冰川智能DNS服务器安装使用手册.docx

1、冰川智能DNS服务器安装使用手册冰川智能DNS服务器安装使用手册（V2.0）CopyRight 2007-2010冰川网络冰川Glacier 嵌入式智能DNS服务器服务器软硬件 以下内容关于冰川网络字样,均指郑州冰川网络技术有限公司冰川网络与最终用户许可协议=请认真阅读：本协议为个人或团体与冰川网络之间的有关冰川Glacier嵌入式智能DNS服务器的法律协议.冰川Glacier嵌入式智能DNS服务器其中包括硬件和软件本身相关的软件、资料文档、相关媒介以及印刷材料.您一旦安装、复制或通过其他方式使用本产品，则表示您愿意接受本协议的各项条件.未经冰川网络授权，任何拷贝、销售、转让、出租、修改本软件

2、的行为均被认为是侵权行为.如果您有特殊需求，请和冰川网络联系，我们将竭诚为您服务！ 1、您可以在同一个局部网络的计算机上安装使用本产品； 2、您可在网络服务器上储存或安装本产品的一个副本，其目的只是进行备份或档案管理； 3、在他方同意接受本许可协议的条件前提下，可将本产品或相关文档交付给另一方使用.其它权利和限制说明 1、不得对本产品进行反向工程、反编译或反汇编，但如相关法律明文禁止上述限制，则不在此限； 2、本产品是被当成一个单一产品而被授予许可协议，拷贝或转交必须包含本产品的全部； 3、不得出租或租赁本产品； 4、您可以永久转让您在本协议下的所有权利，条件是您不得保留副本，并将本冰川Gla

3、cier嵌入式智能DNS服务器全部转让（包括所有组成部分：软件、硬件、资料文档、相关媒介以及印刷材料），并且受让人须接受本协议的各项条款.如本产品属于更新版本，则任何转让必须包括本产品以前的所有版本. 5、如您未遵守本协议的各项条件，冰川网络有权终止本协议.如发生此种情况，则您必须销毁本产品及其各部分的所有副本. 第一章 了解产品冰川Glacier嵌入式DNS服务器是一款专用的DNS解析服务器。整个系统由DNS服务器(硬件)+嵌入式DNS软件系统组成。适合ISP、高校、虚拟主机商等。产品隶属于第三代功能服务器，是未来网络发展的方向。1.1 硬件冰川Glacier DNS嵌入式服务器硬件型号:硬

4、件型号 接口 可支持的并发IP解析数Glacier-1000 百兆电口 =4 100000 Glacier-2000 千兆电口 =4 (或光口)500000 Glacier-2000F千兆电口 =4 (或光口)10000001.2 装箱单DNS服务器硬件： 1台随机光盘： 1张电源线： 1条5类直通网络线： 2条串口控制线： 1条上架支架： 1套产品保修卡： 1份装箱单： 1份1.3 系统组成2.3.1 DNS服务器(硬件)包括1u硬件DNS服务器(软硬件一体化)1.4 硬件配置接口数量标配: 各种不同型号接口各不相同.一个Console口接口规范百兆网络接口: 10/100Base-TX千兆

5、网络接口:100/1000Base-TXConsole口： RS232C,DTE,115200-8-N-1电气特征电源:技术参数:AC90-260V,4763HZ,2.0A(最大)，500W(最大)安规标准：美国： FCC CFR 47 Part 15(B级)欧洲/CE标志:EN55022&EN55024环境规范运行温度： 0-40 摄氏度非运行温度： -20 65摄氏度相对湿度: 10 90%40摄氏度,非冷凝几何尺寸430(长)450（深）44.45（高）(1u机箱)注：其中高度为未安装脚垫时的尺寸.深度不同型号的产品略有差异长度尺寸为未安装上架支架情况，安装上架支架后，其长度未标准19时

6、机柜尺寸；1.5 执行标准GB/T 18019-1999GB/T 18020-1999TCP/IP相关RFC1.6 系统性能产品型号:适用于Glacier DNS系列 最大吞吐率:1000 最大吞吐率98M,2000最大吞吐率为800M平均延时: 65us包转发率: 512字节: 98% 第二章 设备快速安装2.1 安装之前检查以下配件是否齐备.1. Glacier嵌入式智能DNS服务器；2. RJ45-RS232转换口和双绞网线；3. 电源线，配套光碟，使用说明书；4. 保修卡.为确保空气流通，在设备两侧及后面保留100mm的空间.不要让通风孔被阻塞.2.2 设备安装2.2.1 安装前准备工

