设备现网运行过程中发现多出口等价路由DNS的一个问题，需要通过配置Eays-IP方式的源NAT规避。

1 第9招：多出口等价路由场景下DNS的一个问题

图1-1 多出口等价路由DNS组网图

如上图是一个典型的防火墙多出口场景。防火墙通过配置等价路由实现多出口的负载分担。

防火墙作为DNS代理或者防火墙自身需要访问域名（如访问sec.huawei.com）时，防火墙会构造DNS查询报文，向上一级DNS服务器查询。在多出口等价路由场景下，防火墙构造DNS查询报文时，报文的源地址会取第一个等价路由的出接口IP地址。例如，本示例中，第一个等价路由出接口是GE1/0/2，DNS查询报文的源IP地址就是1.1.1.1。

从防火墙的会话表中就可以看出这点。如下的会话表中，防火墙发出的DNS查询报文，不论是从GE1/0/2接口还是从GE1/0/3接口发出的，报文的源IP地址都是GE1/0/2接口的IP地址1.1.1.1。

这种情况下，连接ISP2的接口GE1/0/3发出的DNS查询报文，源IP地址是ISP1的IP地址，可能会被ISP2丢弃。为了规避这种问题，需要配置Easy-IP方式的源NAT，将DNS报文的源IP地址转换为出接口的IP地址，保证DNS查询报文的源地址和报文出接口的IP地址一致。

配置方法如下：

完成上述配置后，DNS查询报文的源IP地址转换为接口IP地址，会话表如下：

文章转载自微信公众号华为产品资料