dns透明代理

DNS透明代理指的是，DNS客户端感知不到代理服务存在的代理模式。DNS源地址透明代理不仅能够提供代理服务，还会修改DNS请求报文的源地址，从而实现发送DNS请求报文的设备能够接收到相应的DNS响应报文，适用于需要基于域名做策略的场景（如安全策略、带宽策略等）。

与DNS代理功能不同的是，DNS客户端不需要将DNS服务器的地址指定为DNS源地址透明代理设备的地址，简化了客户端的配置。在一些负载均衡场景中，为了保证基于域名的策略能够成功对报文进行控制，建议使用DNS源地址透明代理功能。

开启DNS源地址透明代理功能后，设备开始监听过路的DNS请求报文和DNS应答报文，并记录域名解析信息，以便提供代理功能。具体工作机制如下：

(1)     DNS源地址透明代理设备监听所有过路DNS报文，当收到DNS请求报文时，设备根据一定的规则从能够到达DNS服务器的本地IP地址选取一个，并将其作为修改后的DNS请求报文的源IP地址，使得DNS应答报文能够返回本设备。

(2)     DNS源地址透明代理设备收到DNS服务器的应答报文后，记录域名解析的结果，并将报文转发给DNS客户端。DNS客户端利用域名解析的结果进行相应的处理。后续DNS透明代理设备收到DNS请求报文后，首先查找DNS透明代理记录的表项，如果存在请求的信息，则DNS透明代理设备直接通过DNS应答报文将域名解析结果返回给DNS client。如果不存在请求的信息，则DNS透明代理设备将报文转发给域名服务器进行解析。

如图1-4所示，在Device A上开启了DNS源地址透明代理功能。当Device A收到DNS请求报文后，将报文的源地址修改为本设备的地址，然后转发给DNS服务器。Device A收到相应的DNS应答报文后，记录域名和IP地址的关系，并将DNS应答报文转发给DNS客户端。

图1-4 DNS源地址透明代理原理图