7、作请仔细阅读使用说明书；检查包装内的配件是否齐备；准备如下所列出的必需物品和环境；有效互联网出口线路；网络集线器或交换机；2.2.2 典型连接示意图DNS服务器一般放在原有网络中的DNS服务器的位置,用于替换原有的DNS服务器。所在位置如下图所示：.使用随机附带的串口线连接管理员主机的COM口和GlacierDNS服务器的Console口,然后利用Win9x，win2k，winxp附件里面的超级终端或者其他软件如SecureCRT来登陆，设置终端速率为115200bps，数据位设置为8，奇偶校验设置为无，停止位设置为1，数据控制设置为无，即默认值.如图所示：点击确定即可登陆DNS服务器，输入用

8、户名admin，密码即可登陆。注意console,ssh,telnet的用户名为admin，密码均一样。Web管理的密码和console等的不同。默认情况下console的密码为,默认情况下WEB管理的密码为admin如图所示：在命令行中输入:set ip eth0 10.10.0.1 255.255.255.0配置接口IP地址show ip 可以查看接口ip地址show interface eth0 可以查看接口状态任何时候,键入?可以获取帮助2.2.3 应用环境实现的前提条件是拥有自己的域名和网站，并且有多个internet出口(至少两个)2.2.4 与策略路由设备的区别策略路由主要是解决

9、由内网到外网的访问速度，而DNS则是解决外网到校园网的访问速度。2.2.5 实现方案针对不同的用户，有以下几种方案可选：1 用户有防火墙，并且支持DNAT（目的地址转换）则仅需添加一台冰川Glacier嵌入式DNS服务器即可,校园网所有网站均可实现双向的解析和访问（服务器不需做任何变动，依然保持原样，无需增加服务器，即可实现服务器镜像），具体实现方案：:在防火墙上给用户虚拟相应的地址或端口(TCP或UDP)。同时对应到相应的原有IP地址。比如某大学。WEB服务器教育网的ip地址是202.196.100.8，默认网关是202.196.100.1对应的域名地址是该大学有两条出口线路，一条cerne

10、t线路，带宽为1G，另有一条网通的线路，带宽为100M，相应的网通地址段为218.28.100.0/24通过冰川嵌入式DNS服务器，将的域名解析成两个镜像IP：来自网通-218.28.100.8来自其他-202.196.100.8在防火墙的接口上绑定218.28.100.8这个IP地址，然后增加一条DNAT的策略，将访问218.28.100.8地址整个映射到202.196.100.8或者只是映射TCP的80端口。2 用户没有防火墙，使用DNS内置的地址映射功能 在没有防火墙的情况下,冰川嵌入式DNS可以用内置的DNAT规则来进行和防火墙相同的地址映射,如下图:冰川嵌入式DNS千兆硬件服务器拥有

11、多个网络接口（4-6个），保留一个做为DNS服务器网络接口，其他接口可以用来连接不同的出口区域，便于做地址映射。至于性能方面，千兆DNS服务器可处理高达800MB的流量，并且DNS解析和地址映射方面的数据处理采用分离模式，互不干扰。所以完全可以用DNS服务器来做地址映射，做其他服务器的镜像IP映射。第三章 Glacier 嵌入式智能DNS服务器Web管理使用指南开启浏览器,打开url为http:/DNS服务器ip:3080/地址，即可对嵌入式智能DNS服务器进行web管理,如图为嵌入式智能DNS服务器管理的登录页面：默认管理员用户名和密码均为admin.登录成功后，即可进入嵌入式智能DNS服务

12、器管理的主界面,如图：3.1 系统管理配置向导初次使用设备时，请根据向导提示完成设备的初始化安装调试.系统状态如图所示：显示当前软件的版本号,系统运行状态等信息.Cpu,内存利用率,磁盘使用情况如图所示:显示了系统的CPU利用率，内存使用状况.系统时间设置设备的当前系统时间.设备名称设备名称-此处对设备的名称和DNS做设置,如果有多个DNS请按照每行一个的格式输入(DNS为可选输入)服务设置【Snmp】:简单网络管理协议,一般和网管软件配合使用用于监控设备流量,运行状态,cpu及内存使用情况【DNS服务】:域名解析服务开关【TELNET服务】:远程管理telnet的服务开关【SSH服务】:远程

