AD旁路部署 智能DNS实现入站负载
  

晨羲 64812人觉得有帮助

{{ttag.title}}
本帖最后由 晨羲 于 2020-3-26 21:25 编辑

一、测试说明
社区上好像还没有类似AD旁路部署实现智能DNS的资料,抽个时间和大家一起学习一下,有问题希望大家一起沟通;

本测试需求为:
用户现有网络出口,有电信、移动两个运营商,各一个公网IP,AD设备旁挂在内网核心,通过AD的智能DNS功能,实现外网访问内网服务器的流量“电信走电信进来,联通走联通进来”;

二、测试环境
1、测试平台:
超融合环境,AD7.0.8版本
2、拓扑图:
客户端1模拟“电信”,为192.168.2.0/24;
客户端2模拟“联通”,为192.168.3.0/24;

3、IP规划:
三、原理介绍:
LDNS:开通线路时,运营商告诉客户的DNS服务器,及Local DNS;
A记录:用来指定主机名(或域名)对应的IP地址
NS记录工作原理:初级课程中讲的很详细
1、客户端访问www.abc.com,向Local DNS查询DNS解析;
2、Local DNS查询不到记录,于是想ISP服务商请求DNS解析;
3、ISP服务器查找到NS记录,指向了212.10.204.26,于是告诉Local DNS,去找212.10.204.26解析;(注:NS记录优先级高于A记录);
4、Local DNS去向212.10.204.26请求DNS解析,212.10.204.26返回www.abc.com的IP信息;
5、Local DNS返回www.abc.com的IP信息给客户端;
6、客户端用拿到的IP去访问服务器;
四、配置
1、出口AF,将AD的UDP-53端口映射到两条公网IP-UDP53端口;
2、两个公网DNS服务器上将NS记录指向AF上的公网IP(指向任意一个都可以);
3、AD上,设置好应用负载,过程略;(其实我是做的集群,不过配置都差不多)
4、AD上,要点这里打开“全局负载”和“应用负载”;\\这个要建议一下,就不能做的像个按钮么,找半天;
5、设置“DNS服务器”,选择DNS服务需要监控的IP,已经把该IP的UDP53映射到两个公网IP;
6、设置虚拟IP池,即域名返回的IP,此处端口随便写,无实用,只有各城市一台AD使用全局负载的时候才用到这个端口;
此处“首选策略”为“虚拟IP”的选择策略,选择“静态就近性”,去调度【静态就近性】的策略;
7、DNS映射
此处“选择策略”,为“虚拟IP池”的选择策略,非“虚拟IP”选择策略;此处就一个虚拟IP池,随便选一个就行;
注意:此处系统有一条隐藏的默认策略为“轮询”;可在【规则测试】中查看;
8、“静态就近性”“LDNS集合”;实际环境中,应选择的ISP地址库;Local DNS,来请求DNS解析的IP,不一定是DNS服务器,如果PC设置DNS为AD出口IP(监听IP),PC也能认作为Local DNS;
9、“虚拟IP池级别”,新建两条,分别关联各自的LDNS和虚拟IP池中的具体IP;


注:“虚拟IP池级别”与“DNS映射级别”的区别:
【DNS映射级别】用在DNS映射里根据静态就近性来选择返回哪个虚拟IP池,而具体返回哪个IP还需要根据虚拟IP池里的选择策略进行选择。总结就是“在多个虚拟IP池中选虚拟IP池”;
【虚拟IP池级别】用在虚拟IP池里根据静态就近性来选择返回哪个IP。总结就是“在一个虚拟IP池中选虚拟IP”;
例子:客户做全局智能DNS,希望北方用户接入北方的AD,南方的用户接入南方的AD,然后电信用户接入电信,联通用户接入联通,这种情况下,可以新建两个虚拟IP池,虚拟IP池1是南方的电信和联通IP,虚拟IP池2是北方的电信和联通IP,这样先在DNS映射里启用静态就近性,根据南方和北方地域来返回南方虚拟IP池和北方虚拟IP池,然后在虚拟IP池里启用静态就近性,根据用户是电信或者联通来对应返回电信和联通IP;
配置完毕;
注意:DNS有刷新时间,运营商DNS刷新时间需要提前询问一下,全球DNS刷新时间可能超过24小时;
10、健康检查
容易被人忽视但又比较重要的一点!!!
自己去测试吧!
五、测试
自己搞,懒得写


797655e7cac9b3c823.png (64.08 KB, 下载次数: 223)

797655e7cac9b3c823.png

144455e7cacba3f216.png (59.66 KB, 下载次数: 198)

144455e7cacba3f216.png

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

新手981388 发表于 2020-3-28 11:29
  
10的健康检查应该写出来,万一某条链接段了的话健康检查显得尤为重要,直接决定好或不好。在一次配置中没设置完整,导致几个月后一次一条运营商光路断了,一部分不能正常访问才知道自己的健康检查没设置好。
深圳办技服汪洋 发表于 2020-3-30 12:47
  
感谢楼主分享。此案例中有个重要的原理,楼主没有讲的很细,我补充下。
静态就近性识别到的源IP之所以是local DNS而非PC的上网IP,是因为local DNS作为PC的代理发起访问,PC把解析请求发给local DNS后,local DNS通过迭代的方式解析域名,所以在AD上看到的是local DNS的IP。此细节请格外注意,在测试功能时local DNS设置不当会导致无法呈现应有的智能DNS效果。
晨羲 发表于 2020-3-25 17:16
  
麻烦自动屏蔽文中的多余路径
Sangfor_闪电回_朱丽 发表于 2020-3-26 11:13
  
步骤很详细,很有价值的文章,已将文章加入社区技术博文中!

但是图片显示有点问题,请把图片上传到帖子中,感谢!

社区原创分享活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=98597
头像被屏蔽
新手780102 发表于 2020-3-28 10:19
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2020-3-28 10:30
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2020-3-28 10:48
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手770264 发表于 2020-3-28 10:56
  
提示: 作者被禁止或删除 内容自动屏蔽
灵峰气韵 发表于 2020-3-28 11:37
  
AD设备对多链路负载的应用很不错,有条件的很有必要上一台
新之助 发表于 2020-3-29 10:58
  
感谢分享
发表新帖
作者其他文章
热门标签
全部标签>
安全效果
西北区每日一问
高手请过招
【 社区to talk】
纪元平台
每日一问
产品连连看
新版本体验
社区新周刊
GIF动图学习
标准化排查
干货满满
自助服务平台操作指引
技术咨询
功能体验
社区帮助指南
每周精选
解决方案
秒懂零信任
技术笔记
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人