Linux服务器--3.DNS的子域授权,转发和视图

Linux服务器--DNS服务器的子域授权、转发和视图

一.DNS服务器子域授权:

Linux DNS服务器的子域授权,是在原有的域上再划分小的区域并指定新的DNS服务器,在子区域的DNS服务器中,如果有客户端请求,则只要找到子DNS服务器即可,从而减轻了主DNS服务器的解析压力,也有利于管理。

实验环境:两台Linux主机,IP 分别为172.16.99.1(父域)  ,172.16.99.2(子域)。

DNS服务器子域授权的配置:(在原有的DNS服务器上创建)

1.在原有的父域正向区域数据解析文件中添加子域的NS记录和A记录:如

在父域名服务器的配置文件/etc/named.conf 中,把dnssec-validation no;修改为no,应为这些域名都是自己试验随意设置的,都没有授权,不是权威域名,更谈不上在查询过程中是否加密一说和DNS 解析的请求者无法验证它所收到的应答信息的真实性。不修改为no将父域将无法解析子域的查询。

dnssec-enable yes;
       dnssec-validation no;

重新启动父域名服务器:# service named restart

2.在172.16.99.3主机上安装bind, bind-utils 软件包,然后进行相关的配置:

a.编写named的主配置文件/etc/named.conf:编写和添加内容如下:

        options {
            listen-on port 53 { 172.16.99.3; };
            directory       "/var/named";
            dump-file       "/var/named/data/cache_dump.db";
            listen-on port 53 { 172.16.99.3; };  //监听端口和IP        
            allow-query     { 172.16.0.0/16; }; //允许此服务解析的网段
            recursion yes;允许递归查询
            dnssec-enable yes;
            dnssec-validation no;
            };
        zone "zz.zkchang.com" IN {
            type master;
            file "zz.zkchang.com.zone";
        };  //子域的区域名定义

b.添加正向解析数据库文件和编写:

        $TTL 1D        
        zz.zkchang.com. IN      SOA     ns1.zz.zkchang.com.     admin.zz.zkchang.com. (
                                2015091801
                                1H
                                5M
                                2D
                                1D)
                        IN      NS      ns1.zz.zkchang.com.
        ns1             IN      A       172.16.99.3
        www             IN      A       172.16.99.101
        ftp             IN      A       172.16.99.102

c.分别检查语法是否有误,无误启动服务。

3.测试:

a.子域测试解析:

b.父域测试解析:

4.总结:

发现测试成功,在子域授权后,子域是无法解析父域内的主机的,因为,当前区域无法解析此记录,会将此记录转发给根,而外网并没有给此区域授权,所以是无法解析的。

二.转发

通过子域授权可知,子域是不知道父域在什么地方的,当然也不能解析父域内的主机。此时用转发机制就可以完成子域转发父域内的主机。

转发机制有两种方式,一种是在NDS配置文件中全局设置,二是在DNS配置文件中的区域设置中设置。如:

        1.options {        
            .......
            forward first;  设置的转发模式为first,默认为only
            forwarders { 172.16.99.1; };
        };

only为递归请求,只是用forwarders DNS 服务器做域名解析,如果查询不到则返回DNS客户端查询失败

first:设置优先使用forwarders DNS 服务器做域名解析,如果查询不到再使用本地DNS服务器再次去查询。

        2.zone “zkchang.com” IN {        
            type forward;
            forward first;
            forwarders { 172.16.99.1; };
        };

在子域主配置文件内定义一个转发区域,当客户端要解析zkchang.com这个区域里的主机时会转发到172.16.99.1这个IP。

option设置的转发机制是对全局设置的,导致所有通过子域查询其他区域的主机都会经过父域去查找请求,这样会增大父域服务器的负担,因此使用单独制定的转发区域。

实验设置如下:

在子域的主配置文件中添加如下几行并将dnssec-validation no;设置为no:

            zone "zkchang.com"  {        
                type forward;
                forward first;
                forwarders { 172.16.99.1; };
            };

检查配置文件是否有误,重新加载服务,进行测试:

测试:

查看子域是否能解析父域内地的主机:

三. View

在Linux 的DNS服务器中实现智能解析的方法为acl + view ,其中acl是访问控制列表,是将就有相同目的的IP写到一起,进行共同管理。例如,在DNS服务器中我们将允许递归查询的一些IP段,写到一个acl定义的列表中,进行统一管理。如:

在Linux 的DNS服务器中实现智能解析的方法为acl + view ,其中acl是访问控制列表,是将就有相同目的的IP写到一起,进行共同管理。例如,在DNS服务器中我们将允许递归查询的一些IP段,写到一个acl定义的列表中,进行统一管理。如:

acl netip {

172.16.0.0/16;

