AR150开启dns proxy ,PC的DNS为AR的内网地址的时候10分钟后无法打开网页

发布时间:  2015-12-31 浏览次数:  249 下载次数:  0
问题描述

组网:

配置信息:

dns resolve 
dns server 202.96.64.68
dns proxy enable

#
interface Ethernet0/0/4
tcp adjust-mss 1460
ip address 10.250.72.10 255.255.255.0
nat outbound 2999
#

#
interface Vlanif1
ip address 192.168.10.1 255.255.255.0
dhcp select interface
dhcp server lease day 0 hour 0 minute 5
dhcp server dns-list 192.168.10.1
#

故障现象:

PC运行NSLOOKUP:

C:\Users\办公室打印服务器>nslookup www.sina.com.cn

DNS request timed out.

    timeout was 2 seconds.

服务器:  UnKnown

Address:  192.168.10.1

 

DNS request timed out.

    timeout was 2 seconds.

DNS request timed out.

    timeout was 2 seconds.

DNS request timed out.

    timeout was 2 seconds.

DNS request timed out.

    timeout was 2 seconds.

*** 请求 UnKnown 超时


 

 

处理过程

1、前10分钟业务正常,证明配置没有问题。

2、十分钟后无法打开网页,但是可以ping通DNS,可以上QQ,证明外网没有问题。

3、检查设备是否丢弃DNS报文,基本没有丢弃报文。

=================================================================
  ===============display cpu-defend statistics===============
=================================================================
-----------------------------------------------------------------------
Packet Type               Pass Packets        Drop Packets
-----------------------------------------------------------------------
dns-reply                         7567                   0
dns-request                      26632                   1

4、分别在内网口和外网口抓包确认设备把报文已经转发,但是对端没回包。

内网口抓包:

外网口抓包:



5、使用友商设备没有问题,在友商设备的外网口抓包,对比报文,发现AR做代理的时候源端口都是一个47388,友商设备的源端口在变。

AR做dns代理时,报文截图

友商设备做DNS代理时,报文截图



6、运营商防火墙做了限制,在AR做代理的时候认为DNS报文异常,把PC的DNS修改为外网的DNS后问题解决。

根因

AR做为DNS代理的时候,向外发送的DNS报文源端口号都是一个,运营商防火墙错误的认为此类报文是攻击行为。

解决方案

修改PC的DNS为外网DNS。

PS:PC自己发出的报文的源端口号都是不同的,运营商防火墙不再认为报文是攻击报文,问题解决。

建议与总结
出现此类问题时,首先需要确认配置上并无异常,然后抓包确认报文是否存在异常,通过报文的特点定位问题。

END