DNS子域授权、view配置详解

子域授权:其实就是将一个比较大的域再分割成小区域,每个小区域可以交由一组或多组服务器管理,这些服务器只解析其管辖范围内的域名,超出其范围的解析请求一般会转发给父域或直接转发给根域。子域是相对而言的,对于根来说顶级域名就是它的子域,依次类推,我们这里讲提到的子域授权是针对二级域名来说的,也就是三级域名授权。

正向区域的子域授权:使用胶水记录(glue record),也就是在父域中添加一条NS记录和一条A记录即可。如果客户端的请求超出子域的解析范文,那么我们就需要定义转发服务器。

定义转发服务器:

注意:被转发的服务器需要能够为请求者做递归,否则,转发请求不予进行;

(1) 全部转发: 凡是对非本机所有负责解析的区域的请求,统统转发给指定的服务器;

Options {

forward {first|only}

fowwarders

}

(2) 区域转发:仅转发对特定的区域的请求至某服务器;

zone "ZONE_NAME" IN {

type forward;

forward {first|only}

forwarders

}

配置子域授权:

1、在父DNS服务器的区域解析库中添加如下几条记录

[[email protected] named]# vim czcedu.com.zone
23 ops     IN      NS      ns1.ops
24 ops     IN      NS      ns2.ops
25 ns1.ops IN      A       192.168.1.107
26 ns2.ops IN      A       192.168.1.108

2、在子域DNS服务器的区域文件中添加子域定义

[[email protected] ~]# vim /etc/named.rfc1912.zones
60 zone "ops.czcedu.com." IN {
61         type master;
62         file "ops.czcedu.com.zone";
63 };

3、编辑子域服务器的区域解析库文件

[[email protected] named]# vim ops.czcedu.com.zone
1 $TTL 1d
2 $ORIGIN ops.czcedu.com.
3 @       IN      SOA     ns1.ops.czcedu.com.     admin.ops.czcedu.com. (
4                         2015042701
5                         1H
6                         10M
7                         1W
8                         1D )
9         IN      NS      ns1
10         IN      NS      ns2
11 ns1     IN      A       192.168.1.107
12 ns2     IN      A       192.168.1.108
13 www     IN      A       172.16.200.1
14 mail    IN      CNAME   www
15 ops.czcedu.com  A       192.168.1.107
16 *       IN      A       192.168.1.107
[[email protected] named]# dig -t A www.ops.czcedu.com @192.168.1.107#测试子域解析是否正确 这里在父域和子域解析都是正确的
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> -t A www.ops.czcedu.com @192.168.1.107
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31108
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.ops.czcedu.com.INA
;; ANSWER SECTION:
www.ops.czcedu.com.86400INA172.16.200.1
;; AUTHORITY SECTION:
ops.czcedu.com.86400INNSns1.ops.czcedu.com.
ops.czcedu.com.86400INNSns2.ops.czcedu.com.
;; ADDITIONAL SECTION:
ns1.ops.czcedu.com.86400INA192.168.1.107
ns2.ops.czcedu.com.86400INA192.168.1.108
;; Query time: 5 msec
;; SERVER: 192.168.1.107#53(192.168.1.107)
;; WHEN: Fri Apr 24 13:02:47 2015
;; MSG SIZE  rcvd: 120

4、在子域服务器中添加转发服务器将对父域的解析请求转发给父域服务器

[[email protected] named]# vim /etc/named.conf
44 zone "czcedu.com" IN {
45         type forward;
46         forward only;
47         forwarders { 192.168.1.108; };
48 };

5、测试解析父域成功

Bind中基础的安全相关的配置:

acl: (访问控制列表)把一个或多个地址归并为一个集合,并通过一个统一的名称调用;

acl acl_name {

ip;

ip;

net/prelen;

};

示例:

acl mynet {

172.16.0.0/16;

}

bind有四个内置的acl:

none: 没有一个主机;

any: 任意主机;

local: 本机;

localnet: 本机的IP同掩码运算后得到的网络地址

Bind中的view实现:

View的主要作用是将来自不同网络的主机分发到不同网段的服务器上,以提高访问速度降低服务器压力。就以我们国家情况为例,电信和网通用户之间的访问带宽是非常小的,但是它们内部的访问带宽却非常大,所以我们可以将对同一域名的访问通过DNS分发到不同的IP之上,那么就可以实现电信用户访问电信的服务器,联通用户访问联通的服务器,这甚至也是CDN(内容分发网络)的一种解决方法,但是CDN还可以实现将对同一域名的访问只解析到一个IP之上,但是拥有这个IP的服务器不做任何内容的反馈,只是将来自不同区域的IP调度到不同区域的缓存服务器上,这样可以实现高并发高速率的响应用户请求,后续的博客中也会提到。

配置view:

  1. 在DNS服务器中定义acl

  2. 定义区域文件view
[[email protected] named]# vim /etc/named.rfc1912.zones
13 view internel {#定义内网访问策略
14         match-clients { mynet; };
15         allow-recursion { mynet; };#仅允许内网做递归请求
16
17 zone "." IN {#可以做递归请求的网段才需要根提示
18         type hint;
19         file "named.ca";
20 };
21
22 zone "localhost.localdomain" IN {
23         type master;
24         file "named.localhost";
25         allow-update { none; };
26 };
27
28 zone "localhost" IN {
29         type master;
30         file "named.localhost";
31         allow-update { none; };
32 };
33
34 zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
35         type master;
36         file "named.loopback";
37         allow-update { none; };
38 };
39
40 zone "1.0.0.127.in-addr.arpa" IN {
41         type master;
    42         file "named.loopback";
    43         allow-update { none; };
    44 };
     45
     46 zone"0.in-addr.arpa" IN {
    47         type master;
    48         file "named.empty";
    49         allow-update { none; };
     50 };
    62
     63 zone"czcedu.com." IN {  
     64         type master;
     65         file "czcedu.com.zone";            #定义内网解析库文件
     66         allow-update { none; };
     67 };
     74 };
     75
     76 view internet {   #定义外网视图
     77         match-clients { internet;};
     78         allow-recursion { none; };         #不可做递归请求
     79
     80 zone"czcedu.com." IN { 
    81         type master;
    82         file "czcedu.com.internet";     #定义外网解析库文件
    83         allow-update { none; };
    84 };
    85 };