13、管理的SSH(加密命令行)的服务开关保存配置将当前配置保存至启动.相当于命令模式下的write或者save命令.固件升级对系统的固化的软件进行升级,获取升级文件之后，上传至设备中,然后点击【升级系统】即可完成系统的升级(注意,升级后请立刻重新启动系统).每台硬件的硬件码均不同，如果是正式的版本，在手册上将会有正式的授权码.将手册上的授权码输入到此处.或者联系技术支持部门获取正确的授权码.管理员设置如图所示：列出了所有当前管理员信息,点击【新管理员】可以添加新的管理员，如图所示:在增加管理员时，可以对管理员的权限进行详细的设置,可以自定义管理员使用的管理功能,当需要修改管理员权限时, 在【管理员

14、设置】中点击【编辑】即可修改管理员的权限.重启&关机如图所示：在此重新启动或者关闭设备.3.2 网络管理接口ip设置这里可以对设备的每个接口的ip进行设置.此页面可以总览设备的接口ip设置情况,并且接口的连接状态和线路状态也可以在此页面中方便的查看,在每一个接口后边有编辑接口和虚口设置两个选项.如下：编辑选项:在此编辑接口的各种设置,在连接类型中根据您的网络类型做相应的选择接口支持静态ip,动态自动获取ip,pppoe拨号三种类型.接口状态中显示接口状态:激活还是禁用状态,类似于交换机命令中的no shutdown 和shutdown命令Mtu:此值设定TCP/IP协议传输数据报时的最大传输单

15、元,一般在我们的以太网中采用默认的1500即可.协商模式中可以选择设备进行默认的自动协商,也可以手工设置协商模式,注意如果接收和发送错误包过多,一般是链路或者协商模式引起的.接口描述中可以输入自定义的描述信息.虚口设置:虚口设置即单接口绑定多个ip.当需要作目的地址转换时候很有用. Dhcp管理如图所示:左上角为 DHCP 的全局设置，如域名，域名服务器，默认租用时间和最大租用时间(以秒为单位),右上角为增加新的子网,比如要增加一个10.10.0.1-10.10.0.100 的 IP 范围，则可以如图所示输入：点击【添加子网】即完成了 DHCP 的添加工作.需要注意的是，在添加或者删除 DHC

16、P 子网后，需要重新启动一下 DHCP 服务才能及时生效.或者在Glacier 嵌入式智能DNS服务器重新启动后也可以生效.栏目的下方列出了当前已经存在的 DHCP 子网.如果有多个子网需要通过 DHCP 来获取 IP 地址.则这里就可以实现.需要注意的是 DHCP 包是无法通 过路由的.这样在通过路由器时，需要设置路由器的 DHCP 中继.点击【编辑】可以对已经添加好的 DHCP 子网进行重新编辑，点击【删除】 则删除该子网.DHCP 租约列表中可以查看当前通过动态分配的 IP 列表.Glacier 嵌入式智能DNS服务器的 DHCP 支持多个接口的 dhcp 信息分发.就是说可以 在多个接

17、口上面做 DHCP 服务器.具体的配置就是先在子网中添加好要分配的网段，然后绑定该接口即可. 宽带策略管理宽带策略管理是控制网络的一种极为有效的方式,当用户数量的增长和有限的出口带宽成为制约网络运行的瓶颈的时候,限制网速是保证每一个合法用户能正常使用网络的手段,本产品的限速是基于用户和基于ip的两种方式,基于用户的是针对认证用户的限制,针对ip的是针对单独的ip地址进行限制,并且针对ip现在的优先级别高于针对用户的优先级,本产品还可以针对某个特定时间进行限制,同时还可以区分p2p数据流,进行依据数据流的类型限制.限制前后对比:仅启用ip地址限制,下载速度限制50Kb,不启用针对p2p,不启用时

18、间策略.限制前:限制后:可以看出,当下载速度稳定后,基本维持在50kb上下.Snmp设置Snmp通讯标识的设置,注意如果当确定要启用snmp通讯设置的时候一定不要用默认的通讯标识这样会给设备流下攻击漏洞,当设置完此参数后要在【系统管理】-【基本参数设置】-【服务设置】将snmp服务打开.IP地址绑定针对目前比较流行的arp欺骗,在出口设备上进行ip和mac的绑定可以在很大程度上限制arp的网络欺骗,当设备在网络中正常运行的时候,此处会出现网络中所有ip的地址列表,单击ip地址之后进入编辑状态,适当的加以描述后添加就可在设备中进行绑定,也可以采用自动绑定所有活动的ip和mac,当添加完ip后,单

