冰川智能DNS服务器安装使用手册Word下载.docx
《冰川智能DNS服务器安装使用手册Word下载.docx》由会员分享,可在线阅读,更多相关《冰川智能DNS服务器安装使用手册Word下载.docx(34页珍藏版)》请在冰豆网上搜索。
Glacier-1000
百兆电口>
=4
100000
Glacier-2000
千兆电口>
=4(或光口)
500000
Glacier-2000F
1000000
1.2装箱单
DNS服务器硬件:
1台
随机光盘:
1张
电源线:
1条
5类直通网络线:
2条
串口控制线:
上架支架:
1套
《产品保修卡》:
1份
《装箱单》:
1.3系统组成
2.3.1DNS服务器(硬件)
包括1u硬件DNS服务器(软硬件一体化)
1.4硬件配置
接口数量
标配:
各种不同型号接口各不相同.
一个Console口
接口规范
百兆网络接口:
10/100Base-TX
千兆网络接口:
100/1000Base-TX
Console口:
RS232C,DTE,115200-8-N-1
电气特征
电源:
技术参数:
AC90-260V,47~63HZ,2.0A(最大),500W(最大)
安规标准:
美国:
FCCCFR47Part15(B级)
欧洲/CE标志:
EN55022&
EN55024
环境规范
运行温度:
0-40摄氏度
非运行温度:
-20~65摄氏度
相对湿度:
10~90%@40摄氏度,非冷凝
几何尺寸
430(长)×
450(深)×
44.45(高)(1u机箱)
注:
其中高度为未安装脚垫时的尺寸.深度不同型号的产品略有差异
长度尺寸为未安装上架支架情况,安装上架支架后,其长度未标准19时机柜尺寸;
1.5执行标准
GB/T18019-1999
GB/T18020-1999
TCP/IP相关RFC
1.6系统性能
产品型号:
适用于GlacierDNS系列
最大吞吐率:
1000最大吞吐率98M,2000最大吞吐率为800M
平均延时:
65us
包转发率:
512字节:
98%
第二章设备快速安装
2.1安装之前
检查以下配件是否齐备.
1.Glacier嵌入式智能DNS服务器;
2.RJ45-RS232转换口和双绞网线;
3.电源线,配套光碟,使用说明书;
4.保修卡.
为确保空气流通,在设备两侧及后面保留100mm的空间.不要让通风孔被阻塞.
2.2设备安装
2.2.1安装前准备工作
请仔细阅读使用说明书;
检查包装内的配件是否齐备;
准备如下所列出的必需物品和环境;
有效互联网出口线路;
网络集线器或交换机;
2.2.2典型连接示意图
DNS服务器一般放在原有网络中的DNS服务器的位置,用于替换原有的DNS服务器。
所在位置如下图所示:
.
使用随机附带的串口线连接管理员主机的COM口和GlacierDNS服务器的Console口,然后利用Win9x,win2k,winxp附件里面的超级终端或者其他软件如SecureCRT来登陆,设置终端速率为115200bps,数据位设置为8,奇偶校验设置为无,停止位设置为1,数据控制设置为无,即默认值.如图所示:
点击确定即可登陆DNS服务器,输入用户名admin,密码即可登陆。
注意console,ssh,telnet的用户名为admin,密码均一样。
Web管理的密码和console等的不同。
默认情况下console的密码为,默认情况下WEB管理的密码为admin
如图所示:
在命令行中输入:
setipeth010.10.0.1255.255.255.0配置接口IP地址
showip可以查看接口ip地址
showinterface[eth0]可以查看接口状态
任何时候,键入?