3、创建两个解析库文件

4、从不同客户端发出的DNS请求返回不同的IP

好了,到此为止我们DNS服务器的应用就告一段落了,如有错误敬请指正。

    时间: 2024-10-10 06:30:46

    DNS子域授权、view配置详解的相关文章

    Linux DNS服务系列之主从复制、子域授权和转发、view配置详解

    前言 上文我们讲解了DNS服务的原理及正反向解析配置,相信大家对DNS服务已经有了初步了解.接下来,让我们进一步了解DNS服务的其它功能,本文将详解主从复制.子域授权和转发以及view的相关配置. 主从服务器配置 主从服务器关系 如果公司内DNS服务器负载过重或者为了实现冗余这一类功能就需要用到一个备份DNS服务器,备份服务器和主DNS服务器就形成了主从关系,如果主服务器的区域文件更新就会通知从服务器同步最新的区域文件,平时从服务器不提供解析服务,如果主服务器有故障从服务器就立刻激活提供域名解析

    学习笔记 DNS 子域授权 view

    DNS 是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串. 它负责把域名转换为ip地址,人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的. DNS最主要实现方式 是FQDN 向IP地址解析.由根域,顶级域,二级域,子域,主机名组成.整个域名空间是以倒置树形.结构组成 正向解析: 

    DNS基础原理及配置详解!!!

    DNS: Domain Name Service 域名服务器(应用层协议)      DNS所监听的端口        53/UDP,53/TCP(默认) 一般情况下仅使用UDP协议进行讯通,若网络出现连接问题会自动转为TCP协议通讯 DNS所说的"域"是逻辑概念 域名结构:    根域:为DNS根节点服务器,用"."表示 全球有13组DNS根服务器            顶级域:top level domain:(也叫一级域)     分类:      组织域:.

    DNS从服务器的配置详解

    一.DNS从服务器的作用 DNS从服务器也叫辅服DNS服务器,如果网络上某个节点只有一台DNS服务器的话,首先服务器的抗压能力是有限的,当压力达到一定的程度,服务器就会宕机罢工,其次如果这台服务器出现了硬件故障那么服务器管理的区域的域名将无法访问.为了解决这些问题,最好的办法就是使用多个DNS服务器同时工作,并实现数据的同步,这样两台服务器就都可以实现域名解析操作.主DNS服务器架设好后,辅助的DNS服务器的架设就相对简单多了.架设主从DNS服务器有两个前提条件,一是两台主机可以不一定处在同一网

    DNS主从服务,子域授权,view视图,日志系统,压力测试rsync配置

    DNS主从服务,子域授权,view视图,日志系统,压力测试 DNS性能测试工具queryperfDNS查询过程: DNS主从建立: 环境: 主服务器:10.140.165.93 从服务器:10.140.165.169 关闭防火墙,关闭selinux. 主服务器建立: [[email protected] ~]# yum -y install bind-util bind #安装bind服务 [[email protected] ~]# vim /etc/named.conf #编辑主配置文件 o

    Linux学习之路-DNS原理-BIND配置详解

    DNS原理-BIND配置详解 DNS系统概述 DNS系统作用     a) DNS,简单地说,就是Domain Name System,翻成中文就是"域名系统".主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换.      b) DNS提供正向解析和反向解析          正向解析:根据主机名称(域名)查找对应的IP地址.          反向解析:根据IP地址查找对应的主机域名 DNS系统结构  系统结构原理  目前DNS采用的是分布

    马哥教育第十八天DNS、bind的基本配置详解

    1.DNS: Domain Name Service DNS工作在53端口上,查询时使用udp协议,传送时使用tcp协议,全称域名:称为FQDN(Full Qualified Domain Name) 根域:root domain                        一级域:top-level domain                        二级域:公司.组织.个人使用                        主机: 递归:A --> B --> C -->

    Service系统服务(四):搭建单区域DNS服务器、特殊DNS解析、配置DNS子域授权、搭建并测试缓存DNS

    一.搭建单区域DNS服务器 目标: 本例要求要求为DNS区域tedu.cn搭建一台DNS服务器,以便用户能通过域名的方式访问网站.测试阶段主要提供以下正向记录: svr7.tedu.cn ---> 192.168.4.7    pc207.tedu.cn ---> 192.168.4.207    www.tedu.cn ---> 192.168.4.100 配置完成后在客户机上验证查询结果. 方案: 快速构建DNS服务器的基本过程: 1> 安装 bind.bind-chroot

    DNS基本概念及操作详解----------------转载

    DNS基本概念及操作详解 目录: 1.DNS协议 2.DNS查询 2.1递归查询 2.2跌代查询 2.3反向查询 3.域维护 3.1全量AXFR传输 3.2增量IXFR传输 3.3通过NOTIFY 3.4动态更新 4.DNS安全 在很多人看来,DNS只是为外部提供DNS解析服务(我以前也是这么认为的,直到膝盖中了一箭),但作为互联网的基础设施,DNS远没有想象的那么简单.如果你没有听说过DNS查询.反向解析.zone传输.动态更新.DNS安全,那你可以从本文中得到关于他们的最简明的诠释. 一.