Hillstone SA DNS功能及配置
发布:刘苏平 | 发布时间: 2008年10月13日DNS简介
DNS 为域名系统(Domain Name System)的缩写。DNS 是一种组织成域层次结构的计算机和网络服务命名系统,用于TCP/IP 网络,主要用来寻找Internet域名(如www.liusuping.com)并转化为IP 地址(如“10.1.1.1”)以定位相应的计算机和相应服务。
Hillstone SA 系列安全网关的DNS 功能
Hillstone SA 系列安全网关的DNS 功能如下:
♦ 名字服务:为安全网关配置DNS 服务器和默认域名。
♦ DNS 代理功能:安全网关作为DNS 代理服务器,为与其连接的PC 等(客户端)提供DNS 代理功能。同时,安全网关可以根据域名选择不同的域名服务器。
♦ 解析:为安全网关的DNS 功能设置重试次数和响应超时时间。
♦ 缓存:将DNS 映射项储存在缓存中,用以提高查找速度。
配置DNS 功能
SA 系列安全网关的DNS 配置包括:
♦ 配置DNS 名字服务
♦ 配置DNS 代理功能
♦ 配置DNS 解析
♦ 配置DNS 缓存
♦ 开启/关闭安全网关的DNS 功能
配置DNS 名字服务
DNS 名字服务的配置包含:
♦ 为安全网关配置域名
♦ 为安全网关设置DNS 服务器
设置域名
用户可以为安全网关指定一个域名。安全网关会将域名作为后缀添加到不完全的名称后。例如,如果设置域名为“liusuping.com”,在安全网关上Ping“www”,系统
会把域名加上去查找www.liusuping.com。并且,把域名设置为“liusuping.com”和“com”后的解析顺序不同:设置为“liusuping.com”后,Ping“www”,系统会先查找
www.liusuping.com;而设置为“com”后,Ping“www.liusuping”,系统会先查找www.liusuping然后再查找www.liusuping.com。
配置DNS 代理功能
SA 系列安全网关具有DNS 代理功能。使用DNS 代理功能的步骤如下:
1. 在StoneOS 系统中配置包含域名和相应DNS 服务器条目的选择列表。
2. 开启安全网关某个接口的DNS 代理功能。
3. 将客户端与安全网关上开启了DNS 代理功能的接口相连,并将客户端的DNS 代理服务器设置为接口地址。
A 系列安全网关DNS 代理功能的配置包括:
♦ 配置DNS 代理选择列表
♦ 开启接口的DNS 代理功能
DNS缓存
在使用DNS 功能过程中,系统可以将DNS 映射条目储存到缓存中以提高查找速度。系统有以下三种获得DNS 映射条目的方法:
♦ 动态获得:来自DNS 响应。
♦ 静态获得:手动添加DNS 映射条目到缓存。
♦ 注册获得:安全网关的一些功能模块,例如NTP、AAA 和地址簿等,定义的DNS 主机。
用户可以通过命令添加静态DNS 映射条目到缓存、查看系统的DNS 映射条目以及清除DNS 动态映射条目。
DNS 配置举例
组网需求
公司通过SA 系列安全网关将trust 安全域中的PC1 通过DNS 代理上网。公网的DNS 域名服务器的IP 地址为202.106.0.20;安全网关的ethernet0/0 接口的IP 地址为192.168.10.1/24 , 连接trust 安全域中的PC1 , IP 地址为192.168.10.3/24;ethernet0/1 接口的IP 地址为10.160.65.31/24,连接公网,公网为unstrust 安全域。
配置步骤
第一步:将安全网关各接口分配安全域并配置IP 地址:
hostname# configure
hostname(config)# interface ethernet0/0
hostname(config-if-eth0/0)# zone trust
hostname(config-if-eth0/0)# ip address 192.168.10.1/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/1)# zone untrust
hostname(config-if-eth0/1)# ip address 10.160.65.31/24
hostname(config-if-eth0/1)# exit
第二步:在安全网关上配置DNS 代理服务:
hostname(config)# ip dns-proxy domain any name-server 202.106.0.20
第三步:为ethernet0/0 开启DNS 代理功能:
hostname(config)# interface ethernet0/0
hostname(config-if-eth0/0)# dns-proxy
hostname(config-if-eth0/0)# exit
第四步:指定PC1 的DNS 服务器地址为接口ethernet0/0 的IP 地址,即192.168.10.1。
第五步:在PC1 上ping www.sina.com.cn 可以正常解析到。
第六步:在安全网关上使用show ip hosts 可以看到解析到的动态域名:
hostname # show ip hosts
===========================================================
Name Type Age RR_TYPE Address
-----------------------------------------------------------
www.sina.com.cn Dynamic 213665 A 202.108.33.32
原创文章如转载,请注明:
转载自醉生梦死的博客
原文地址:http://www.liusuping.com/post/hillstone-DNS-config.html
- 相关文章:
Hillstone SA OSPF配置 (2008-10-13 13:35:2)
Hillstone SA 路由信息协议RIP配置 (2008-10-13 13:18:16)
Hillstone SA路由介绍及ISP路由配置 (2008-10-13 12:44:0)
hillstone安全网关Land攻击防护功能配置举例 (2008-10-13 12:35:55)
Hillstone SA 配置会话限制 (2008-10-13 12:28:36)
hillstone SA 攻击防护介绍及配置 (2008-10-13 11:35:14)
hillstone SA 拨号VPN实例 (2008-10-13 10:56:30)
hillstone SA 拨号VPN介绍 (2008-10-13 10:49:50)
Hillstone SA SCVPN 配置实例 (2008-10-9 16:52:34)
hillstone SA SCVPN 客户端介绍 (2008-10-9 15:59:4)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
