Secoway USG3000配置指南 安全防范分冊(cè) 目 錄目 錄6 配置域名解析服務(wù).......................................................

Secoway USG3000

配置指南 安全防范分冊(cè) 目 錄

目 錄

6 配置域名解析服務(wù)......................................................................................................................6-1

6.1 域名解析服務(wù)簡(jiǎn)介......................................................................................................................................6-2

6.2 配置域名解析服務(wù)......................................................................................................................................6-2

6.2.1 建立配置任務(wù).....................................................................................................................................6-2

6.2.2 啟用域名解析服務(wù).............................................................................................................................6-2

6.2.3 （可選）配置默認(rèn)域.........................................................................................................................6-2

6.2.4 檢查配置結(jié)果.....................................................................................................................................6-3

6.3 域名解析服務(wù)典型配置舉例......................................................................................................................6-3

文檔版本 02 (2009-02-15) 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 i

Secoway USG3000

配置指南 安全防范分冊(cè) 插圖目錄

插圖目錄

圖6-1 配置域名解析服務(wù)典型組網(wǎng)圖.............................................................................................................6-3

文檔版本 02 (2009-02-15) 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 iii

Secoway USG3000

配置指南 安全防范分冊(cè) 6 配置域名解析服務(wù)

關(guān)于本章

本章描述內(nèi)容如下表所示。 標(biāo)題

6.1 域名解析服務(wù)簡(jiǎn)介

6.2 配置域名解析服務(wù)

6.3 域名解析服務(wù)典型配置舉例 內(nèi)容 配置域名解析服務(wù) 介紹域名解析服務(wù)的基本概念。 介紹域名解析服務(wù)的配置方法。 介紹域名解析服務(wù)的典型配置舉例。

文檔版本 02 (2009-02-15) 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 6-1

6 配置域名解析服務(wù) Secoway USG3000配置指南 安全防范分冊(cè)

6.1 域名解析服務(wù)簡(jiǎn)介

通過(guò)域名解析服務(wù)，USG3000可以向指定的DNS （Domain Name Sevice）服務(wù)器發(fā)起

域名解析請(qǐng)求，從而實(shí)現(xiàn)對(duì)域名的解析。

USG3000還支持默認(rèn)域，當(dāng)輸入的域名沒(méi)有后綴時(shí)，默認(rèn)域作為域名后綴將域名補(bǔ)充

完整。

6.2 配置域名解析服務(wù)

6.2.1 建立配置任務(wù)

應(yīng)用環(huán)境

USG3000可以通過(guò)配置域名解析服務(wù)來(lái)為內(nèi)網(wǎng)訪問(wèn)Internet 提供域名解析服務(wù)。

當(dāng)輸入的域名沒(méi)有后綴時(shí)，默認(rèn)域作為域名后綴將域名補(bǔ)充完整。

前置任務(wù)

無(wú)

數(shù)據(jù)準(zhǔn)備

在配置域名解析服務(wù)之前，需要準(zhǔn)備以下數(shù)據(jù)：

z

z 域名解析服務(wù)器地址 （可選）默認(rèn)域

6.2.2 啟用域名解析服務(wù)

步驟 1 執(zhí)行命令system-view ，進(jìn)入系統(tǒng)視圖。

步驟 2 執(zhí)行命令dns resolve，啟用域名解析服務(wù)。

步驟 3 執(zhí)行命令dns server ip-address ，配置域名服務(wù)器地址。

系統(tǒng)最多支持6個(gè)域名服務(wù)器。當(dāng)配置的域名服務(wù)器超過(guò)6個(gè)后，無(wú)法保存后續(xù)輸入服務(wù)器地

址，請(qǐng)先刪除無(wú)效的域名服務(wù)器后再輸入。

----結(jié)束

6.2.3 （可選）配置默認(rèn)域

步驟 1 執(zhí)行命令system-view ，進(jìn)入系統(tǒng)視圖。

6-2 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 文檔版本 02 (2009-02-15)

Secoway USG3000

配置指南 安全防范分冊(cè) 6 配置域名解析服務(wù)

步驟 2 執(zhí)行命令dns domain string ，配置默認(rèn)域。

----結(jié)束

6.2.4 檢查配置結(jié)果

完成上述配置后，請(qǐng)執(zhí)行下面的命令檢查配置結(jié)果。 操作

查看默認(rèn)域的配置信息

查看緩存的域名解析的信息

查看域名解析服務(wù)器的配置信息

命令 display dns domain display dns dynamic-host display dns server

6.3 域名解析服務(wù)典型配置舉例

組網(wǎng)需求

如圖6-1所示，USG3000通過(guò)DNS 服務(wù)器為內(nèi)網(wǎng)訪問(wèn)Internet 使用的域名進(jìn)行解析。

組網(wǎng)圖

圖6-1 配置域名解析服務(wù)典型組網(wǎng)圖

配置步驟

步驟 1 USG3000基本配置。

# 配置接口IP 地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24

[USG3000-GigabitEthernet0/0] quit

[USG3000] interface GigabitEthernet 0/1

文檔版本 02 (2009-02-15) 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 6-3

6 配置域名解析服務(wù)

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24

[USG3000-GigabitEthernet0/1] quit

[USG3000] interface GigabitEthernet 0/2

[USG3000-GigabitEthernet0/2] ip address 1.1.1.1 24

[USG3000-GigabitEthernet0/2] quit Secoway USG3000配置指南 安全防范分冊(cè)

# 將接口加入安全區(qū)域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0

[USG3000-zone-trust] quit

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/1

[USG3000-zone-dmz] quit

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/2

[USG3000-zone-untrust] quit

# 配置域間缺省包過(guò)濾規(guī)則。

[USG3000] firewall packet-filter default permit interzone local dmz

[USG3000] firewall packet-filter default permit interzone trust dmz

[USG3000] firewall packet-filter default permit interzone trust untrust

z

z 請(qǐng)根據(jù)實(shí)際組網(wǎng)需求配置域間包過(guò)濾規(guī)則，否則會(huì)存在安全隱患。 此時(shí)注意在PC 上配置靜態(tài)路由或缺省路由。否則PC 不能與USG3000互通。 步驟 2 啟用域名解析服務(wù)。

system-view

[USG3000] dns resolve

步驟 3 配置域名解析服務(wù)器地址。

[USG3000] dns server 10.1.1.2

----結(jié)束

6-4 華為所有和機(jī)密

版權(quán)所有 ? 華為技術(shù)有限公司 文檔版本 02 (2009-02-15)