时，就可以启用内网DNS记录，直接返回内网服务器的IP，而不需要内网用户通过公网地址去访问该服务器。

六、内网DNS记录基本配置

        网络环境与需求：

        某客户拓扑如上图，AD设备网关模式部署。电信DNS为202.96.128.9，教育网DNS为202.38.64.1。

        1、需要实现出站链路负载代理内网用户上网。

        2、需要实现DNS代理功能，内网用户DNS需要设置成 172.10.10.254 可以自动选择走电信或者教育网解析域名。

        3、内网用户访问www.test.com直接返回内网服务器地址192.168.20.20。

        配置步骤：

        1、基础网络配置：智能路由等。

        2、配置基本DNS代理。

        3、配置内网DNS记录。（配置www.test.com以及对应的IP地址192.168.20.20）