DNS 代理概述

DNS 代理缓存

当 DNS 代理解析 DNS 查询时，结果存储在设备的 DNS 缓存中。这种存储的缓存可帮助设备解析来自同一域的后续查询，并避免网络延迟。

如果代理缓存不可用，设备会将查询发送到配置的 DNS 服务器，这会导致网络延迟延迟。

DNS 代理为每个已解析的 DNS 查询维护一个缓存条目。这些条目具有生存时间 （TTL） 计时器，因此设备会在达到其 TTL 并过期时从缓存中清除每个条目。您可以使用命令 clear system services dns-proxy cache 清除缓存，或者当缓存变为零时，缓存将与 TTL 一起自动过期。

具有拆分 DNS 的 DNS 代理

拆分 DNS 代理功能允许您将代理服务器配置为根据接口和域名拆分 DNS 查询。您还可以配置一组名称服务器，然后与给定的域名进行关联。当您查询该域名时，设备只会将 DNS 查询发送到为该域名配置的名称服务器，以确保 DNS 查询的本地化。

您可以配置用于解析给定域名的传输方法，例如，当设备通过 IPsec VPN 或任何其他安全隧道连接到公司网络时。配置安全 VPN 隧道以传输属于公司网络的域名时，DNS 解析查询不会泄露到 ISP DNS 服务器，而是包含在公司网络中。

您还可以在默认域下配置一组默认域 （*） 和名称服务器，以解析未配置名称服务器的域的 DNS 查询。

每个 DNS 代理都必须与一个接口相关联。如果接口没有 DNS 代理配置，则该接口上接收的所有 DNS 查询都将被丢弃。

图 1 显示了拆分 DNS 代理在企业网络中的工作原理。

在 图 1 所示的公司网络中，作为其 DNS 服务器指向 SRX 系列 防火墙的 PC 客户端会进行两个查询（对 www.your-isp.com 和对 www.intranet.com），DNS 代理将 www.intranet.com、查询重定向到 www.intranet.com DNS 服务器 （203.0.113.253），而 www.your-isp.com 查询则重定向到 ISP DNS 服务器 （209.100.3.130）。尽管 www.your-isp.com 查询会使用明文协议 （TCP/UDP） 作为常规 DNS 查询发送到 ISP DNS 服务器，但 www.intranet.com 域的查询会通过安全 VPN 隧道发送到 Intranet 的 DNS 服务器。

拆分 DNS 代理具有以下优点：

• 域查找通常更有效。例如，针对公司域（如 acme.com）的 DNS 查询可以专门转到公司 DNS 服务器，而所有其他查询都可以转到 ISP DNS 服务器。拆分 DNS 查找可减少公司服务器上的负载，还可以防止公司域信息泄露到互联网上。

• DNS 代理允许您通过隧道接口传输选定的 DNS 查询，从而防止恶意用户了解网络的内部配置。例如，绑定到公司服务器的 DNS 查询可以通过隧道接口，以使用身份验证和加密等安全功能。

动态域名系统客户端

动态 DNS （DDNS） 允许客户端动态更新已注册域名的 IP 地址。当 ISP 使用点对点协议 （PPP）、动态主机配置协议 （DHCP） 或外部身份验证 （XAuth） 动态更改保护 Web 服务器的用户本地设备 （CPE） 路由器（如安全设备）的 IP 地址时，此功能非常有用。即使安全设备的 IP 地址之前已动态更改，互联网客户端也可以使用域名访问 Web 服务器。

DDNS 服务器维护动态更改的地址及其关联域名的列表。设备会定期或响应 IP 地址更改，使用此信息更新这些 DDNS 服务器。Junos OS DDNS 客户端支持常用的 DDNS 服务器，如 dyndns.org 和 ddo.jp

图 2 说明了 DDNS 客户端的工作原理。

内部 Web 服务器的 IP 地址通过网络地址转换 （NAT） 转换为设备上不信任区域接口的 IP 地址。主机名 abc-host.com 在 DDNS 服务器中注册，并与设备不信任区域接口的 IP 地址相关联，该接口由设备上的 DDNS 客户端监控。当 abc-host.com 的 IP 地址发生变化时，DDNS 服务器将收到新地址的通知。

如果 图 2 中所示网络中的客户端需要访问 abc-host.com，则客户端将查询 Internet 上的 DNS 服务器。当查询到达 DDNS 服务器时，它会解析请求并向客户端提供 abc-host.com 的最新 IP 地址。