Secoway USG3000配置指南 安全防范分冊 目 錄目 錄6 配置域名解析服務.......................................................

Secoway USG3000

配置指南 安全防范分冊 目 錄

目 錄

6 配置域名解析服務......................................................................................................................6-1

6.1 域名解析服務簡介......................................................................................................................................6-2

6.2 配置域名解析服務......................................................................................................................................6-2

6.2.1 建立配置任務.....................................................................................................................................6-2

6.2.2 啟用域名解析服務.............................................................................................................................6-2

6.2.3 （可選）配置默認域.........................................................................................................................6-2

6.2.4 檢查配置結果.....................................................................................................................................6-3

6.3 域名解析服務典型配置舉例......................................................................................................................6-3

文檔版本 02 (2009-02-15) 華為所有和機密

版權所有 ? 華為技術有限公司 i

Secoway USG3000

配置指南 安全防范分冊 插圖目錄

插圖目錄

圖6-1 配置域名解析服務典型組網(wǎng)圖.............................................................................................................6-3

文檔版本 02 (2009-02-15) 華為所有和機密

版權所有 ? 華為技術有限公司 iii

Secoway USG3000

配置指南 安全防范分冊 6 配置域名解析服務

關于本章

本章描述內(nèi)容如下表所示。 標題

6.1 域名解析服務簡介

6.2 配置域名解析服務

6.3 域名解析服務典型配置舉例 內(nèi)容 配置域名解析服務 介紹域名解析服務的基本概念。 介紹域名解析服務的配置方法。 介紹域名解析服務的典型配置舉例。

文檔版本 02 (2009-02-15) 華為所有和機密

版權所有 ? 華為技術有限公司 6-1

6 配置域名解析服務 Secoway USG3000配置指南 安全防范分冊

6.1 域名解析服務簡介

通過域名解析服務，USG3000可以向指定的DNS （Domain Name Sevice）服務器發(fā)起

域名解析請求，從而實現(xiàn)對域名的解析。

USG3000還支持默認域，當輸入的域名沒有后綴時，默認域作為域名后綴將域名補充

完整。

6.2 配置域名解析服務

6.2.1 建立配置任務

應用環(huán)境

USG3000可以通過配置域名解析服務來為內(nèi)網(wǎng)訪問Internet 提供域名解析服務。

當輸入的域名沒有后綴時，默認域作為域名后綴將域名補充完整。

前置任務

無

數(shù)據(jù)準備

在配置域名解析服務之前，需要準備以下數(shù)據(jù)：

z

z 域名解析服務器地址 （可選）默認域

6.2.2 啟用域名解析服務

步驟 1 執(zhí)行命令system-view ，進入系統(tǒng)視圖。

步驟 2 執(zhí)行命令dns resolve，啟用域名解析服務。

步驟 3 執(zhí)行命令dns server ip-address ，配置域名服務器地址。

系統(tǒng)最多支持6個域名服務器。當配置的域名服務器超過6個后，無法保存后續(xù)輸入服務器地

址，請先刪除無效的域名服務器后再輸入。

----結束

6.2.3 （可選）配置默認域

步驟 1 執(zhí)行命令system-view ，進入系統(tǒng)視圖。

6-2 華為所有和機密

版權所有 ? 華為技術有限公司 文檔版本 02 (2009-02-15)

Secoway USG3000

配置指南 安全防范分冊 6 配置域名解析服務

步驟 2 執(zhí)行命令dns domain string ，配置默認域。

----結束

6.2.4 檢查配置結果

完成上述配置后，請執(zhí)行下面的命令檢查配置結果。 操作

查看默認域的配置信息

查看緩存的域名解析的信息

查看域名解析服務器的配置信息

命令 display dns domain display dns dynamic-host display dns server

6.3 域名解析服務典型配置舉例

組網(wǎng)需求

如圖6-1所示，USG3000通過DNS 服務器為內(nèi)網(wǎng)訪問Internet 使用的域名進行解析。

組網(wǎng)圖

圖6-1 配置域名解析服務典型組網(wǎng)圖

配置步驟

步驟 1 USG3000基本配置。

# 配置接口IP 地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24

[USG3000-GigabitEthernet0/0] quit

[USG3000] interface GigabitEthernet 0/1

文檔版本 02 (2009-02-15) 華為所有和機密

版權所有 ? 華為技術有限公司 6-3

6 配置域名解析服務

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24

[USG3000-GigabitEthernet0/1] quit

[USG3000] interface GigabitEthernet 0/2

[USG3000-GigabitEthernet0/2] ip address 1.1.1.1 24

[USG3000-GigabitEthernet0/2] quit Secoway USG3000配置指南 安全防范分冊

# 將接口加入安全區(qū)域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0

[USG3000-zone-trust] quit

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/1

[USG3000-zone-dmz] quit

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/2

[USG3000-zone-untrust] quit

# 配置域間缺省包過濾規(guī)則。

[USG3000] firewall packet-filter default permit interzone local dmz

[USG3000] firewall packet-filter default permit interzone trust dmz

[USG3000] firewall packet-filter default permit interzone trust untrust

z

z 請根據(jù)實際組網(wǎng)需求配置域間包過濾規(guī)則，否則會存在安全隱患。 此時注意在PC 上配置靜態(tài)路由或缺省路由。否則PC 不能與USG3000互通。 步驟 2 啟用域名解析服務。

system-view

[USG3000] dns resolve

步驟 3 配置域名解析服務器地址。

[USG3000] dns server 10.1.1.2

----結束

6-4 華為所有和機密

版權所有 ? 華為技術有限公司 文檔版本 02 (2009-02-15)