デバイスをDNSプロキシとして設定する
Junosオペレーティングシステム(Junos OS)には、ドメインネームシステム(DNS)のサポートが組み込まれており、ドメイン名とIPアドレスを使用して場所を識別できます。DNSサーバーは、ドメイン名に関連付けられたIPアドレスのテーブルを保持します。DNSを使用することで、SRX300、SRX320、SRX340、SRX345、SRX550M、またはSRX1500デバイスは、ルーティング可能なIPアドレスを使用するだけでなく、ドメイン名(www.example.net など)で場所を参照することもできます。
DNSの機能は次のとおりです。
-
DNSプロキシキャッシュ—デバイスは、SRXシリーズファイアウォールの背後にあるクライアントに代わって、ホスト名解決要求をプロキシします。DNSプロキシは、キャッシュを使用することでドメインルックアップのパフォーマンスを向上させます。
-
スプリットDNS—デバイスは、セキュアな接続を介してDNSクエリをプライベートネットワーク内の指定されたDNSサーバーにリダイレクトします。スプリットDNSは、悪意のあるユーザーがネットワーク構成を学習するのを防ぎ、ドメイン情報の漏洩も防止します。一度設定すると、分割DNSは透過的に動作します。
-
動的DNS(DDNS)クライアント—デバイスによって保護されたサーバーは、動的IPアドレスが変更されても引き続きアクセス可能です。例えば、インターネットサービスプロバイダ(ISP)によるダイナミックホスト構成プロトコル(DHCP)またはポイントツーポイントプロトコル(PPP)によるアドレス再割り当てにより、動的IPアドレスが変更された後も、保護されたWebサーバーには引き続き同じホスト名でアクセス可能です。
デバイスをDNSプロキシとして設定するには、 論理インターフェイス でDNSを有効にし、DNSプロキシサーバーを設定します。静的キャッシュを設定することで、支社や企業のデバイスはホスト名を使用して通信できます。動的DNS(DDNS)クライアントを設定すると、IPアドレスの変更が可能になります。
論理インターフェイス(ge-2/0/0.0など)でDNSプロキシを有効にし、指定されたドメイン名の解決に使用するネームサーバーのセットを設定することで、デバイスをDNSプロキシサーバーとして設定するには、以下の手順を実行します。アスタリスク(*)を使用してデフォルトのドメイン名を指定し、解決用のネームサーバーのセットを設定できます。このアプローチは、特定のネームサーバーが設定されていないドメイン名エントリーを解決するためにグローバルネームサーバーが必要な場合に使用します。
-
非分割DNS設定のDNSプロキシ
-
論理インターフェイスでDNSプロキシを有効にします。
[edit] user@host# set system services dns dns-proxy interface ge-0/0/3.0
-
受信したDNSクエリーを転送するようにdnsリゾルバーを設定します。
[edit] user@host# set system services dns forwarders 192.0.2.0
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
設定が正常に機能しているかどうかを確認するには、showコマンドを実行します。
user@host# show system services dns-proxy statistics
-
-
分割DNS設定によるDNSプロキシ
-
論理インターフェイスでDNSプロキシを有効にします。
[edit] user@host# set system services dns dns-proxy interface ge-2/0/0.0
-
スプリットDNSのビューを設定し、DNSクエリを処理する内部IPインターフェイスを指定し、論理サブネットアドレスを表示します。
[edit] user@host# set system services dns dns-proxy view internal match-clients 10.1.1.0/24
-
デフォルトの内部ドメイン名を設定し、IPアドレスに応じてDNSクエリーを転送するIPサーバーを指定します。
[edit] user@host# set system services dns dns-proxy view internal domain aa.internal.com forwarders 10.1.1.1 user@host# set system services dns dns-proxy view internal domain bb.internal.com forwarders 10.2.2.2
-
分割DNSのビューを設定し、DNSクエリを処理する外部IPインターフェイスを指定し、論理サブネットアドレスを表示します。
[edit] user@host# set system services dns dns-proxy view external match-clients 10.11.1.0/24
-
デフォルトの外部ドメイン名を設定し、IPアドレスに応じてDNSクエリーを転送するIPサーバーを指定します。
[edit] user@host# set system services dns dns-proxy view external domain aa.external.com forwarders 10.3.3.3 user@host# set system services dns dns-proxy view external domain bb.external.com forwarders 10.4.4.4
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
設定が正常に機能しているかどうかを確認するには、showコマンドを実行します。
user@host# show system services dns-proxy statistics
-
-
DNSプロキシキャッシュ設定
-
DNSプロキシ静的キャッシュエントリを設定して、ホストのIPv4アドレスを指定します。
[edit] user@host# set system services dns dns-proxy cache aa.example.net inet 10.10.10.10 user@host# set system services dns dns-proxy cache bb.example.net inet 10.20.20.20
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
設定が正常に機能しているかどうかを確認するには、showコマンドを実行します。
user@host# show system services dns-proxy cache
-
-
動的DNSプロキシ設定
-
クライアントを有効にします。
[edit] user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123
-
サーバーを設定します。
[edit] user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123 server ddo user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123 server dyndns
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
設定が正常に機能していることを確認するには
user@host# show system services dynamic-dns client
-