入站链路负载--智能DNS配置部分
  

饶林瑞 197938人觉得有帮助

{{ttag.title}}
入站链路负载--智能DNS配置部分

本文主要介绍入站链路负载中智能DNS的配置步骤,具体配置请见下文

关于AD入站链路时需要的网络配置,请见《入站链路负载--网络配置部分》


1、DNS服务器

第一步:域名提供商处的配置
客户对外发布的域名是www.abc.com。那么首先要做的就是去域名提供商那里申请该域名并且将该域名的解析指向AD设备,由AD负责解析所有对www.abc.com这个域名的请求。

注意:在域名服务提供商那里要写2条NS记录和对应的A记录

NS记录:       www.abc.com          NS           ns1.abc.com
                      www.abc.com          NS            ns2.abc.com
A记录:       ns1.abc.com                A                  212.10.204.26
                    ns2.abc.com                 A                  61.139.2.34

这样,所有的www.abc.com的域名解析请求,域名提供商都会返回任意一个AD的出口地址,由AD决定返回给来请求的LDNS哪个IP。
因此,A记录的2个IP地址都要是AD出口的地址,需要外网能直接访问到。

第二步:设备上对DNS服务器的配置

①状态
DNS服务器状态,必须要启用。禁用的话将不对任何DNS请求进行解析

②监听地址
WAN口的地址都会在这里显示,只能选择不能新加,所以需要将域名提供商处NS记录指向的IP地址写在WAN口上,并选择添加到监听地址中。

设备的DNS服务器通过监听地址与外网DNS服务器进行通信。只有发往监听地址的DNS请求,设备才会进行DNS解析的处理。

③DNS端口
当AD作为DNS服务器使用时,提供DNS服务的TCP和UDP端口,默认53。
监听地址里配置的这些IP地址的53端口都会被设备监听。

④不存在的域名处理
当接收到不在AD负责解析的范围内的域名的解析请求时,AD采取的动作。

不回应:不给回包。


拒绝:返回拒绝包,表现出来就是会显示请求的主机找不到。例如这样:


代理:将该请求转至【DNS代理】模块进行处理。
通过该功能,可以实现代理外网用户的DNS请求。

⑤DNS探测属性
用在“动态就近性”的DNS选择策略中。
一般客户都是采用静态就近性,即根据到AD来进行域名解析请求的LDNS的IP去判定该返回哪个IP。表现出来就是电信的LDNS过来访问,返回电信IP,联通LDNS过来访问返回联通IP。当使用动态就近性之后,AD会从出口的所有线路去探测到AD来解析的LDNS的地址,通过比较从哪条线路比较快,然后返回对应的接口IP。

注意:AD是根据来解析的LocalDNS去根据策略返回对应的IP地址,不是根据客户端的源IP。


探测方法:执行DNS探测的方式,探测方法有三种

第一种:DNS根查询
遇到不存在的域名解析请求时,AD有三种处理方式,当选择为“代理”时,AD就会去向根服务器发起该域名解析请求,由此来判断从哪个口去到根DNS的速度最优。

第二种:DNS反向查询
AD向对方LDNS发起域名解析请求

第三种:PING方式
AD去ping来解析的LDNS地址

探测超时时间:
用于配置DNS服务器(就是AD)去探测发起域名解析的客户端的Local DNS响应速度的超时时间。
默认2,单位为秒。指在2秒之内,对应的LDNS没有给回复或者没有查询到需要的结果,就认为是超时,从这个接口到该LDNS的连接不可靠。

探测结果缓存时间:
用于配置 DNS 服务器探测客户端LocalDNS 响应速度结果的缓存时间,单位为秒。

2、新建虚拟IP池

DNS服务器配置好之后,说明AD设备已经能够接收来自公网的域名解析请求,并且能给出解析结果。那么,返回哪个IP给请求者呢?这就需要在虚拟IP池里面去定义。但是这个IP地址一定是活在接口下,外网能访问到的一个真实IP。

【智能DNS】-【虚拟IP池】-[本地虚拟IP池]-[新建]


①主动监视器
AD设备主动去探测虚拟IP池内的IP地址是否可用,不可用则不会返回该地址给解析请求者。监视器可选择多个,可以选择至少几个监视器有效则认为检测通过,也可以选择全部通过才算虚拟IP有效。

