如何配置思科的DNS？

在思科设备（如路由器、交换机、防火墙等）上配置DNS，通常有几种不同的场景和用途，下面根据最常见的需求，分情况说明配置方法。

场景一：为设备本身配置DNS（用于设备解析域名）

这是最基础的需求，让思科设备自己能通过域名访问外部（例如ping www.example.com，或设置NTP服务器域名）。

配置步骤（全局配置模式）：

1、进入全局配置模式：

    enable
    configure terminal

2、指定一个或多个DNS服务器地址：

    ip name-server 8.8.8.8
    ip name-server 4.2.2.2

*（8.8.8.8是Google公共DNS，4.2.2.2是Level 3/Verizon的备用DNS，请根据你的网络环境替换）

3、（可选）启用域名解析服务：

    ip domain-lookup

*（该命令默认是开启的，如果之前被关闭了，需要用此命令开启，它告诉设备在遇到未定义的主机名时去查询DNS服务器。）

4、（可选）设置默认域名后缀：

    ip domain-name yourcompany.com

*（这样当你只输入ping server1时，设备会自动尝试解析server1.yourcompany.com。）

验证：

show hosts

你应当能看到配置的DNS服务器和解析过的域名缓存。

测试：

ping www.baidu.com

如果配置正确，设备会返回IP地址并开始ping。

场景二：为内网客户端提供DNS中继/代理（DHCP+DNS）

在这种场景下，思科设备充当内网客户端的DNS中继（Relay），内网客户端（PC、手机）将DNS请求发送给网关（思科设备），然后思科设备再将请求转发给上游的真正DNS服务器（如8.8.8.8或公司内部DNS）。

配置步骤（接口+SVI + 全局）：

1、基础DNS设置（同上）：

    ip name-server 8.8.8.8
    ip domain-lookup

2、配置DHCP池（在设备上做DHCP Server）：

这是最常用的方式，在DHCP配置中，将DNS服务器地址指向设备本身（通常是网关地址）。

    ip dhcp pool LAN_POOL
     network 192.168.1.0 255.255.255.0
     default-router 192.168.1.1        ! 网关
     dns-server 192.168.1.1            ! 关键：将DNS指向设备自己！

3、启用DNS中继/代理：

当客户端将DNS请求发给192.168.1.1（设备本身）时，设备需要知道去哪里查询，上面已经配置了ip name-server，它默认就会转发DNS请求，但为了明确启用代理功能（尤其是在较老版本或特定型号上）：

    ip dns server       ! 让设备成为一个简单的DNS服务器（代理模式）

注意：

- 如果你的设备是作为三层交换机且配置了多个VLAN，客户端需要通过ip helper-address将DNS请求广播到设备IP，或者直接配置设备为DHCP Server。

- 这种配置下，思科设备本质上是DNS代理，它不缓存所有域名（虽然会缓存少量查询结果），主要工作是转发。

场景三：在接口上配置DNS（极少见）

通常情况下，DNS是全局配置，但某些特定场景（如使用基于策略的路由），你可能需要在接口上配置名字服务器，这在思科路由器的接口配置子模式下并不直接支持，更常见的是通过VRF来隔离DNS配置。

对于99%的用户，只需使用场景一的全局配置即可。

场景四：配置DNS Server（高级 - 思科设备作为简易DNS服务器）

有些思科设备（特别是带有IOS-XE或特定服务模块）可以配置为权威DNS服务器，用于解析内部域名，这通常用于小型网络，避免搭建独立的DNS服务器。

ip dns server          ! 启用DNS服务器功能
ip host myapp.local 192.168.10.50    ! 手动添加域名记录（静态映射）

这样，内网客户端配置DNS为该设备IP后，访问myapp.local就能解析到192.168.10.50。

常见问题排查

Q: 配置了DNS，但设备解析域名很慢或失败？

1、检查网络连通性：在设备上ping 8.8.8.8是否能通？如果不通，需要检查默认路由（ip route 0.0.0.0 0.0.0.0 你的外网网关IP）。

2、检查解析服务：show ip dns server（如果启用了）或debug ip dns（在特权模式下谨慎使用，会输出大量日志）。

3、检查ACL：是否有ACL（访问控制列表）阻止了设备发往53端口的UDP流量？在出站接口上检查。

4、域名后缀问题：如果ping server1失败了，但ping server1.yourcompany.com成功了，说明ip domain-name未配置或配置错误。

Q: 如何删除配置？

no ip name-server 8.8.8.8
no ip domain-lookup

设备自己用：ip name-server 8.8.8.8 +ip domain-lookup

给内网客户用：ip name-server ... + DHCP中把DNS指向设备 + 必要时ip dns server。

如果你需要配置的是Cisco Firepower（ftd）或Cisco ASA防火墙，命令略有不同（ASA在全局配置中使用dns name-server和dns domain-lookup），但核心思路一致。

最后还是建议根据你的设备型号查阅对应版本的命令参考文档，不同型号和不同IOS版本的具体命令可能存在差异。

文章摘自：https://idc.huochengrm.cn/dns/26115.html