=============================== Redirección DNS en Nokia 7750 =============================== Este documento describe cómo **redirigir todas las consultas DNS (TCP/UDP 53)** hacia tus *resolvers* usando **SR OS** en un **Nokia 7750 SR-1**. Incluye variantes para enrutamiento global (*Base router*) y **VPRN** (VRF). .. contents:: :local: :depth: 2 Prerequisitos ============= - Acceso a la CLI de SR OS con privilegios de configuración. - Rutas/ARP válidas hacia los *resolvers* desde la VRF donde se aplique la política. - Definidos los puertos/VLAN/SAP donde ingresan los clientes. Variables ========= .. list-table:: :widths: 30 70 :header-rows: 1 * - Variable - Descripción / Ejemplo * - ```` - IP del *resolver* primario (ej. ``192.0.2.53``) * - ```` - IP del *resolver* de respaldo (ej. ``192.0.2.54``) * - ```` - (Opcional) IP v6 del *resolver* (ej. ``2001:db8::53``) * - ```` - ID del servicio VPRN/IES (ej. ``100``) * - ```` - Nombre de la interfaz en VPRN/IES (ej. ``to-CPE-1``) * - ``:`` - SAP físico:VLAN (ej. ``1/1/1:100``) .. note:: En los ejemplos se muestran bloques para **Base router** y para **VPRN**. Elegí **uno** según tu topología. Paso 1: Política de redirección (PBR) ===================================== **Base router** --------------- .. code-block:: text configure router redirect-policy "DNS-PBR" primary-nexthop backup-nexthop exit exit **VPRN** -------- .. code-block:: text configure service vprn customer 1 # ... (tu config existente) redirect-policy "DNS-PBR" primary-nexthop backup-nexthop exit exit exit .. important:: Verificá conectividad (ruta/ARP) hacia ```` y ```` en la VRF correspondiente; sin ello la redirección no funcionará. Paso 2: Filtros L3 que *matchean* DNS y redirigen ================================================= IPv4 ---- .. code-block:: text configure filter ip-filter "DNS-REDIR" default-action accept # Evitar loop: no redirijas si el destino YA es tu resolver. entry 5 create match dst-ip /32 action accept exit entry 6 create match dst-ip /32 action accept exit # DNS UDP 53 entry 10 create match protocol udp dst-port 53 action redirect-policy "DNS-PBR" exit # DNS TCP 53 entry 20 create match protocol tcp dst-port 53 action redirect-policy "DNS-PBR" exit exit exit IPv6 (opcional) --------------- .. code-block:: text configure filter ipv6-filter "DNS6-REDIR" default-action accept # Evitar loop a tu resolver v6 entry 5 create match dst-ip /128 action accept exit # DNSv6 UDP 53 entry 10 create match next-header udp dst-port 53 action redirect-policy "DNS-PBR" exit # DNSv6 TCP 53 entry 20 create match next-header tcp dst-port 53 action redirect-policy "DNS-PBR" exit exit exit .. tip:: Podés agregar más exclusiones con entradas adicionales (p. ej. CPEs o servidores que ya usan tus resolvers “buenos”). Paso 3: Aplicar el filtro en **ingreso** donde entran los clientes ================================================================== Base router – Puerto/LAG físico ------------------------------- .. code-block:: text configure port 1/1/1 ethernet ingress filter ip "DNS-REDIR" # Para IPv6, si corresponde: # filter ipv6 "DNS6-REDIR" exit exit exit VPRN (VRF) – Interfaz/SAP de acceso ----------------------------------- .. code-block:: text configure service vprn interface "" sap : create ingress filter ip "DNS-REDIR" # Para IPv6, si corresponde: # filter ipv6 "DNS6-REDIR" exit exit exit exit exit IES (si aplica) --------------- .. code-block:: text configure service ies customer 1 create interface "" sap : create ingress filter ip "DNS-REDIR" exit exit exit exit exit Verificación ============ Comandos útiles --------------- .. code-block:: text # Ver detalle del filtro show filter ip "DNS-REDIR" detail # Contadores por entrada show filter ip "DNS-REDIR" entry 10 statistics show filter ip "DNS-REDIR" entry 20 statistics # Confirmar aplicación del filtro en una interfaz/SAP show router interface "" detail # o, en servicios: show service id interface "" sap : # Reachability hacia el resolver (en la VRF correspondiente) # Base router: ping router traceroute # En VPRN: show service id route-table ping service Consideraciones =============== - **TCP y UDP**: se incluye tráfico en **53/udp** y **53/tcp** (respuestas grandes y transferencias de zona usan TCP). - **DoT/DoH**: esta técnica **no** intercepta **DNS over TLS (853/TCP)** ni **DNS over HTTPS (443/TCP)**. Para ello se requieren otras políticas/controles. - **Orden/plantillas**: si usás cadenas de políticas, insertá el filtro en el lugar correcto. - **Excepciones**: agregá *entries* de ``action accept`` para IPs/segmentos que **no** quieras redirigir. - **Rendimiento**: los filtros son ligeros; monitoreá contadores para validar impacto. Plan B: PBR directo en el filtro (si tu release lo soporta) =========================================================== Algunas versiones permiten *forward next-hop* en la acción del filtro, sin usar ``redirect-policy``: .. code-block:: text configure filter ip-filter "DNS-REDIR" default-action accept entry 10 create match protocol udp dst-port 53 action forward next-hop exit entry 20 create match protocol tcp dst-port 53 action forward next-hop exit exit exit .. warning:: ``redirect-policy`` suele ser el método **más portable** entre releases SR OS. Usá *forward next-hop* solo si sabés que tu versión lo soporta y lo preferís. Rollback (deshacer cambios) =========================== .. code-block:: text configure filter no ip-filter "DNS-REDIR" no ipv6-filter "DNS6-REDIR" exit router no redirect-policy "DNS-PBR" exit service vprn no redirect-policy "DNS-PBR" interface "" sap : ingress no filter ip "DNS-REDIR" no filter ipv6 "DNS6-REDIR" exit exit exit exit # Si usaste IES: ies interface "" sap : ingress no filter ip "DNS-REDIR" exit exit exit exit exit