本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>
发布时间: 2020-08-26 | 浏览次数: 1052 | 下载次数: 0 | 作者: ggdd2008 | 文档编号: EKB1100054322
新机房采用主备防火墙作为临时访问出口的边界防火墙,该防火墙上配置dns透明代理+ISP选路功能,实现电信、联通都可以访问外网,但是来到机房接入网线访问公网的时候,发现有部分服务器可以访问网页有部分服务器无法访问网页,但是无法访问网页的服务器是可以使用微信或QQ,然后简单分析原因是dns问题,但是我在无法访问网页的服务器手工修改dns为客户内网dns发现可以正常解析域名访问网页,然后把dns又换回114.114.114.114,然后在服务器上ping域名,接着在出口防火墙上查看会话表过滤出源IP为无法访问网页的服务器IP地址,发现NAT出去的全部都是转换成联通的公网IP出去,并且会话表中类型为dns的条目发现去程有流量出去但是回程流量为0,表示联通没有把dns响应发送过来,导致域名解析失败。然而个人认为联通给的dns(主dns:114.114.115.115;备dns:116.116.116.116)应该是没什么问题,然后简单测试联通给的主用dns和备用dns端口(udp 53)发现都是通的,现又怀疑是出口防火墙上配置dns透明代理+ISP选路功能存在问题,为了验证这个想法,在出口防火墙上把某台无法访问网页的服务器做了一条策略路由并移动到最顶端使其优先匹配,如下:
policy-based-route
rule name test
source-zone trust
source-address 10.X.X.X mask 255.255.255.255
action pbr egress-interface GigabitEthernet0/0/1 next-hop X.X.X.1
让其选择联通的出口访问外网,发现还是无法访问网页,接着在出口防火墙上查看会话表类型为dns,如下:
HRP_Mdisp firewall session table verbose source inside 10.X.X.X protocol udp destination-port inside 53
2020-08-21 20:56:52.170
Current Total Sessions : 16
DNS VPN: public --> public ID: a587f6445918XXXX5f4035040b0
Zone: trust --> CU Slot: 11 CPU: 0 TTL: 00:00:30 Left: 00:00:21
Recv Interface: Vlanif115 Rev Slot: 11 CPU: 0
Interface: GigabitEthernet0/0/1 NextHop: X.X.X.1
<--packets: 0 bytes: 0 --> packets: 3 bytes: 195
10.X.X.X:61750[X.X.X.207:11248] --> 114.114.114.114:53[114.114.115.115:53] PolicyName: neiwang-to-CU_internet
DNS VPN: public --> public ID: a587f644598a0fa4045f4035140b0
Zone: trust --> CU Slot: 11 CPU: 0 TTL: 00:00:30 Left: 00:00:30
Recv Interface: Vlanif115 Rev Slot: 11 CPU: 0
Interface: GigabitEthernet0/0/1 NextHop: X.X.X.1
<--packets: 0 bytes: 0 --> packets: 1 bytes: 56
10.X.X.X:63034[X.X.X.207:11254] --> 114.114.114.114:53[114.114.115.115:53] PolicyName: neiwang-to-CU_internet
发现匹配上dns透明代理策略把目的IP:114.114.114.114转换成联通给的dns,但是只有dns请求流量并没没有dns响应流量,然后我找到一台获取的是电信的公网IP服务器,更换非电信dns(比如:223.5.5.5)进行测试,发现匹配上dns透明代理策略把目的IP:223.5.5.5转换成电信给的dns,测试访问网页没有任何问题,通过测试分析可以确定是联通dns的问题,然后在网上查询发现联通主用dns:114.114.115.115是江苏南京电信dns,备用dns:116.116.116.116才是广东广州联通dns,而后把出口防火墙上的联通接口下面配置的主用dns换成116.116.116.116,发现使用获取到联通IP的服务器都能够正常解析域名并访问网页但是解析比较慢,然后找到联通技术人员让其提供本市的联通dns,测试发现打开网页非常快(域名解析速度快),最终问题解决了。
命令行,修改联通接口下首选dns和备用dns命令如下:
dns server bind interface GigabitEthernet0/0/1 preferred 114.114.115.115 alternate 116.116.116.116配置修改成dns server bind interface GigabitEthernet0/0/1 preferred 221.5.88.88 alternate 116.116.116.116
图形界面,修改联通接口下首选dns和备用dns命令如下:
HRP_Mdisp firewall session table verbose source inside 10.X.X.X protocol udp destination-port inside 53
2020-08-21 21:21:58.300
Current Total Sessions : 27
DNS VPN: public --> public ID: a587f64XXXXXX403af10b0
Zone: trust --> CU Slot: 11 CPU: 0 TTL: 00:00:30 Left: 00:00:25
Recv Interface: Vlanif115 Rev Slot: 11 CPU: 0
Interface: GigabitEthernet0/0/1 NextHop: 119.38.130.1
<--packets: 1 bytes: 167 --> packets: 1 bytes: 70
10.X.X.X:57302[X.X.X.207:2072] --> 114.114.114.114:53[221.5.88.88:53] PolicyName: neiwang-to-CU_internet
DNS VPN: public --> public ID: a587f6445051034a6XXXX03af20b0
Zone: trust --> CU Slot: 11 CPU: 0 TTL: 00:00:30 Left: 00:00:26
Recv Interface: Vlanif115 Rev Slot: 11 CPU: 0
Interface: GigabitEthernet0/0/1 NextHop: 119.38.130.1
<--packets: 1 bytes: 140 --> packets: 1 bytes: 62
10.X.X.X:57714[X.X.X.207:2086] --> 114.114.114.114:53[221.5.88.88:53] PolicyName: neiwang-to-CU_internet
联通DNS解析问题。
修改联通接口下的dns即可解决。
