AD 智能DNS配置及詳解、排錯(cuò).docx

1、DNS原理介紹及智能DNS配置指導(dǎo)目錄DNS原理介紹及智能DNS配置指導(dǎo)1一、 應(yīng)用場(chǎng)景1二、 智能DNS工作原理1三、 深信服智能DNS工作原理2四、 配置思路2五、 真實(shí)案例3六、 客戶端測(cè)試56.1清空DNS緩存56.2使用NSlookup查看域名解析過程6七、 測(cè)試注意事項(xiàng)7八、 智能DNS問題排查78.1 DNS解析的地址有問題排查78.2 域名無(wú)法解析問題排查8九、 萬(wàn)網(wǎng)域名記錄添加指導(dǎo)91、 應(yīng)用場(chǎng)景1.AD智能DNS可以智能的判斷訪問內(nèi)網(wǎng)網(wǎng)站的用戶，然后根據(jù)不同的訪問者、按照不同的分配策略，把域名分別解析成不同的IP地址。2.如訪問者是網(wǎng)通用戶，DNS策略解析服務(wù)器會(huì)把你的域名

2、對(duì)應(yīng)的網(wǎng)通IP地址，解析給這個(gè)訪問者。3.如果用戶是電信用戶，DNS策略解析服務(wù)器會(huì)把您域名對(duì)應(yīng)的電信IP地址，解析給這個(gè)訪問者。4.如果用戶是教育網(wǎng)用戶，DNS策略解析服務(wù)器會(huì)把您域名對(duì)應(yīng)的電信IP地址，解析給這個(gè)訪問者。5.也可以按照鏈路的負(fù)載狀況，動(dòng)態(tài)的解析成不同的IP，如線路1比較忙碌，智能DNS就可以反饋相對(duì)比較空閑的線路2的IP。2、 智能DNS工作原理DNS有兩種查詢方式 遞歸和迭代 ：遞歸：指定的DNS不管找不找的到結(jié)果 都要給你個(gè)準(zhǔn)確的結(jié)果 （DNS負(fù)擔(dān)大）。 迭代：指定的DNS找不到結(jié)果就告訴你有可能找的到結(jié)果的DNS地址，你自己去再問另外一個(gè)DNS （減少DNS的負(fù)擔(dān)）舉

3、例：比如學(xué)生問老師一個(gè)問題，王老師告訴他答案這之間的叫遞歸查詢。這期間也許王老師也不會(huì)，這時(shí)王老師問張老師，這之間的查詢叫迭代查詢！DNS請(qǐng)求：當(dāng)PC提出查詢請(qǐng)求時(shí)，首先在本地計(jì)算機(jī)的host緩存中查找；如果在本地?zé)o法獲得查詢信息，則將查詢請(qǐng)求發(fā)給Local DNS服務(wù)器。1.用戶PC提出域名解析請(qǐng)求，并將該請(qǐng)求發(fā)送給Local DNS服務(wù)器。2.當(dāng)Local DNS服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存，如果有該紀(jì)錄項(xiàng)，則Local DNS服務(wù)器就直接把查詢的結(jié)果返回。3.如果本地的緩存中沒有該紀(jì)錄，則Local DNS服務(wù)器就直接把請(qǐng)求發(fā)給根域名服務(wù)器，然后根據(jù)域名服務(wù)器，再返回給本地域名服

4、務(wù)器一個(gè)所查詢域(根的子域)的主域名服務(wù)器的地址。4. Local DNS服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請(qǐng)求，然后接受請(qǐng)求的服務(wù)器查詢自己的緩存，如果沒有該紀(jì)錄，則返回相關(guān)的下級(jí)的域名服務(wù)器的地址。5.重復(fù)第四步，直到找到正確的紀(jì)錄。6.Local DNS把返回的結(jié)果保存到緩存，以備下一次使用，同時(shí)還將結(jié)果返回給pc。注：PC端到DNS服務(wù)器之間屬于遞歸查詢，DNS服務(wù)器到服務(wù)器之間屬于迭代查詢3、 深信服智能DNS工作原理 1.用戶PC提出域名解析請(qǐng)求，并將該請(qǐng)求發(fā)送給Local DNS服務(wù)器。2.當(dāng)Local DNS服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存，如果有該紀(jì)錄項(xiàng)，則Local

5、DNS服務(wù)器就直接把查詢的結(jié)果返回。3.如果本地的緩存中沒有該紀(jì)錄，則Local DNS服務(wù)器就直接把請(qǐng)求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域(根的子域)的主域名服務(wù)器的ip地址。4.Local DNS根據(jù)將請(qǐng)求到的A記錄發(fā)送給AD設(shè)備。5.AD根據(jù)配置的策略返回一個(gè)IP給Local DNS。6.Local DNS將IP告訴客戶端。深信服設(shè)備只支持遞歸查詢，這個(gè)遞歸查詢的過程就是公網(wǎng)A記錄指向我們?cè)O(shè)備的監(jiān)聽地址，AD設(shè)備收到用戶DNS解析查詢的過程。4、 配置思路1.在域名提供商處設(shè)置域名的NS記錄指向AD設(shè)備的WAN口ip（客戶提供）。2.設(shè)置DNS服務(wù)器IP

6、，跟第一步指向的IP相同。3.設(shè)置虛擬IP池，填寫域名對(duì)應(yīng)的IP都有哪些。4.設(shè)置DNS映射，填寫域名對(duì)應(yīng)的虛擬IP池。5.設(shè)置LDNS集合，定義聯(lián)通和電信的IP地址集。6.設(shè)置靜態(tài)就近性，源IP是電信IP，返回電信地址，聯(lián)通也一樣。注意：DNS服務(wù)器IP地址規(guī)劃和應(yīng)用IP的規(guī)劃一定要提前確認(rèn)好5、 真實(shí)案例5.1拓?fù)鋱D服務(wù)器（server）-接入-核心（VRRP）-fw-IPS-負(fù)載均衡-出口（聯(lián)通和電信）需求：客戶要求替換原有網(wǎng)絡(luò)中F5設(shè)備做入站負(fù)載。 注：AD設(shè)備替換F5設(shè)備網(wǎng)關(guān)模式部署，有兩條線路：聯(lián)通和電信，分別有2個(gè)可用的公網(wǎng)地址：電信：16，106.12

7、0.112.118；聯(lián)通：7，6。 客戶內(nèi)網(wǎng)有2臺(tái)服務(wù)器：和。電信用戶訪問內(nèi)網(wǎng)的時(shí)，AD返回電信IP 18；聯(lián)通用戶訪問該域名時(shí)，AD返回聯(lián)通IP6。電信用戶訪問內(nèi)網(wǎng)時(shí)，AD返回電信IP 16，聯(lián)通用戶訪問該域名時(shí)，AD返回聯(lián)通7。5.2準(zhǔn)備工作1.在域名提供商處，設(shè)置NS記錄，將和的域名

8、請(qǐng)求轉(zhuǎn)發(fā)至AD設(shè)備，由AD設(shè)備來解析。域名AD設(shè)備解析BNSWWW.BNSWWW.B. A18ANSWWW.NSWWW.A1

9、6AN72.AD配置監(jiān)聽地址注：監(jiān)聽地址可以填寫多個(gè)，但是必須是ns記錄指向的地址，對(duì)于不存在的域名處理可以根據(jù)客戶的需求配置。3.設(shè)置虛擬ip池 注意：添加你想要解析出來的IP，就是運(yùn)營(yíng)商哪里做的NS記錄，每個(gè)域名所對(duì)應(yīng)的ip地址4.添加DNS映射注：解析的域名加到列表里面，選擇一個(gè)虛擬IP池（和上一步結(jié)合起來）5.設(shè)置LDNS集合注：在LDNS集合里面添加電信和聯(lián)通的地址，如果有用戶想添加其他網(wǎng)段也是可以添加的。6.添加靜態(tài)就近性注：有幾條公網(wǎng)線路就添加幾個(gè)靜態(tài)就近性6、 客戶端測(cè)試6.1清空DNS緩存6.2使用NSlookup查看

10、域名解析過程 注：使用16做DNS服務(wù)器，驗(yàn)證域名解析是不是聯(lián)通回聯(lián)通DNS地址，電信回電信的DNS地址。 清空緩存，換個(gè)DNS再次測(cè)試，這是最基本的測(cè)試方法，測(cè)試的時(shí)候請(qǐng)切忌要清空DNS緩存。下面給大家推薦一個(gè)網(wǎng)站，很直觀的看到解析的結(jié)果：/dns。輸入要測(cè)試的域名，底下選上各個(gè)運(yùn)營(yíng)商，類型一般A記錄即可，按實(shí)際情況來選擇。7、 測(cè)試注意事項(xiàng)1.在域名提供商那里改變NS記錄，生效時(shí)間大約2小時(shí)，全球更新最少需要48到72個(gè)小時(shí)之間。2.所有測(cè)試之前，都記得要清空dns緩存。3.有解析不了的情況，首先將電腦DNS服務(wù)器指向AD

11、監(jiān)聽的地址，看這時(shí)能否解析。4.如果這時(shí)可以解析，說明AD沒問題。那可能就是公網(wǎng)問題了，具體問題還得具體看。8、 智能DNS問題排查8.1 DNS解析的地址有問題排查排查思路：(1)首選確認(rèn)用戶的IP是否在AD的ISP移動(dòng)地址段內(nèi)，通過AD上查詢確認(rèn)是在移動(dòng)ISP地址段內(nèi)；(2)確認(rèn)AD配置是否有問題設(shè)備是不是配置了靜態(tài)就近性，把DNS服務(wù)器地址配置成AD的外網(wǎng)地址，解析沒問題；(3)檢查NS記錄是否生效：通過nslookup命令查詢，NS記錄已經(jīng)生效；(4)確認(rèn)客戶的DNS解析請(qǐng)求是否發(fā)到AD：在AD上抓DNS請(qǐng)求的數(shù)據(jù)包。問題解決之后效果如下：電信地址解析返回的是電信地址聯(lián)通地址解析返回的是聯(lián)通地址8.2 域名無(wú)法解析問題排查排查思路：(1)檢查基礎(chǔ)配置，智能DNS的配置檢查域名是否配置正確，策略是否啟用，DNS服務(wù)器中的監(jiān)聽地址是否配置正確；(2)鏈路狀態(tài)檢查，如果兩條線路都繁忙，則去除繁忙保護(hù)；如果兩條線路都離線，則需要檢查鏈路監(jiān)視器的配置；(3)檢查域名的DNS記錄，檢查公網(wǎng)NS記錄，A記錄是否正確或生效：方法1：通過命令行nslookup，如果返回都是time out那就是找不到記