SANGFOR SSL v6.度渠道高级认证培训04 域名解析设置培训.ppt

培训内容 培训目标 域名解析设置介绍 掌握域名解析设置的应用场景 域名解析设置原理 掌握域名解析设置的数据流走向以及原理 典型客户案例 掌握域名解析的配置步骤与方法 域名解析设置介绍 域名解析设置原理 深信服公司简介 域名解析设置典型案例 SANGFOR SSL 域名解析设置介绍 SSL VPN支持内网需要通过内部域名才能访问的资源应用。当内网存在此类应用时，一般有一台或者多台内网DNS服务器，给内网服务器访问提供域名解析服务。客户要求客户端接入SSL VPN通过域名进行访问，这个时候可以通过域名解析设置来实现客户的需求。 内网服务器的资源的添加方式有如下两种： 1.添加SSL VPN资源的时候添加域名 2.添加SSL VPN资源的时候添加IP地址 域名解析原理 1. 通过域名方式添加资源实现时，数据流走向如下： 客户端PC Web服务器 DNS服务器 添加TCP应用 请求对应的IP地址 : 访问 数据被控件抓走 告知设备要访问的 是 访问到 域名解析原理 2. 通过IP方式添加资源实现时，数据流走向如下： Web服务器 DNS服务器 添加DNS规则 访问 数据被控件抓走 请求对应的IP地址 请求对应的IP地址 域名控件抓包，告诉设备要访问 访问到 下发DNS规则 域名解析设置 通过域名的方式添加资源，设备将使用此处设置的DNS服务器解析IP地址。 通过IP的方式添加资源，必须同时设置内网DNS规则和DNS服务器 只有PC访问的内网服务器需通过域控制器认证的情况下才开启。 域名解析设置典型案例 某客户拓扑如右图所示。客户需要通过SSL VPN访问内网的WEB服务器群。客户要求客户端登陆SSL VPN之后可以通过、等域名访问到内部的WEB服务器群，内网有一个DNS服务器，这些域名必须通过内网DNS服务器进行解析。 客户网络环境与需求 域名解析设置典型案例 解决方案一：通过启用SSL VPN的域名解析设置，添加资源的时候添加等域名实现。 解决方案二：通过启用SSL VPN的域名解析设置，添加资源的时候添加0等IP实现。 SANGFOR 解决方案 域名解析设置典型案例 方案一，通过添加域名方式的资源的域名解析配置思路： 1.基础网络配置：请参考初级认证培训教程 2.【系统设置】-【SSL VPN选项】-【系统选项】-【内网域名解析】设置内网DNS服务器地址。 3.【SSL VPN设置】-【资源管理】-【TCP应用】，新建等域名资源。 4.【SSL VPN设置】-【角色授权】，新建角色，将用户组和资源关联即可。 域名解析设置典型案例 方案一配置方法截图： 填入内网DNS服务器的IP 域名方式添加资源 将资源授权给用户 域名解析设置典型案例 方案二，通过添加IP形式的资源的域名解析配置思路： 1.基础网络配置：请参考初级认证培训教程 2. 【系统设置】-【SSL VPN选项】-【系统选项】-【内网域名解析】设置内网DNS服务器地址。 3. 【系统设置】-【SSL VPN选项】-【系统选项】-【内网域名解析】-【内网DNS规则设置】添加等域名。支持通配符。 4.【SSL VPN设置】-【资源管理】-【TCP应用】，新建0-9等WEB服务器资源。 5.【SSL VPN设置】-【角色授权】，新建角色，将用户组和资源关联。 域名解析设置典型案例 方案二配置方法截图： 填写内网DNS服务器的IP 添加对应服务器的域名，支持通配符，可填写成*.的形式。 通过IP方式填写资源 将资源授权给用户 域名解析设置典型案例 1. 域名解析设置只对TCP应用和L3VPN应用的资源需要通过内网DNS服务器解析的应用场景才有效。WEB应用的环境下，只需要SSL设备本身能解析该内网域名即可（通过网络设置中的DNS解析或者添加HOSTS）。 2. 当SSL VPN设备设置了系统HOSTS时，则系统HOSTS优先级更高，首先会匹配系统HOSTS。 3.当SSL VPN设备通过内网DNS服务器无法解析到域名时，会尝试通过WAN口设置的DNS进行解析。 优先级如下： 系统HOSTS 内网DNS WAN口DNS 注意事项： 注意事项 1、如果发布了资源之后，发现用域名访问资源无法正常打开应用，或者网页显示不全，例如图片无法显示之类的问题，请确认资源能否正常解析，可借助httpwatch工具进行排查，详细检查资源配置和域名策略设置。 2、发布金蝶K3、用友等应用，此类资源可能必须用计算机名才能正常访问，如果发现用IP发布资源无法正常访问，可尝试用域名发布资源，然后设置DNS配置或添加系统HOST，通过域名是访问这些应用。 问题思考 1.域名解析设置的时候通过IP方式添加资源和通过域名方式添加资源的实