可以获取帮助
2.2.3应用环境
实现的前提条件是拥有自己的域名和网站,并且有多个internet出口(至少两个)
2.2.4与策略路由设备的区别
策略路由主要是解决由内网到外网的访问速度,而DNS则是解决外网到校园网的访问速度。
2.2.5实现方案
针对不同的用户,有以下几种方案可选:
1用户有防火墙,并且支持DNAT(目的地址转换)
则仅需添加一台冰川Glacier嵌入式DNS服务器即可,校园网所有网站均可实现双向的解析和访问(服务器不需做任何变动,依然保持原样,无需增加服务器,即可实现服务器镜像),具体实现方案:
:
在防火墙上给用户虚拟相应的地址或端口(TCP或UDP)。
同时对应到相应的原有IP地址。
比如某大学。
WEB服务器教育网的ip地址是202.196.100.8,默认网关是202.196.100.1
对应的域名地址是
该大学有两条出口线路,一条cernet线路,带宽为1G,另有一条网通的线路,带宽为100M,相应的网通地址段为218.28.100.0/24
通过冰川嵌入式DNS服务器,将的域名解析成两个镜像IP:
来自网通--------------à
218.28.100.8
来自其他-------à
202.196.100.8
在防火墙的接口上绑定218.28.100.8这个IP地址,然后增加一条DNAT的策略,将访问218.28.100.8地址整个映射到202.196.100.8或者只是映射TCP的80端口。
2用户没有防火墙,使用DNS内置的地址映射功能
在没有防火墙的情况下,冰川嵌入式DNS可以用内置的DNAT规则来进行和防火墙相同的地址映射,如下图:
冰川嵌入式DNS千兆硬件服务器拥有多个网络接口(4-6个),保留一个做为DNS服务器网络接口,其他接口可以用来连接不同的出口区域,便于做地址映射。
至于性能方面,千兆DNS服务器可处理高达800MB的流量,并且DNS解析和地址映射方面的数据处理采用分离模式,互不干扰。
所以完全可以用DNS服务器来做地址映射,做其他服务器的镜像IP映射。
第三章Glacier嵌入式智能DNS服务器Web管理使用指南
开启浏览器,打开url为http:
//DNS服务器ip:
3080/地址,即可对嵌入式智能DNS服务器进行web管理,如图为嵌入式智能DNS服务器管理的登录页面:
默认管理员用户名和密码均为admin.
登录成功后,即可进入嵌入式智能DNS服务器管理的主界面,如图:
3.1系统管理
配置向导
初次使用设备时,请根据向导提示完成设备的初始化安装调试.
系统状态
显示当前软件的版本号,系统运行状态等信息.
Cpu,内存利用率,磁盘使用情况
如图所示:
显示了系统的CPU利用率,内存使用状况.
系统时间
设置设备的当前系统时间.
设备名称
设备名称--此处对设备的名称和DNS做设置,如果有多个DNS请按照每行一个的格式输入(DNS为可选输入)
服务设置
【Snmp】:
简单网络管理协议,一般和网管软件配合使用用于监控设备流量,运行状态,cpu及内存使用情况
【DNS服务】:
域名解析服务开关
【TELNET服务】:
远程管理telnet的服务开关
【SSH服务】:
远程管理的SSH(加密命令行)的服务开关
保存配置
将当前配置保存至启动.相当于命令模式下的write或者save命令.
固件升级
对系统的固化的软件进行升级,获取升级文件之后,上传至设备中,然后点击【升级系统】即可完成系统的升级(注意,升级后请立刻重新启动系统).
每台硬件的硬件码均不同,如果是正式的版本,在手册上将会有正式的授权码.将手册上的授权码输入到此处.或者联系技术支持部门获取正确的授权码.
管理员设置
列出了所有当前管理员信息,点击【新管理员】可以添加新的管理员,如图所示:
在增加管理员时,可以对管理员的权限进行详细的设置,可以自定义管理员使用的管理功能,当需要修改管理员权限时,在【管理员设置】中点击【编辑】即可修改管理员的权限.
重启&
关机
在此重新启动或者关闭设备.
3.2网络管理
接口ip设置
这里可以对设备的每个接口的ip进行设置.此页面可以总览设备的接口ip设置情况,并且接口的连接状态和线路状态也可以在此页面中方便的查看,在每一个接口后边有编辑接口和虚口设置两个选项.如下:
编辑选项:
在此编辑接口的各种设置,在连接类型中根据您的网络类型做相应的选择接口支持静态ip,动态自动获取ip,pppoe拨号三种类型.
接口状态中显示接口状态:
激活还是禁用状态,类似于交换机命令中的noshutdown和shutdown命令
Mtu:
此值设定TCP/IP协议传输数据报时的最大传输单元,一般在我们的以太网中采用默认的1500即可.
协商模式中可以选择设备进行默认的自动协商,也可以手工设置协商模式,注意如果接收和发送错误包过多,一般是链路或者协商模式引起的.
接口描述中可以输入自定义的描述信息.
虚口设置:
虚口设置即单接口绑定多个ip.当需要作目的地址转换时候很有用.
Dhcp管理
左上角为DHCP的全局设置,如域名,域名服务器,默认租用时间和最大租用时间(以秒为单位),右上角为增加新的子网,比如要增加一个10.10.0.1-10.10.0.100的IP范围,则可以如图所示输入:
点击【添加子网】即完成了DHCP的添加工作.需要注意的是,在添加或者删除DHCP子网后,需要重新启动一下DHCP服务才能及时生效.或者在Glacier嵌入式智能DNS服务器重新启动后也可以生效.栏目的下方列出了当前已经存在的DHCP子网.如果有多个子网需要通过DHCP来获取IP地址.则这里就可以实现.需要注意的是DHCP包是无法通过路由的.这样在通过路由器时,需要设置路由器的DHCP中继.点击【编辑】可以对已经添加好的DHCP子网进行重新编辑,点击【删除】则删除该子网.DHCP租约列表中可以查看当前通过动态分配的IP列表.Glacier嵌入式智能DNS服务器的DHCP支持多个接口的dhcp信息分发.就是说可以在多个接口上面做DHCP服务器.具体的配置就是先在子网中添加好要分配的网段,然后绑定该接口即可.
