안녕하세요.
내부에 DNS(1차/2차) 구성되어 있고 단말들은 해당 DNS 주소로 셋팅되어 있습니다.
신규방화벽 테스트시에 더 성능이 좋음에도 불구하고 인터넷이 느려지는 현상이 발생하여
원인을 찾았는데 DNS 주소였습니다.
내부 DNS 로 셋팅시 느리고 외부(KT/LG등) DNS 로 셋팅시 빨라지는 현상이 나오네요.
이런경우 해결 방안이 있을까요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
6개의 답변이 있습니다.
해결 됐셨다니 다행입니다.
답변주신 모든 분들 감사합니다. 방화벽에서 DNS연결 설정을 미쳐 확인하지 못했습니다.
이전에 비슷한 경험이 있었는데요.
내부 DNS의 reverse dns 에 단말기 대역이 빠져 있으면 인터넷 접속 느릴수 있습니다.
reverse dns 한번 보시고 빠져 있으면 추가해보세요.
제가 해결한 방법 공유드리자면,
1.사내에 내부DNS를 직접 바라보게 하지말고 Client -> 캐싱 네임서버 -> 네임서버 이렇게 구성하는게 좋지않을까싶어요. 중간에 들어가는 캐싱서버는 외부와 홉이 별로없는 DMZ에 두고요.
사내에 DHCP가 있다면 거기에 DNS캐싱 기능 켜두면 됩니다.
2.굳이 로컬 DNS를 운영해야할 필요가 있을까요?
외부에 공개하면 안되 레코드같은 보안상의 이슈 혹은 사설/공인 IP가 다른 도메인이 있다면,
AWS Route53에서 IP Base routing 걸어주면 됩니다. 그러면 관리포인트도 줄고 속도도 훨 빠릅니다.
내부 DNS냐, 외부 DNS냐에 따라 인터넷 속도가 느려진다는것은...
DNS 쿼리 시간이 인터넷 속도에 영향을 미치고 있다는 의미가 되겠는데요.
DNS 쿼리는 서버 접속할때 도메인 이름으로 사용된 서버 주소를 IP 주소로 변환하기 위해 사용되는 용도이겠고...
인터넷 속도가 느리다는 의미는 접속한 웹 사이트의 웹 페이지 내에서 DNS Query를 해야 할 내용이 많다는 걸로 판단해 볼 수도 있을 것 같기도 하고요.
웹페이지 내에서 IP 주소 사용보다는 도메인 주소 사용이 일반적이다 보니... 열고 있는 웹 페이지가 얼마나 많이 외부 서버에 서비스 요청을 받아 페이지 내용을 구성하냐에 따라서 DNS 쿼리 속도가 웹페이지 오픈 속도에 영향을 많이 줄 수 있게 될 것 같고요.
질문 내용으로 다시 돌아와서...
어떤 DNS 서버를 사용했냐에 따라 DNS 쿼리 속도에 차이가 많이 난다는 것은...
DNS 서버가 쿼리 결과를 돌려 주는데 시간 차이가 난다는 의미가 되겠고요.
서버에 요청한 결과는 외부 서버보다는 내부 서버에 요청하는게 빠르다는 것이 일반적인 관점이긴 하지만...
DNS 서버라는 것은 요청 받은 DNS 서버 단독으로 결과를 돌려 줄 수 있는 것이 아니라 상위 DNS 서버에 요청해서 결과를 다시 돌려 주는 형태가 되기 때문에...
내부에 있는 서버이건, 외부에 있는 서버이건 인터넷을 통해서 상위 DNS 서버와의 통신이 추가적으로 발생하게 되기 때문에... 내부에 있는 서버냐, 외부에 있는 서버냐 하는 것이 처리 속도에 큰 영향을 미치지는 않을 것 같고요.
DNS 서버가 쿼리 결과를 얼마나 빨리 처리할 수 있냐 하는 것은...
서버의 성능과 클라이언트와 서버 간의 통신 속도 및 상위 DNS 서버와의 통신 속도,
그리고, 얼마나 많은 쿼리 결과 캐시를 자체 보유하고 있느냐에 따라 쿼리를 돌려 주는 속도에 차이가 있지 않을까 싶어 보이네요.
간단하게 쿼리 결과 응답 속도를 올려 보려 한다면...
내부 DNS 서버의 쿼리 결과 캐시 보유 기간을 늘려 보면 효과가 있지 않을까 싶어 보이네요.
네임서버에 이미 캐시된 도메인들이라면, 내부 dns가 접근속도가 더 빠르니 별 문제가 없어야 할것이고, 외부 dns라고 해도 사실 KT나 U+, 하다못해 cloudflare나, google의 1.1.1.1이나 8.8.8.8도 있는데, 구글쪽은 dns 반응이 느리다고 치고(20~30ms), KT나 cloudflare정도면 2ms 이내라서 사실 큰 차이가 없다고 봐야 할 것 같습니다.
네임서버에서 리턴이 오래걸리지 않는 이상 딜레이가 나질 않을 것 같은데 신기하네요.
캐시가 되지 않은 도메인이라, 해당 네임에 대한 실제 주소를 찾기 위한 응답에서의 지연이 발생한다면 그럴 수 있는데 캐시가 계속 쌓여갈거라 그럴리는 없다고 보고
네임서버를 구축하면서 성능 자체를 너무 내려두셨을 리도 없을것 같구요.
일단 네임서버가 icmp 리턴을 얼마만에 하는지, 실제 응답이 얼마만에 오는지를 보셔야 이유가 나오지 않을까 싶습니다.