AD DNS代理和智能路由（RLR sangfor入门文档四）

AD 出站链路负载

一．DNS知识回顾

1.host文件

（1）hosts文件是什么？

装完操作系统之后，存在系统盘目录下的一个文件。常见位置如下：

①Window操作系统   C:/Windows/System32/drivers/etc

②Linux或其他类Unix操作系统   /etc

各个操作系统不一样

（2）hosts文件里写的什么？

使用记事本方式打开hosts文件，如下所示

打开hosts文件，我们能看到这样的行:

IP地址                        域名

102.54.94.97               rhino.acme.com

127.0.0.1                      localhost

这就是hosts文件记录的内容，是IP和域名的对应关系。

注意：修改该文件需要管理员权限

（3）hosts文件能做啥？

我们知道，当我们要去访问一个网站的时候，一般都是在浏览器上输入网站的网址（域名），例如：www.sangfor.com.（有的网址是指定只允许通过域名来访问，再就是同一个域名一般对应多个服务器，记IP地址很麻烦）。但是我们建立TCP/IP连接的时候，是需要与IP地址去建立连接的。那www.sangfor.com的IP地址是什么呢？

首先去问本机的hosts，去hosts文件里面找找有没有域名和IP的对应关系。一般都是没有的，那怎么办？问DNS服务器

2.DNS服务器

在Internet上域名与IP地址之间是存在对应关系的，域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

（1）DNS在哪里

你在这里填写，就是为你的PC提供DNS解析服务的Local DNS服务器。当内网没有DNS服务器的时候，使用运营商提供的DNS服务器。

（2）DNS解析过程

补充：

PC去向LocalDNS请求域名解析之前会先查询本地hosts文件

A记录：域名和IP对应的一条记录，用于指定该域名对应的IP地址。

NS记录：域名服务器记录，用于指定该域名由哪个DNS服务器进行解析。NS记录后必须要跟一个A记录，来指明该DNS的地址。

注意：我们在IPV4属性里虽然可以填写首选DNS和备用DNS，但是在解析过程中只会用到首选DNS，除非首选DNS不给PC任何回应，我们认为首先DNS挂了，才会使用备用DNS。

二.DNS代理

1.过程

AD设备的DNS代理就是，DNS解析的这个过程，我代理你去完成，你要找谁，我帮你去找，找到了我告诉你它的地址。

（1）DNS代理使用的场景

①  内网没有DNS服务器，需要使用公网上的DNS服务器做域名解析

②  出口有2条或2条以上链路，需要达到负载均衡

③  内网PC的DNS服务器设置为公网DNS或者AD LAN口IP。

④  优化，保证当前去解析的路径最快最优

⑤AD会监视公网DNS服务器的状态，在服务器故障时，可以保证解析发到其他正常的服务器。

2.配置

（1）网口配置

【网络配置】-【网络接口】-[新建]

从AD3.8版本开始没有部署模式的选择

联通线路配置参考电信。

再配置LAN口信息

（2）DNS代理配置

【网络配置】-【DNS代理】

注意：

①DNS服务器列表最多可以添加16个DNS服务器地址，AD设备本机发出的域名解析请求仅适用前面的3个DNS服务器。

②如果客户端的PC填写的DNS地址是AD设备LAN口的IP，就必须填写监听地址；如果PC填写的DNS服务器地址只是公网的DNS就不需要填写监听地址，但是必须在DNS列表里填上该DNS地址；两者都有，则既要填写监听地址，DNS服务器列表也要填写。

必须启用DNS代理，否则前一张图上填写的DNS列表没有意义，不会调用到DNS代理模块。如上，DNS透明代理就配置完成了。

（3）DNS代理匹配条件

①用户PC打开浏览器，请求域名，发出DNS请求数据包

②AD设备收到数据包，是否匹配条件：

请求的DNS服务器在DNS列表内，则匹配

不在列表，是监听地址(有填监听地址)，则匹配

不在列表，不是监听地址(没填监听地址)，是在代理内网网段(有填写)，不匹配

（只有内网的DNS服务器在列表or监听地址，才会做DNS代理）

③匹配上条件，检查DNS服务器在线状态，根据策略向DNS服务器列表的ip地址发送DNS请求

DNS请求的顺序：由“选择策略”决定去请求哪个DNS服务器ip地址，有轮询、加权轮询、加权最小流量、优先级

④匹配不上条件，DNS请求数据包，走智能路由出公网

注意：AD5.6版本后支持DNS代理缓存，在请求域名解析之前先查询缓存，并且支持并发查询，即是同时向所有服务器发起DNS查询，此时轮询等策略无效。

三.智能路由

1.智能路由应用场景

结合本文之前的内容，当PC要去访问www.sangfor.com的时候，首先是向Local DNS发起解析请求，获取www.sangfor.com的IP地址，然后去建立连接。

PC要去访问www.sangfor.com，域名解析得到的结果可能是一个联通的地址，也可能是一个电信的地址，当然，还可能是别的运营商的地址。那么，假设是一个联通的地址，我们有联通的外网线路，从联通外网线路去访问肯定速度更快。那我们怎么来实现去访问这个地址的时候走联通的线路出去呢？

2.智能路由配置

【路由配置】-【智能路由】

目的地址可以选择

选择ISP地址段之后，系统内置的ISP地址段有如下：

注意:6.1版本之后，ISP地址段进行了修改和调整，只有主流的电信、联通、移动等少数几个。需要根据版本确定

访问电信地址指定走电信线路的，参考联通的配置。

如此，智能路由就配置完成了。当www.sangfor.com解析返回的是一个电信地址的时候，PC去跟该电信地址建立联系，从ISP地址段匹配到目的地址是电信的，则从电信链路出去。

那如果又不是联通，又不是电信呢？走默认策略路由。

链路选择策略

注意：像网银等安全性要求高的应用，我们一般指定走一条线路，以免线路切换导致重新登录或者其他问题。

到此，内网PC去访问一个外网域名的出站链路负载配置完毕。

请继续关注RLR

RLR-SANGFOR AD DNS代理和智能路由（出站）.docx (687.99 KB, 下载次数: 239)

2015-9-23 16:35 上传

点击文件名下载附件

RLR-SANGFOR AD DNS代理和智能路由（出站）.pdf (883.39 KB, 下载次数: 282)

2015-9-23 16:35 上传

点击文件名下载附件

有不合理之处敬请指教！欢迎小伙伴与我共同学习，一起进步！

默默围观

没看完先点个赞

赞一个！！

必须赞一个.......

写得不错，给32个赞

赞赞赞

       简单易懂，写的很有水平，对我们这些新手来说，很有帮助... ！！

32个赞收好，文档带走了。

之前有打过400的电话，只有当外网多条线路是同一个运营商的时候，才建议开启dns代理，如果是多个运营商不建议开启dns代理功能