提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

基础排查-步骤二、检查AD设备回包路由是否有配置

|

问题描述

内网用户无法解析域名,ping公网地址正常,改为全部DNS请求后,配置内网DNS记录A,AD收到DNS请求包未有回复应答。

有效排查步骤

1、检查设备静态路由,发现没有故障客户端的回包路由,添加回包路由后正常解析。

2、补充路由问题案例:个别网段电脑无法解析,设备配置了该网段的静态路由,到静态路由下一跳正常,后台route -n发现并没有下发该静态路由,电脑172.0.10.0/24与管理口同网段, AD也配置了静态路由172.0.10.0/24 走LAN口,掩码长度路由相同,内核下发的是直连路由走eth0管理口出去的路由,而DNS代理模块AD是不会查管理口相关的路由进行dns应答回包,所以导致管理口同网段的PC的dns请求不会收到应答,解析异常。解决方案:所有需要dns代理模块,需要回包走业务口,通过配置静态路由(掩码长度小于管理口IP长度)解决; 当前AD的带外管理口与业务口是没有实现完全隔离,不建议业务电脑与管理口同网段上网。

根因

dns代理的回包属于AD主动行为,7.x之前的版本回包时候需要查客户端的路由,没有回包路由是没法回包dns数据给客户端。

解决方案

如上。

建议与总结


1、为什么DNS代理回包需要主动查路由,而故障时候电脑可以ping通公网地址?
答案:客户端可以ping通公网是由于AD的连接跟踪机制,转发时候记住了是从哪个接口收到的数据,AD无需查路由,可以根据连接跟踪回包。

2、7.X版本无需写回包路由,dns代理数据可以直接查连接跟踪回包。

排查内容


我要分享
文档编号: 216843
作者: admin
更新时间: 2023-04-14 09:57
适用版本: