AD 智能DNS配置及詳解排錯

1、DNS原理介紹及智能DNS配置指導(dǎo)目錄DNS原理介紹及智能DNS配置指導(dǎo)1一、 應(yīng)用場景1二、 智能DNS工作原理1三、 深信服智能DNS工作原理2四、 配置思路2五、 真實案例3六、 客戶端測試56.1清空DNS緩存56.2使用NSlookup查看域名解析過程6七、 測試注意事項7八、 智能DNS問題排查78.1 DNS解析的地址有問題排查78.2 域名無法解析問題排查8九、 萬網(wǎng)域名記錄添加指導(dǎo)91、 應(yīng)用場景1.AD智能DNS可以智能的判斷訪問內(nèi)網(wǎng)網(wǎng)站的用戶，然后根據(jù)不同的訪問者、按照不同的分配策略，把域名分別解析成不同的IP地址。2.如訪問者是網(wǎng)通用戶，DNS策略解析服務(wù)器會把你的域名

2、對應(yīng)的網(wǎng)通IP地址，解析給這個訪問者。3.如果用戶是電信用戶，DNS策略解析服務(wù)器會把您域名對應(yīng)的電信IP地址，解析給這個訪問者。4.如果用戶是教育網(wǎng)用戶，DNS策略解析服務(wù)器會把您域名對應(yīng)的電信IP地址，解析給這個訪問者。5.也可以按照鏈路的負(fù)載狀況，動態(tài)的解析成不同的IP，如線路1比較忙碌，智能DNS就可以反饋相對比較空閑的線路2的IP。2、 智能DNS工作原理DNS有兩種查詢方式 遞歸和迭代 ：遞歸：指定的DNS不管找不找的到結(jié)果 都要給你個準(zhǔn)確的結(jié)果 （DNS負(fù)擔(dān)大）。 迭代：指定的DNS找不到結(jié)果就告訴你有可能找的到結(jié)果的DNS地址，你自己去再問另外一個DNS （減少DNS的負(fù)擔(dān)）舉

3、例：比如學(xué)生問老師一個問題，王老師告訴他答案這之間的叫遞歸查詢。這期間也許王老師也不會，這時王老師問張老師，這之間的查詢叫迭代查詢！DNS請求：當(dāng)PC提出查詢請求時，首先在本地計算機的host緩存中查找；如果在本地?zé)o法獲得查詢信息，則將查詢請求發(fā)給Local DNS服務(wù)器。1.用戶PC提出域名解析請求，并將該請求發(fā)送給Local DNS服務(wù)器。2.當(dāng)Local DNS服務(wù)器收到請求后，就先查詢本地的緩存，如果有該紀(jì)錄項，則Local DNS服務(wù)器就直接把查詢的結(jié)果返回。3.如果本地的緩存中沒有該紀(jì)錄，則Local DNS服務(wù)器就直接把請求發(fā)給根域名服務(wù)器，然后根據(jù)域名服務(wù)器，再返回給本地域名服

4、務(wù)器一個所查詢域(根的子域)的主域名服務(wù)器的地址。4. Local DNS服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請求，然后接受請求的服務(wù)器查詢自己的緩存，如果沒有該紀(jì)錄，則返回相關(guān)的下級的域名服務(wù)器的地址。5.重復(fù)第四步，直到找到正確的紀(jì)錄。6.Local DNS把返回的結(jié)果保存到緩存，以備下一次使用，同時還將結(jié)果返回給pc。注：PC端到DNS服務(wù)器之間屬于遞歸查詢，DNS服務(wù)器到服務(wù)器之間屬于迭代查詢3、 深信服智能DNS工作原理 1.用戶PC提出域名解析請求，并將該請求發(fā)送給Local DNS服務(wù)器。2.當(dāng)Local DNS服務(wù)器收到請求后，就先查詢本地的緩存，如果有該紀(jì)錄項，則Local

5、DNS服務(wù)器就直接把查詢的結(jié)果返回。3.如果本地的緩存中沒有該紀(jì)錄，則Local DNS服務(wù)器就直接把請求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域(根的子域)的主域名服務(wù)器的ip地址。4.Local DNS根據(jù)將請求到的A記錄發(fā)送給AD設(shè)備。5.AD根據(jù)配置的策略返回一個IP給Local DNS。6.Local DNS將IP告訴客戶端。深信服設(shè)備只支持遞歸查詢，這個遞歸查詢的過程就是公網(wǎng)A記錄指向我們設(shè)備的監(jiān)聽地址，AD設(shè)備收到用戶DNS解析查詢的過程。4、 配置思路1.在域名提供商處設(shè)置域名的NS記錄指向AD設(shè)備的WAN口ip（客戶提供）。2.設(shè)置DNS服務(wù)器IP

