诞生的原因:之前的上网行为管理是不支持dns代理的,所以一直存在着两个问题
1.无法限制非法dns请求 2.无法向将某些域名重定向到自己的服务器 自12.0.41之后ac开始支持dns代理,其实dns代理大家并不默认,今天带大家一起看下,AC的dns代理和AF、AD有啥不一样 配置和功能: 支持的模式:网桥模式、路由模式 优先级说明:dns代理>优先负载策略>默认负载策略 优先负载策略又是什么且听下回分解 dns配置位置: 有三个地方可以配置dns (1)部署模式 (2)网口配置 (3)虚拟线路 配置dns是配置dns代理的必要条件,但是修改dns会重启网络服务!!!!一定要提前和客户沟通好
支持的定向配置策略有以下四种 重定向至DNS服务器:DNS服务器的IP
解析为IP:直接把域名解析为该IP
丢弃:直接将DNS请求丢弃
重定向至指定线路:重定向到指定的出口 重定向到DNS服务器配置如下 解析成ip地址 丢弃 重定向到指定路线 只能选择设置了DNS和DSCP/TOS值的线路,未开启链路负载时, 此功能不生效。
dns代理逃生 对DNS代理的“重定向至DNS服务器”和“重定向到指定线路”两个场景生效 当某条线路断了,DNS代理策略失效 •没有启用链路负载,直接走默认路由 •有启用链路负载,走负载策略;如果负载也异常了,走默认路由 •新增的默认路由页面,支持调整默认路由顺序 •默认路由逃生机制,根据线路故障检测(DNS和ping)
注意事项: 1.代理到内网DNS服务器的场景:DNS代理策略代理到内网的DNS服务器(DNS服务器在DMZ区) 【出现现象】 代理到内网DNS服务器失败(如果用户自己电脑有配置有效的DNS服务器,则走自己的DNS服务器,DNS服务器无效则会导致断网) 【解决办法】 防火墙配置放通DMZ->LAN的流量
2.开启全局排除、直通的场景下,DNS代理功能是否生效? DNS代理配置“丢弃”,将域名加入全局排除后,DNS代理“丢弃”策略再不生效; 开直通后,DNS代理不生效。
3.网桥下DNS检测是从dmz口发包出去检测,部署场景需要保障dmz口发包可以到达出口
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-13 11:35
工程师1级 
