USG3000 統(tǒng)一安全網(wǎng)關(guān) 配置指南01-06 配置域名解析服務(wù)
Secoway USG3000配置指南 安全防范分冊 目 錄目 錄6 配置域名解析服務(wù).......................................................
Secoway USG3000
配置指南 安全防范分冊 目 錄
目 錄
6 配置域名解析服務(wù)......................................................................................................................6-1
6.1 域名解析服務(wù)簡介......................................................................................................................................6-2
6.2 配置域名解析服務(wù)......................................................................................................................................6-2
6.2.1 建立配置任務(wù).....................................................................................................................................6-2
6.2.2 啟用域名解析服務(wù).............................................................................................................................6-2
6.2.3 (可選)配置默認(rèn)域.........................................................................................................................6-2
6.2.4 檢查配置結(jié)果.....................................................................................................................................6-3
6.3 域名解析服務(wù)典型配置舉例......................................................................................................................6-3
文檔版本 02 (2009-02-15) 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 i
,Secoway USG3000
配置指南 安全防范分冊 插圖目錄
插圖目錄
圖6-1 配置域名解析服務(wù)典型組網(wǎng)圖.............................................................................................................6-3
文檔版本 02 (2009-02-15) 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 iii
,Secoway USG3000
配置指南 安全防范分冊 6 配置域名解析服務(wù)
關(guān)于本章
本章描述內(nèi)容如下表所示。 標(biāo)題
6.1 域名解析服務(wù)簡介
6.2 配置域名解析服務(wù)
6.3 域名解析服務(wù)典型配置舉例 內(nèi)容 配置域名解析服務(wù) 介紹域名解析服務(wù)的基本概念。 介紹域名解析服務(wù)的配置方法。 介紹域名解析服務(wù)的典型配置舉例。
文檔版本 02 (2009-02-15) 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 6-1
,6 配置域名解析服務(wù) Secoway USG3000配置指南 安全防范分冊
6.1 域名解析服務(wù)簡介
通過域名解析服務(wù),USG3000可以向指定的DNS (Domain Name Sevice)服務(wù)器發(fā)起
域名解析請求,從而實(shí)現(xiàn)對域名的解析。
USG3000還支持默認(rèn)域,當(dāng)輸入的域名沒有后綴時(shí),默認(rèn)域作為域名后綴將域名補(bǔ)充
完整。
6.2 配置域名解析服務(wù)
6.2.1 建立配置任務(wù)
應(yīng)用環(huán)境
USG3000可以通過配置域名解析服務(wù)來為內(nèi)網(wǎng)訪問Internet 提供域名解析服務(wù)。
當(dāng)輸入的域名沒有后綴時(shí),默認(rèn)域作為域名后綴將域名補(bǔ)充完整。
前置任務(wù)
無
數(shù)據(jù)準(zhǔn)備
在配置域名解析服務(wù)之前,需要準(zhǔn)備以下數(shù)據(jù):
z
z 域名解析服務(wù)器地址 (可選)默認(rèn)域
6.2.2 啟用域名解析服務(wù)
步驟 1 執(zhí)行命令system-view ,進(jìn)入系統(tǒng)視圖。
步驟 2 執(zhí)行命令dns resolve,啟用域名解析服務(wù)。
步驟 3 執(zhí)行命令dns server ip-address ,配置域名服務(wù)器地址。
系統(tǒng)最多支持6個(gè)域名服務(wù)器。當(dāng)配置的域名服務(wù)器超過6個(gè)后,無法保存后續(xù)輸入服務(wù)器地
址,請先刪除無效的域名服務(wù)器后再輸入。
----結(jié)束
6.2.3 (可選)配置默認(rèn)域
步驟 1 執(zhí)行命令system-view ,進(jìn)入系統(tǒng)視圖。
6-2 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 文檔版本 02 (2009-02-15)
,Secoway USG3000
配置指南 安全防范分冊 6 配置域名解析服務(wù)
步驟 2 執(zhí)行命令dns domain string ,配置默認(rèn)域。
----結(jié)束
6.2.4 檢查配置結(jié)果
完成上述配置后,請執(zhí)行下面的命令檢查配置結(jié)果。 操作
查看默認(rèn)域的配置信息
查看緩存的域名解析的信息
查看域名解析服務(wù)器的配置信息
命令 display dns domain display dns dynamic-host display dns server
6.3 域名解析服務(wù)典型配置舉例
組網(wǎng)需求
如圖6-1所示,USG3000通過DNS 服務(wù)器為內(nèi)網(wǎng)訪問Internet 使用的域名進(jìn)行解析。
組網(wǎng)圖
圖6-1 配置域名解析服務(wù)典型組網(wǎng)圖
配置步驟
步驟 1 USG3000基本配置。
# 配置接口IP 地址。
[USG3000] interface GigabitEthernet 0/0
[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24
[USG3000-GigabitEthernet0/0] quit
[USG3000] interface GigabitEthernet 0/1
文檔版本 02 (2009-02-15) 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 6-3
,6 配置域名解析服務(wù)
[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24
[USG3000-GigabitEthernet0/1] quit
[USG3000] interface GigabitEthernet 0/2
[USG3000-GigabitEthernet0/2] ip address 1.1.1.1 24
[USG3000-GigabitEthernet0/2] quit Secoway USG3000配置指南 安全防范分冊
# 將接口加入安全區(qū)域。
[USG3000] firewall zone trust
[USG3000-zone-trust] add interface GigabitEthernet 0/0
[USG3000-zone-trust] quit
[USG3000] firewall zone dmz
[USG3000-zone-dmz] add interface GigabitEthernet 0/1
[USG3000-zone-dmz] quit
[USG3000] firewall zone untrust
[USG3000-zone-untrust] add interface GigabitEthernet 0/2
[USG3000-zone-untrust] quit
# 配置域間缺省包過濾規(guī)則。
[USG3000] firewall packet-filter default permit interzone local dmz
[USG3000] firewall packet-filter default permit interzone trust dmz
[USG3000] firewall packet-filter default permit interzone trust untrust
z
z 請根據(jù)實(shí)際組網(wǎng)需求配置域間包過濾規(guī)則,否則會存在安全隱患。 此時(shí)注意在PC 上配置靜態(tài)路由或缺省路由。否則PC 不能與USG3000互通。 步驟 2 啟用域名解析服務(wù)。
[USG3000] dns resolve
步驟 3 配置域名解析服務(wù)器地址。
[USG3000] dns server 10.1.1.2
----結(jié)束
6-4 華為所有和機(jī)密
版權(quán)所有 ? 華為技術(shù)有限公司 文檔版本 02 (2009-02-15)