②繁忙保护
在【网络配置】-【网络接口】里面定义接口属性接口IP的时候,也定义了接口的带宽,并且设置了繁忙值。启用繁忙保护之后,该线路繁忙时不会再返回这个接口的IP。


③首选策略
虚拟IP列表里的虚拟IP选用策略
『轮询』表示交替返回虚拟 IP 池中的某个 IP
『加权轮询』表示通过设置中的『权重』加权计算结果返回虚拟 IP 池中的某个 IP
『首个可用』表示在虚拟 IP 池中从上往下匹配,当匹配到某个 IP 有效则返回该 IP
『哈希』表示通过哈希算法对 DNS请求的源 IP 进行运算,由此确定返回的 IP
『加权最小连接』表示通过设置中的『权重』、 当前该 IP 所在链路连接数加权计算结果返回某个 IP
『动态就近性』 根据 DNS 服务器中配置的探测方法探测虚拟 IP 池中各个 IP 所在链路到客户端 Local DNS 的往返时延,返回往返时延最小的链路对应的 ip

④备选策略

当首选策略失效的时候,使用的调度策略,不能与首选策略相同。比首选策略多了一个拒绝和丢弃



这样,一个虚拟IP池就建立好了。(如此,再用同样的方式建立一个叫rlr的虚拟IP池,文档后续会用得上)

3、DNS映射

外网用户的域名解析请求发给了AD,AD负责解析的区域里面可能有多个域名。也就是每个出口有多个IP地址,每个地址对应的域名不同,这就需要将相同域名对应的IP地址写在同一个虚拟IP池中,即每个池里的IP对应的都是同一个域名。

那,假如是多个域名,多个虚拟IP池,怎样去建立虚拟IP池和域名之间的关联呢?
这就需要在DNS映射里面去做,DNS映射就是将域名和对应的IP地址对应起来。


【智能DNS】-【DNS映射】-[本地DNS映射]-[新建]

①域名列表
实际需要解析的域名,例如本文档举例中的www.abc.com

②选择策略
用于配置DNS调度虚拟IP池的策略。全局DNS里会用到一个域名多个IP池。
当对一个域名建立了多个虚拟IP池时,该从哪个虚拟IP池里面去选择具体的IP地址返回呢?

选择方式有三种:
『静态就近性』调度算法在『智能 DNS』→『静态就近性』→『DNS 映射级别』中进行配置,根据所设置的 LDNS 集合来选择将客户端访问调度到某个虚拟 IP 池。
『轮询』表示交替调度到不同虚拟IP 池。
『加权轮询』表示通过设置中的『权重』加权计算结果并调度到某个虚拟 IP 池。

③会话保持
用于配置是否对客户端LDNS来解析时返回的虚拟 IP 池做会话保持。
在超时时间内,使相同来源的多次请求调度到相同的虚拟 IP 池

④超时时间
设置会话保持的超时时间,例如设置了300秒。那同一个LDNS,在300秒内发起的相同的DNS解析请求就会调度到同一个虚拟IP池。超时时间会实时刷新,从发起请求这个时间开始计时,超过300秒没有发起相同域名解析请求,保持机制失效。

⑤TTL
当Local DNS发起一个域名解析请求并得到结果之后,会在自己本地缓存一段时间,缓存时间之内客户端对Local DNS发起相同的域名解析请求,Local DNS直接从本机返回结果。TTL设置的就是允许Local DNS从AD上解析得到的域名记录的生存时间,超过这个时间则域名记录失效。

⑥虚拟IP池列表
配置用于本地 DNS 映射调度的本地虚拟 IP 池

4、LDNS集合

在对于虚拟IP池的调度策略中,有静态就近性;在虚拟IP池里对池内IP的调度策略中,也有静态就近性。那,什么是静态就近性?

通俗来讲,就是当用户出口有联通IP、电信IP等不同运营商的IP时,发起域名解析的LDNS是一个电信IP地址时,就返回虚拟IP池内一个电信的IP给该LDNS。同理,联通LDNS发起的请求就返回联通IP。
那,我如何知道来解析的LDNS是联通的地址还是电信的地址?这就需要在LDNS集合里面去定义一个地址范围,将来解析的LDNS到集合里去匹配,从而确定是哪个运营商的。



①地址类型



IP地址段


当选择IP地址段的时候,需要自己填写地址范围


IPS地址段

可以看到,在ISP地址段里面设备内置了电信、联通、移动、教育网四个运营商的地址范围。

例如:我现在需要添加联通和电信的2个LDNS集合,那就选择[ISP地址段]-[电信/联通]-[添加]

