InfoEqualizer DNS无法动态解析

发布时间:  2016-06-21 浏览次数:  284 下载次数:  1
问题描述

Topo图:

N9000设备上面划分子网如下:

备份子网:4*9000节点,nas9k01-bkdns.xx.com  A  nas9k01-bk.xx.com  NS

业务子网:3*9000节点,nas9l01-clouddns.xx.com A nas9k01-cloud.xx.com NS

开通N9000DNS服务器之间的骨干网防火墙。

出现nas9k01-cloud.xx.com可以动态解析出前端业务IP,nas9k01-bk.xx.com无法解析出来的情况



处理过程

1.  登陆到9000设备上面检查InfoEqualizer配置,是否存在配置不当或者缺少配置。

2.  在确保其他子项配置无误的情况下,在ebackup服务器上面将DNS配置文件resolv.conf

将文件中其他DNS地址注释掉,仅留下9000设备上面配置的动态DNS IP地址。执行命令“nslookup nas9k01-bk.xx.com”对其进行解析。

如果成功解析,证明N9000InfoEqualizer功能配置没有问题。执行步骤3.

如果无法解析,证明N9000InfoEqualizer功能配置上或者对应DNS 53端口被防火墙禁用。排查ebackupN9000的配置。

3.  能成功成功解析的情况下,检查DNS服务器上面的转发记录是否生效。

在能生效的情况下,在DNS服务器上面执行解析命令。分别测试两个不同子网的的DNS能否通过A记录DNS进行动态转发。

依旧是备份子网DNS转发功能有问题,业务子网的DNS转发功能正常。由此证明DNS服务器配置上没有问题。

4.   检查大网防火墙里面相关端口是否实施放通,对53端口进行telnet测试。

分别对业务子网和备份子网的DNS进行测试。

l  如果两个子网都无法telnet成功,但是可以成功动态解析。则证明与防火墙无关。

l  如果业务子网可以成功动态解析,而备份子网动态解析失败,则证明大网和业务网防火墙没有问题,可能是备份网上面的防火墙没有放通。

经过测试出现后者的情况,在N9000上面对DNS服务器进行telnet测试,发现可以53端口可以连通。通过追踪路由和抓包,发现没有到备份网防火墙的数据和路由,证明N9000DNS之间防火墙放通,从DNS9000 在备份网上面的防火墙没有放通53端口.

5.   针对备份网侧的防火墙开通相关防火墙策略,nas9k01-bk.xx.com可以成功解析。


根因

防火墙端口没有放通,由于骨干网里面有防火墙,备份网和业务网单独分开各自有防火墙。分别对两个子网进行测试追踪路由、解析、抓包测试。

经过测试出现,在N9000上面对DNS服务器进行telnet测试,发现可以53端口可以连通。通过追踪路由和抓包,发现没有到备份网防火墙的数据和路由,证明N9000DNS之间防火墙放通,从DNS9000 在备份网上面的防火墙没有放通53端口.

针对备份网侧的防火墙开通相关防火墙策略,nas9k01-bk.xx.com可以成功解析。

建议与总结

上述故障出现时,要通过整理逻辑思路。逐段排查,从设备本身开始着手,后到服务端

 

(DNS)本身检查服务是否正常,其次检查前两者到到各个防火墙之间的链路。

        

         可反复检查各个节点间的链路和配置来发现问题。

END