Redirecionamento DNS no Nokia 7750
Este documento descreve como redirecionar todas as consultas DNS (TCP/UDP 53) para seus resolvers utilizando SR OS em um Nokia 7750 SR-1. Inclui variantes para roteamento global (Base router) e VPRN (VRF).
Pré-requisitos
Acesso à CLI do SR OS com privilégios de configuração.
Rotas/ARP válidas até os resolvers a partir da VRF onde a política será aplicada.
Definidas as portas/VLAN/SAP por onde os clientes ingressam.
Variáveis
Variável |
Descrição / Exemplo |
|---|---|
|
IP do resolver primário (ex. |
|
IP do resolver de backup (ex. |
|
(Opcional) IP v6 do resolver (ex. |
|
ID do serviço VPRN/IES (ex. |
|
Nome da interface em VPRN/IES (ex. |
|
SAP físico:VLAN (ex. |
Nota
Nos exemplos são mostrados blocos para Base router e para VPRN. Escolha um conforme sua topologia.
Passo 1: Política de redirecionamento (PBR)
Base router
configure
router
redirect-policy "DNS-PBR"
primary-nexthop <DNS_PRIMARY>
backup-nexthop <DNS_BACKUP>
exit
exit
VPRN
configure
service
vprn <SERVICE_ID> customer 1
# ... (tu config existente)
redirect-policy "DNS-PBR"
primary-nexthop <DNS_PRIMARY>
backup-nexthop <DNS_BACKUP>
exit
exit
exit
Importante
Verifique conectividade (rota/ARP) até <DNS_PRIMARY> e <DNS_BACKUP> na VRF correspondente; sem isso o redirecionamento não funcionará.
Passo 2: Filtros L3 que fazem match de DNS e redirecionam
IPv4
configure
filter
ip-filter "DNS-REDIR"
default-action accept
# Evitar loop: no redirijas si el destino YA es tu resolver.
entry 5 create
match dst-ip <DNS_PRIMARY>/32
action accept
exit
entry 6 create
match dst-ip <DNS_BACKUP>/32
action accept
exit
# DNS UDP 53
entry 10 create
match protocol udp dst-port 53
action redirect-policy "DNS-PBR"
exit
# DNS TCP 53
entry 20 create
match protocol tcp dst-port 53
action redirect-policy "DNS-PBR"
exit
exit
exit
IPv6 (opcional)
configure
filter
ipv6-filter "DNS6-REDIR"
default-action accept
# Evitar loop a tu resolver v6
entry 5 create
match dst-ip <DNS6_PRIMARY>/128
action accept
exit
# DNSv6 UDP 53
entry 10 create
match next-header udp dst-port 53
action redirect-policy "DNS-PBR"
exit
# DNSv6 TCP 53
entry 20 create
match next-header tcp dst-port 53
action redirect-policy "DNS-PBR"
exit
exit
exit
Dica
Você pode adicionar mais exclusões com entradas adicionais (ex. CPEs ou servidores que já utilizam seus resolvers “bons”).
Passo 3: Aplicar o filtro na entrada por onde os clientes ingressam
Base router – Porta/LAG física
configure
port 1/1/1
ethernet
ingress
filter ip "DNS-REDIR"
# Para IPv6, si corresponde:
# filter ipv6 "DNS6-REDIR"
exit
exit
exit
VPRN (VRF) – Interface/SAP de acesso
configure
service
vprn <SERVICE_ID>
interface "<IF_NAME>"
sap <PORT>:<VLAN> create
ingress
filter ip "DNS-REDIR"
# Para IPv6, si corresponde:
# filter ipv6 "DNS6-REDIR"
exit
exit
exit
exit
exit
IES (se aplicável)
configure
service
ies <SERVICE_ID> customer 1 create
interface "<IF_NAME>"
sap <PORT>:<VLAN> create
ingress
filter ip "DNS-REDIR"
exit
exit
exit
exit
exit
Verificação
Comandos úteis
# Ver detalle del filtro
show filter ip "DNS-REDIR" detail
# Contadores por entrada
show filter ip "DNS-REDIR" entry 10 statistics
show filter ip "DNS-REDIR" entry 20 statistics
# Confirmar aplicación del filtro en una interfaz/SAP
show router interface "<IF_NAME>" detail
# o, en servicios:
show service id <SERVICE_ID> interface "<IF_NAME>" sap <PORT>:<VLAN>
# Reachability hacia el resolver (en la VRF correspondiente)
# Base router:
ping router <DNS_PRIMARY>
traceroute <DNS_PRIMARY>
# En VPRN:
show service id <SERVICE_ID> route-table
ping service <SERVICE_ID> <DNS_PRIMARY>
Considerações
TCP e UDP: inclui tráfego em 53/udp e 53/tcp (respostas grandes e transferências de zona utilizam TCP).
DoT/DoH: esta técnica não intercepta DNS over TLS (853/TCP) nem DNS over HTTPS (443/TCP). Para isso são necessárias outras políticas/controles.
Ordem/templates: se você utilizar cadeias de políticas, insira o filtro no local correto.
Exceções: adicione entries de
action acceptpara IPs/segmentos que você não deseja redirecionar.Desempenho: os filtros são leves; monitore os contadores para validar o impacto.
Plano B: PBR direto no filtro (se sua release suportar)
Algumas versões permitem forward next-hop na ação do filtro, sem utilizar redirect-policy:
configure
filter
ip-filter "DNS-REDIR"
default-action accept
entry 10 create
match protocol udp dst-port 53
action forward next-hop <DNS_PRIMARY>
exit
entry 20 create
match protocol tcp dst-port 53
action forward next-hop <DNS_PRIMARY>
exit
exit
exit
Aviso
redirect-policy normalmente é o método mais portátil entre as releases do SR OS. Utilize forward next-hop apenas se souber que sua versão o suporta e se preferir utilizá-lo.
Rollback (desfazer alterações)
configure
filter
no ip-filter "DNS-REDIR"
no ipv6-filter "DNS6-REDIR"
exit
router
no redirect-policy "DNS-PBR"
exit
service
vprn <SERVICE_ID>
no redirect-policy "DNS-PBR"
interface "<IF_NAME>"
sap <PORT>:<VLAN>
ingress
no filter ip "DNS-REDIR"
no filter ipv6 "DNS6-REDIR"
exit
exit
exit
exit
# Si usaste IES:
ies <SERVICE_ID>
interface "<IF_NAME>"
sap <PORT>:<VLAN>
ingress
no filter ip "DNS-REDIR"
exit
exit
exit
exit
exit