6、，跟第一步指向的IP相同。3.設(shè)置虛擬IP池，填寫域名對應(yīng)的IP都有哪些。4.設(shè)置DNS映射，填寫域名對應(yīng)的虛擬IP池。5.設(shè)置LDNS集合，定義聯(lián)通和電信的IP地址集。6.設(shè)置靜態(tài)就近性，源IP是電信IP，返回電信地址，聯(lián)通也一樣。注意：DNS服務(wù)器IP地址規(guī)劃和應(yīng)用IP的規(guī)劃一定要提前確認(rèn)好5、 真實案例5.1拓?fù)鋱D服務(wù)器（server）-接入-核心（VRRP）-fw-IPS-負(fù)載均衡-出口（聯(lián)通和電信）需求：客戶要求替換原有網(wǎng)絡(luò)中F5設(shè)備做入站負(fù)載。 注：AD設(shè)備替換F5設(shè)備網(wǎng)關(guān)模式部署，有兩條線路：聯(lián)通和電信，分別有2個可用的公網(wǎng)地址：電信：，；聯(lián)通：，。 客戶內(nèi)網(wǎng)有2臺服務(wù)器：和。電

7、信用戶訪問內(nèi)網(wǎng)的時，AD返回電信；聯(lián)通用戶訪問該域名時，AD返回聯(lián)通。電信用戶訪問內(nèi)網(wǎng)時，AD返回電信，聯(lián)通用戶訪問該域名時，AD返回聯(lián)通。5.2準(zhǔn)備工作1.在域名提供商處，設(shè)置NS記錄，將和bjj的域名請求轉(zhuǎn)發(fā)至AD設(shè)備，由AD設(shè)備來解析。域名AD設(shè)備解析NSWWW.B.NS.AANSNSAA2.AD配置監(jiān)聽地址注：監(jiān)聽地址可以填寫多個，但是必須是ns記錄指向的地址，對于不存在的域名處理可以根據(jù)客戶的需求配置。3.設(shè)置虛擬ip池 注意：添加你想要解析出來的IP，就是運營商哪里做的NS記錄，每個域名所對應(yīng)的ip地址4.添加DNS映射注：解析的域名加到列表里面，選擇一個虛擬IP池（和上一步結(jié)合起

8、來）5.設(shè)置LDNS集合注：在LDNS集合里面添加電信和聯(lián)通的地址，如果有用戶想添加其他網(wǎng)段也是可以添加的。6.添加靜態(tài)就近性注：有幾條公網(wǎng)線路就添加幾個靜態(tài)就近性6、 客戶端測試6.1清空DNS緩存6.2使用NSlookup查看域名解析過程 注：使用做DNS服務(wù)器，驗證域名解析是不是聯(lián)通回聯(lián)通DNS地址，電信回電信的DNS地址。 清空緩存，換個DNS再次測試，這是最基本的測試方法，測試的時候請切忌要清空DNS緩存。下面給大家推薦一個網(wǎng)站，很直觀的看到解析的結(jié)果：。輸入要測試的域名，底下選上各個運營商，類型一般A記錄即可，按實際情況來選擇。7、 測試注意事項1.在域名提供商那里改變NS記錄，生

9、效時間大約2小時，全球更新最少需要48到72個小時之間。2.所有測試之前，都記得要清空dns緩存。3.有解析不了的情況，首先將電腦DNS服務(wù)器指向AD監(jiān)聽的地址，看這時能否解析。4.如果這時可以解析，說明AD沒問題。那可能就是公網(wǎng)問題了，具體問題還得具體看。8、 智能DNS問題排查8.1 DNS解析的地址有問題排查排查思路：(1)首選確認(rèn)用戶的IP是否在AD的ISP移動地址段內(nèi)，通過AD上查詢確認(rèn)是在移動ISP地址段內(nèi)；(2)確認(rèn)AD配置是否有問題設(shè)備是不是配置了靜態(tài)就近性，把DNS服務(wù)器地址配置成AD的外網(wǎng)地址，解析沒問題；(3)檢查NS記錄是否生效：通過nslookup命令查詢，NS記錄已

10、經(jīng)生效；(4)確認(rèn)客戶的DNS解析請求是否發(fā)到AD：在AD上抓DNS請求的數(shù)據(jù)包。問題解決之后效果如下：電信地址解析返回的是電信地址聯(lián)通地址解析返回的是聯(lián)通地址8.2 域名無法解析問題排查排查思路：(1)檢查基礎(chǔ)配置，智能DNS的配置檢查域名是否配置正確，策略是否啟用，DNS服務(wù)器中的監(jiān)聽地址是否配置正確；(2)鏈路狀態(tài)檢查，如果兩條線路都繁忙，則去除繁忙保護；如果兩條線路都離線，則需要檢查鏈路監(jiān)視器的配置；(3)檢查域名的DNS記錄，檢查公網(wǎng)NS記錄，A記錄是否正確或生效：方法1：通過命令行nslookup，如果返回都是time out那就是找不到記錄。方法2：通過網(wǎng)站去查找。方法3：將localdn