DNS-04-子域授权
实验环境
ns1.magedu.com 172.18.71.101/24 CentOS-6.7-x86_64 父域 ns1.dev.magedu.com 172.18.71.102/24 CentOS-7.2-x86_64 子域 localhost.localdomain 172.18.71.103/24 CentOS-7.2-x86_64 测试机
iptables与SELinux均处于关闭状态。
安装bind
[[email protected] ~]# yum install -y bind bind-libs bind-utils
首先,分别修改两个节点主机的主配置文件/etc/named.conf,注释掉仅允许本机查询请求和dnssec(可能影响实验结果),并在监听地址列表中增加各自向外部提供服务的IP地址。
options {
listen-on port 53 { 127.0.0.1; 172.18.71.101; };
...
//allow-query { localhost; };
...
//dnssec-enable yes;
//dnssec-validation yes;
//dnssec-lookaside auto;
...
};
时间同步
一般来说,多节点协同工作首先就是要校准时间,使之时间同步。联网状态下可使用ntpdate命令统一找授时中心校准,不能联网可使用date命令手动校准。
配置父域
首先参照DNS-02-单服务器配置一个正向区域magedu.com。
另外需要在父域的magedu.com区域数据库文件中增加子域的NS记录以及相应的A记录。
$TTL 1D @ IN SOA @ ns-admin.magedu.com. ( 2016040801 1D 1H 1W 3H ) IN NS ns1 IN MX 10 mx1 ns1 IN A 172.18.71.101 mx1 IN A 172.18.71.101 www IN A 172.18.71.101 www IN A 172.18.71.102 bbs IN CNAME www dev.magedu.com. IN NS ns1.dev.magedu.com. ns1.dev.magedu.com. IN A 172.18.71.102
检查区域解析数据库文件和主配置文件的语法
[[email protected] named]# named-checkzone magedu.com magedu.com.zone zone magedu.com/IN: loaded serial 2016040801 OK [[email protected] named]# named-checkconf
启动服务
[[email protected] named]# /etc/init.d/named start Generating /etc/rndc.key: [ OK ] Starting named: [ OK ]
配置子域
首先参照DNS-02-单服务器配置一个正向区域dev.magedu.com。
$TTL 1D @ IN SOA @ ns-admin.dev.magedu.com. ( 2016040901 1D 1H 1W 3H ) IN NS ns1 IN MX 10 mx1 ns1 IN A 172.18.71.102 mx1 IN A 172.18.71.102 www IN A 172.18.71.102 bbs IN CNAME www
检查区域解析数据库文件和主配置文件的语法
[[email protected] named]# named-checkzone dev.magedu.com dev.magedu.com.zone zone dev.magedu.com/IN: loaded serial 2016040901 OK [[email protected] named]# named-checkconf
启动服务
[[email protected] ~]# systemctl start named
测试结果
1. 父域服务器解析子域域名
使用父域服务器解析子域域名,可以得到结果。
[[email protected] ~]# dig -t A www.dev.magedu.com @172.18.71.101 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dev.magedu.com @172.18.71.101 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62292 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.dev.magedu.com. IN A ;; ANSWER SECTION: www.dev.magedu.com. 86100 IN A 172.18.71.102 ;; AUTHORITY SECTION: dev.magedu.com. 86400 IN NS ns1.dev.magedu.com. ;; Query time: 2 msec ;; SERVER: 172.18.71.101#53(172.18.71.101) ;; WHEN: 五 4月 08 20:57:43 CST 2016 ;; MSG SIZE rcvd: 81
关闭子域服务
[[email protected] ~]# systemctl stop named
清空父域服务器的缓存中的解析结果
[[email protected] ~]# rndc flush
再来做上面的测试,可以看到无法得到解析结果。
[[email protected] ~]# dig -t A www.dev.magedu.com @172.18.71.101 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dev.magedu.com @172.18.71.101 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49365 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.dev.magedu.com. IN A ;; Query time: 2 msec ;; SERVER: 172.18.71.101#53(172.18.71.101) ;; WHEN: 五 4月 08 21:17:21 CST 2016 ;; MSG SIZE rcvd: 47
2. 子域服务器解析父域域名
使用子域服务器解析父域域名,可以看到并没有解析到正确结果,这是因为子域服务器开启允许递归选项,它在自身无法得到结果的情况下去联网找根域做迭代查询取得了结果,对于客户端来说就是子域服务器帮忙做了递归查询。
[[email protected] ~]# dig -t A www.magedu.com @172.18.71.102 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.magedu.com @172.18.71.102 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12729 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 10 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.magedu.com. IN A ;; ANSWER SECTION: www.magedu.com. 600 IN A 101.200.188.230 ;; AUTHORITY SECTION: magedu.com. 172799 IN NS v2s2.xundns.com. magedu.com. 172799 IN NS v2s1.xundns.com. ;; ADDITIONAL SECTION: v2s1.xundns.com. 172799 IN A 115.238.253.250 v2s1.xundns.com. 172799 IN A 124.232.156.76 v2s1.xundns.com. 172799 IN A 183.57.38.184 v2s1.xundns.com. 172799 IN A 113.17.169.37 v2s1.xundns.com. 172799 IN A 115.238.241.21 v2s2.xundns.com. 172799 IN A 116.10.184.143 v2s2.xundns.com. 172799 IN A 121.10.104.13 v2s2.xundns.com. 172799 IN A 115.238.241.20 v2s2.xundns.com. 172799 IN A 115.238.253.252 ;; Query time: 2385 msec ;; SERVER: 172.18.71.102#53(172.18.71.102) ;; WHEN: 五 4月 08 21:00:26 CST 2016 ;; MSG SIZE rcvd: 248
修改子域服务器的主配置文件/etc/named.conf,关闭掉允许递归选项。
[[email protected] ~]# vim /etc/named.conf
options {
...
recursion no;
...
};
重载配置文件
[[email protected] ~]# rndc reload server reload successful
再来做上面测试,这次就完全得不到解析结果了。
[[email protected] ~]# dig -t A www.magedu.com @172.18.71.102 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.magedu.com @172.18.71.102 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 31585 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.magedu.com. IN A ;; Query time: 1 msec ;; SERVER: 172.18.71.102#53(172.18.71.102) ;; WHEN: 五 4月 08 21:07:28 CST 2016 ;; MSG SIZE rcvd: 43
3. 结论
子域授权即父域服务器将自己所辖区域中的一部分交给子域服务器去负责解析。
- 在使用父域服务器去解析子域域名时,如果子域服务停止并且父域服务器中没有相应的缓存结果,则没有办法完成解析。
- 而反过来,子域服务器却并不能够解析父域域名。如果子域服务器允许
- 查询,则会去互联网上找根域迭代查询直至取得结果;否则无法取得解析结果。(子域服务器查父域域名需要层层迭代是非常浪费资源的方式,这显然不是我们所期望的,因此实际中一般都通过转发的方式来解决这一问题。参照DNS-05-转发)
反向区域的子域授权比较繁琐,这里不做介绍。
时间: 2024-08-09 00:02:14