Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNS 代理概述

域名系统 (DNS) 代理允许客户端将 SRX300、SRX320、SRX340、SRX345 或SRX1500 SRX550M设备用作 DNS 代理服务器。DNS 代理通过缓存以前的查找来提高域查找性能。典型的 DNS 代理通过向检测到的每个名称服务器发出新的 DNS 解析查询来处理 DNS 查询,直到解析主机名为止。

DNS 代理缓存

当 DNS 代理解析 DNS 查询时,结果将存储在设备的 DNS 缓存中。此存储缓存有助于设备解析来自同一域的后续查询,并避免网络延迟延迟。

如果代理缓存不可用,设备会将查询发送到配置的 DNS 服务器,从而导致网络延迟延迟。

DNS 代理为每个解析的 DNS 查询维护一个缓存条目。这些条目具有生存时间 (TTL) 计时器,因此设备会在每个条目达到其 TTL 并过期时从缓存中清除每个条目。您可以使用命令清除缓存 clear system services dns-proxy cache ,否则缓存将在变为零时与 TTL 一起自动过期。

具有拆分 DNS 的 DNS 代理

拆分 DNS 代理功能允许您将代理服务器配置为基于接口和域名拆分 DNS 查询。您还可以配置一组名称服务器,然后与给定的域名关联。查询该域名时,设备会仅将 DNS 查询发送到为该域名配置的名称服务器,以确保 DNS 查询的本地化。

您可以配置用于解析给定域名的传输方法,例如,当设备通过 IPsec VPN 或任何其他安全隧道连接到企业网络时。配置安全 VPN 隧道以传输属于企业网络的域名时,DNS 解析查询不会泄露到 ISP DNS 服务器,而是包含在企业网络中。

您还可以在默认域下配置一组默认域 (*) 和名称服务器,以解析未配置名称服务器的域的 DNS 查询。

每个 DNS 代理都必须与一个接口相关联。如果接口没有 DNS 代理配置,则会丢弃在该接口上收到的所有 DNS 查询。

图 1 显示了拆分 DNS 代理在企业网络中的工作方式。

图 1: 具有拆分 DNS 的 DNS 代理具有拆分 DNS 的 DNS 代理

在 中图 1所示的企业网络中,指向 SRX 系列防火墙作为其 DNS 服务器的 PC 客户端进行两个查询 — www.your-isp.com 和 www.intranet.com,DNS 代理将 www.intranet.com 重定向,查询到 www.intranet.com DNS 服务器 (203.0.113.253),而 www.your-isp.com 查询重定向到 ISP DNS 服务器 (209.100.3.130)。尽管对 www.your-isp.com 的查询是作为使用明文协议 (TCP/UDP) 的常规 DNS 查询发送到 ISP DNS 服务器,但对 www.intranet.com 域的查询会通过安全的 VPN 隧道发送到内部网的 DNS 服务器。

拆分 DNS 代理具有以下优点:

  • 域查找通常更有效。例如,用于企业域(如 acme.com)的 DNS 查询可以专门转到企业 DNS 服务器,而所有其他查询都可以转到 ISP DNS 服务器。拆分 DNS 查找可减少公司服务器上的负载,还可以防止公司域信息泄露到 Internet 上。

  • DNS 代理允许您通过隧道接口传输选定的 DNS 查询,从而防止恶意用户了解网络的内部配置。例如,绑定到企业服务器的 DNS 查询可以通过隧道接口来使用身份验证和加密等安全功能。

动态域名系统客户端

动态 DNS (DDNS) 允许客户端动态更新已注册域名的 IP 地址。当 ISP 使用点对点协议 (PPP)、动态主机配置协议 (DHCP) 或外部身份验证 (XAuth) 动态更改保护 Web 服务器的客户端设备 (CPE) 路由器(如安全设备)的 IP 地址时,此功能非常有用。即使安全设备的 IP 地址先前已动态更改,互联网客户端也可以使用域名访问 Web 服务器。

DDNS 服务器维护动态更改的地址及其关联域名的列表。设备会定期或响应 IP 地址更改,使用此信息更新这些 DDNS 服务器。Junos OS DDNS 客户端支持常用的 DDNS 服务器,如 dyndns.org 和 ddo.jp

图 2 说明了 DDNS 客户端的工作原理。

图 2: 动态 DNS 动态 DNS

内部 Web 服务器的 IP 地址通过网络地址转换 (NAT) 转换为设备上不信任区域接口的 IP 地址。主机名 abc-host.com 在 DDNS 服务器注册,并与设备的不信任区域接口的 IP 地址相关联,该接口由设备上的 DDNS 客户端监控。当 abc-host.com 的 IP 地址发生更改时,DDNS 服务器会收到新地址的通知。

如果网络中 图 2 的客户端需要访问 abc-host.com,则会查询公网上的DNS服务器。当查询到达 DDNS 服务器时,它会解析请求并向客户端提供 abc-host.com 的最新 IP 地址。