10.0.0.0/8; };

在options中:

options {

.......

allow-recursion { netip; };

};

Linux NDS view就是将不同的IP地址段发来的查询响应到不同的DNS解析。

view 运用的实际场景如:

获取各个运营商的IP列表

为web服务器配置多个网络出口(IP)

配置智能解析DNS

定义view:一旦view,多有域都必须定义在view中。

实例:一台DNS服务器,给不同网段客户端进行解析时,解析出对应的内容。如,网段172.16.0.0上的主机解析www.zkc.com网段时,会对应其网段进行解析。

实验环境,ip eth0:172.16.99.1

acl INNET { 172.16.0.0/16; };  为了实验方便只是用其中的一个IP:172.16.99.1

acl OUTNET { 192.168,1.0; };  为了实验方便使用一个IP:172.16.99.3

即当在主机99.3上进行域名解析zkc.com上的主机时,会给出相对应得IP,详细过程在实验中。

a.在主配置文件/etc/named.conf配置如下:(这里只给出了正向解析)

    acl neiwang {    
            172.16.99.1; };
    acl waiwang {
            172.16.99.3; };
    options {
            listen-on port 53 { 172.16.99.1; };
    directory       "/var/named";
    allow-query     { any; };
    recursion yes;
      };
    view "INNET" {
            match-clients { neiwang; };
            recursion yes;
            zone "." IN     {
                    type hint;
                    file "named.ca"; };
            zone "zkc.com" IN {
                    type master;
                    file "zkc.com.zone1"; };
            include "/etc/named.rfc1912.zones";
            include "/etc/named.root.key";
    };
    view "OUTNET" {
            match-clients { waiwang; };
            recursion yes;
            zone "." IN {
                    type hint;
                    file "named.ca"; };
            zone "zkc.com" IN {
                    type master;
                    file "zkc.com.zone2"; };
            include "/etc/named.rfc1912.zones";
            include "/etc/named.root.key";
    };

b.在/var/named/目录下编写两个正向解析数据库文件:zkc.com.zone1  zkc.com.zone2

1.zkc.com.zone1

2.zkc.com.zone2

c.启动DNS服务,进行测试:

# service named restart

测试:

1.在ip 172.16.99.1主机上测试,会对应解析www.zkc.com 的结果为172.16.99.101:

2.在ip 172.16.99.3主机上测试,会对应解析www.zkc.com 的结果为192.168.1.3:

四.总结:

1.子域授权:

每个域的名称服务器,都是通过其上级名称服务器在解析库进行授权。

定义一个子区域:

ops.zkchang.com. IN NS ns1.ops.zkchang.com.

ops.zkchang.com. IN NS ns2.ops.zkchang.com.

ns1.ops.zkchang.com. IN A 1.1.1.1

ns2.ops.zkchang.com. IN A 1.1.1.2

2.转发

注意:被转发的服务器需要能够为请求者做递归,否则,转发请求不予进行;

(1) 全部转发: 凡是对非本机所有负责解析的区域的请求,统统转发给指定的服务器;

Options {

....

forward {first|only}

fowwarders

}

(2) 区域转发:仅转发对特定的区域的请求至某服务器;

zone "ZONE_NAME" IN {

type forward;

forward {first|only}

forwarders

}

注意:关闭dnssec功能:

dnssec-enable no;

dnssec-validation no;

3.view视图;

一个bind服务器可定义多个view,每个view中可定义一个或多个zone;

每个view用一来匹配一组客户端;

多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件;

view VIEW_NAME {

match-clients {  };

....

zone......

}

注意:

(1) 一旦启用了view,所有的zone都只能定义在view中;

(2) 仅有必要在匹配到允许递归请求的客户所在view中定义根区域;

(3) 客户端请求到达时,是自上而下检查每个view所服务的客户端列表;

时间: 2024-10-13 02:06:27

Linux服务器--3.DNS的子域授权,转发和视图的相关文章

DNS服务器综合实验(包含view下主从+子域授权+转发域)

说明:本文并不是一上来就搭建包含view下主从+子域授权+转发域的实验环境,我们按照先易后难的顺序逐渐深入搭建的.特此说明. ===============================实战======================================= 规划: 主DNS:192.168.0.10 从DNS:192.168.0.11 其他地址:192.168.0.13.192.168.0.14 子域DNS:192.168.0.12 注意:所有工作之前,将所有的主机进行如下设置 [