19、击【启用绑定】使操作生效.路由管理:路由管理包含两个选项,缺省网关和路由管理,缺省网关既设备的默认网关地址,如下图:路由管理:输入格式:源地址 目的地址 下一跳的地址 (中间用空格隔开,并且地址后便紧跟掩码)如:0.0.0.0/0 0.0.0.0/0 8.8.8.8 /默认路由的下一跳为8.8.8.8注意:路由表的执行顺序为由上至下.地址转换如图为典型的源地址转换示意图:嵌入式智能DNS服务器提供了内部网到外部网,外部网到内部网的双向 NAT 功能.同时支持两种方式的网络地址转换，一种为静态地址映射， 即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部 网络，也可以接受外部网络提

20、供的服务.另一种是更灵活的方式，可以支 持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部 网络.让多个内部 IP 地址共享一个外部 IP 地址，就必须转换端口地址， 这样内部不同 IP 地址的数据包就能转换为同一个 IP 地址而端口地址不 同，通过这些端口对外部提供服务.这种 NAT 转换可以更有效地利用 IP 地址资源，并且提供更好的安全性. 在内部网络通过安全接口访问外部网络时将产生一个映射记录.系统 将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地 址和端口通过非安全接口与外部网络连接，这样对外就隐藏了真实的内部 网络地址.在外部网络通过非安全接口访问内部

21、网络时，它并不知道内部 网络的连接情况，而只是通过一个开放的 IP 地址和端口来请求访问.嵌入式智能DNS服务器根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时，嵌入式智能DNS服务器认为访问是安全的，可以接受访问请求，也 可以将连接请求映射到不同的内部计算机中.当不符合规则时，接入控制 器认为该访问是不安全的，不能被接受，嵌入式智能DNS服务器将屏蔽外部的连接请 求.网络地址转换的过程对于用户来说是透明的，不需要用户进行设置， 用户只要进行常规操作即可.嵌入式智能DNS服务器提供的双向 NAT 功能可以使系统管理员自行设置内部的地 址而不必对外公开，隐藏了内部网络的真实地址，从而

22、使外来的黑客无法 探知内部网络的结构；同时也可以解决 IP 地址短缺的问题.并提高整体的安全性.如下图所示，为DNS服务器的 SNAT 界面当需要增加新的 SNAT 规则的时候，点击【新建】，如图所示：简单模式下只需要填写编号,内网地址段,接口,转换后ip等简单信息即可,编号栏目和其他的一样,是SNAT执行顺序的标志.内网地址段是要转换的内网地址,外网接口请选择正确的外部接口.在描述信息中输入说明信息.点击【确 定】要使得 SNAT 生效，在【源地址转换】中点击【启用所有规则】，则 SNAT 可以 立刻生效.进阶模式如图:进阶模式是对简单模式的扩充,这里可以定义编号,协议等等,具体设置类似简单

23、模式,只是多了源端口,目的地址,目的端口,除去特定的需求一般情况下目的地址为0.0.0.0/0意思就是所有的地址.以上所有设置完后单击【启用所有规则】使设置生效,单击【状态】查看源地址转换的详情.如下图:目的地址转换:如图为 DNAT 的典型示意图:端口映射功能可以让内部网络中某台机器对外部提供 WWW 服务，这不是将真 IP 地址直接转到内部提供 WWW 服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了 WWW 之外，外部网络可以通过地址转换功 能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时， 必须有同样多的 IP 地址进行转换，从而达不到节省 IP 地址的

24、目的.端口 映射功能是将一台主机的假 IP 地址映射成一个真 IP 地址，当用户访问提 供映射端口主机的某个端口时，服务器将请求转到内部一主机的提供这种特定服务的主机；利用端口映射功能还可以将一台真 IP 地址机器的多个端口映射成内部不同机器上的不同端口.端口映射功能还可以完成一些特定 代理功能，比如代理 POP，SMTP，TELNET 等协议.理论上可以提供六万多个端口的映射.下边以例子的方式具体设置下:比如内网有一个 WEB 服务器，地址为 138.1.1.77，开着 80 端口.这时候就可以增加一条 DNAT 规则.将访问 202.196.1.1 的 WEB 请求转换成对138.1.1.

