dns解析IP過多使用TCP傳輸解析數據

最近發現內網用戶淘寶主頁不能訪問，但是旺旺可以登錄；但是直接將計算機接到外網，訪問淘寶主頁正常；
從而判斷問題肯定出在內部。
我們網絡內部架有自己的dns轉發服務器，如果從內部解析，發現其他域名解析正常，而唯獨www.taobao.com不能正常解析；
nslookup結果（直接用外網）：
Server:  cache3-ec
Address:  202.102.224.68
Non-authoritative answer:
Name:    www.gslb.taobao.com
Addresses:  121.14.24.251, 121.14.63.241, 121.14.63.251, 121.194.7.241
          121.194.7.251, 121.207.229.241, 121.207.229.251, 122.224.194.180, 122.224.194.190
          122.224.194.200, 122.224.194.210, 123.129.244.241, 123.129.244.251, 124.232.159.241
          124.232.159.251, 125.39.85.241, 125.39.85.251, 125.39.87.241, 125.39.87.251
          125.76.224.241, 125.76.224.251, 211.138.122.241, 211.138.122.251, 218.108.237.226
          220.181.78.241, 220.181.78.251, 58.215.106.241, 58.215.106.251, 61.55.165.241
          61.55.165.251, 61.158.239.241, 61.158.239.251, 61.189.3.241, 61.189.3.251
          114.80.174.241, 114.80.174.251, 114.80.182.241, 114.80.182.251, 118.123.202.241
          118.123.202.251, 119.97.134.241, 119.97.134.251, 119.167.235.241, 119.167.235.251
          121.0.23.78, 121.0.23.86, 121.14.24.241
Aliases:  www.taobao.com
直接接到外網，用網通dns解析www.taobao.com可以正常解析，用netstat -an 查看發現解析時使用了tcp53，如下：
  TCP    222.22.222.222:2627    202.102.224.68:53      TIME_WAIT
防火牆規則對外只開放了udp53，沒有開放tcp53，原來使用一直正常，查了一下資料，原來www.taobao.com解析出來的ip太多，導致報文過長，而UDP的報文最大長度爲512字節；解析器發現後，將使用TCP重發request，TCP允許報文長度超過512字節。
修改防火牆規則，允許dns使用tcp傳輸即可。