多区域 DNS 服务,子域授权,缓存 DNS及Split 分离解析的原理和实现

DNS 服务器的功能: 正向解析:根据注册的域名查找其对应的 IP 地址 反向解析:根据 IP 地址查找对应的注册域名(不常用) DNS(域名解析)服务器:解析域名--->将域名解析为 IP 地址 例如:客户端访问 Web 网站:www.qq.com ----> DNS ----> 腾讯的 Web 服务器 Full Qualified Domain Name(FQDN),完全合格主机名,以点结尾站点名.域名后缀 站点名...二级域.一级域域名分级:根域 . 一级域 .com .cn .u

Linux DNS (bind) 子域授权

一个区域内可能有主DNS.从DNS.子域DNS,本节以主DNS授权子域为例讲解. 子域授权配置过程: 1.编辑主DNS正向区域文件 [[email protected] named]# vim dove.com.zone    #编辑主DNS正向区域文件 $TTL    600 @       IN      SOA     dove.com.       admin.dove.com. (            2015041802   #由于有从DNS服务器,所以序列号每次修改须加一    

Linux服务器--1.DNS服务器

Linux服务之DNS服务--DNS的基本概念 1.DNS(Domain Name System)域名系统.在网络上为了方便用户访问互联网,而不用去记住能够被直接访问的IP,就有了作为域名与IP相互映射的一个分布式数据库.DNS协议运行在UDP和TCP之上,使用53号端口.(其中在DNS解析查询时用到UDP协议,而在主从传递区域数据库文件时,用到TCP协议.) 2.DNS功能: DNS服务器实现的是IP到域名的解析和域名到IP的解析. 主机名与IP有两种映射关系: 1.静态映射:在每台设备上都有

Linux服务器--2.DNS服务器的主从配置

Linux服务器--DNS服务器的主从配置 DNS 服务器的安装: 1.DNS服务器安装所需的主要安装包有: bind:DNS服务器的主程序包 bind-utils:此安装包提供了DNS查询工具软件 bind-chroot:为了服务器系统的安全安装此包,可以把DNS在一个虚拟的根目录下运行. 2.安装DNS服务器,只需要yum安装即可,也可以源码安装. 3.DNS服务主要提供了三个配置文件,一个是主配置文件/etc/named.conf ,两个区域数据库文件:正向解析数据库文件,反向解析数据库文

linux中DNS子域授权和视图view

你有没有见过4 段的域名?大部分人打开网站只见过3段的域名,像www.baidu.com等,但是多段域名是真实存在的 当我们用dig命令解析www.baidu.com的NS记录时,就会出现四段域名了 这个域名,其实是百度众多dns域中的一个子域中的某一台主机,现在,我们来讨论一下子域 当你的公司有很多部门,销售部,生产部,财务部,这么多部门很多人都向公司里唯一的dns服务器解析,那你的dns服务器会忙死,所以,你可以为每一个部门分派一个子域服务器,各自部门的dns请求都发送到各自部门安置的子域d

Linux 服务器--Iptables 端口转发

日常Iptables 端口转发 需求:公司是局域网络,通过一个外网ip,进行互联网的访问.公司的云平台服务器在公网中,虚拟化平台中有一台内部服务器,用于公司某部门的使用,上面运行www 服务,ssh端口,方便平时上传网站文件.现领导要求将此内部服务器交接给此部门,并只让其在公司内部访问,外面的公网是拒绝访问的. 结构图: 2.解决方法:通过linux 服务器的iptables,利用端口转发,在公司内部通过A机器(或者说A代表某个部门),使其访问到B机器上的特定连接转发至内部机器C上.由于机房服务

Linux DNS服务器子域授权、转发器和转发域配置实例(三)

DNS子域授权: 这里我们只演示正向解析的子域授权   父域能够解析子域的A记录(不是权威的,因为不是自身解析的),  子域不能解析父域的A记录,如果非要解析父域中的地址过程是:先去找互联网的根域在层层到下查找.(但是我们可以在子域建立转发,使能够解析父域的A记录) 实例: 说明父域为:ning.com子域1为:ning1.ning.com 子域2为:ning2.ning.com  补充说明:父域和子域只要能通信即可,没有必要在同一网段,我们这里为了方便操作放在一个网段了..小伙伴们明白!  实

Linux DNS服务系列之主从复制、子域授权和转发、view配置详解

前言 上文我们讲解了DNS服务的原理及正反向解析配置,相信大家对DNS服务已经有了初步了解.接下来,让我们进一步了解DNS服务的其它功能,本文将详解主从复制.子域授权和转发以及view的相关配置. 主从服务器配置 主从服务器关系 如果公司内DNS服务器负载过重或者为了实现冗余这一类功能就需要用到一个备份DNS服务器,备份服务器和主DNS服务器就形成了主从关系,如果主服务器的区域文件更新就会通知从服务器同步最新的区域文件,平时从服务器不提供解析服务,如果主服务器有故障从服务器就立刻激活提供域名解析