【案例分享】华为防火墙出接口方式的单服务器智能DNS配置
介绍出接口方式的单服务器智能DNS的配置举例。
组网需求
如图1所示,企业部署了一台ISP1服务器对外提供Web服务,域名为www.example.com。ISP1服务器的私网IP地址为10.1.1.10,服务器映射后的公网IP地址为1.1.1.10。企业的DNS服务器上存在域名www.example.com与ISP1服务器地址1.1.1.10的对应关系。
ISP1用户访问www.example.com时,会通过DNS解析并得到ISP1服务器地址1.1.1.10,然后通过ISP1网络访问企业的ISP1服务器。
企业还从ISP2申请了一个公网IP地址2.2.2.10。企业希望ISP2用户访问www.example.com时,能够通过DNS解析得到这个ISP2地址,然后通过ISP2网络访问企业的ISP1服务器。
图1 出接口方式的单服务器智能DNS组网图
配置思路
如果希望ISP2用户能够获得ISP2地址2.2.2.10,则需要配置出接口方式的智能DNS功能,将DNS解析后的IP地址1.1.1.10修改为2.2.2.10。
由于企业内网只部署了一台Web服务器,因此需要配置出接口方式的单服务器智能DNS功能。而单服务器智能DNS需要配合NAT Server功能一起使用。具体配置思路如下:
1.启用智能DNS功能。
2.配置出接口方式的单服务器智能DNS功能。
3.配置NAT Server功能。
o为ISP1服务器配置NAT Server,使服务器以公网IP对外提供服务。
o为ISP2地址2.2.2.10配置NAT Server,FW将2.2.2.10映射为10.1.1.10,使ISP2用户能够访问ISP1服务器。
4.配置源进源出功能。
操作步骤
1、启用智能DNS功能。
system-view
[FW] dns-smart enable
2、创建智能DNS组,并在组中配置原始服务器地址和智能DNS映射。
a.创建智能DNS组1。[FW] dns-smart group 1 type single
b.配置原始服务器地址1.1.1.10。[FW-dns-smart-group-1] real-server-ip 1.1.1.10
c.配置一条智能DNS映射,将回应给ISP2用户的地址设置为ISP2的地址2.2.2.10。[FW-dns-smart-group-1] out-interface GigabitEthernet0/0/2 map 2.2.2.10
d.退出智能DNS组视图。[FW-dns-smart-group-1] quit
3、配置NAT Server功能。
a.为ISP1服务器配置NAT Server,将1.1.1.10映射为10.1.1.10,使ISP1用户能够访问ISP1服务器。[FW] nat server for_isp1 global 1.1.1.10 inside 10.1.1.10 no-reverse
b.为ISP2服务器配置NAT Server,将2.2.2.10映射为10.1.1.10,使ISP2用户能够访问ISP1服务器。[FW] nat server for_isp2 global 2.2.2.10 inside 10.1.1.10 no-reverse
4、配置源进源出功能。
[FW] interface GigabitEthernet0/0/1
[FW-GigabitEthernet0/0/1] ip address 1.1.1.2 24
[FW-GigabitEthernet0/0/1] gateway 1.1.1.1
[FW-GigabitEthernet0/0/1] redirect-reverse next-hop 1.1.1.1
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet0/0/2
[FW-GigabitEthernet0/0/2] ip address 2.2.2.2 24
[FW-GigabitEthernet0/0/2] gateway 2.2.2.1
[FW-GigabitEthernet0/0/2] redirect-reverse next-hop 2.2.2.1
[FW-GigabitEthernet0/0/2] quit
配置脚本
#nat server for_isp1 global 1.1.1.10 inside 10.1.1.10 no-reversenat server for_isp2 global 2.2.2.10 inside 10.1.1.10 no-reverse
#dns-smart enable
#
interface GigabitEthernet0/0/1ip address 1.1.1.2 255.255.255.0redirect-reverse next-hop 1.1.1.1gateway 1.1.1.1
#
interface GigabitEthernet0/0/2ip address 2.2.2.2 255.255.255.0redirect-reverse next-hop 2.2.2.1gateway 2.2.2.1
#dns-smart group 1 type singlereal-server-ip 1.1.1.10out-interface GigabitEthernet0/0/2 map 2.2.2.10
end