设为首页收藏本站
开启辅助访问
02 DNS重定向(终端设置为学校内网dns地址) 您所在的位置:网站首页 浏览器Push测试内容重定向功能 02 DNS重定向(终端设置为学校内网dns地址)

02 DNS重定向(终端设置为学校内网dns地址)

2024-03-30 10:20| 来源: 网络整理| 查看: 265

功能介绍

       DNS重定向功能能深度解析DNS请求报文中的URL字段,将匹配URL关键字匹配列表的DNS请求从指定的出口发出,同时可以改变原来DNS的目标地址并从特定的接口发出去,让新的DNS服务器进行最终的DNS报文解析。

应用场景

      学校访问教育网资源(url包含edu)时需要通过校内的DNS服务器或者教育网的DNS服务器来解析URL(校内DNS服务器上一般会做策略,可以优先从某些线路上解决某些资源)。所以需要在出口上,设备要能识别用户DNS请求的URL内容,将教育网资源的DNS请求发送到教育网的DNS服务器或校内服务器解析,而其他非教育网类的DNS请求则按照一般的选路结果发送到对应的DNS服务器或基于DNS正向代理进行处理。

组网需求

       内网用户终端都通过DHCP自动获取到114.114.114.114 的公网DNS地址,要求任何校内用户在访问知网以及教育网等网站的时候,要利用校内DNS服务器(ip地址为172.16.50.110)进行解析成教育网地址,从而从教育网出口访问,在访问其他公网资源时,仍通过对应公网运营商的DNS进行解析。

组网拓扑

配置步骤

1、创建教育资源URL关键字匹配列表

      把教育资源URL的关键特征识别出来作为关键字匹配;不同学校希望访问的教育资源对象可能不同,具体需求需要和学校老师沟通制定。

       Ruijie(config)#url-match-list 1              --->配置编号为1的url匹配列表

       Ruijie(url_match_list)#url-key-word edu      --->一般的教育资源URL的特征里包含有“edu”,比如中国教育网“www.chinaedu.edu.cn”

       Ruijie(url_match_list)#url-key-word cnki       --->中国知网“www.cnki.net”

2、配置教育网资源DNS请求重定向

       Ruijie(config)#interface GigabitEthernet 2/1/7       --->在内网口配置(一般是连接核心交换机的接口或NAT的inside接口)

       Ruijie(config-if-GigabitEthernet 2/1/7)# dns-redirect url-match-list 1 replace-dest-ip 172.16.50.110 GigabitEthernet 2/1/7 nexthop 172.16.1.2   --->把命中URL关键字列表1的DNS请求的报文,目标ip替换为校内DNS地址的ip,同时从内网接口发送往下一跳地址为172.16.1.2的核心交换机

 

3、配置NAT源地址转换,确保内网DNS服务器的回包地址仍然回到路由器 (可选,当校内DNS部署在核心交换机旁时需要部署)

       Ruijie(config)#ip access-list extended 123       

       Ruijie(config-ext-nacl)#10 permit udp any host 172.16.50.110 eq 53  --->定义ACL 匹配访问到内网DNS服务器的dns流量(由于在第2步中用户的目标ip已经备修改成校内dns服务器地址,因此此处需要写转换之后的

       Ruijie(config)#ip nat application source list 123 destination  172.16.50.110 src-change 172.16.1.1  --->配置NAT将任何访问校内DNS服务器的DNS流量,源IP均要转换成RSR77X内网口ip 172.16.1.1

 

说明:

       在如果没有配置NAT源地址转换将用户的ip地址转换成路由器的地址,那么校内DNS在接收到dns请求报文后,回应的DNS应答报文的目的地址是用户的真实ip,那么当用户收到该应答后,由于和自己发送的dns 请求目标不符所以不接受该报文,必须让校内dns服务器直接将报文回复给路由器,路由器再将DNS重定向时候修改的目的地址还原成用户最初发的dns地址,才能使得用户发送和接收的DNS地址为相同的。

功能验证

     测试用户通过浏览器访问知网,同时通过在RSR77-X内网口所在线卡查看对应用户的流表,查看该用户的dns报文是否发生了源和目的地址的转换来判断DNS正向代理功能是否生效。

Ruijie#vtty 2/1

[LC2/1]>enable

[LC2/1]#show ip fpm flows users 192.168.10.2    --->内网测试用户ip地址为192.168.10.2

17  192.168.10.2(172.16.1.1)      114.114.114.114(172.16.50.110 )      64576        53           0          383       885         3

从该流表中可以看到:

1)用户的源ip192.168.10.2转换成172.16.1.1,说明源NAT转换成功

2)用户的DNS目标地址为114.114.114.114转换成校内dns地址172.16.50.110,说明DNS重定向成功。

 



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有