USG6680替换USG5530后,业务高峰出现DNS无法解析问题

发布时间:  2015-04-24 浏览次数:  226 下载次数:  0
问题描述

版本:USG 6600 V100R001C10SPC100

组网概述:NAT网关USG-交换机-用户

故障现象:最初发现问题是QQ可以登录,网页打不开,怀疑DNS不能正常解析,通过cmdnslookup www.huawei.com命令,确定DNS无法完成解析,更换成电信或者其他DNS后,DNS可以正常解析。

告警信息

处理过程

配置源NAT时,改成采用地址池方式。

根因

在USG6680替换USG5530之前,网络没有问题,更换之后,在业务高峰期出现DNS无法解析问题,说明这与新的NAT网关有关,联通DNS服务器作为Internet重要组成部分,应该启用了拒绝服务攻击的防护。业务高峰期,同一个公网IP地址DNS解析并发数过大,联通DNS视为攻击,导致了问题的发生。

解决方案

配置源NAT时,改成采用地址池方式。

建议与总结

在用户量较大的NAT网关上,建议采用地址池方式配置源NAT,或者搭建本地DNS服务器;在用户量较小的NAT网关上,使用出接口地址方式配置源NAT,节省公网IP地址。

END