最佳答案
建议命令行配置
DNS Snooping功能适用于基于域名做策略的场景(如安全策略、带宽策略等)。设备使用基于域名的策略过滤用户流量时,需要获取域名对应的IP地址才能真正实现流量过滤。开启DNS Snooping功能后,设备会监听过路的DNS请求报文和DNS应答报文,如果DNS请求报文中的域名与策略中的域名相同,设备会在收到该域名的响应报文时记录域名解析结果,并上报给策略,使得策略可以基于此域名对应的IP地址实现流量过滤。如果DNS请求报文中的域名与过滤规则中的域名不同,设备不会记录域名解析结果。
开启DNS Snooping功能时,需要注意:
· DNS Snooping设备只有位于DNS客户端与DNS服务器之间,或DNS客户端与DNS代理设备之间时,DNS Snooping功能配置后才能正常工作。
· DNS Snooping功能和DNS源地址透明代理功能不能同时使用。
· DNS Snooping功能不支持跨VPN使用,即设备上DNS报文的出入接口必须属于同一个VPN。
(1) 进入系统视图。
system-view
(2) (可选)配置域名解析表项的有效时间。
dns cache ttl { maximum max-value | minimum min-value } *
缺省情况下,域名解析表项的有效时间为DNS响应报文中的TTL。
(3) 开启DNS Snooping功能。
dns snooping enable
缺省情况下,DNS Snooping功能处于关闭状态。
(0)
命令行敲一下就知道了,如果能配置则支持,配置不了,不支持:
公网或单个VPN实例内只能配置1个DNS spoofing应答的IPv4地址。重复配置时,新的配置会覆盖原有配置。
可同时在公网和VPN实例内配置DNS spoofing功能。
DNS spoofing功能生效时,即使设备上配置了静态域名解析,也会使用DNS spoofing指定的IP地址来应答DNS请求。
设备上启用了DNS proxy功能。
设备上未指定域名服务器地址或不存在到达域名服务器的路由。
(1) 进入系统视图。
system-view
(2) 启用DNS proxy功能。
dns proxy enable
缺省情况下,DNS proxy功能处于关闭状态。
(3) 开启DNS Snooping功能,并指定DNS spoofing应答地址。
dns spoofing ip-address
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论