DNS代理功能详解【其一】——DNS代理策略的生效条件
  

『』 3162

{{ttag.title}}
本帖最后由 『』 于 2020-9-20 20:45 编辑

很多同事在使用AD的DNS代理功能存在用不明白的情况,常常抱怨这个功能难用、有BUG。其实很多时候是配置出现了问题,错误的配置造成使用错误的DNS服务器进行解析,白白拖慢了网络速度。现在就给在这里说明一下DNS代理是怎么生效的。
在开启DNS代理功能后AD设备收到数据包,是否匹配并进入到DNS重定向模块进行代理根据策略的配置存在相应的判断条件,匹配不上条件的DNS请求数据包走正常的路由发出。
1·DNS代理源范围配置
代理内网网段即代理策略的源地址,当代理网段可以配置为全部网段时是否代理由代理目标范围决定;当代理网段为指定网段时,只有指定的源地址的才会被代理匹配。范围外的源地址不会被代理。
因为DNS监听的地址不一定要配置在接口上,所以造成一些公网发来的流量会被DNS代理功能代理,所以此处的代理源地址尽量配置且配置为内网全部网段
2·DNS代理目标范围配置
代理的目标范围有三种的匹配方式分别是:
①  目标范围为“全部DNS请求”
任何目的地址的DNS请求都会被DNS重定向模块抓取进行DNS代理查询,需要慎用,因为优先级比智能DNS高从而导致入站智能DNS失效;所以一般情况下不要使用全部DNS请求的配置。

②   目标范围为“DNS服务器列表”
请求的DNS服务器在DNS列表内,则匹配;若不在列表,但是是监听地址(有填监听地址,监听地址不一定要配置在接口上),则匹配;最后不在列表,不是监听地址(没填监听地址),是在代理内网网段(有填写),是不匹配的(即只有内网的DNS服务器在列表or监听地址,才会做DNS代理)。
此项为最常用的配置,常用于内网没有DNS服务器的场景。用户将内网的用户DNS指向AD的监听地址用AD作为内网的DNS服务器。
③   目标范围为“指定域名”
此时需要有优先代理策略或内网DNS记录,在优先代理策略中的目标域名会被匹配进入DNS功能模块。其他的域名不会进入DNS代理功能模块。
适用于要针对部分特殊域名指定DNS服务器的场景,高校出口的教育网域名指定教育网DNS解析等情况

3·代理生效范围一览表
上述一、二两点准确的罗列了DNS代理的生效范围,总结起来DNS代理的生效范围可以用这个表格表示:
  
源地址在【代理内网网段】内
  
代理目标范围
客户端配置DNS地址
DNS请求域名在【优先代理策略】、【内网DNS记录】内
是否被代理
全部DNS请求
监听地址
全部DNS请求
监听地址
全部DNS请求
DNS服务列表地址
全部DNS请求
DNS服务列表地址
全部DNS请求
任意其他地址
全部DNS请求
任意其他地址
DNS服务器列表
监听地址
DNS服务器列表
监听地址
DNS服务器列表
DNS服务列表地址
DNS服务器列表
DNS服务列表地址
DNS服务器列表
任意其他地址
DNS服务器列表
任意其他地址
指定域名
监听地址
指定域名
监听地址
指定域名
DNS服务列表地址
指定域名
DNS服务列表地址
指定域名
任意其他地址
指定域名
任意其他地址
全部DNS请求
监听地址
全部DNS请求
监听地址
全部DNS请求
DNS服务列表地址
全部DNS请求
DNS服务列表地址
全部DNS请求
任意其他地址
全部DNS请求
任意其他地址
DNS服务器列表
监听地址
DNS服务器列表
监听地址
DNS服务器列表
DNS服务列表地址
DNS服务器列表
DNS服务列表地址
DNS服务器列表
任意其他地址
DNS服务器列表
任意其他地址
指定域名
监听地址
指定域名
监听地址
指定域名
DNS服务列表地址
指定域名
DNS服务列表地址
指定域名
任意其他地址
指定域名
任意其他地址

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手589624 发表于 2020-12-31 13:41
  
打卡学习
新手015279 发表于 2020-10-23 12:12
  
牛逼,起码是专家级别
会飞的癞蛤蟆 发表于 2020-9-24 09:34
  
谢谢分享
会飞的癞蛤蟆 发表于 2020-9-24 09:34
  
很厉害。。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人