A10 DNS及GSLB功能配置说明.doc

A10 DNS Server及GSLB配置说明1 综述通过A10 AX设备作为DNS Server以及实现GSLB选择最优服务器需要按照如下顺序进行配置：1） 配置DNS 代理地址（可以理解为DNS 服务器的地址），一台AX设备上有多少条运营商就配置多少个DNS代理地址。2） 配置处理策略，AX可以针对不同的需求配置多条策略。3） 配置Service-ip （这些IP是要解析的A记录，对于GSLB，需要对这些IP开放的服务端口做健康检查，默认是关联了健康检查的，对于不需要GSLB的A记录，配置时需关闭健康检查）4） 配置Site（站点），Site跟运营商链路有关，有多少条运营商的链路，配置多少个Site。5） 配置Zone，及各种记录。6） GSLB相关命令 。2 配置说明2.1 配置DNS代理地址1) Web配置示例名称：自己定义IP: 输入上级DNS授权给本DNS的地址。GSLb端口： DNS监听端口，添加时选择53端口。2) 命令行配置示例slb virtual-server dns_cmcc_sz 33 port 53 udp name _33_UDP_53 gslb-enable2.2 创建DNS 策略 对于不需要GSLB的域名解析，建议直接修改设备的default策略，这样配置会简单一些，策略配好后，若工作正常，基本不用再做修改。 对于需要GSLB解析的域名，另外创建一个策略，这里命名为gslb_policy。1) Web配置示例（default）该策略请勾选以上打勾的选项。TTL时间作为应用该策略的zone和各种记录的首选TTL。该策略有部分涉及到cname处理的配置，只有在命令下才能配置，请参见命令行配置。2) Web配置策略（gslb_policy）3) 命令行配置示例(default)gslb policy ez_p_ dns server metric-order health-check geographic weighted-ip weighted-site capacity active-servers active-rtt connection-load num-session admin-preference bw-cost least-response ordered-ip geo-location match-first policy geo-location aaa mask /0 !4) 命令行配置示例(gslb_policy)gslb policy gslb_policy dns action dns active-only dns best-only 2 dns server authoritative dns ttl 600 metric-force-check metric-order health-check geographic active-rtt ordered-ip weighted-ip weighted-site capacity active-servers connection-load num-session admin-preference bw-cost least-response active-rtt ordered-ip no round-robin!2.3 创建service-ip1） Web界面配置示例Name: 自己定义IP: 输入A记录IP Port： 输入服务器开放的服务端口（例如80服务输入80），如果该台服务器开放有多个服务请依次加入各个服务端口。健康检查：默认有个default健康检查，对于不需要GSLB的域名A记录，健康检查选择空白。每个A记录的IP及端口，请在这里一一定义出来。2） 命令行配置示例gslb service-ip ez_ port 80 tcp2.4 创建Site(站点）创建Site的原则是一条运营商链路创建一个Site.1） Web界面配置示例：如果Service-IP是配置在跟DNS同一台AX设备上，比如在AX上对真实服务器做了负载均衡，A记录是映射在AX上，需要在SLB-Device里面来加入Service-IP。如果Service-IP是配置在外部服务器上，需要在IP-Server这里加入相应的Service-IP.如果希望某些运营商客户端首先解析到该Site里面的地址，请配置Geo-location，把客户端所属的地址表名字选中。2）命令行配置示例：gslb site site_cmcc_sz geo-location CMCC geo-location CRTC slb-dev ax_sz 32 gateway ip-server sip_sz ip-server ez_!2.5 创建Zone（域）1） web配置示例2） 命令行配置示例gslb zone 1. 创建A记录1） Web配置示例在Zone里面选择Service，点击添加Service: 域名，例如wwwPort: 常用端口可以在下拉列表中选择，其他端口选择other后，输入端口，此端口即为Service-ip中所列的端口。2） 命令行配置示例gslb zone service http www dns-a-record ez_ static ip-order ez_2. 创建CNAME记录1） Web配置增加一个Service: www2, 不用配A记录，在DNS CName Record一栏里面，建立一个CName: ，在Geo-location这一栏，如下填写：Geo-location：allAlias：添加其他CName，请沿袭同样的步骤。例如为做一个CNAME：2） 命令行配置gslb zone service http www dns-a-record ez_ static ip-order ez_ service http www2 dns-cname-record geo-location all alias 3. 创建MX记录1) Web配置在zone里面选择DNS MX Record，添加一个记录名mx1MX记录的地址需要按照上面A记录添加的示例添加一个A记录。2) 命令行配置gslb zone dns-mx-record mx1 0 gslb zone dns-mx-record mx1 0 service 53 mx1 ip-order dns_ip4. 创建NS记录1) Web配置NS记录的地址需要按照上面A记录添加的示例添加一个A记录。如果要将zone下的某个域名例如www4委派给，在zone里面选择DNS NS Record，添加要委派的ns记录名2) 命令行配置gslb zone dns-ns-record ns1 service 53 ns1 dns-a-record dns_ip static ip-order dns_ip service http www4 dns-ns-record !2.6 启用GSLB功能之前所列的各个配置实际上已经包含了GSLB工作所需要的配置。GSLB要实现怎样的结果主要是在policy里面选择。之前所建的default policy主要用于普通dns域名的解析。Gslb-policy用于GSLB策略，对于需要启用GSLB处理的域名，请在该域名的配置里面（Zone-Servce-域名） 将 policy改为 gslb-policy。以上配置好后，还需要启用多台GSLB设备之间的协议交互，运行下面两个命令：gslb protocol enable device gslb protocol enable controller3 TTL设置 TTL在Zone, Zone-service，policy里面都可以设置 ，以 policy里面的设置为 优先 。相关配置地方 参见以上各部分的截图 。4 子域 配置 直接 在 Zone里面创建子域 ，例如创建 一个 子域 子域里面各种记录的配置方式跟相同。5 日志查看和导出 AX没有 客户端查询的详细日志 在 Monitor Mode-Service-GSLB里面可以看到一些访问的统计 ：、6 配置查看和导出 配置查看 可以通过Web界面 -Config Mode-Service-GSLB查看各个部分的配置 。也可以在命令行下 Show run，查看有关GSLB/DNS部分的配置 。配置导出 ：1） 通过web界面 点击Config Mode-System-Maintaince-backup-system导出的配置文件需要用解压缩软件解压后查看。2） 通过命令行 通过 SecureCRT SSH，记录 Session。然后运行Show run，将配置保存到本地，用记事本打开查看。7 DNS 主从同步Dns主从同步用的是AX 的GSLB同步功能，该功能目前测试版本是在命令行下配置：AX1: gslb group default priority 200 config-merge config-anywhere primary 1 primary 34 primary 47 enable!AX2:gslb group default config-merge config-anywhere primary 1 primary 34 primary 47 enable!每台AX默认优先级100, 优先级大者优先，AX1优先级设为为200, AX2采用默认值100,所以AX1为主，AX2为从，AX1做的DNS配置，会自动同步到AX2. 有三台以上的设备，对每台设备设定不同的优先级，例如AX1:200,AX2:100,AX3:50，那么AX1出现问题，AX2会变为Master，更多台设备依次类推。Primary后面跟的IP为各AX的接口 IP。8 IP限制访问1） 创建IP黑名单2） 建立黑名单处理策略3） 把黑名单策略应用到DNS-Proxy地址A10 bw-list最大可以支持800万个地址列。9 扩展增加DNS/