负载均衡配置内网去请求域名时主动解析到内网地址上或者说解析到公网上但是可以正常访问

dns有问题吧

在H3C防火墙的负载均衡场景中，内网用户通过域名访问内部服务器的地址解析行为及访问流程如下：

1. 地址解析逻辑：

• 当内网用户请求域名时，若防火墙配置了NAT DNS mapping或DNS ALG功能：
  • 默认情况（开启NAT ALG DNS）：防火墙会主动将DNS响应中的公网地址转换为内网地址（如匹配NAT静态映射表），导致内网用户解析到私网地址。
  • 关闭NAT ALG DNS：防火墙不修改DNS响应内容，内网用户解析到公网地址，此时需配合NAT Hairpin功能实现内网通过公网地址访问服务器。

2. 关键配置要点：

• 关闭DNS ALG：undo nat alg dns
  避免防火墙篡改DNS响应中的地址，确保内网用户获取公网地址。
• 启用NAT Hairpin：nat hairpin enable
  允许内网用户通过公网IP反向访问内部服务器。
• 配置NAT映射：
  需同时配置内部服务器映射（将私网服务映射到公网IP）和出方向动态NAT（用于地址转换）。

3. 访问可行性：

• 解析到私网地址：
  若未关闭ALG，内网用户直接通过私网地址访问服务器，需确保路由可达（通常在同网段可行，跨网段需路由策略）。
• 解析到公网地址：
  关闭ALG后，内网流量通过公网地址经防火墙Hairpin功能转发，可实现正常访问，且符合统一访问逻辑。

4. 验证方法：

• 抓包分析：在防火墙内外接口抓包，确认DNS响应是否被修改。
• 查看NAT会话：display nat session verbose 检查流量是否经过Hairpin转换。
• DNS缓存检查：display dns host 确认防火墙自身解析结果是否与预期一致。

总结：
通过合理配置（关闭ALG+启用Hairpin），内网用户可解析到公网地址并正常访问。此方案既能保持内外网访问逻辑的一致性，又能避免因DNS响应篡改导致的访问异常。