USG3000 统一安全网关 配置指南01-06 配置域名解析服务
Secoway USG3000配置指南 安全防范分册 目 录目 录6 配置域名解析服务.......................................................
Secoway USG3000
配置指南 安全防范分册 目 录
目 录
6 配置域名解析服务......................................................................................................................6-1
6.1 域名解析服务简介......................................................................................................................................6-2
6.2 配置域名解析服务......................................................................................................................................6-2
6.2.1 建立配置任务.....................................................................................................................................6-2
6.2.2 启用域名解析服务.............................................................................................................................6-2
6.2.3 (可选)配置默认域.........................................................................................................................6-2
6.2.4 检查配置结果.....................................................................................................................................6-3
6.3 域名解析服务典型配置举例......................................................................................................................6-3
文档版本 02 (2009-02-15) 华为所有和机密
版权所有 © 华为技术有限公司 i
,Secoway USG3000
配置指南 安全防范分册 插图目录
插图目录
图6-1 配置域名解析服务典型组网图.............................................................................................................6-3
文档版本 02 (2009-02-15) 华为所有和机密
版权所有 © 华为技术有限公司 iii
,Secoway USG3000
配置指南 安全防范分册 6 配置域名解析服务
关于本章
本章描述内容如下表所示。 标题
6.1 域名解析服务简介
6.2 配置域名解析服务
6.3 域名解析服务典型配置举例 内容 配置域名解析服务 介绍域名解析服务的基本概念。 介绍域名解析服务的配置方法。 介绍域名解析服务的典型配置举例。
文档版本 02 (2009-02-15) 华为所有和机密
版权所有 © 华为技术有限公司 6-1
,6 配置域名解析服务 Secoway USG3000配置指南 安全防范分册
6.1 域名解析服务简介
通过域名解析服务,USG3000可以向指定的DNS (Domain Name Sevice)服务器发起
域名解析请求,从而实现对域名的解析。
USG3000还支持默认域,当输入的域名没有后缀时,默认域作为域名后缀将域名补充
完整。
6.2 配置域名解析服务
6.2.1 建立配置任务
应用环境
USG3000可以通过配置域名解析服务来为内网访问Internet 提供域名解析服务。
当输入的域名没有后缀时,默认域作为域名后缀将域名补充完整。
前置任务
无
数据准备
在配置域名解析服务之前,需要准备以下数据:
z
z 域名解析服务器地址 (可选)默认域
6.2.2 启用域名解析服务
步骤 1 执行命令system-view ,进入系统视图。
步骤 2 执行命令dns resolve,启用域名解析服务。
步骤 3 执行命令dns server ip-address ,配置域名服务器地址。
系统最多支持6个域名服务器。当配置的域名服务器超过6个后,无法保存后续输入服务器地
址,请先删除无效的域名服务器后再输入。
----结束
6.2.3 (可选)配置默认域
步骤 1 执行命令system-view ,进入系统视图。
6-2 华为所有和机密
版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15)
,Secoway USG3000
配置指南 安全防范分册 6 配置域名解析服务
步骤 2 执行命令dns domain string ,配置默认域。
----结束
6.2.4 检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。 操作
查看默认域的配置信息
查看缓存的域名解析的信息
查看域名解析服务器的配置信息
命令 display dns domain display dns dynamic-host display dns server
6.3 域名解析服务典型配置举例
组网需求
如图6-1所示,USG3000通过DNS 服务器为内网访问Internet 使用的域名进行解析。
组网图
图6-1 配置域名解析服务典型组网图
配置步骤
步骤 1 USG3000基本配置。
# 配置接口IP 地址。
[USG3000] interface GigabitEthernet 0/0
[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24
[USG3000-GigabitEthernet0/0] quit
[USG3000] interface GigabitEthernet 0/1
文档版本 02 (2009-02-15) 华为所有和机密
版权所有 © 华为技术有限公司 6-3
,6 配置域名解析服务
[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24
[USG3000-GigabitEthernet0/1] quit
[USG3000] interface GigabitEthernet 0/2
[USG3000-GigabitEthernet0/2] ip address 1.1.1.1 24
[USG3000-GigabitEthernet0/2] quit Secoway USG3000配置指南 安全防范分册
# 将接口加入安全区域。
[USG3000] firewall zone trust
[USG3000-zone-trust] add interface GigabitEthernet 0/0
[USG3000-zone-trust] quit
[USG3000] firewall zone dmz
[USG3000-zone-dmz] add interface GigabitEthernet 0/1
[USG3000-zone-dmz] quit
[USG3000] firewall zone untrust
[USG3000-zone-untrust] add interface GigabitEthernet 0/2
[USG3000-zone-untrust] quit
# 配置域间缺省包过滤规则。
[USG3000] firewall packet-filter default permit interzone local dmz
[USG3000] firewall packet-filter default permit interzone trust dmz
[USG3000] firewall packet-filter default permit interzone trust untrust
z
z 请根据实际组网需求配置域间包过滤规则,否则会存在安全隐患。 此时注意在PC 上配置静态路由或缺省路由。否则PC 不能与USG3000互通。 步骤 2 启用域名解析服务。
[USG3000] dns resolve
步骤 3 配置域名解析服务器地址。
[USG3000] dns server 10.1.1.2
----结束
6-4 华为所有和机密
版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15)