宽带策略管理
宽带策略管理是控制网络的一种极为有效的方式,当用户数量的增长和有限的出口带宽成为制约网络运行的瓶颈的时候,限制网速是保证每一个合法用户能正常使用网络的手段,本产品的限速是基于用户和基于ip的两种方式,基于用户的是针对认证用户的限制,针对ip的是针对单独的ip地址进行限制,并且针对ip现在的优先级别高于针对用户的优先级,本产品还可以针对某个特定时间进行限制,同时还可以区分p2p数据流,进行依据数据流的类型限制.
限制前后对比:
仅启用ip地址限制,下载速度限制50Kb,不启用针对p2p,不启用时间策略.
限制前:
限制后:
可以看出,当下载速度稳定后,基本维持在50kb上下.
Snmp设置
Snmp通讯标识的设置,注意如果当确定要启用snmp通讯设置的时候一定不要用默认的通讯标识这样会给设备流下攻击漏洞,当设置完此参数后要在【系统管理】---【基本参数设置】---【服务设置】将snmp服务打开.
IP地址绑定
针对目前比较流行的arp欺骗,在出口设备上进行ip和mac的绑定可以在很大程度上限制arp的网络欺骗,当设备在网络中正常运行的时候,此处会出现网络中所有ip的地址列表,单击ip地址之后进入编辑状态,适当的加以描述后添加就可在设备中进行绑定,也可以采用自动绑定所有活动的ip和mac,当添加完ip后,单击【启用绑定】使操作生效.
路由管理:
路由管理包含两个选项,缺省网关和路由管理,缺省网关既设备的默认网关地址,如下图:
输入格式:
源地址目的地址下一跳的地址(中间用空格隔开,并且地址后便紧跟掩码)如:
0.0.0.0/00.0.0.0/08.8.8.8//默认路由的下一跳为8.8.8.8
注意:
路由表的执行顺序为由上至下.
地址转换
如图为典型的源地址转换示意图:
嵌入式智能DNS服务器提供了内部网到外部网,外部网到内部网的双向NAT功能.同时支持两种方式的网络地址转换,一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务.另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络.让多个内部IP地址共享一个外部IP地址,就必须转换端口地址,这样内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同,通过这些端口对外部提供服务.这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性.
在内部网络通过安全接口访问外部网络时将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全接口与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全接口访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.嵌入式智能DNS服务器根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,嵌入式智能DNS服务器认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,接入控制器认为该访问是不安全的,不能被接受,嵌入式智能DNS服务器将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
嵌入式智能DNS服务器提供的双向NAT功能可以使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构;
同时也可以解决IP地址短缺的问题.并提高整体的安全性.
如下图所示,为DNS服务器的SNAT界面
当需要增加新的SNAT规则的时候,点击【新建】,如图所示:
简单模式下只需要填写编号,内网地址段,接口,转换后ip等简单信息即可,编号栏目和其他的一样,是SNAT执行顺序的标志.内网地址段是要转换的内网地址,外网接口请选择正确的外部接口.在描述信息中输入说明信息.点击【确定】要使得SNAT生效,在【源地址转换】中点击【启用所有规则】,则SNAT可以立刻生效.
进阶模式如图:
进阶模式是对简单模式的扩充,这里可以定义编号,协议等等,具体设置类似简单模式,只是多了源端口,目的地址,目的端口,除去特定的需求一般情况下目的地址为0.0.0.0/0意思就是所有的地址.
以上所有设置完后单击【启用所有规则】使设置生效,单击【状态】查看源地址转换的详情.如下图:
目的地址转换:
如图为DNAT的典型示意图:
端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;
二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP地址的目的.端口映射功能是将一台主机的假IP地址映射成一个真IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转到内部一主机的提供这种特定服务的主机;
利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口.端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议.理论上可以提供六万多个端口的映射.
下边以例子的方式具体设置下:
比如内网有一个WEB服务器,地址为138.1.1.77,开着80端口.这时候就可以增加一条DNAT规则.将访问202.196.1.1的WEB请求转换成对138.1.1.77的WEB访问请求.
DNS服务器还支持直接的IP对IP的映射.只需如图所示增加一条规则即可.
