背景

DNS服務(wù)的作用是通過域名找到對應(yīng)IP。對于一家科技企業(yè)來說，搭建一套內(nèi)網(wǎng)DNS是很有必要的。當(dāng)企業(yè)將服務(wù)整體搬遷到阿里云上后，就面臨著辦公網(wǎng)絡(luò)環(huán)境和阿里云互聯(lián)互通的問題。這里面，DNS扮演著企業(yè)內(nèi)部尋址服務(wù)的關(guān)鍵角色，如何在辦公網(wǎng)環(huán)境下也能利用阿里云DNS完成內(nèi)部域名解析，成了很多客戶上云后的難點。

本文介紹一種在VPN互聯(lián)互通場景下，利用阿里云DNS解析內(nèi)部域名的實踐方案。

適用場景

阿里云VPC內(nèi)提供的DNS server支持內(nèi)網(wǎng)解析功能，通過VPN網(wǎng)關(guān)可以使用IPsec協(xié)議把線下的網(wǎng)絡(luò)（如本地數(shù)據(jù)中心/分支機(jī)構(gòu)）和VPC進(jìn)行互通。本教程介紹通過VPN網(wǎng)關(guān)訪問阿里云上內(nèi)網(wǎng)DNS的方法。

資源準(zhǔn)備

• 阿里云內(nèi)網(wǎng)解析的DNS服務(wù)器地址如下：

• 創(chuàng)建了VPN和用戶網(wǎng)關(guān)，創(chuàng)建VPN網(wǎng)關(guān)請參考創(chuàng)建和管理VPN網(wǎng)關(guān)實例，創(chuàng)建用戶網(wǎng)關(guān)請參考創(chuàng)建和管理用戶網(wǎng)關(guān)。

操作步驟

第一步 在VPN網(wǎng)關(guān)上配置訪問DNS服務(wù)器的IPsec連接

1. 登錄專有網(wǎng)絡(luò)產(chǎn)品控制臺。

2. 在左側(cè)導(dǎo)航欄，單擊 網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 選擇創(chuàng)建IPsec連接的地域。

4. 在 IPsec連接 頁面，單擊 創(chuàng)建IPsec連接。

5. 在 創(chuàng)建IPsec連接 頁面，根據(jù)以下信息配置IPsec連接，然后單擊確定。

• IPsec配置信息

第二步 新建從線下網(wǎng)絡(luò)到VPN網(wǎng)關(guān)的IPSec

• 單擊創(chuàng)建IPsec連接，在相同的VPN網(wǎng)關(guān)上新建IPsec連接，除了本地網(wǎng)段換為100.100.2.136/32以外，其他參數(shù)保持完全一致。否則IPsec的第一階段協(xié)商可能會失敗.

• IPsec配置

第三步 線下網(wǎng)絡(luò)配置（聯(lián)系公司網(wǎng)工）

• VPN網(wǎng)關(guān)配置對應(yīng)的IPsec連接，參數(shù)跟上面一致，請參考具體設(shè)備產(chǎn)商說明書配置；

• 配置線下網(wǎng)絡(luò)路由，把100.100.2.136/32的路由指向線下VPN網(wǎng)關(guān)上的IPsec隧道。

第四步 觀察IPsec隧道

如果一切配置正確，應(yīng)該能觀察到IPsec隧道協(xié)商成功。如果還有問題，請聯(lián)系阿里云網(wǎng)絡(luò)技術(shù)支持，或者公司網(wǎng)工。

第五步 域名解析驗證

• 先ping驗證到DNS連通性，時延取決于從IDC到VPN網(wǎng)關(guān)的公網(wǎng)質(zhì)量

• 使用100.100.2.136解析內(nèi)網(wǎng)域名

驗證成功后，即可完成線下網(wǎng)絡(luò)和阿里云VPC通過VPN網(wǎng)關(guān)共享DNS解析的方案。