设备现网运行过程中发现多出口等价路由DNS的一个问题,需要通过配置Eays-IP方式的源NAT规避。
1 第9招:多出口等价路由场景下DNS的一个问题
图1-1 多出口等价路由DNS组网图
如上图是一个典型的防火墙多出口场景。防火墙通过配置等价路由实现多出口的负载分担。
防火墙作为DNS
代理或者防火墙自身需要访问域名(如访问sec.huawei.com
)时,防火墙会构造DNS
查询报文,向上一级DNS
服务器查询。在多出口等价路由场景下,防火墙构造DNS查询报文时,报文的源地址会取第一个等价路由的出接口IP地址。例如,本示例中,第一个等价路由出接口是GE1/0/2
,DNS
查询报文的源IP
地址就是1.1.1.1
。
从防火墙的会话表中就可以看出这点。如下的会话表中,防火墙发出的DNS
查询报文,不论是从GE1/0/2
接口还是从GE1/0/3
接口发出的,报文的源IP
地址都是GE1/0/2
接口的IP
地址1.1.1.1
。
![【强叔秘籍】第9招:多出口等价路由场景下DNS的一个问题-2 【强叔秘籍】第9招:多出口等价路由场景下DNS的一个问题-2]()
这种情况下,连接ISP2
的接口GE1/0/3
发出的DNS
查询报文,源IP
地址是ISP1
的IP
地址,可能会被ISP2
丢弃。为了规避这种问题,需要配置Easy-IP
方式的源NAT
,将DNS
报文的源IP
地址转换为出接口的IP
地址,保证DNS
查询报文的源地址和报文出接口的IP
地址一致。
配置方法如下:
完成上述配置后,DNS
查询报文的源IP
地址转换为接口IP
地址,会话表如下:
文章转载自微信公众号华为产品资料
还不会?看看这些教程吧!
评论