USG5150防火墙搬迁上线后DNS解析故障处理

发布时间:  2013-12-30 浏览次数:  312 下载次数:  0
问题描述
某局点USG5150搬迁友商J设备后,局域网内某web服务器和E-mail服务器DNS解析异常,外网用户访问内网某web服务器时会概率性跳转至防火墙自身的web登录界面,而局域网内E-mail服务器的域名mail.xx.com的IP地址解析出来会在公网和私网地址之间互相跳。
告警信息
处理过程
1.在内网和公网上针对域名异常的web服务器进行解析,发现都会概率性跳转到出口防火墙USG5150上
2.分析网络发现内网存在一台DNS服务器提供部分服务
3.阅读防火墙配置后发现缺省使能dns proxy和detect dns
4.分析可能防火墙和内网DNS服务器互相影响造成异常,且根据原有网络状况不需要防火墙承担DNS业务
5.删除防火墙DNS相关默认配置
#
undo dns resolve
#
undo dns proxy
#
undo detect dns
#
6.进行业务验证,内网内解析出的IP地址正常,一段时间后公网解析的IP地址也恢复正常
根因
分析后发现USG5150防火墙缺省配置中存在dns代理,且域内和域间存在detect dns命令使能ASPF功能和NAT ALG功能。由于内网中存在一台DNS服务器,推测为防火墙和DNS在新网络中互相影响造成异常。
#
dns resolve
#
dns proxy enable
#
firewall interzone dmz untrust
  detect dns
#
建议与总结
在防火墙搬迁中由于不同厂家的产品差异,对部分特殊协议(如DNS)的使能状态不同,需要分析全网业务确认缺省配置的业务状态是否符合需求。

END