Redirección DNS en Nokia 7750
Este documento describe cómo redirigir todas las consultas DNS (TCP/UDP 53) hacia tus resolvers usando SR OS en un Nokia 7750 SR-1. Incluye variantes para enrutamiento global (Base router) y VPRN (VRF).
Prerequisitos
Acceso a la CLI de SR OS con privilegios de configuración.
Rutas/ARP válidas hacia los resolvers desde la VRF donde se aplique la política.
Definidos los puertos/VLAN/SAP donde ingresan los clientes.
Variables
Variable |
Descripción / Ejemplo |
|---|---|
|
IP del resolver primario (ej. |
|
IP del resolver de respaldo (ej. |
|
(Opcional) IP v6 del resolver (ej. |
|
ID del servicio VPRN/IES (ej. |
|
Nombre de la interfaz en VPRN/IES (ej. |
|
SAP físico:VLAN (ej. |
Nota
En los ejemplos se muestran bloques para Base router y para VPRN. Elegí uno según tu topología.
Paso 1: Política de redirección (PBR)
Base router
configure
router
redirect-policy "DNS-PBR"
primary-nexthop <DNS_PRIMARY>
backup-nexthop <DNS_BACKUP>
exit
exit
VPRN
configure
service
vprn <SERVICE_ID> customer 1
# ... (tu config existente)
redirect-policy "DNS-PBR"
primary-nexthop <DNS_PRIMARY>
backup-nexthop <DNS_BACKUP>
exit
exit
exit
Importante
Verificá conectividad (ruta/ARP) hacia <DNS_PRIMARY> y <DNS_BACKUP> en la VRF
correspondiente; sin ello la redirección no funcionará.
Paso 2: Filtros L3 que matchean DNS y redirigen
IPv4
configure
filter
ip-filter "DNS-REDIR"
default-action accept
# Evitar loop: no redirijas si el destino YA es tu resolver.
entry 5 create
match dst-ip <DNS_PRIMARY>/32
action accept
exit
entry 6 create
match dst-ip <DNS_BACKUP>/32
action accept
exit
# DNS UDP 53
entry 10 create
match protocol udp dst-port 53
action redirect-policy "DNS-PBR"
exit
# DNS TCP 53
entry 20 create
match protocol tcp dst-port 53
action redirect-policy "DNS-PBR"
exit
exit
exit
IPv6 (opcional)
configure
filter
ipv6-filter "DNS6-REDIR"
default-action accept
# Evitar loop a tu resolver v6
entry 5 create
match dst-ip <DNS6_PRIMARY>/128
action accept
exit
# DNSv6 UDP 53
entry 10 create
match next-header udp dst-port 53
action redirect-policy "DNS-PBR"
exit
# DNSv6 TCP 53
entry 20 create
match next-header tcp dst-port 53
action redirect-policy "DNS-PBR"
exit
exit
exit
Truco
Podés agregar más exclusiones con entradas adicionales (p. ej. CPEs o servidores que ya usan tus resolvers “buenos”).
Paso 3: Aplicar el filtro en ingreso donde entran los clientes
Base router – Puerto/LAG físico
configure
port 1/1/1
ethernet
ingress
filter ip "DNS-REDIR"
# Para IPv6, si corresponde:
# filter ipv6 "DNS6-REDIR"
exit
exit
exit
VPRN (VRF) – Interfaz/SAP de acceso
configure
service
vprn <SERVICE_ID>
interface "<IF_NAME>"
sap <PORT>:<VLAN> create
ingress
filter ip "DNS-REDIR"
# Para IPv6, si corresponde:
# filter ipv6 "DNS6-REDIR"
exit
exit
exit
exit
exit
IES (si aplica)
configure
service
ies <SERVICE_ID> customer 1 create
interface "<IF_NAME>"
sap <PORT>:<VLAN> create
ingress
filter ip "DNS-REDIR"
exit
exit
exit
exit
exit
Verificación
Comandos útiles
# Ver detalle del filtro
show filter ip "DNS-REDIR" detail
# Contadores por entrada
show filter ip "DNS-REDIR" entry 10 statistics
show filter ip "DNS-REDIR" entry 20 statistics
# Confirmar aplicación del filtro en una interfaz/SAP
show router interface "<IF_NAME>" detail
# o, en servicios:
show service id <SERVICE_ID> interface "<IF_NAME>" sap <PORT>:<VLAN>
# Reachability hacia el resolver (en la VRF correspondiente)
# Base router:
ping router <DNS_PRIMARY>
traceroute <DNS_PRIMARY>
# En VPRN:
show service id <SERVICE_ID> route-table
ping service <SERVICE_ID> <DNS_PRIMARY>
Consideraciones
TCP y UDP: se incluye tráfico en 53/udp y 53/tcp (respuestas grandes y transferencias de zona usan TCP).
DoT/DoH: esta técnica no intercepta DNS over TLS (853/TCP) ni DNS over HTTPS (443/TCP). Para ello se requieren otras políticas/controles.
Orden/plantillas: si usás cadenas de políticas, insertá el filtro en el lugar correcto.
Excepciones: agregá entries de
action acceptpara IPs/segmentos que no quieras redirigir.Rendimiento: los filtros son ligeros; monitoreá contadores para validar impacto.
Plan B: PBR directo en el filtro (si tu release lo soporta)
Algunas versiones permiten forward next-hop en la acción del filtro,
sin usar redirect-policy:
configure
filter
ip-filter "DNS-REDIR"
default-action accept
entry 10 create
match protocol udp dst-port 53
action forward next-hop <DNS_PRIMARY>
exit
entry 20 create
match protocol tcp dst-port 53
action forward next-hop <DNS_PRIMARY>
exit
exit
exit
Advertencia
redirect-policy suele ser el método más portable entre releases SR OS.
Usá forward next-hop solo si sabés que tu versión lo soporta y lo preferís.
Rollback (deshacer cambios)
configure
filter
no ip-filter "DNS-REDIR"
no ipv6-filter "DNS6-REDIR"
exit
router
no redirect-policy "DNS-PBR"
exit
service
vprn <SERVICE_ID>
no redirect-policy "DNS-PBR"
interface "<IF_NAME>"
sap <PORT>:<VLAN>
ingress
no filter ip "DNS-REDIR"
no filter ipv6 "DNS6-REDIR"
exit
exit
exit
exit
# Si usaste IES:
ies <SERVICE_ID>
interface "<IF_NAME>"
sap <PORT>:<VLAN>
ingress
no filter ip "DNS-REDIR"
exit
exit
exit
exit
exit