25、77 的 WEB 访问请求.DNS服务器还支持直接的 IP 对 IP 的映射.只需如图所示增加一条规则即可.在【目的端口】和【转换成端口】中都保持空白.这样就实现了 IP 对 IP的映射.其他如【提交配置】、【停用】等和 SNAT 相同. 注意：在启用了认证之后，由于内部网里面的ip地址默认情况下需要通过认证才能连通外部网络，故此时的 dnat 可能在外部连接不了内部的映射， 解决的办法是将需要映射的内部 ip 加入到免费 ip 列表中.3.3 安全防范:管理ip设置如图:管理ip是对访问设备的ip进行限制的一种手段,这样在一定程度上可以降低非授权的管理用户对设备进行恶意的攻击和破解的概率.管

26、理ip的增加很简单,只需把需要增加的ip段规划好后,单击【增加】按钮,之后单击【启用】即可,注意如果由于设置错误导致管理用户访问不了本设备的管理页面可以通过在控制台下用Set firewall manage_ip stop停止管理ip,之后进入设备重新修改.防DOS攻击如图所示：设备自身具备防DOS攻击,此处的防DOS攻击针对整个网络.在限制 tcp syn ,upd flood,ping中输入相应的数值,一般建议在200-1000之间,之后勾选启用DOS攻击防范.病毒端口过滤如图所示：本设备针对一些常见的病毒端口进行过滤,可避免因为这些病毒引发的网络问题.连接数限制限制每个ip发起的连接数不

27、仅可以在一定程度上限制BT等软件的使用,也能在一定程度上防止病毒泛滥，具备对未知网络蠕虫病毒的预先防范能力.单击【新建】按钮新建一条连接数限制规则如果限制192.168.100.0/24中每一个ip的连接数为150个,可以参照如下设置:注意如果是要针对每一个ip限制150个,要勾选【针对每个ip】,如果不勾选的话就是这个网段的合计连接数为150.P2p限制P2P等软件大量占用网络资源,对这些影响网络带宽的软件要做一定的限制,本设备可以支持的软件限制如上图所示.DNS(网站)限制在此可以对黑名单网站进行一些限制.注意:此功能是依据 DNS 解析数据来 进行控制的，故要使用此功能，请确保DNS服务

28、器位于 DNS 服务器和用户 网络之间.MAC地址过滤在此可以设定 MAC 地址黑名单和白名单,当DNS服务器放置在 2 层网络中时（与客户端中间没有路由设备，客户机的网关直接指向服务器的接口地址），在这里可以设定对 MAC 地址进行一些控制.自我保护自我保护主要提供一些简要的安全防范措施.访问策略如图所示:上方的五个按钮的作用：【启用】：用户提交当前的配置，使配置立即生效.【停用】：停用当前的规则，使得所有的规则都暂不生效.【刷新】：刷新当前的规则表 【状态】：查看已经提交的的规则表【新规则】：添加新的规则到规则表中 左上方显示了当前规则表的状态：是启用还是停用.防火墙规则的执行顺序是从上到

29、下，依次执行.点击【新规则】后，会出现增加新的访问策略规则，如下图所示:【协议】设置规则的协议,可选有icmp,tcp,udp,all等。【源地址】针对规则的发送方【源端口】设置规则的发送方的源端口(只有在tcp和udp协议有效)【目的地址】针对数据包的接收方地址【目的端口】设置规则的接受方的端口(只有在tcp和udp协议有效)【分片允许】是否允许IP碎片的标志【动作】阵对该数据包的处理方法，可选有允许和拒绝【生效与否】设置该规则是否有效【icmp 类型】仅在协议类型为ICMP时有效。【状态检测】这里无需考虑【方向】与【接口】:需搭配使用的,比如要拒绝内网某一台机器上网，则接口选则内部网络对应

30、的接口，方向选择入即可【描述信息】可以写明对该规则的说明.比如要限制内网用户192.168.0.88这个IP地址在早上9点至12点之间禁止访问222.99.99.99这个IP，则可用这样设置:3.4 域名管理:访问策略如图所示：访问策略即依据请求DNS解析的源IP地址而做的一个集合，用于针对不同的源IP回应不同的解析地址。本DNS服务器内置了教育网，网通，电信三个访问策略表，用户可以根据情况进行修改，点击访问策略名称即可对访问策略中的地址进行修改。如图所示：DNS服务器管理如图所示：DNS服务器是针对全局而言，面向的对象为INTERNET上的互联地址。用户有N个internet出口，则需要建立N个DNS服务器，分别回应不同地址的请求解析。比如用户有两个internet出口：教育网和网通。则应建立两个DNS服务器，一个针对教育网，另外一个针对网通(可做缺省),如上图所示，建立了两个DNS服务器,第一个为针对教育网地址的解析，第二个为针对其他地址的解析。在“访问策略”中分别选择edu和all,代表针对教育网和其他所有地址的解析（默认解析）。DNS