设备现网运行过程中发现多出口等价路由DNS的一个问题,需要通过配置Eays-IP方式的源NAT规避。
1 第9招:多出口等价路由场景下DNS的一个问题
图1-1 多出口等价路由DNS组网图
如上图是一个典型的防火墙多出口场景。防火墙通过配置等价路由实现多出口的负载分担。
防火墙作为DNS代理或者防火墙自身需要访问域名(如访问sec.huawei.com)时,防火墙会构造DNS查询报文,向上一级DNS服务器查询。在多出口等价路由场景下,防火墙构造DNS查询报文时,报文的源地址会取第一个等价路由的出接口IP地址。例如,本示例中,第一个等价路由出接口是GE1/0/2,DNS查询报文的源IP地址就是1.1.1.1。
从防火墙的会话表中就可以看出这点。如下的会话表中,防火墙发出的DNS查询报文,不论是从GE1/0/2接口还是从GE1/0/3接口发出的,报文的源IP地址都是GE1/0/2接口的IP地址1.1.1.1。
这种情况下,连接ISP2的接口GE1/0/3发出的DNS查询报文,源IP地址是ISP1的IP地址,可能会被ISP2丢弃。为了规避这种问题,需要配置Easy-IP方式的源NAT,将DNS报文的源IP地址转换为出接口的IP地址,保证DNS查询报文的源地址和报文出接口的IP地址一致。
完成上述配置后,DNS查询报文的源IP地址转换为接口IP地址,会话表如下:
文章转载自微信公众号华为产品资料
评论