全球地址段

全球地址段里面也是内置了几乎全部国家全部省市的IP地址,选择添加就可以。

例如:


用户地域

根据客户的需求和实际情况建立好LDNS集合。

4、静态就近性

在这之前我们已经配置好了DNS映射,也建立了对应的虚拟IP池,现在建立好LDNS集合之后,就需要用静态就近性关联起来。

在这里我们可以看到,有一个DNS映射级别和一个虚拟IP池级别。

回忆前面的东西,在虚拟IP池里面,有一个选择策略

这里的选择策略,是针对池内的IP进行选择的策略,即是选用这个池内的哪个IP返回给LDNS。

在DNS映射里面,也有一个选择策略


这里的选择策略,是对虚拟IP池的选择策略,即是从哪个虚拟IP池里面去选择IP返回给LDNS。


因此,我们在两个地方都要去建立静态就近性联系。


①DNS映射级别


因为是本地的DNS解析,所以选择本地。根据需求去关联静态就近性,如上图所示。

意思就是:用户的LDNS来解析的域名(如果是www.abc.com)匹配到了abc这个DNS映射里填写的域名(参考DNS映射里的截图,域名列表里是www.abc.com),在这个DNS映射里选择了多个虚拟IP池的话,如果池的选择策略选用静态就近性这个策略。

那么就拿LDNS的地址去匹配DNS映射这里选择了abc的静态就近性策略。


假如地址匹配上了策略里选择的LDNS集合为联通的地址范围


那么,就选用虚拟IP池是abc的这个池,从池内选择IP返回给LDNS。


当然,如果没有匹配上,就再去找别的DNS是abc的静态就近性策略。

如上图,假设匹配到了电信这个LDNS集合里的地址范围,那就选用rlr这个虚拟IP池,从RLR池内选择IP地址给LDNS返回。都没有匹配上的情况下,默认使用轮询去选择。
一个DNS映射内关联多个虚拟IP池的情况一般在配置全局DNS的时候遇到。
注意:当DNS映射里面只选择了一个虚拟IP池的时候,不需要配置DNS映射级别的静态就近性

②虚拟IP池级别

当虚拟IP池选用好之后,如何从虚拟IP池里面确定选择哪个IP返回呢?这个时候,如果在虚拟IP池那里首选策略选择了静态就近性,就需要在静态就近性的虚拟IP池级别里关联。

如上图所示:当虚拟IP池选择为了abc以后,池内IP的选择策略如果选择了静态就近性,当LDNS匹配到了联通这个LDNS集合内的地址范围时,返回地址为212.10.204.26。

同样的,配置电信的静态就近性策略。

假如首选策略里没有匹配上,就启用备选策略。

如此,整个智能DNS就配置好了。

打赏鼓励作者,期待更多好文!

打赏
15人已打赏

Sangfor_闪电回_小狒 发表于 2015-11-27 14:50
  
饶MM棒棒哒!把AD的智能DNS讲的很清楚哈!
SteveNiaobs 发表于 2015-11-27 14:53
  
服务器负载姊妹篇!饶MM的文章依旧细致,悦读,非常感谢为社区小伙伴谋福利,辛苦付出,致敬!

我认为看懂饶MM这两篇文章,AD上架没有任何问题,妥妥的,版主推荐
Sangfor_闪电回_朱丽 发表于 2015-11-27 14:55
  
好贴,讲得很详细,楼主辛苦了~~~
郑淋 发表于 2015-12-3 17:25
  
好赞的文章啊
奇迹天空 发表于 2016-4-29 15:08
  
我想请问一下,那个NS记录中,ns1.abc.com,也是和运营商购买的域名吗,因为A记录是ns1.abc.com对应WAN口IP,这样就可以通过ns1.abc.com登录到AD了。所以有点疑惑,这个ns1.abc.com,也是和运营商购买的吗
新手363612 发表于 2016-5-25 22:42
  
请教:如果是邮件服务器的域名如mail.abc.com ,在域名提供商处,如何配置NS记录、MX记录?在AD设备上需要配置邮件服务器的什么内容?是否还要配置相关的MX记录等?
稻草 发表于 2016-12-1 09:46
  
showtime 发表于 2017-3-8 10:02
  
分析的很透彻,好贴。
曾小宝 发表于 2017-3-16 17:28
  
感觉某公司要挖你了,,好厉害
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人