在【目的端口】和【转换成端口】中都保持空白.这样就实现了IP对IP的映射.其他如【提交配置】、【停用】等和SNAT相同.注意:
在启用了认证之后,由于内部网里面的ip地址默认情况下需要通过认证才能连通外部网络,故此时的dnat可能在外部连接不了内部的映射,解决的办法是将需要映射的内部ip加入到免费ip列表中.
3.3安全防范:
管理ip设置
如图:
管理ip是对访问设备的ip进行限制的一种手段,这样在一定程度上可以降低非授权的管理用户对设备进行恶意的攻击和破解的概率.
管理ip的增加很简单,只需把需要增加的ip段规划好后,单击【增加】按钮,之后单击【启用】即可,注意如果由于设置错误导致管理用户访问不了本设备的管理页面可以通过在控制台下用"
Setfirewallmanage_ipstop'
停止管理ip,之后进入设备重新修改.
防DOS攻击
设备自身具备防DOS攻击,此处的防DOS攻击针对整个网络.在限制tcpsyn,updflood,ping中输入相应的数值,一般建议在200-1000之间,之后勾选启用DOS攻击防范.
病毒端口过滤
本设备针对一些常见的病毒端口进行过滤,可避免因为这些病毒引发的网络问题.
连接数限制
限制每个ip发起的连接数不仅可以在一定程度上限制BT等软件的使用,也能在一定程度上防止病毒泛滥,具备对未知网络蠕虫病毒的预先防范能力.单击【新建】按钮新建一条连接数限制规则
如果限制192.168.100.0/24中每一个ip的连接数为150个,可以参照如下设置:
注意如果是要针对每一个ip限制150个,要勾选【针对每个ip】,如果不勾选的话就是这个网段的合计连接数为150.
P2p限制
P2P等软件大量占用网络资源,对这些影响网络带宽的软件要做一定的限制,本设备可以支持的软件限制如上图所示.
DNS(网站)限制
在此可以对黑名单网站进行一些限制.注意:
此功能是依据DNS解析数据来进行控制的,故要使用此功能,请确保DNS服务器位于DNS服务器和用户网络之间.
MAC地址过滤
在此可以设定MAC地址黑名单和白名单,当DNS服务器放置在2层网络中时(与客户端中间没有路由设备,客户机的网关直接指向服务器的接口地址),在这里可以设定对MAC地址进行一些控制.
自我保护
自我保护主要提供一些简要的安全防范措施.
访问策略
上方的五个按钮的作用:
【启用】:
用户提交当前的配置,使配置立即生效.
【停用】:
停用当前的规则,使得所有的规则都暂不生效.
【刷新】:
刷新当前的规则表
【状态】:
查看已经提交的的规则表
【新规则】:
添加新的规则到规则表中左上方显示了当前规则表的状态:
是启用还是停用.
防火墙规则的执行顺序是从上到下,依次执行.
点击【新规则】后,会出现增加新的访问策略规则,如下图所示:
【协议】设置规则的协议,可选有icmp,tcp,udp,all等。
【源地址】针对规则的发送方
【源端口】设置规则的发送方的源端口(只有在tcp和udp协议有效)
【目的地址】针对数据包的接收方地址
【目的端口】设置规则的接受方的端口(只有在tcp和udp协议有效)
【分片允许】是否允许IP碎片的标志
【动作】阵对该数据包的处理方法,可选有允许和拒绝
【生效与否】设置该规则是否有效
【icmp类型】仅在协议类型为ICMP时有效。
【状态检测】这里无需考虑
【方向】与【接口】:
需搭配使用的,比如要拒绝内网某一台机器上网,则接口选则内部网络对应的接口,方向选择入即可
【描述信息】可以写明对该规则的说明.
比如要限制内网用户192.168.0.88这个IP地址在早上9点至12点之间禁止访问222.99.99.99这个IP,则可用这样设置:
3.4域名管理:
访问策略即依据请求DNS解析的源IP地址而做的一个集合,用于针对不同的源IP回应不同的解析地址。
本DNS服务器内置了教育网,网通,电信三个访问策略表,用户可以根据情况进行修改,点击访问策略名称即可对访问策略中的地址进行修改。
DNS服务器管理
DNS服务器是针对全局而言,面向的对象为INTERNET上的互联地址。
用户有N个internet出口,则需要建立N个DNS服务器,分别回应不同地址的请求解析。
比如用户有两个internet出口:
教育网和网通。
则应建立两个DNS服务器,一个针对教育网,另外一个针对网通(可做缺省),如上图所示,建立了两个DNS服务器,第一个为针对教育网地址的解析,第二个为针对其他地址的解析。
在“访问策略”中分别选择edu和all,代表针对教育网和其他所有地址的解析(默认解析)。
DNS