华为USG防火墙：ISP选路：DNS透明代理

华为USG防火墙：ISP选路：DNS透明代理

概述
当内网用户通过域名访问Web服务器时，需要发送DNS请求报文给DNS服务器进行域名解析。如果企业租用多个ISP链路作为网络出口，每个ISP内都有提供相同服务的Web服务器。一般来讲，企业内网用户的客户端都会配置一个相同的DNS服务器地址，而DNS服务器通常会将域名解析成自己所在ISP内的Web服务器地址，这将导致内网用户的上网流量都集中在一个ISP的链路上转发，最终可能会造成链路拥塞，影响用户的上网体验。同时，由于其他ISP的链路资源没有被使用，也造成了资源的浪费。
为了解决上述问题，可以使用DNS透明代理功能。对于命中DNS透明代理策略的DNS请求报文，FW会根据DNS请求报文选择的出接口，修改请求报文的目的地址（DNS服务器地址），即将其修改为其他ISP内的DNS服务器地址，DNS请求被转发到不同的ISP，解析后的Web服务器地址也就属于不同的ISP，所以上网流量将通过不同的ISP链路转发，充分利用了所有链路资源，如图所示。
DNS透明代理功能组网图

DNS透明代理策略
管理员通过DNS透明代理策略来定义哪些DNS请求报文需要做DNS透明代理。DNS透明代理策略的匹配条件只有DNS请求报文的源地址和目的地址，且均为可选，如果不选，默认为any，表示该DNS透明代理策略与任意DNS请求报文匹配。
如果DNS透明代理策略配置的所有匹配条件都匹配，则此流量成功匹配该DNS透明代理策略，并执行配置的动作。动作包括代理和不代理。
各个匹配条件之间是“与”的关系，报文的属性与各个条件必须全部匹配，才认为该报文匹配这条规则。一个匹配条件中如果可以配置多个值，多个值之间是“或”的关系，报文的属性只要匹配任意一个值，就认为报文的属性匹配了这个条件。FW存在多条DNS透明代理策略时，DNS请求报文将按照策略的配置顺序依次进行匹配。只要匹配到其中一条策略，就按照此策略的动作进行处理，不再继续匹配剩余的其他策略。所以，建议先配置匹配范围较小的策略，后配置匹配范围较大的策略。
此外，系统默认存在一条缺省DNS透明代理策略default，default位于策略列表的最底部，优先级最低，所有匹配条件均为any，动作为不代理。如果所有配置的策略都未匹配，则将匹配缺省DNS透明代理策略。

DNS透明代理处理流程
当内网用户访问某个域名时，DNS透明代理功能处理报文的流程如图所示。
DNS透明代理处理流程

处理流程的详细说明如下：
（1）DNS请求报文命中DNS透明代理策略后，对于需要做DNS透明代理的报文，FW首先判断待解析的域名是否为排除域名。如果是排除域名，FW就不会做DNS透明代理；如果不是排除域名，FW会为报文做一个DNS透明代理标记，此标记用于后续流程的判断。
对于排除域名，如果需要更换DNS服务器来解析该域名，则FW会将DNS请求报文的目的地址修改为指定DNS服务器的地址。
（2）DNS请求报文根据智能选路或者普通静态/动态路由选路选择出接口。
DNS请求报文可以使用以下几种方法进行选路：
        DNS透明代理自身配置的智能选路方式
        策略路由智能选路或全局选路策略
        普通静态/动态路由选路
    对于几种选路方法配置并存的情况下，其优先级关系为：DNS透明代理自身配置的智能选路方式> 策略路由智能选路 > 全局选路策略 > 普通静态/动态路由选路。DNS透明代理默认根据全局选路模式进行选路，即通过策略路由智能选路或全局选路策略进行选路，其中策略路由智能选路的优先级高于全局选路策略。如果没有配置智能选路，将使用普通静态/动态路由选路。
    （3）FW在每个出接口上最多绑定2个DNS服务器，一个为首选DNS服务器，一个为备用DNS服务器，它们都属于该出接口直连的ISP网络。当FW决定DNS请求报文的出接口后，DNS透明代理功能优先使用首选DNS服务器的地址替换DNS请求报文的目的地址，只有当首选DNS服务器的状态为DOWN时，才使用备用DNS服务器的地址进行替换。通过在DNS透明代理中配置健康检查，可以判断出接口上绑定的DNS服务器是否可用，如果首选DNS服务器和备用DNS服务器都不可用，则DNS透明代理不生效。
    当出接口上绑定了DNS服务器，且报文有DNS透明代理标记时，FW才会做DNS透明代理。两个条件中有一个不满足时，FW都不会做DNS透明代理。

下面结合图3对DNS透明代理过程进行举例说明。
FW做DNS透明代理的过程

（1）当DNS请求报文到达FW时，FW首先进行DNS透明代理策略的匹配。
（2）报文命中DNS透明代理策略后，FW根据路由查询结果选择一个出接口。
（3）FW使用出接口上绑定的DNS服务器地址替换DNS请求报文的目的地址。
（4）DNS服务器将解析后的Web服务器地址返给用户，此Web服务器和DNS服务器属于同一个ISP网络。
（5）用户根据返回的地址访问Web服务器。此时需要结合ISP选路（基于ISP路由的选路）功能，使用户能够通过Web服务器所属的ISP网络进行访问，防止发生跨ISP网络访问的情况。